Introduction A La Securite Informatique-Volume2

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique
Sécurité contre l’intrusion informatique
volume 2
Sylvain Maret / version 1.1

Octobre 2002
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4
“ L’art de fortifier ne consiste pas dans des règles et des systèmes

mais uniquement dans le bon sens et l’expérience ”
Sebastien le Prestre de Vauban

Ingénieur Architecte 1633-1707
4 Solutions à la clef
4 Agenda
f La citadelle électronique
f Les firewalls
f Les proxy
f Contrôle d’URL
f Contrôle de contenu
f Anti Virus
f Web application firewall
f IDS
f FIA
4 Agenda
f Honeypot
f VPN
f IPSEC
f SSL
f SSH
f Cartes à puce
f Sécurisation des serveurs
f Sécurisation des postes de travail
4 Agenda
f Analyse comportementale
f S/Mime
f Technologie PKI
f Systèmes d’authentification
4 Modèle de sécurité classique
f Approches « produit » et périmètre

f Des solutions spécifiques, des cellules isolées
f Firewall
f Antivirus
f VPN
f Contrôle de contenu
f Systèmes de détection d’intrusion
f Authentification périphérique
4 Les inconvénients du modèle classique
f Des solutions très spécifiques

f Un manque de cohérence et de cohésion
f L’approche en coquille d’œuf
f Des remparts
f Des applications (le noyau) vulnérables
4 Schématiquement…
Firewall, IDS, etc.
Ressources internes
4 Les enjeux pour le futur
f Fortifier le cœur des infrastructures

f Principalement les applications
f Améliorer la cohérence
f Simplicité d’utilisation
f Définir une norme suivie par les constructeurs & éditeurs
f Amener la confiance dans les transactions électroniques
4 La citadelle électronique
f Modèle de sécurité émergent

f Approche en couches ou en strates
f Chaque couche hérite du niveau inférieur
f Les applications et les biens gravitent autour d’un noyau
de sécurité
4 Approche en couche
f 1) Architecture
f 2) Protocoles réseaux
f 3) Systèmes d’exploitations
f 4) Applications
4 Architecture
f Sécurisation des accès bâtiments

f Segmentation & Cloisonnement IP
f Segmentation & Cloisonnement physique
f Choix d’environnement (Switch, hub, etc)
f Mise en place de Firewall
f Configuration de routeur (ACL)
f Disponibilité
f Etc.
4 Protocoles réseaux
f TCP/IP, IPSec, L2TP, PPTP, etc.

f Anti SYNFlooding
f Anti spoofing
f « Kernel » réseau à sécuriser
f D0S, DD0S
f Architecture réseaux (routeurs et switchs)
f Etc.
4 Systèmes d’exploitation
f Sécurisation des OS
f Restriction des services
f Mise en place de FIA
f Détection d’intrusions sur les OS
f Authentification forte
f Sécurisation de l’administration
f Sauvegarde régulière
f Logging & Monitoring
4 Applications
f Chaque application est sécurisée

f BoF
f Contrôle de qualité du code
f Cryptage des données sensibles
f DB, Cartes de crédits
f Base d’utilisateurs
f Etc.
f Authentification forte des accès
f Signature électronique
f Etc.
4 Schématiquement…
Architecture
O.S.
Applications
Protocoles réseaux
4 Pour répondre à ce challenge ?
f Une démarche
f La politique de sécurité
f Des services de sécurité
f Authentification
f Confidentialité
f Intégrité
f Non répudiation
f Autorisation
f Disponibilité
4 Et des technologies…
f Firewalls
f IDS
f Analyse de contenu
f FIA
f AntiVirus
f VPN
f Systèmes d’authentifications
f PKI…
Les outils de sécurité
Sécurité contre l’intrusion informatique

4 Les firewalls: définition de base
f Outil de contrôle des communications réseaux

f Agit comme un filtre
f Contrôle en temps réel les communications
f Trois grandes familles
f Proxy ou relais applicatifs (niveau 7)
f Packet Filter (niveau 3)
f Stateful Inspection (niveau 3)
f Outil de base de la sécurité…
f N’est plus suffisant !
4 Les firewalls
f Les services standards du firewall

f Contrôle d’accès
f Accounting
f Authentification
f Translation d’adresse (NAT)
f Les autres services
f VPN
f IDS
f Authentification
f Contrôle de contenu (AV, filtrage d’URL, Code mobile, etc.)
f Haute disponibilité
f Etc.
4 Exemple d’implémentation
4 Firewall « packet filter »
Source: Checkpoint 2002

4 Firewall « proxy »

4 Firewall « Stateful Inspection »

4 Exemple avec FTP: packet filter

4 Exemple avec FTP: proxy

4 Exemple avec FTP: stateful inspection

4 Exemple de règles firewall: Checkpoint
4 Exemple de « log » avec Checkpoint
4 Translation d’adresses: « NAT »
f Mécanisme de modification des adresses IP source ou/et

destination
f Eventuellement changement des ports: PAT
f NAT « Static »
f 1 vers 1
f En source ou en destination
f NAT « Hide »
f N vers 1
f Utilise de la PAT
f Utiliser pour cacher un réseau (accès Internet)
4 Exemple de « NAT »
External Internal
192.168.1.2
192.168.1.1
Legal IP address Illegal IP address
204.32.38.1 192.168.1.2
LAN
192.168.1.4 192.168.1.3
4 Exemple de « NAT » avec Checkpoint
4 Firewalls: tendance des Appliances
f Concept de « black box »

f Est considéré comme un élément classique du réseau
f Routeur, Switchs, RAS, etc.
f Facilité d’exploitation
f Facilité d’utilisation
f Niveau de sécurité élevé
f Gestion par SSL et/ou SSH
f Performance
f OS de type Unix / Linux
4 Les proxy
f Complémentaire au firewall
f Caching (gain de performance)
f HTTP, FTP, Streaming Vidéo ou Audio
f Auditing
f Fichier de logs
f Qui, Quand, Où
f Authentification (NTLM, Radius, ldap, etc.)
f Interface pour un contrôle de contenu
f ICAP ou Plug-IN
f Analyse virale
f URL Filtering
f Analyse code mobile
4 Exemple d’implémentation avec authentification Microsoft
Réseau Interne Proxy Cache
DMZ
Windows
DC
4 Les proxy: configuration des postes clients
f Configuration du navigateur
avec adresse IP (ou le nom) et
le « port » du proxy
f Proxy Pac
f Fichier de configuration
f Solution transparente
f WCCP
f Ne pas oublier la gestion des
exceptions !
4 Reverse Proxy
f Permet d’accéder à un service web via le Reverse Proxy

f Protection du site web (firewall applicatif)
f Filtrage d’url
f Authentification
f Protection DoS (IIS)
f Terminaison SSL
f IDS
f Performance
f Accès aux ressources internes
f Messagerie, extranet, etc.
4 Reverse Proxy
The proxy server uses a regular

mapping to forward the client request
to the internal content server
http
or
https http or https
CACHE A client computer

Server within Firewall
a firewall on the Internet
The proxy server sends a request to
appears to be the the proxy server
content server
You can configure the firewall router to allow a specific server on a specific
port (in this case, the proxy on its assigned port) to have access through the
firewall without allowing any other machine in or out.
4 Reverse Proxy: exemple d’implémentation avec authentification forte
Serveur de
Messagerie
OWA
Navigateur
Internet
HTTPS HTTP
DMZ
TCP 443 TCP 80
Reverse Proxy RSA

SSL Ace Server
Réseau Interne
4 Filtrage d’URL
f Contrôle d’accès aux sites Internet

f Très utilisé dans les entreprises
f Banques, Industries, Assurances, etc.
f Plusieurs techniques:
f Base de données
f Reconnaissance de mots clés
f Analyse des images
f RSAC
f Etc.
f Peut être utilisé pour la protection des codes mobiles
4 Exemple d’implémentation avec un proxy
Source: Websense 2002

4 Catégorie Websense
4 Contrôle de contenu
f Analyse du contenu des flux de communications

f Analyse des Emails
f Virus
f Taille
f Type de fichiers
f Analyse lexicale
f Etc.
f Analyse des flux HTTP et FTP
f Virus
f Download de fichiers
f Codes mobiles
f Etc.
4 Contrôle des codes mobiles
Source: Trendmicro 2002

4 Exemple d’implémentation: codes mobiles
Source: Trendmicro 2002

4 Les Antivirus
f Outils classiques de sécurité

f Plusieurs catégories
f AV pour les serveurs
f AV pour les postes clients
f AV HTTP et FTP
f AV spécifique
f Messagerie (Exchange, Notes, Mailsweeper, etc.)
f La mise à jour doit être très rapide
f Backweb, http, ftp, etc.
4 Web application firewall: la nouvelle tendance
f Protection des services Web par un filtrage des URL

f BoF
f Bad URL
f Back Door
f Cookie poisoning
f Etc.
f Deux approches
f Reverse Proxy
f Agent sur le frontal Web
4 Agent sur le frontal Web
Source: Sanctum 2002

4 Approche Reverse Proxy
Source: Sanctum 2002

4 Système de détection d’intrusions: définition
f Système d’analyse d’informations visant à détecter des

événements signalant une intrusion potentielle
f Ces informations peuvent être:
f journal system (logs)
f Journal applicatif
f Sonde réseau (sniffer)
f Sonde « host »
f Etc.
f IDS = Intrusion Detection System
4 Système de détection d’intrusion: architecture
f Outils modernes présentant les éléments structuraux

suivants:
f les sondes
f Les concentrateurs d’événements
f La ou les console(s) de gestion
f La ou les console(s) des alertes
4 Système de détection d’intrusions: architecture
Console de gestion
Configuration
Signatures Update
Software update
sonde sonde sonde
Alertes
Concentrateur
D’événements
Alertes
Console des alertes

4 Système de détection d’intrusion: la sonde
Vers concentrateur
Exportation D’événements
Alerte
Analyse
Evénement
Mise en forme
Informations Donnée
système Brute
Réseaux,
Etc.
Capture
4 Système de détection d’intrusions: type de sonde
f Sondes systèmes: HIDS

f Analyse des événements de type système et/ou de type
application (serveur web, db, etc.)
f Sonde réseau: NIDS
f Analyse des événements réseaux
f Généralement en écoute sur un HUB ou switch (copy port)
f Embarquée dans le switch
f Sonde mixte: Mixed IDS
f Analyse réseau sur un host
4 Système de détection d’intrusions: algorithmes d’analyse
f Actuellement 2 approches
f Approche scénario (knowledge base scenario)
f Basée sur une base d’attaques connues
f Approche comportementale (Anomaly Detection)
f Définition du comportement « normal » des systèmes informatiques
f Exclusion des événements non-standards
f Actuellement en phase de test
4 Système de détection d’intrusions: les contres-mesures
f Possibilité de générer une contre-mesure suite à une

attaques
f Interaction avec un firewall
f SAM de Checkpoint
f Isolement d’une machine attaquée (Islanding)
f Ralentissement de la connexion avec l’attaquant (throlting)
f Etc.
f Attention au DoS …
4 Système de détection d’intrusions: exemple d’implémentation
= HIDS
= NIDS
IDS externe IDS
Console
DMZ IDS
Sensitives
Internal servers
IDS
serveur
IDS interne
4 ISS RealSecure: architecture distribuée
Source:
ISS 2002
4 ISS RealSecure: console des alertes
Exemple:
http cmd.exe
IIS Serveur
4 ISS RealSecure: console de configuration d’une sonde
4 ISS Real Secure: configuration d’une contre mesure
Display
Log DB
Etc.
4 Système de détection d’intrusions: domaine public
f Très bon outils

f Mais… demande du temps à mettre en œuvre et au suivi
f Excellent comme outil didactique
f Projet Snort
f http://www.snort.org
f Projet Prelude
f http://www-prelude-ids.org
4 Système de détection d’intrusion: les limitations
f Ne pas se baser uniquement sur la mise en œuvre d’un

IDS
f Possibilité de contourner les IDS
f Nouvelles attaques pas connues !
4 Contrôle d’intégrité des systèmes (FIA)
f Famille des IDS

f Outil très puissant pour détecter les altérations des
systèmes
f Complément des HIDS et NIDS
f FIA = File Integrity Assesment
4 Contrôle d’intégrité des systèmes (FIA): fonctionnement
f Utilisation de fonctions crytographiques

f Fonctions de hashage (md5, sha1, etc,)
f Fonctions de signatures électroniques (RSA, DSA)
f Création d’une « Base Line » des fichiers surveillés
f « Photo du système »
f Comparaison régulière avec la « Base Line » de référence
4 Contrôle d’intégrité des systèmes (FIA): fonctionnement
Fichier A
Fonction
De
Hashage
Base Line
Hash
Fichier A =
?
Fonction FA12Ab…
De
Clé privée Signature
Signature
= Signature
Base Line
Signature A
4 Contrôle d’intégrité des systèmes (FIA): mise en œuvre
f Définition des fichiers a surveiller

f Deux approches
f Approche inclusive
f Approche exclusive
f Définition du type de fichier
f Logs, configuration, drivers, registry, etc.
f Définition de la périodicité des « Checks »
f Attention ressources CPU
f Mise en production
4 Contrôle d’intégrité des systèmes (FIA): Tripwire
f Leader du marché FIA

f Architecture distribuée
f Tripwire server
f Tripwire Manager (Console de management)
f Création de « Policy File »
f Spécification « directory » et fichiers à surveiller
f Maintenant avec un « Wizard » !
4 Contrôle d’intégrité des systèmes (FIA): Tripwire Manager
4 Contrôle d’intégrité des systèmes (FIA): Tripwire Reporting
4 Contrôle d’intégrité des systèmes (FIA): exemple d’implémentation
Cisco
Unix
Solaris, Aix, HP, Linux
Microsoft Web Serveur

NT 4.0, Win2K IIS, Apache
4 Honeypot: mieux apprendre pour mieux se protéger
f Leurres pour les « Black Hat »…

f Permet aux « Black Hat » d’attaquer et de compromettre le
système
f But principal: apprendre les techniques d’attaques
f Compléments aux IDS
f Permet de déceler les attaques « à la source »
f Un outil de recherche
4 Honeypot: fonctionnement
f Emulation d’un système ou de plusieurs systèmes

d’exploitation
f Emulation d’une application ou de plusieurs applications
(service)
f Web Server, DNS, etc.
f Tous les accès sont « logger »
f Tout trafic vers le Honeypot est considéré comme suspect !
4 Honeypot: références
f Projet Honeynet
f http://project.honeynet.org
f http://www.tracking-hackers.com
f Produits
f ManTrap
f Specter
f Back Officer Friendly
f Honeyd
f Deception Tool Kit
f Livre: Know You Enemy
4 VPN
f Technologie pour sécuriser les communications

f Intégrité
f Authentification
f Confidentialité
f Plusieurs approches
f IPSEC
f SSL
f SSH
f PPTP
f L2TP
f Etc.
4 VPN
f Différentes topologies
f Client à site (Accès distant)
f Site à site
f Client à serveur
f Serveur à serveur
f Client à client
4 Exemple VPN: Accès distants
4 Exemple VPN: Site à site
4 IPSEC
f IPSEC = IP Security
f IETF (RFCs 2401-2406)
f Fournit du chiffrement et intégrité au paquets IP
f Authentification mutuelle
f Support de PKI
f Certificat pour les « gateway »
f Certificat pour les clients
f Support de la révocation
4 IPSEC
f Deux option de sécurité

f AH: Intégrité et authentification
f ESP: Intégrité, authentification et confidentialité
f AH et ESP peuvent être utilisé en:
f Mode Transport
f Mode Tunnel
4 IPSEC: Transport Mode
Internet
Host A IPsec Host B
Source: SSH.COM 2002

4 IPSEC: Tunnel Mode
Internet
Host A Host B
IPsec

4 IPSEC: AH
AH in transport mode
IP header TCP/UDP header Upper layer

payload
IP header AH header TCP/UDP Upper layer payload

(SPI, SEQ) header
Authenticated
AH in tunnel IP header TCP/UDP Upper layer

header payload
mode
IP header AH header IP header TCP/UDP Upper layer

(SPI, SEQ) header payload
Authenticated

4 IPSEC: ESP
ESP in transport mode

IP header TCP/UDP Upper layer payload
header
IP header ESP header TCP/UDP header Upper layer ESP trailer ESP auth
(SPI, SEQ) payload
Encrypted
Authenticated
ESP in tunnel IP header TCP/UDP Upper layer

mode header payload
IP header ESP header IP header TCP/UDP Upper layer ESP trailer ESP auth
(SPI, SEQ) header payload (Padding)
Encrypted
Authenticated

4 IPSEC: échange des clés (IKE)
1) IKE SA
2) IPSec SAs
IPsec IPsec
device device

4 SSL: technologie PKI par excellence
f Secure Sockets Layer TCP/IP socket encryption

f Fournit des mécanismes de protection des
communications
f Confidentialité
f Contrôle d’intégrité
f Authentification
f Utilise la technologie PKI (certificat) pour l’authentification
du serveur et la négociation SSL
f Certificat public (Verisign, Thawte, etc.)
f Eventuellement peut authentifier le client (option)
f PKI Interne par exemple
4 SSL: l’historique
f SSL v1 par Netscape en 1994

f Usage Interne seulement
f SSL v2 avec Navigator 1.0 and 2.0
f SSL v3 dernière version
f TLS v1 repris par l’IETF
f Aka SSL v3.1
4 Protocole SSL
f Entre la couche applicative et TCP
4 Ports SSL (IANA)
f nsiiops 261/tcp # IIOP Name Service over TLS/SSL

f https 443/tcp # http protocol over TLS/SSL
f smtps 465/tcp # smtp protocol over TLS/SSL (was ssmtp)
f nntps 563/tcp # nntp protocol over TLS/SSL (was snntp)
f imap4-ssl 585/tcp # IMAP4+SSL (use 993 instead)
f sshell 614/tcp # SSLshell
f ldaps 636/tcp # ldap protocol over TLS/SSL (was sldap)
f ftps-data 989/tcp # ftp protocol, data, over TLS/SSL
f ftps 990/tcp # ftp protocol, control, over TLS/SSL
f telnets 992/tcp # telnet protocol over TLS/SSL
f imaps 993/tcp # imap4 protocol over TLS/SSL
f ircs 994/tcp # irc protocol over TLS/SSL
f pop3s 995/tcp # pop3 protocol over TLS/SSL (was spop3)
f msft-gc-ssl 3269/tcp # Microsoft Global Catalog with LDAP
4 SSL: authentification client avec certificat X509
PKCS#12
Smartcard
Challenge Response
SSL / TLS
Web Server SSL
Token USB
4 SSL: sécurisation du serveur (HSM)
Smartcards
HSM
SSL Acceleration
SSL or TLS
Web Server SSL

4 SSL / TLS tunneling
Serveur de
Client Notes
Messagerie
Client SSL
Notes
Tunnel
SSL
3DES
TCP 443
TCP 1352
DMZ
SSL Serveur
Réseau Interne
4 SSH
f Famille des VPN

f SSH = Secure Shell
f Defacto Standard maintenant
f Environ 8 millions utilisateurs
f Solution de remplacement de telnet, ftp et les commandes R (Unix)
f Existe pour toutes les plates-formes Unix et aussi NT
f Fournit
f Chiffrement (AES, DES, 3DES, etc.)
f Intégrité
f Authentification
f Très recommander dans les environnements UNIX
f Simple à mettre en œuvre
4 SSH: système d’authentification
f Supporte plusieurs modes d’authentications

f Authentifications « Classiques »
f SecurID
f Public Key
f Pam
f Kerberos
f Etc.
f Authentifications basées sur PKI
f Utilisation d’un certificat X509
f Smartcard ou clé USB
f Validation des certificats (OCSP ou CRL)
f Solutions éprouvées et robustes
4 Exemple d’implémentation SSH: authentification forte
VA
SSH
Serveur
2) PKI / OCSP
1) SecurID SSH V3
AES 256
Ace Serveur
SSH
Client
4 Solution VPN avec SSH
Email Corporate LAN

File Secure
Intranet Shell
Server
Server
Firewall
Web
Remote User Server
Secure File Secure

Transfer Shell
Internet Server
Secure
Shell
Mail
Server
Server
Secured Tunnel
4 Chiffrement de fichiers
f Deux approches
f Chiffrement du disque dur
f Chiffrement de certains fichiers
f Bonne solution pour les « laptop »
f Intégration avec les cartes à puces ou USB
f Gestion des clés de chiffrement
f Key Recovery !
f Chiffrement de base de données
4 Carte à puce
f Carte à puce ou Smartcard (ISO 7810 54x85x0.8mm)

f Carte mutli-applications
f Pay TV
f Banques (EC, Carte bleu, Visa, etc.)
f GSM
f Médical
f Informatique
f Etc.
4 Carte à puce et l’informatique
f Souvent couplée au stockage des clés privées et

certificats X509 (PKI)
f Peux contenir des « Credentials »
f Windows NT4, voir 2000
f Reduce Sign-On
f Fournit de l’authentification forte
f PIN et la carte
f Protégées contre la « Brute Force »
4 Carte à puce et PKI
f Deux types de cartes

f Carte mémoire
f Carte avec un Processeur Cryptographique (RSA, DSA, etc.)
f Applications:
f Sign Sign ON (Windows 2000 et PKINIT)
f Messagerie
f Chiffrement de fichiers
f Signature de documents
f Portail Web
f VPN (Accès distant)
f Etc.
4 Tokens USB
f Même approche que les cartes à puces

f Deux types de cartes
f Carte mémoire
f Carte avec un Processeur Cryptographique (RSA, DSA, etc.)
f Moins de sécurité que les cartes à puces
f Accès physique moins compliqué
f Grand succès pour les postes nomades
4 Exemple avec Windows 2000: Smartcard Logon
PIN Number
Support natif des cartes à puces

Norme PC/SC Crypto API
4 Sécurisation des serveurs
f Sécurisation de l’accès aux serveurs

f Authentification forte (SecurID, Carte à puce, etc.)
f Technologie VPN (SSH, IPSEC, etc.)
f Mise en œuvre d’une politique d’application des
« Patchs »
f Machines de tests
f Backup
f Mise en place d’une politique de backup
f Segmentation (firewall)
f Haute disponibilité (HA)
4 Sécurisation des serveurs
f Sécurisation de l’OS
f Restriction des services
f Accounting (Syslog, SNMP, etc.)
f FIA
f Blindage du stack IP (DoS)
f Firewall (ACL, TCP Wrapper, etc.)
f Gestion des droits
f Jail (UNIX)
f Etc.
4 Sécurisation des postes clients
f L’accès à Internet amène des problématique de sécurité

pour les postes de travail
f Virus, Pests, Trojan, Backdoor
f Lié à la messagerie et au surf
f L’idée est de garantir l’intégrité des postes
f Ces postes ont accès à des informations sensibles
f ERP, Back Office, Bases de données, etc.
f La problématique pour la sécurisation:
f Gestion du parc des postes de travail
4 Sécurisation des postes clients
f L’approche classique
f Anti Virus
f Gestion des droits (par exemple GPO Win2k)
f La tendance
f Firewall personnel
f Contrôle des codes mobiles
f Contrôle d’intégrité (FIA)
f Authenfication forte
4 Firewall Personnel
f Fonctionnalités de base
f Filtrage IP en entrée et sortie
f Lien entre les filtres et les applications
f Apprentissage automatique (POP-UP)
f Fonctionnalités avancées
f Code mobiles (Sandbox)
f Contrôle des cookies
f IDS
f Analyse du comportement
f Etc.
4 Analyse comportementale
f Nouveaux outils de sécurité

f Prévention des intrusions
f Capable de bloquer les attaques inconnues
f Détecte les intrusions et les bloques
f Blocage des attaques de BoF
f (60% des attaques selon le CERT 2002)
f Simple à mettre en œuvre
4 System Call Interception : la technologie de base
Program Program Program

A B C
fopen
System
Call unlink
Table rndir
User Mode
Kernel Mode
OS
Kernel
Network Disk Other

Driver Driver Drivers
Source: Entercept 2002
4 System Call Interception: la technologie de base
Program Program Program

A B C
fopen
System
Call unlink
Table rndir
User Mode
Kernel Mode
OS
Kernel
Network Disk Other

Driver Driver Drivers
4 Solution Entercept
Notification
Reporting
Management
Serveur NT Serveur WEB Serveur Unix

et 2000 Solutions à la clef
4
4 Entercept: Console

4 Entercept: SecureSelect
Warning Protection Vault

Mode Mode Mode
Increasing Security
4 S/MIME
f Secure Mime
f Solution de sécurisation de la messagerie
f Standard IETF
f Microsoft, Lotus, Laboratoires RSA, etc.
f Services de sécurité
f L’authentification
f La confidentialité
f L’intégrité
f La non-répudation
4 S/MIME
f Utilise la technologie PKI

f Certificats personnels X509
f Autorité de certification publique ou privée
f Support des algorithmes symétriques
f DES, 3DES, RC2, etc.
f Application très simple à utiliser
f Support natif dans Outlook, Lotus, Netscape, etc.
4 S/MIME
Autorité Bob
de certification
Certificat
public ou privée
Personnel
Certificat
Alice Personnel
S/Mime
3DES / RSA Signature
4 S/MIME: exemple avec Outlook
Signature
du
message
Message signé
Message modifié
Technologie PKI
Introduction à la sécurité informatique

4 Technolgie PKI: définition
f Infrastructure pour la gestion des clés publiques

f Software et hardware
f Procédures
f Fournit des mécanismes:
f Authentification
f Signature
f Non-repudation
f Confidentialité
f Intégrité
f Utilise la notion de certificats (X509)
4 Cryptographie de base et PKI
f Secret Key
f Public Key
f Message Digest
f Nombres aléatoire
f Signature numérique
f Certificat numérique
f PKI
f RA, CA, Revocation, ldap
4 Secret Key: Alice et Bob
Plain Text Ciphertext Plain Text
Secret Key Secret Key
4 Secret Key: avantages et inconvénients
f Avantages
f Rapidité
f Simplicité
f Fiabilité
f Inconvénients
f Gestion des clés complexes
f Partage de la clé secrète
f Grand nombres de clés
4 Secret Key
f Quelques algorithmes
f DES
f 3DES
f AES
f RC4
f Etc.
f Technologies qui les utilisent…
f IPSEC
f SSL
f SSH
f Etc.
4 Public Key: Alice and Bob (Chiffrement)
Plain Text Ciphertext Plain Text
Bob’s Bob’s
Public Key Private Key
4 Public Key: Alice and Bob (Signature)
Ciphertext
Plain Text Ou Plain Text
Signature
Alice’s Alice’s
Private Key Public Key
4 Public Key: avantages et inconvénients
f Avantages
f Gestion des clés
f Pas de partage de secret
f Signature numérique
f Inconvénients
f Pas rapide
f Longueur des clés (1024, 2048, etc.)
4 Public Key
f Exemple d’algorithmes
f RSA
f DSA
f El Gamal
f RSA est dit réversible
f Chiffrement et signature
f Utilisation
f PKI
f SSL, IPSEC, SSH
f Etc.
4 Message digest
Input
Fonction Hash
Output / Résultat
Digest
4 Message digest
f Fonction de hashage
f Md3, Md4
f MD5
f Sha1
f Ripemd
f Utilisation
f signature numérique
f Crontôle de « checksum »
f Outils FIA
f MAC
f Etc.
4 Nombres aléatoires
f Deux familles
f PRNG
f Vrai nombres aléatoires
f Très important pour la cryptographie
f Génération des clés de session
4 Signature numérique: exemple de création avec RSA et md5
Vers BOB
MD5
Alice’s Digest
Private Key RSA
4 Signature numérique: vérification
MD5
Digest A’
Alice’s
Public Key
=
Digest A
?
RSA
4 RSA Key Wrapping
Source: PGP
4 RSA Key Wrapping
Source: PGP
4 Man in the Midle !
Bob
Alice
Charly
Interception des clés publique
4 Notion de confiance
Autorité de certification
No more
Charly
Bob
Alice Charly
4 Notion de certificat numérique
f Lien entre une entité et une clé publique

f L’entité peut être:
f Une personne
f Une machine
f Une entreprise
f Etc.
f La signature digitale garantit ce lien (certificat)
f Il existe une norme: X509
4 Le certificat est analogue à un passeport
4 Certificat X509
4 Format Certificat X509
4 Format Certificat X509
4 Vérification du certificat
4 Architecture PKI: les composants de bases
f Certificats X509
f Autorité de certification (CA)
f Autorité d’enregistrement (RA)
f Autorité de validation (VA)
f Annuaires
f Archivage
4 Autorité de certification (CA)
f L’entité qui délivre les certificats

f Le tiers de confiance
f L’entité qui publie les certificats dans un annuaire
f L’entité qui génère les listes de révocation
4 Autorité de souscription (RA)
f Bureau d’enregistrement
f Reçoit les requêtes de certification
f Obéit à la structure granulaire
de l’entreprise
f Identification du requérant
4 Autorité de validation (VA)
f Service on-line
f Contrôle de validité des certificats
f Réponse: valide/invalide/inconnue
f Plus efficace que les CRLs
f Minimise le trafique
f Etat en temps réel
4 Annuaires
f Structure hiérarchisée de type x.500

f Liste des liens entre utilisateurs et certificats
f Peut contenir des listes de révocation (CRL)
4 Archivage
f Stockage à long terme des clés de chiffrement

f Key recovery
f Perte des clés
f Vol
f Etc.
f Procédure de récupération des clés
f Pas de stockage des clés de signature
f Non répudiation
4 Exemple: obtention d’un certificat
4 Exemple: obtention d’un certificat
User enrolls for

RA
certificate
http://www
http://www Admin mailed
notification
User mailed ack.
User mailed
retrieval PIN
CA
Admin Approves
request
User retrieves http://www
http://www
certificate
http://www
http://www
Certificate installed
LDAP
4 Les applications PKI
f Sécurisation de la messagerie
f VPN, Accès distants
f Portail Web, e-commerce
f Transactions électroniques
f Publications électroniques
f Single Sign On
f Etc.
Systèmes d’authentification
Introduction à la sécurité informatique

4 Systèmes d’authentification: introduction
f Tour d’horizon des technologies d’authentification

f Clé de voûte pour la construction de la citadelle
électronique
f 1er besoin pour la sécurité du système d’information
4 Systèmes d’authentification: la base des services de sécurité
f L’identification et l’authentification: des services de

sécurité de base
f Autorisation
f Auditing
f Non-répudiation
f Confidentialité
4 Systèmes d’authentification: identification et authentification ?
f Identification
f Qui êtes vous ?
f Authentification
f Prouvez le !
4 Les 6 éléments d’un système d’authentification
f Entité ou personne
f Caractéristique unique
f Propriétaire du système
f Mécanisme d’authentification
f Mécanisme de contrôle d’accès
f Mécanisme d’archivage
4 Exemple avec Ali Baba …
f Entité
f La personne qui connait le mot de passe
f Caractéristique Unique
f Le mot de passe: « Sésame, ouvre toi ! »
f Le propriétaire de la caverne
f Ali Baba et Les 40 voleurs
4 Exemple avec Ali Baba…
f Mécanisme d’authentification
f Elément magique qui répond au mot de passe
f Mécanisme de contrôle d’accès
f Mécanisme pour rouler la pierre ou les pierres
f Mécanisme d’archivage
f Journal des événements
4 Login par mot de passe
Mécanisme
d’authentification
Login Mécanisme
Caractéristique unique Process D’archivage
Mot de passe
Mécanisme
de contrôle
D’accès
Computer
Ressources
Propriétaire
La personne
4 Les facteurs d’authentification
f Quelque chose que l’on connait

f PIN, Mot de passe, etc.
f Quelque chose que l’on possède
f Tokens, Carte à puce, badge, etc.
f Quelque chose que l’on est
f Biométrie
4 Authentification forte
f Un minimum de deux facteurs

f Smartcard + PIN
f Token + PIN
f Biométrie avec Smartcard
f Etc.
4 Que sécuriser ?
f Equipements réseaux
f Routeurs, Switchs, etc.
f Systèmes d’accès aux réseaux
f Remote access
f Firewall
f Serveurs du système d’information
f Unix, NT, Main Frame, AS400, etc.
f Postes de travail
f Windows (NT, 2000, XP, etc.)
f Applications
f Web, ERP, Back office, etc.
4 Quelle technologie d’authentification ?
f Password standard
f Tokens
f Challenge Response
f Authentification indirecte
f Radius, Tacacs+
f Kerberos
f Biométrie
f PKI (Smartcard, Tokens USB)
f Etc.
4 Les « Tokens »
f Quelque chose que vous possédez

f Généralement authentification forte (PIN+Token)
f Deux grandes familles
f Passive Tokens
f Active Tokens
4 Passive Tokens
f Contient un secret unique (Base Secret)

f Secret unique partagé
f Type de Tokens
f Badge de proximité
f Carte magnétique
f Etc.
f Généralement authentification « faible »
f Pas de deuxième facteur
4 Mode de fonctionnement
Base Secret
= Base Secret
Token + (PIN)
4 Active Tokens
f Contient un secret unique (Base Secret)

f Secret unique partagé
f Facteur commun changeant
f Résultat: One Time Password (OTP)
f Mode de fonctionnement dit synchrone
f Counter Based
f Clock Based
f Hybride
Facteur commun Facteur commun

changeant
= changeant
Token + (PIN)
Base Secret
= Base Secret
4 Counter Based Tokens
+1
Facteur
commun Counter
Hash
Secret
unique
partagé Base Secret OTP
4 Clock Based Tokens
Hash
Secret
unique OTP
partagé Base Secret
4 Protection des tokens
f Deuxième facteur par PIN

f Personal Identifier Number
f Deux solutions
f PIN externe
f PIN interne
4 PIN Code interne
Clock or
Counter
Hash
PIN unlock
Base Secret
Base Secret OTP
4 PIN Code externe
Clock or
Counter
Hash
+ PIN
Base Secret
* OTP
* Shoud use encryption (SSL, IPSEC, SSH
4 RSA SecurID
f De facto standard
f Grandes banques, industries, gouvernements
f Système basé sur le temps
f Très portable
f Grand nombre d’agents (env. 300)
f Facilité d’utilisation
4 RSA SecurID
Token ACE/Server
482392
482392
Algorithm
Algorithm
Time Seed
Time Seed
Same Seed
Same Time
4
DMZ
RSA RSA
Web Server ACE/Server ACE/Server
(Replica) (Primary)
Internet
Firewall
RSA Firewall Intranet
ACE/Agent
RSA
RSA
ACE/Agents
ACE/Agents
NT/
Unix
Novell
VPN RAS
RSA Security 2001

4 Challenge Response
f Basé sur un challenge (nonce)

f Basé sur un secret unique
f Calcul du challenge avec une fonction de hachage
f Mode de fonctionnement dit asynchrone
Base Secret
= Base Secret
nonce
(adf341gf)
dupont
nonce = adf341gf
response = ff747dgd4
4 Norme X9.9
f Standard ouvert pour Challenge Response

f US Gouvernement
f American Bankers Association
f Utilisation de « DES » comme Hash
f Problème de « Password Guessing »
f Migration vers « AES »
4 Norme X9.9
Hash
Random (DES encrypt)
Challenge
Nonce
OTP
Response
Base Secret
4 Kerberos
f Protocole de sécurité pour l’authentification

f Architecture Single Sign-On
f Développé par le MIT en 1985
f Version 4.0
f Version 5.0 (IETF) rfc 1510 et 1964
f Open Software pour environnement Unix
4 Kerberos
f Fournit du chiffrement de session

f Secure Single Sign-On
f Fournit l’authentification mutuelle
f Entre clients et serveurs
f Utilisation du protocole par Windows 2000
f Nouvelle vie pour Kerberos
4 Kerberos: concept de base
f Utilisation de secret partagé

f Chiffrement symétrique
f Utilisation d’un tiers de confiance pour le partage des
secret partagés (clés)
f Key Distribution Center
f Utilisation de tickets distribués par le KDC
f Credential ou ticket de session
f Validité des tickets dans le temps
4
Key Distribution Logon Request Ka

Center
TGT
Ka TGT
Unix Server
Kb
Ticket
Master Key
Database Unix Server
Request
With Ticket
Unix Server
Response
Unix Server
« Kerberized »
Software Kb
4 Kerberos et Win 2000
f Protocole d’authentification de Windows 2000

f Remplacement de NTLM
f Utilisation de Active Directory pour le stockage des clés
Kerberos
f Architecture Single Sign-On
f Kerberos Version 5.0
4 Extension du protocole Kerberos
f Logon initial remplacé par la technologie PKI

f PKINIT (IETF)
f Utilisation des smartcards
f Authentification basé sur un certificat X509
f KDC vérifie le certificat
f « Trust » et les « Path »
f Validation du certificat (CRL)
4 Biométrie
f Système « ancien »
f 1930 - carte d’identité avec photo
f Reconnaissance de la voix
f Etc.
f Deux familles
f Mesure des traits physiques uniques
f Mesure d’un comportement unique
4 Mesure des traits physiques
f Empruntes digitales
f Géométrie de la main
f Les yeux
f Iris
f Rétine
f Reconnaissance du visage
f Nouvelles voies
f ADN, odeurs, oreille et « thermogram »
4 Mesure d’un comportement
f Reconnaissance vocale
f Signature manuscrite
f Dynamique de frappe
f Clavier
4 Promesses et réalité
f Difficultés liées aux « false rejection »

f Mais aussi les « false acceptance »
f « Replay Attacks » et « Spoofing »
f Ajout d’un PIN Code ou Smartcard
f Prix ?
f Les bons capteurs sont onéreux (600 CHF/poste)
4
Personnel Biometric
trait Pattern
?
Biometric
Matching
1=127
2=126
3=456
Feature dupont: 1=127,2=
Extraction 4=987
Biometric
deraud: 1=878,2=
Reader marcus: 1=656,2=
Biometric
Signature
4 Mécanisme de contrôle
f Par serveur d’authentification

f Requêtes par réseau
f Problème de la sécurité
f Problème de confidentialité
f Problème de disponibilité
f Sur une smartcard
f Meilleure sécurité
f Mode « offline »
f Prix plus élevé
f MOC = Match On card
4 Précision Biométrique
f False Acceptance
f FAR (False Acceptance Rate) in %
f Lecteur sale, mauvaise position, etc
f False Rejection
f FRR (False Rejection Rate) in %
f Usurpation, falsification
4 Equal Error Rate (EER)
4 Authentification forte
f Deux facteurs
f Une carte à puce
f Un PIN code
4 Questions ?
4
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en

sécurité informatique dont les fondateurs ont fait de leur passion leur
métier :
La sécurité des systèmes d'information
Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent,

déploient et maintiennent au quotidien des architectures de sécurité au
moyen de solutions pragmatiques, basées sur des technologies
fondamentales et novatrices, adaptées aux exigences de la clientèle.
Cette approche, associée à des collaborateurs motivés, flexibles et au
bénéfice d'une intégrité irréprochable, nous a permis d'assurer une
croissance continue et de gagner la confiance d'une clientèle issue de tout
domaine d'activité et de toute taille.
Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous
garantissent un contact de proximité.
http://www.e-xpertsolutions.com

Introduction A La Securite Informatique-Volume2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Introduction A La Securite Informatique-Volume2

Uploaded by

Copyright:

Available Formats

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Sylvain Maret / version 1.1

“ L’art de fortifier ne consiste pas dans des règles et des systèmes

Sebastien le Prestre de Vauban

f Approches « produit » et périmètre

f Des solutions très spécifiques

Firewall, IDS, etc.

f Fortifier le cœur des infrastructures

f Modèle de sécurité émergent

f Sécurisation des accès bâtiments

f TCP/IP, IPSec, L2TP, PPTP, etc.

f Chaque application est sécurisée

Les outils de sécurité

Sécurité contre l’intrusion informatique

f Outil de contrôle des communications réseaux

f Les services standards du firewall

Source: Checkpoint 2002

Source: Checkpoint 2002

Source: Checkpoint 2002

Source: Checkpoint 2002

Source: Checkpoint 2002

Source: Checkpoint 2002

f Mécanisme de modification des adresses IP source ou/et

f Concept de « black box »

Réseau Interne Proxy Cache

f Permet d’accéder à un service web via le Reverse Proxy

The proxy server uses a regular

CACHE A client computer

Reverse Proxy RSA

f Contrôle d’accès aux sites Internet

Source: Websense 2002

f Analyse du contenu des flux de communications

Source: Trendmicro 2002

Source: Trendmicro 2002

f Outils classiques de sécurité

f Protection des services Web par un filtrage des URL

Source: Sanctum 2002

Source: Sanctum 2002

f Système d’analyse d’informations visant à détecter des

f Outils modernes présentant les éléments structuraux

sonde sonde sonde

Console des alertes

f Sondes systèmes: HIDS

f Possibilité de générer une contre-mesure suite à une

f Très bon outils

f Ne pas se baser uniquement sur la mise en œuvre d’un

f Famille des IDS

f Utilisation de fonctions crytographiques

f Définition des fichiers a surveiller

f Leader du marché FIA

Microsoft Web Serveur

f Leurres pour les « Black Hat »…

f Emulation d’un système ou de plusieurs systèmes

f Technologie pour sécuriser les communications

f Deux option de sécurité

Host A IPsec Host B

Source: SSH.COM 2002

Source: SSH.COM 2002

IP header TCP/UDP header Upper layer

IP header AH header TCP/UDP Upper layer payload

AH in tunnel IP header TCP/UDP Upper layer

IP header AH header IP header TCP/UDP Upper layer

Source: SSH.COM 2002