You are on page 1of 67

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

La citadelle électronique séminaire du 14 mars 2002

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Agenda

La citadelle électronique Contrôle d’intégrité (FIA) Windows 2000 (smartcard) Sécurité Unix (SSH) Portail Web (SSL) Messagerie (S/Mime) Signature documents électroniques Validation des certificats (OCSP)
4
Solutions à la clef

4

Quel risque est-on prêts à accepter ?

Risque = Coûts * Menaces * Vulnérabilités
Risque

Coûts
4
Solutions à la clef

4

Les coûts d’une attaque ?

Déni de services (perte de productivité) Perte ou altération des données Vol d’informations sensibles Perte de confiance dans les systèmes
Reconfiguration des systèmes

Atteinte à l’image de l’entreprise Etc.
4
Solutions à la clef

4

Les nouvelles menaces

Les « intruders » sont préparés et organisés
Sites Web, News, Mailing List, Centre de formation Conférences (DefCon, etc.)

Outils d’intrusion sont très évolués et faciles d’accès Attaques sur Internet sont faciles et difficilement tracables

4

Solutions à la clef

4

Augmentation des « intruders »

4

Solutions à la clef

4

Les vulnérabilités

Augmentation significative des vulnérabilités
Pas de « design » pensé sécurité
Mauvaise programmation

Complexité du système d’information Besoins Marketing (Software) Evolution très (trop) rapide des technologies Etc.

4

Solutions à la clef

4

Comment diminuer le risque ?

$
Risque = Coûts * Menaces * Vulnérabilités

4

Solutions à la clef

4

Modèle de sécurité réseaux

Approche « produit » Des solutions spécifiques, des cellules isolées
Firewall Systèmes de détection d’intrusion Antivirus Authentification périphérique Contrôle de contenue (mail, http, etc.) Etc.
4
Solutions à la clef

4

Les inconvénients du modèle de sécurité réseaux

Un manque de cohérence et de cohésion L’approche en coquille d’oeuf
Des remparts Les systèmes sont vulnérables (OS) Des applications (le noyau) vulnérables

4

Solutions à la clef

4

Schématiquement…

Firewall, IDS, etc.

Ressources internes

4

Solutions à la clef

4

Les enjeux pour le futur

Fortifier le cœur des infrastructures Améliorer la cohérence Amener la confiance dans les transactions électroniques Simplicité d’utilisation Définir une norme suivie par les constructeurs & éditeurs
4
Solutions à la clef

4

La citadelle électronique

Modèle de sécurité émergent
Sécurisation plus globale

Approche en couches ou en strates Chaque couche hérite du niveau inférieur Les applications et les biens gravitent autour d’un noyau de sécurité

4

Solutions à la clef

4

Approche en couche

1) Architecture 2) Protocoles réseaux 3) Systèmes d’exploitations 4) Applications

4

Solutions à la clef

4

Architecture

Sécurisation des accès bâtiments Segmentation & Cloisonnement IP Segmentation & Cloisonnement physique Choix d’environnement (Switch, hub, etc) Mise en place de Firewall Configuration de routeur (ACL) Etc.
4
Solutions à la clef

4

Protocoles réseaux

TCP/IP, IPSec, L2TP, PPTP, etc. Anti SYNFlooding Anti spoofing « Kernel » réseau à sécuriser (DoS) Etc.

4

Solutions à la clef

4

Systèmes d’exploitation

Sécurisation des OS Restriction des services Mise en place de FIA Détection d’intrusion sur les OS Authentification forte
Sécurisation de l’administration

Logging & Monitoring Sauvegarde régulière
4
Solutions à la clef

4

Applications

Chaque application est sécurisée Cryptage des données sensibles
Cartes de crédits Base d’utilisateurs

Cloisonnement des bases de données Authentification forte des accès Cryptage des communications (SSL) Signature électronique
4
Solutions à la clef

4

Schématiquement…

Architecture O.S.

Applications Protocoles réseaux

4

Solutions à la clef

4

Pour répondre à ce challenge ?

Une démarche
La politique de sécurité

Des services de sécurité
Authentification Confidentialité Intégrité Non répudiation Disponibilité Autorisation
4
Solutions à la clef

4

Et des technologies…

Firewall IDS Analyse de contenu FIA AntiVirus VPN PKI…
4
Solutions à la clef

4

PKI…

Au cœur de la citadelle Offre les mécanismes de sécurité aux applications Mécanismes & Outils exploités dans plusieurs strates Permet de construire des relations de confiance

4

Solutions à la clef

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

La citadelle électronique: sécurité des O.S.

Contrôle d’intégrité des systèmes Technologie FIA

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Etes vous sûrs de l’intégrité de vos systèmes ?

Quelle sont les attaques possibles ?
Compromission du système
Root Kit Sniffer Base d’attaque Virus - Back door Etc.

« Defacement » (changement des pages Web) Modification des configurations Etc.
4
Solutions à la clef

4

Technologie FIA (File Integrity Assesment)

Outil très puissant pour détecter les altérations Contrôle de manière régulière l’intégrité des systèmes
OS (Windows, Unix, etc.) Applications (Messagerie, Firewall, DNS, etc.) Equipements réseaux (Routeurs IOS) Web Serveurs (Apache, IIS, etc.)

4

Solutions à la clef

4

Technologie FIA

Prend une « photo » du système lors de sa mise en production
Utilise des mécanismes de cryptographie
Fonction de hashage (md5, sha1, etc.) Fonction de signature (RSA, DSA)

Création d’une image de référence

Prise de nouvelles « photos » de manière régulière et comparaison avec l’image de référence
4
Solutions à la clef

4

Technologie FIA: Tripwire

Cisco Unix Solaris, Aix, HP, Linux

Microsoft NT 4.0, Win2K

Web Serveur IIS, Apache

4

Solutions à la clef

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Technologie FIA démonstration avec Tripwire (Microsoft et Linux)

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

La citadelle électronique: sécurité des O.S.

Authentification forte Windows 2000 Smartcard et clé USB

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Etes vous sûrs de l’identité de vos utilisateurs ?

Les attaques possibles:
Network Sniffing
Ecoutes des mots de passe sur le réseau

Attaque du poste client
Back door Key logger Etc.

Brute force attack
Mot de passe faible
4
Solutions à la clef

4

Authentification forte Windows 2000

Windows 2000 utilise la technologie Kerberos
Système d’authentification mutuelle Système de SSO avec l’utilisation de ticket

Support des smartcards avec une extension de kerberos
PKINIT (IETF) Utilisation des certificats numériques

4

Solutions à la clef

4

Key Distribution Center

Logon Request

Ka

TGT

Ka Kb
Win2k Server Ticket

TGT

Master Key Database Win2k Server « Kerberized » Software
4

win2K Server Request With Ticket

Win2k Server Response

Kb
Solutions à la clef

4

Authentification forte Windows 2000

Deux scénarios possibles:
Utilisation native du Smartcard Logon Win2k
Intégration avec la technologie PKI Utilisation d’une CA interne ou tiers

Utilisation d’un produit tiers
Changement de la GINA Stockage des accréditations sur la smartcard Approche plus légère

4

Solutions à la clef

4

Authentification forte Windows 2000: PKINIT
KDC

Active Directory
CRL Certs

2
TGT

CA Microsoft ou Tiers

1

4

Solutions à la clef

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Authentification forte Windows 2000 Démonstration avec Microsoft Smartcard logon et Aladdin et RSA Security Passage

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

La citadelle électronique: sécurité applicative

Administration sécurisée des systèmes Unix SSH, SecurID et PKI

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Etes vous les seuls à administrer vos systèmes Unix ?

Quelle sont les attaques possibles ?
Network Sniffing
Ecoutes des mots de passe sur le réseau Fonctionne dans un environement switché
ARP Poisoning ou spoofing ARP

Pratiquement indédectable

Attaque du poste de l’administrateur
Back door Key logger Etc.
4
Solutions à la clef

4

SSH (Secure Shell)

Solution de remplacement de Telnet, FTP, des commandes R (rlogin, etc.) Defacto Standard
5 millions d’utilisateurs

Fournit du chiffrement
3des, AES, Blowfish, etc,

Assure l’intégrité des communications Solution simple à mettre en oeuvre
4
Solutions à la clef

4

SSH: système d’authentification

Supporte plusieurs systèmes d’authentication Authentification « Classique »
SecurID Public Key Pam Kerberos Etc.

Authentification PKI
Utilisation d’un certificat X509
Smartcard ou clé USB

Validation des certificats (OCSP ou CRL)

Offre une solution très robuste
4
Solutions à la clef

4

SSH (Secure Shell): Authentification forte

VA SSH Serveur

2) PKI / OCSP

1) SecurID Ace Serveur

SSH V3 AES 256

4

Solutions à la clef

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

SSH - Secure Shell Démonstration avec SSH.COM, Aladdin, Linux, Solaris et RSA Security (SecurID, Keon Certificate Authority)

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

La citadelle électronique: sécurité applicative

Sécurisation des portails Web Technologie PKI et SSL

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Vos applications Web sont elles vulnérables ?

Quelle sont les attaques possibles ?
Problème de confidentialité des communications
Network Sniffing Compromission de la clé privée du serveur (SSL)

Usurpation d’identité
Identité du client
Back Door Keyloger, etc

Identité du serveur
Attaques DNS, etc.
4
Solutions à la clef

4

Sécurisation des portails Web: technologie PKI et SSL

Utilisation de la technologie SSL / TLS
Technologie PKI par excellence Authentification du serveur
Certificat X509 publique (Verisign, Thawte, Certplus, etc.)

Authentification possible du client
Certificat X509 personnel

Services de sécurité
L’authentification La confidentialité L’intégrité La non répudiation
4
Solutions à la clef

4

Sécurisation des portails Web: authentification des clients

PKCS#12

Smartcard

Challenge Response SSL / TLS
Token USB

Web Server SSL

4

Solutions à la clef

4

Sécurisation des portails Web: Module HSM
Smartcards

HSM

SSL Acceleration

SSL or TLS

Web Server SSL
4

Solutions à la clef

4

Sécurisation des portails Web: Autorisation

Mécanisme de gestion des privilèges sur le portail Web
Droits d’accès
Lecture Ecriture Etc.

Heures de connections

Gestion sur le web serveur de manière native
Apache, IIS, Netscape, etc

Gestion avec produits tiers
Clear Trust (RSA Security) Site Minder (Netegrity) Etc.
4
Solutions à la clef

4

Sécurisation des portails Web: Autorisation

Utilisation des certificats numériques
Certificats X509 (Issuer DN (o=e-xpertsolutions, ou=InfoSec,
cn=sysadm c=CH)

Certificats X509 avec attributs dans les extensions
Sales, Marketing, etc.

La tendance: les PAC !
Certificat temporaire contenant les privilèges Solution de Single Sign On
Même idée que les tickets Kerberos

4

Solutions à la clef

4

Sécurisation des portails Web: PAC

Certificat X509 personnel PAC

Lien par le DN Alice

Dn: cn=Alice Attributs: Sales: rwm Marketing: r Global: r
Signature

4

Solutions à la clef

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Sécurisation d’un portail Web Démonstration avec RSA Security, Valicert et Apache

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

La citadelle électronique: sécurité applicative

Sécurisation de la messagerie Technologie S/Mime et PKI

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Etes vous sûrs de l’intégrité de vos mails ?

Quelle sont les attaques possibles ?
Changement du contenu des messages
Détournement des messages (DNS Attacks) Compromission du serveur de messagerie
Back Door, etc.

Lecture des messages
Network Sniffing Accès au serveur de messagerie (administrateur, compromission, Etc.)

Usurpation de l’émeteur
Spoofing
Pas d’authentification
4
Solutions à la clef

4

Sécurisation de la messagerie: S/Mime et PKI

Secure Mime
Solution de sécurisation de la messagerie

Standard IETF
Microsoft, Lotus, Laboratoires RSA, etc.

Services de sécurité
L’authentification La confidentialité L’intégrité La non répudation
4
Solutions à la clef

4

Sécurisation de la messagerie: S/Mime et PKI

Utilise la technologie PKI
Certificats personnels X509 Autorité de certification publique ou privée

Support des algorithmes symétriques
DES, 3DES, RC2, etc.

Application très simple à utiliser
Support natif dans Outlook, Lotus, Netscape, etc.

4

Solutions à la clef

4

Sécurisation de la messagerie: S/Mime et PKI
Bob
Certificat Personnel

Autorité de certification public ou privée

Alice

Certificat Personnel

S/Mime 3DES / RSA Signature
4
Solutions à la clef

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Sécurisation de la messagerie Démonstration avec RSA Security et Microsoft

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

La citadelle électronique: sécurité applicative

Signature de documents électroniques Technologie PKI

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Etes vous sûrs de l’origine de vos documents électroniques ?

Les attaques possibles:
Usurpation d’identité de l’auteur
Substitution de l’origine

Altération du contenu
Document Word, Excel, PDF, etc.

Répudiation de l’auteur
Nier avoir écrit le document

4

Solutions à la clef

4

Signature de documents électroniques

Utilisation de la technologie PKI pour lier une signature numérique à un document Services de sécurité
L’authentification
Auteur, Révision, etc.

Non Répudiation L’intégrité

Option: chiffrement possible avec outils complémentaires
4
Solutions à la clef

4

Signature de documents électroniques

Document

Document signé

Clé privée

Signature

4

Solutions à la clef

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Signature de documents électronique Démonstration avec RSA Security, Microsoft Office et Lexign

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

La citadelle électronique: sécurité applicative

Validation des certificats X509 VA-OCSP

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Validation des certificats X509

Révocation d’un certificat X509
Vol ou perte du container des clés Quitter l’entreprise Etc.

Plusieurs solutions
CRL, Delta CRL, etc.
Problèmes de délais

Online Check
OCSP (rfc 2560)
4
Solutions à la clef

4

Validation des certificats X509: OCSP
Validation Authority

OCSP request Valide Pas valide Inconu

Alice
4

Web Server

Solutions à la clef

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Validation des certificats X509: OCSP Démonstration avec RSA Security, Valicert et Apache

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Questions?

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Pour plus d’informations
e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 info@e-xpertsolutions.com
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com