mécanismes de sécurité
DESCRIPTION
- Confidentialité - Intégrité- Disponibilité(Contrôle d ’accès) - Authentification & Non-répudiation- AutorisationTRANSCRIPT
•Sophistication
GENERALISATIONRESEAUX PRIVES INTRANETs /Extranets
Monopole Technologique TCP/IP (Uniformité)
•Vide Juridique (Internet)/«Immatérialisme » des Intrusions•Impunité
•Hackers(Challenge)
• Criminalité (Métier)
« S.M.Intrus »
•Terrorisme (Warefare) •Espionnage
+ de Succès
SUCCES D’INTERNET
INTERNET
SMI
ENJEUX CONSIDERABLES:•Economiques(Commerce electronique(132 Milliards de $ en 2000))•Scientifiques/Culturels•Sociaux/Politiques
=Centre névralgique de l’émergente SMI :
•Convoitise
INTRUS
COLLABORATION «ANONYME »
ENRICHISSEMENT « Abusif » DES SERVICES TCP/IP
-SECURITE +COMPLEXITE
Essai
S
+ Failles +
INTRUS
311 N.Intrusions(CERT)
+48% Virus
INTERNET
PASSIVES
Attaques
• Comptes/Ports dangereux
•Fichiers de mots clés...
•Erreurs de CONFIG
•Versions à PBs
SONDAGE
AutomatiquesCiblés
INTERNET
RADIOSCOPIE D ’ UNE INTRUSION : 2 PHASES
Sniffeurs
ESPIONNAGE
«ABUS»•Analyse des Flux•Récolte de Passwords•Récolte de séquences à rejouer
NOC I VES
ATTAQUES « ACTIVES »
confidentialité, Corruption Intégrité
Disponibilité du réseau
•ABUS des INTERLOCUTEURS (Masquerade) •IP-Spoofing, TCP-Spoofing •Sites Web « Fantômes »…
Canaux Cachés ,….
• Implantation de Chevaux de Troie ( Effacer les traces...), Sniffeurs,
Compte ROOT …..
•IMMOBILISATION sélective ou GLOBALE (DENI DE SERVICE )
• Corruption de Comptes UTILISATEUR
• Implantation de Codes Malicieux (Virus, Vers ...)
. . .
EXEMPLES D ’ ATTAQUES SIMPLES
« PING of DEATH » Taille (Paquet IP)> 65536
« SYN ATTACK »
Séquence de Paquets SYN
- «Land » : SYN avec SOURCE (@IP,
Port)= DESTINATION((@IP, Port) - «TearDrop » …..
«SMURF Attack» PING DIFFUSE avec @IP(retour) dans Intranet Attaqué
MECANISMES DE SECURITE
•Confidentialité •Intégrité•Disponibilité(Contrôle d ’accès)
•Authentification & Non-répudiation•Autorisation
1-CONFIDENTIALITE
CHIFFREMENT
I- SYMETRIQUES
1 Clé SECRETE
Secrète
Publique
Message Clair1
Message Clair1
II- ASYMETRIQUES
(Clé PUBLIQUE , Clé PRIVEE)
Message Clair
S
S
Message Clair
P
+ Authentification
PPubliée sans risque (Répertoires PUBLICS)
Algos Symétriques :PLUSRapides (~1000xAsym)
Algos ASYMETRIQUES•PLUS PRATIQUES:Conviennent à des Env MULTI-UT « Anonymes » (Publication des clés)
SClé de session(aléatoire)
INTERNET : UT ALGOS HYBRIDES(SYM+ASYM)
S
Message Clair
S
CHIFFREMENT SUR INTERNET
INTERNET
SMessage Clair
P
SPS
(Enveloppe Digitale)
FORCE
SYSTEME
CRYPTOGRAPHIQUE
QUALITES
CONCEPTUELLES
•Failles fonctionnelles(Algos+Protcoles Cryptographiques
•PAS DE PREUVE FORMELLE ABSOLUE(PREUVES RELATIVES A Failles CONNUES et puissance de traitement)
•Attaques « Expertes » (chosen plaintext,known plaintext, ciphertext-only, Timing
•RETROUVER la CLE (SYM)
?
N bits
•Attaque (Non Experte) par Recherche EXHAUSTIVE
2Nclés
// DERIVER CLE PRIVEE(ASYM)
RESISTANCE A LA CRYPTOANALYSE
EXPORT40 bits
-DES56 bits
-IDEA,CAST128 bits
Efficacité
-AES(2001)256 bits
Taille-clé
Skipjack160bits
SOL(Taille clé): Chiffrement Multiple
DES(56bits) DES(56bits) DES(56bits)
:3x56= 168 bits (ou 112)3DES
QUALITE DE L ’ IMPLEMENTATION FAITE+
QUALITE DE
L ’ IMPLEMENTATION
FORCE
SYSTEME
CRYPTOGRAPHIQUE
• Génération des clés
Pass-phrase
Générateur de Nombres Purement
aléatoires
-DISRIBUTION et AUTHENTIFICATION DES CLES :
PubCERTIFICATS
-Mode d ‘ Utilisation, Stockage…
•? Compression des données(Avant)
-Révocation, Terminaison...CA
SGérés et délivrés sur INTERNET par des
AUTORITE(s) DE CERTIFICATION(CA)(Hiérarchie de CAs)
CONFIDENTIALITE CHIFFREMENT
•GESTION DES CLES :
• Détails d ’Implémentation :
•Mode de Chiffrement (ECB, CBC,CFB, OFB) . . .
2-
CONTROLE
INTEGRITE
FONCTIONS DE HASHAGE
Taille QUELCONQUE Taille FIXE (128 /160 bits)
MESSAGE SCELLE FONCTION DEHASHAGE
FONCTION DEHASHAGE
IMPOSSIBLE
SCELLE MESSAGE +
MD5, SHA-1
MESSAGE INTEGRE SI IDENTIQUES
3-AUTHENTICITE
SIGNATURE DIGITALE
MESSAGE FONCTION DEHASHAGE
SCELLE SIGNATURE
DONNEES
Chiffrement ASYM
SClé Privée
+ SIGNATUREMESSAGE + P
CA
CERTIFICATs
Algos ASYM : DSA, DH, RSA
Chiffrement Hybride
4-NON
REPUDIATION
SIGNATURE DIGITALE et Notaires Electroniques
MESSAGE FONCTION DEHASHAGE
SCELLE
Chiffrement
S
HORDOTAGE
+ Autres Infos
(selon Notaire)
SIGNATURE
NOTAIRE
SIGNATURE
SIGNATUREMESSAGE +
RECEPTEUR
INTERNET
P
SET
MESSAGE
5-AUTORISATION
MOTS CLES DE SESSION(One Time Passwords)
INTERNET
ChallengeChallenge CRYPTE(clé de session)
COMPARAISON
OK
Challenge S
S
•Radius•Tacacs+(Kerberos)
S
•Soft : OTP (S/Key)•Harde (Token/cartes):SecID, Activcard, Fortezza,...
DES
6-CONTROLE
D ’ ACCES
I - APPROCHE « PESSIMISTE » : FIREWALL
• VPN: Encapsulation, Chiffrement et Authentificationdes Communications entre EXTRANETs
Audit des Communications+ (Frontiére=>)Fonctions Additionnelles:
•Contrôle du CONTENU : Virus, Mail ( @ ,mots-clés), Web ( @ ,mots-clés,labels),FTP,Telnet,Chat,...
•NAT , Load-balancing, (SIR)...
IPSec, S/WAN,(IPv6)
Serveurs WebMail...
ZoneDémilitarisée (DMZ)
Système FIREWALL
F Internet
CONTROLE
D ’ ACCES
II - APPROCHE « OPTIMISTE » : Analyseurs de Sécurité
Analyseurs de Sécurité
Internet
Analyseurs de Sécurité
Internet F
APPROCHE COMBINEE: I+II
•Contrôle AUSSI les Intrusions Internes•Contrôle SOUPLE des services INTERRACTIFS (Web, Chat..)
Intranet
SANS LES RETARDER
ASPECTS
GESTION
POLITIQUE DE SECURITE
SECURITE = UN TOUT{1-Plan/Organisation + 2-Décisions/Régles +3-Mécanismes}
1°
Etablissement METHODIQUE d’une POLITIQUE DE SECURITE CIBLEE et EVOLUTIVE :
Analyse des RISQUES(Quoi Protéger, Contre QUOI, RISQUES)
Etablissement SHEMA DIRECTEUR SECURITE
•Schéma organisationnel•Réglementation d ’UT d ’Internet•Règles de réaction Si Intrusion•Procédures d ’Audit
Mesures Organisationnelles{Guides} Mesures TECHNIQUES
•Mesures Physiques•Mécanismes de Protection•Mécanismes d ’Audit
OUTILS d’AUDIT
AUDIT PREVENTIF DETECTION D ’INTRUSIONS
Audit STATIQUE du système Contre
LES FAILLES CONNUES(Avis CERT)•Failles de Configuration, Versions à Failles….
AUDIT des ESSAIS D ’INTRUSIONS
•ISS,SATAN,COPS, TIGER…•Mscan (intrus)
2-Approche PAR SCENARIOS(Intrusions CONNUES)
1-Approche COMPORTEMENTALE(Intrusions INCONNUES)
RealSecure(2),RECH: famille IDES(1+2), Outils de cryptage des fichiers d’audit