Cours 10 - Le site de Marc

Transcription

Cours 10
Mise en place des mesures de
protection – Proxy et Firewall
©2004, Marc-André Léger
Choix
(rappel du cours 9)
•
•
•
•
•
•
•
•
Ségrégation des réseaux
Définition de rôles
Firewalls
IDS
NVAS
Honeypots
HP Openview et outils de gestion
Filtres et proxy
Firewall
• Système d’exploitation et matériel conçus
par le constructeur et spécifiquement
pour du filtrage
• Simple PC, matériel dédié, circuit intégré
spécialisé (ASIC)
• Ex de firewall non matériel
Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt
Différences firewall logiciel/matériel
• Peuvent offrir fonctions et services identiques
• Différences:
– SAV: 1 seul constructeur fournit la solution complète
– Résistance: conçu pour être un produit de sécurité
– Distribution de la fonction firewall dans les points
stratégiques du réseau
Catégories de firewalls matériels
•
Routeurs:
– filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags
TCP
– Stateless ou Stateful
– Moins d’applications complexes/multimédia supportées que firewall
spécialisés (NAT)
– Routeurs conçus initialement pour commuter paquets -> attention
– Filtres des tables de routage
– Performances:
• de qques kb/s -> plusieurs Mb/s
• Perte de performances de 15 à 20% en Stateful
• Performances dépendent du nombre de fonctions utilisées (IPSec, détection
d’intrusion, codecs pour voix sur IP, QOS)
– Routeur stateful idéaux pour relier bureaux via internet: site a protéger
rarement important
•
Firewalls spécialisés
– Conçus uniquement pour faire du filtrage
– Très performant:
• > 1Gbit/s
• 500 000 connexions
• Plusieurs dizaines de milliers de nouvelles connexions par seconde
– Supportent rarement les interfaces WAN  nécessité d’être associés à des
routeurs pour la connectivité
•
Disponibles également pour le grand public
– Pour accès toujours connectés (DSL, câble)
– Ouverts en sortie
– Certains permettent le filtrage dans les deux sens  adaptés à l’hébergement de
services
– Performances:
• 1à 2 Mb/s (vitesse d’accès)
• Limitations au niveau du nombre de sessions supportées et nombre de nouvelles
connexions par seconde.
•
Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics
• Modules firewall pour commutateurs
– Sous forme de carte
– Firewall stateful
– Intégrés aux commutateurs pour fournir protection entre
différents VLAN
– Support de contextes virtuels  services de filtrages a des
réseaux distincts
– Performances:
•
•
•
•
•
jusqu’à 5 Gb/s
1 000 000 de connexions
100 000 nouvelles connexions par seconde
Jusqu’à 100 interfaces virtuelles
Possibilité d’utiliser plusieurs cartes  débit de 30 Gb/s
– Utilisés pour cloisonner le réseau interne
Firewalls logiciels professionnels
Firewalls logiciels professionnels
Plan
• Deux firewalls stateful :
– Firewall libre : Netfilter / iptables
– Firewall commercial : CheckPoint Firewall-1
• Ce que les firewalls laissent passer
Firewalls logiciels en passerelle
libre : Netfilter
• Intégré au noyau 2.4 de linux
• Interface utilisateur séparée : iptables
• Stateless :
– iptables -A INPUT -s 200.200.200.1 -p tcp -destination-port telnet -j DROP
• Stateful :
– iptables -A INPUT -p tcp -m state --state
ESTABLISHED -j ACCEPT
– INVALID / ESTABLISHED / NEW / RELATED
Firewall logiciels en passerelle
libre : Netfilter
• Spécificités
– Ajout de plugins au système de suivi de connections
FTP / H323 / IRC / …
– Plugins divers : modification du comportement de la
pile IP
– Front ends de configuration graphiques
• Avantage décisif sur les autres firewalls libres
commercial : CP Firewall-1
• Disponible sur plusieurs plateformes
Windows Server – Linux Red Hat – HP-UX
- Solaris
• Prix
– 50$ par utilisateur (100 machines)
– Au nombre de plugins fournis
– + Formations
commercial : CP Firewall-1
• Spécificités
– Décomposable en plusieurs modules –
serveurs
• antivirus, serveur d’authentification, reporting
– Authentification des utilisateurs
• Avec LDAP, RADIUS, TACACS
– Pour filtrer les URL,
– Pour la limitation du temps,
– Permissions au niveau de l’utilisateur plutôt
qu’au niveau d’un adresse IP
ce qu’ils laissent passer
• Les attaques d’application web
– Vulnérables si elles ne filtrent pas assez les
données entrées par l’utilisateur.
– Insertion de code sur les Forums
– Insertion de requêtes SQL dans un champ de
formulaire
– Injection de requête SQL :
SELECT * FROM table_Clients WHERE
champ_Nom=Name
l'utilisateur entre son nom :
toto ; INSERT INTO table_Users
VALUES('Mon_login', 'Mon_password')
La requête finale est :
SELECT * FROM table_Clients WHERE
champ_Nom=toto ; INSERT INTO
table_Users VALUES('Mon_login',
'Mon_password')
– Solution : « Reverse Proxy »
– Rôle de l’administrateur réseau ?
Firewalls personnels
Firewalls personnels - Plan
•
•
•
•
Cible et besoins
Principe
Limites
Firewalls personnels sous Windows et
Linux
Cible et besoins
• Logiciel de sécurité réseau simple et
efficace pour connexions Internet
personnelles: poste directement relié à
Internet
• Postes principalement « client » 
principale menace: réception de chevaux
de Troie  logiciels espions / backdoors
 empêcher connexion de programmes
non autorisés
Cible et besoins
• Filtrage simple de paquets: la plage de
ports 1024-65535 doit être autorisée pour
que les applis puissent fonctionner dans
les deux sens
 filtrage de paquets problématique
Principe
• Contrôle des applications pour accéder ou non
au réseau
 liste applications autorisées à initier flux
réseau ou a écouter
• Pour chaque appli:
–
–
–
–
Localisation de l’exécutable
Protocole de niveau 4 utilisé (TCP, UDP, ICMP)
Jeux de ports utilisés
Sens de flux associé
Principe
• La configuration doit être aisée pour
correspondre à la cible de marché 
configuration par apprentissage
• Permet également de faire de la remontée
d’alertes
• Dans le modèle OSI:
– Entre couches IP et liaison: règles indépendantes
d’une application / flux déjà autorisés
– Entre couches réseau et applicative: intercepter les
demandes d’ouverture de socket
Limites
• Certaines prises de décision nécessitent
connaissances
• Certains produits ne gèrent que TCP, UDP
et ICMP, décision silencieuse
• Beaucoup d’appli accèdent au réseau par
différents protocoles  nombre d’entrées
important, difficile à maintenir
Limites
• Lacunes courantes:
– Impossibilité de spécifier des règles
indépendamment d’une appli
– Impossibilité de restreindre les jeux de ports
utilisable par une appli autorisée
– Impossibilité de spécifier des règles pour
autres protocoles que TCP, UDP ou ICMP
– Absence de filtrage à état ou absence des
modules de prise en charges de protocoles
applicatifs complexes (limite au niveau 4)
Limites
• Absence de sécurité de certains OS: pas de
contrôle d’accès ou comptes utilisateurs non
utilisés
• Application pouvant se lancer en superutilisateur --> écraser exécutables concernés
par configuration du firewall, tuer d’autres applis
(anti-virus, firewall), annuler les protections
• Possibilité de profiter de failles de sécurité dans
autres applications autorisées (navigateur)
• Ne travaille qu’à partir du niveau IP, tout ce qui
se trouve en dessous (Ethernet) n’est pas vu du
firewall
Firewalls personnels sous Windows
et Linux
• Windows: Kerio, Zone Alarm, …
• Linux: module « owner » de Netfilter + patch «
owner-cmd »
– Critères de filtrages relatifs aux processus:
• UID , GID propriétaire
• PID/SID du process
• Nom du process
iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT
• Attention, ne vérifie pas la localisation de
l’exécutable, limiter les packets
iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT
Serveurs mandataires et relais inverses
(Proxys et Reverse Proxys)
• La notion de proxy:
– Un intermédiaire entre le réseau local et internet.
– La plupart du temps, pour le protocole HTTP.
• Principe:
– C’est un serveur mandaté par une application pour
effectuer une requête sur Internet à sa place.
– Manip pour chercher le script proxy.
Source: http://www.loria.fr/~barreaud/enseignement/DeustOuebe/EquipProtection.ppt
Les fonctionnalités
• Conversion de protocole, si le LAN
n’utilise pas TCP/IP
• Fonction de cache accélère la navigation,
réduit l’occupation de la bande passante,
…
• Le filtrage, par instauration de listes
blanches/noires et suivis sur logs…
• L’authentification, pour refuser la
ressource web à certains utilisateurs (logs)
Le reverse-proxy (relais
inverse)
• Permet aux utilisateurs Internet d’accéder
directement à certains serveurs internes.
• Permet une protection du serveur Web.
• La fonction cache soulage la charge du
serveur («accélérateur»)
• Certains reverse-proxys permettent une
répartition de charge sur différents
serveurs.
Quelques noms:
• Squid (windows, linux, gratuit)
• Wingate (windows, payant)
• Windows 2000 intègre un proxy (MSP,
complété par Microsoft Proxy Client)
Modèles de contrôle d’accès
• Un Modèle de contrôle d’accès inclut:
– Des sujets
– Des objets
– Des actions
– Un règlement de sécurité
Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt
• Les sujets: entités actives
– Utilisateurs
- Ordinateurs
- Processus
• Les objets: entités passives
– Données
– Programmes
• Les actions
– Lecture
- Ecriture
- Exécution
- Création
- Suppression
• Le règlement de sécurité
– Ensemble de Permissions
• Ex: Le sujet s a la permission (droit, privilège)
d’effectuer l’action a sur l’objet o
• Un système est sûr si et seulement si le
règlement ne peut être violé
– Toute opération effectuée doit être permise
• Implantation
– Le plus souvent au moyen d’un noyau de
sécurité
– Le noyau de sécurité contrôle les accès
Modèles Discrétionnaires
• Les plus anciens
• Règlement défini de façon discrétionnaire pour
chaque utilisateur
• Le règlement de sécurité s’exprime sous la
forme d’une matrice A.
– A(s,o) correspond à l’ensemble des actions que s
a la permission de réaliser sur l’objet o
• Notion de droit propriétaire
– Chaque objet a un propriétaire qui décide quels sont
les autres sujets qui ont accès à cet objet.
• Sujets peuvent être structurés en groupe
– La structuration des sujets en groupes simplifie
l’expression de la politique de sécurité.
• Avantages
– Modèles simples
– Souvent implantés (UNIX, SQL92 …)
• Inconvénients
– Adaptés à des règlements de sécurité simples
– Vulnérables aux chevaux de Troie
– Problème de la fuite des droits
Modèles Obligatoires
• Appelés aussi modèles de sécurité multiniveaux (sécurité militaire)
• Chaque sujet reçoit un niveau d’habilitation
• Chaque objet reçoit un niveau de classification
• Règlement de sécurité obligatoire
– Si l’habilitation d’un sujet est supérieure ou égale à
la classification de l’objet alors ce sujet a la
permission
de
prendre
connaissance
de
l’information véhiculée par l’objet.
→ Objectif de confidentialité
• Bell & LaPadula ont montré que les 2 règles
suivantes étaient nécessaires pour garantir le
règlement de sécurité:
– No Read Up: Si l’habilitation d’un sujet est
supérieure ou égale à la classification de l’objet
alors ce sujet a la permission de lire l’information
contenue dans l’objet.
– No Write Down: Si l’habilitation d’un sujet est
inférieure ou égale à la classification de l’objet alors
ce sujet a la permission de modifier l’information
contenue dans l’objet.
S
Read
P
Write
Process
S
S
Read
P
• Les 2 règles du modèle de Bell & LaPadula sont
mises en œuvre par des contrôles d’accès
• Ces 2 règles ne sont pas suffisantes pour garantir
le règlement de sécurité multi-niveaux
– Un utilisateur peut accéder à de l’information sensible par
le biais d’autres moyens que de simples opérations de
lecture/écriture: canaux cachés
– Ex: Canaux d’inférence
• Avantages
– Procurent un niveau de sécurité supérieur aux
modèles discrétionnaires
• Inconvénients
– Assez rigides
– Limités à des usages militaires
Modèles à base de rôles
• Un rôle est une collection de droits
• Les droits sont assignés aux rôles
• Les rôles sont assignés aux utilisateurs
• Un utilisateur peut recevoir plusieurs rôles
• L’utilisateur choisit dans ses rôles celui (ou ceux)
qu’il veut jouer
– Les privilèges de l’utilisateurs sont les privilèges du (des)
rôle(s) qu’il a activé(s)
• Les rôles sont organisés hiérarchiquement
• Les rôles offrent une grande souplesse dans
l’expression du règlement de sécurité
• Bien adaptés aux applications commerciales
– 1 fonction professionnelle => 1 rôle
• Avantages
– Plus puissants que les modèles discrétionnaires
– Plus polyvalents que les modèles multi-niveaux
– A la mode et de plus en plus implantés (SQL-ORACLE)
• Inconvénients
– Niveau de sécurité des modèles discrétionnaires
– Nécessité de mettre en
d’administration des rôles
place
une
procédure
VPN
Les réseaux privés virtuels
Définition :
Réseau de communication privé qui peut se servir de l'infrastructure
d'un réseau public pour transmettre des données qui sont protégées
grâce à l'utilisation de techniques de chiffrement ou d'encapsulation.
Sous-entrée(s) : synonyme(s)
réseau virtuel n. m.
abréviation(s)
RPV n. m.
Note(s) :
Des tunnels virtuels s'établissent dans le réseau public entre les
appelants et les appelés. Les communications privées sont
sécurisées.
Source: http://www.olf.gouv.qc.ca/ressources/gdt.html
Pourquoi avoir besoin de
réseaux privés virtuels ?
• L’utilisation du protocole Internet (Internet
Protocol, IP) comme base des réseaux
informatiques est devenue très importante.
• Le but de ce protocole n’a jamais été
d’assurer des communications sécurisées,
d’où l’absence de fonctionnalités dans ce
domaine.
Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt
Problématique courante
• Nous ne souhaitons pas :
– que l’univers puisse accéder par exemple à la
comptabilité et aux documents de travail de la
société.
– la visite des pirates
• Nous souhaitons cependant que les employés puissent
accéder aux ressources de la société.
• Les dispositifs anti-intrusions s’ils empêchent aux
indésirables de « rentrer » doivent permettrent aux
personnes autorisées d’accéder aux ressources du
réseau local, mais comment faire ?
Solution
• Le réseau privé virtuel est la solution
apportée à cette problématique. Il permet :
–
–
–
–
–
d’authentifier l’utilisateur qui souhaite établir le tunnel
de réaliser le routage des paquets une fois le tunnel établi
de crypter les données qui circulent sur le réseau public
d’authentifier l’émetteur de chaque paquet
d’assurer que le message reçu est conforme à celui envoyé
Des protocoles de VPN voient le jour…
L2F
• 1996 le protocole L2F (Layer 2
Forwarding) est né sous l’impulsion
conjointe de CISCO, Northern Telecom et
Shiva.
PPTP
• Microsoft réplique avec la création du
PPTP (Point to Point Tunneling Protocol)
en collaboration avec 3-COM, Ascend, US
Robotics et ECI Telematics.
IPSec
• En novembre 1998 l’IPSec en tant que
standard normalisé fait son apparition
sous l’égide de l’IETF (RFC 2401) alors
qu’il est développé depuis 1992.
L2TP
• Enfin en août 1999 le L2TP (Layer 2
Tunneling Protocol) est un protocole
supposé regrouper en un seul le meilleur
du PPTP et du L2F.
Quelques protocoles «exotiques»…
• Certains protocoles rangés dans les
technologies VPN ne sont pas listés ici.
par exemple le SSL qui ne réponds que
partiellement à la définition d’un réseau
privé virtuel car la communication privée
n’est maintenue que pendant le temps
d’une session http.
Définition VPN
• Les réseaux privés virtuels permettent à
l’utilisateur de créer un chemin virtuel
sécurisé entre une source et une
destination
Source
Réseau privé virtuel
Destination
Plutôt vague…
• Cette définition relativement vague
démontre bien la difficulté d’appréhender
une solution qui laisse de telles
possibilités.
• Généralement nous réduisons la notion de
VPN à une liaison d’un point A vers un
point B en traversant les réseaux (non
sécurisés) de l’internet.
Stricto sensu
• Cependant stricto sensu une connexion
VPN n’a pas besoin d’être établie à travers
un large réseau.
Une simple liaison locale entre 2 hôtes sur
un même réseau (local) peut recourir aux
services d’un lien VPN.
Notion de tunnel
• Lorsqu’un réseau privé virtuel est initialisé,
on dit que l’on « monte un tunnel ».
• Le site distant à la sortie du tunnel sera
joignable tel n’importe quel hôte local alors
qu’auparavant il ne l’était pas.
Vie et mort du tunnel
• Le tunnel est établi selon des règles précises et
sa vie est régie par des protocoles normalisés,
normes publiées dans des RFC (Request For Comments)
• Le tunnel n’est pas éternel il a une durée de vie
limitée :
– soit dans le temps,
– soit dans le volume de données échangées.
Le plus souvent les limites de temps et de volume de
trafic sont concurremment établies.
Réseaux privés virtuels : Principe de base
Un client établi un tunnel entre lui et un serveur distant
à travers un réseau externe et échange du trafic avec
ce site distant. La communication est sécurisée.
Site principal
Site distant
Serveurs
Serveurs
PWR
WIC0
ACT/CH0
WIC0
ACT/CH0
ETH
ACT
OK
ACT/CH1
ACT/CH1
COL
Routeur
Réseau externe
(public ou privé)
Routeur client VPN
Hôtes divers
s/ réseau local
Pare-feu avec
serveur VPN
Pare-feu
ex : INTERNET
Hôtes divers
sur site distant
Clients mobiles
Ordinateurs portables
avec client VPN
Hôtes divers
s/ réseau local
Hôtes divers
s/ réseau local
Avec cette architecture type
les hôtes sur le site distant,
ainsi que les clients mobiles
peuvent accéder aux ressources
disponibles sur le réseau local
du site principal.
Les données circulent sur le
réseau externe de façon
sécurisée (contrôle et cryptage).
Réseaux privés virtuels : Plusieurs tunnels
Un client du site distant établi un tunnel entre lui et le firewall du site principal.
Il peut maintenant établir une connexion par un second tunnel vers le serveur sécurisé.
Site principal
Site distant
Serveurs
Serveurs
PW R
W IC 0
AC T/CH0
WIC0
ACT/CH 0
ETH
ACT
OK
AC T/CH1
ACT/CH 1
COL
Routeur
Réseau externe
(public ou privé)
Routeur client VPN
Hôtes divers
s/ réseau local
Pare-feu avec
serveur VPN
Pare-feu
ex : INTERNET
Hôtes divers
sur site distant
Hôtes divers
s/ réseau local
Hôtes divers
s/ réseau local
Vu du côté du client la communication qui utilise 2 tunnels :
Hôte A
Serveur B
Pare-feu avec
serveur VPN
Hôtes finaux
• Les hôtes finaux sont des machines
situées à l’extrémité d’une communication,
de part et d’autre du tunnel.
• Ce terme englobe en particulier les
serveurs applicatifs ou de données et les
postes utilisateurs (station de travail,
ordinateur portable...).
Introduction à la notion
d’encapsulation
• Lorsque l’adresse de destination de la
communication est une adresse située de
l’autre côté du tunnel, le paquet n’est pas
transmit selon les informations de la table
de routage initiale mais « emballé » dans
un autre container qui empruntera le
tunnel.
Encapsulation des paquets
• A l’image du ferroutage en Suisse où les
camions sont embarqués sur des trains, le
conducteur ne voit rien de la Suisse et des villes
ou villages traversés, mais uniquement une gare
d’embarquement et une gare de débarquement.
• Le paquet initial ne croit avoir fait qu’un saut
(hop) entre l’entrée et la sortie du tunnel, son
compteur TTL* n’est décrémenté que d’une
unité.
Schéma de l’encapsulation
• Le paquet de départ est encapsulé dans
un autre paquet (plus long).
Paquet de
départ
IP
Paquet
encapsulé dans
un autre
IP
DONNEES
IP
DONNEES
Authentification des utilisateurs distants
• Les réseaux privés virtuels doivent pour
autoriser l’établissement du lien VPN authentifier
les utilisateurs qui souhaitent se connecter.
• Il existe deux grandes familles de méthodologie
d’authentification :
• Les annuaires
• les certificats.
Les annuaires
• Les annuaires sont des listes d’utilisateurs
et de mots de passe.
• A chaque utilisateur ou groupe
d’utilisateurs est associé des droits
d’accès (privilèges).
Talon d’Achile
• La faiblesse est que d’une façon ou d’une autre,
en clair ou crypté plus ou moins bien, circule sur
le réseau (non sûr à priori) le couple identifiant
et mot de passe.
• Des outils spécialisés (sniffer) permettent de
rechercher ces informations et de tenter de les
décrypter.
Les certificats
•
Les certificats sont des fichiers binaires contenant une clef
identifiant de façon unique l’utilisateur (X509 par exemple).
•
Les clefs sont signées numériquement par une autorité de
certification.
•
Tous les clients et serveurs d’authentification connaissent de façon
sûre et irréfutable les clefs publiques des autorités et des clients
(annuaires possibles)
•
La sécurité se base sur un algorithme mathématique qui permet de
d’authentifier de façon « quasi » certaine les utilisateurs.
Confidentialité par cryptage
• Le cryptage est l’application d’algorithmes
mathématiques visant à rendre inintelligible les
informations cryptées pour quiconque n’ayant
pas à en prendre connaissance.
• Le cryptage est très ancien, César lui-même
cryptait ses communications
(ROT 13)
Confidentialité par cryptage
• Le cryptage a connu une seconde naissance
lors de la seconde guerre mondiale avec la
machine Allemande (Enigma).
• Un bon algorithme de cryptage doit pouvoir
résister suffisamment longtemps à la
cryptanalyse et ne laisser que la méthode dite
« brute force » pour être décrypté sans la clef.
Les équipements VPN
Il existe 2 grande famille d’équipements
permettant d’établir des VPN :
• Boîtiers dédiés
• Logiciels
Les produits pour monter des VPN
• Certaines solutions logicielles de sécurité sont
fournies avec le système d’exploitation (pptp,
ssh), d’autres sont des produits commerciaux à
installer sur un environnement donné.
• Les boîtes noires dédiées, dites « appliances »,
sont plus efficaces grâce à la spécialisation
extrême de l’environnement interne du boîtier
(routeurs firewall par exemple).
Les principaux acteurs du marché
• Les principaux fabricants et éditeurs sont :
Alcatel
Check Point
Cisco
Comet Labs
Enterasys
Lucent
Netasq
Netgear
Netscreen
Nortel Networks
Sonicwall
Symantec (ex Axent)
Watchguard
• Présentation des protocoles
(à faire par Dominique)
IPSec : où intervient-il ?
• IPsec s’insère, dans la pile de protocoles
TCP/IP, au niveau d’IP.
Cela signifie qu’il agit sur chaque paquet IP reçu
ou émis et peut soit le laisser passer sans
traitement particulier, soit le rejeter, soit lui
appliquer un mécanisme de sécurisation.
IPSec sécurise les données
au niveau des paquets eux-mêmes.
IP v4 - IP v6
• Toutes les implémentations d’une pile de
protocoles TCP/IP conformes à la version
six d’IP doivent intégrer IPsec.
• En revanche, IPsec est optionnel pour la
version actuelle d’IP, IPv4
Insertion dans la couche réseau
• IPsec au niveau IP présente l’avantage
– de le rendre exploitable par les niveaux
supérieurs
– d’offrir un moyen de protection unique pour
toutes les applications.
Services fournis
• IPsec vise à
– prévenir les diverses attaques rendues possibles par
le protocole IP
– empêcher un adversaire d’espionner les données
circulant sur le réseau
– de se faire passer pour autrui afin d’accéder à des
ressources ou données protégées.
Là sont les deux principales fonctionnalités de
l’IPSec : l’authentification et le cryptage.
services de sécurité fournis
• Sont fournis, suivant les options sélectionnées :
- Confidentialité
- Authentification
- Protection contre le rejeu
services de sécurité fournis : confidentialité
Les données transportées sont cryptées.
Il est possible de chiffrer les en-têtes des
paquets IP et ainsi masquer les adresses
source et destination réelles.
On parle alors de protection
contre l’analyse du trafic.
services de sécurité fournis : authentification
Est composée de deux services, fournis
conjointement par un même mécanisme :
– L’authentification de l’origine des données
garantit que les données reçues proviennent
de l’expéditeur déclaré.
– L’intégrité garantit qu’elles n’ont pas été
modifiées durant leur transfert.
services de sécurité fournis :
Protection contre le rejeu
• La protection contre le rejeu permet de
détecter une tentative d’attaque consistant
à envoyer de nouveau un paquet valide
intercepté précédemment sur le réseau
grâce à un mécanisme cryptographique.
AH et ESP
• Les services de sécurité mentionnés cidessus sont fournis au moyen de deux
extensions du protocole IP appelées
– AH (Authentication Header – RFC 2402)
– ESP (Encapsulating Security Payload – RFC 2406)
Authentification Header
• AH est conçu pour assurer l’authenticité des
datagrammes IP sans chiffrement des données
(i.e. sans confidentialité).
• Le principe d’AH est d’adjoindre au datagramme
IP classique un champ supplémentaire
permettant à la réception de vérifier l’authenticité
des données incluses dans le datagramme.
Un numéro de séquence permet de détecter les
tentatives de rejeu.
Authentification Header
IP V4
IP
IP V4 + IPSec
ou IP V6
IP
DONNEES
AH
DONNEES
Encapsulating Security Payload
• ESP a pour rôle premier d’assurer la confidentialité
mais peut aussi assurer l’authenticité des données.
• Le principe d’ESP est de générer, à partir d’un
datagramme IP classique, un nouveau datagramme
dans lequel les données et éventuellement l’en-tête
original, sont chiffrés.
•
ESP peut également assurer l’authenticité des données
par ajout d’un bloc d’authentification et la protection
contre le rejeu par le biais d’un numéro de séquence.
Encapsulating Security Payload
Authentification seule :
IP V4
IP
IP V4 + IPSec
ou IP V6
IP
DONNEES
ESP
DONNEES
Auth
AH et ESP
• Ces deux extensions peuvent être utilisées
séparément ou combinées pour obtenir les
services de sécurité requis.
• AH et ESP sont basés sur l’utilisation
d’algorithmes cryptographiques et ne sont pas
restreints à un algorithme particulier.
Ils sont utilisables avec
de nombreux algorithmes.
Quelques algorithmes
•
•
•
•
•
•
NULL (pas de chiffrement),
CAST-128 (clef de 40 à 128 bits),
Blowfish (40-448 bits),
RC5 (40-2040 bits),
DES (56 bits)
3DES ou triple DES (clef de 168 bits mais
de force équivalente à 112bits)
• AES
Service minimum
• Pour garantir l’interopérabilité entre les
équipements, la norme IPsec sont obligatoires
dans toute implémentation conforme d’IPsec :
– DES-CBC et 3DES-CBC
pour le chiffrement.
– HMAC-MD5 et HMAC-SHA-1
pour l’authentification
Mode transport et mode tunnel
• Le mode transport protège uniquement le
contenu du paquet IP sans toucher à l’en-tête
• Dans ce mode les hôtes de la communication
sont au départ déjà accessibles.
• L’intérêt de ce mode est uniquement la
protection des flux.
• Le mode tunnel permet la création de tunnels
par “encapsulation” de chaque paquet IP dans
un nouveau paquet.
• La protection porte sur tous les champs des
paquets IP y compris sur les champs des entêtes (adresses source et destination par
exemple).
• Ce mode est généralement utilisé par les
équipements réseau (routeurs, gardesbarrières...).
se mettre d’accord sur les
paramètres à utiliser…
• Afin d’échanger des données de façon
sécurisée, il est nécessaire, dans un
premier temps, de se mettre d’accord sur
les paramètres à utiliser, et notamment
d’échanger des clefs de façon sûre.
La bonne vieille méthode :
manuellement
• la gestion manuelle, consiste à laisser l’administrateur
configurer manuellement chaque équipement utilisant
IPsec avec les paramètres appropriés.
• Inadapté aux gros réseaux
• requiert une définition statique des paramètres
• non renouvellement des clefs.
• La première version d’IPsec, parue en 1995, se basait
sur cette méthode manuelle pour la configuration des
équipements.
La méthode automatique
• La seconde approche est la gestion automatique au
moyen d’un protocole approprié.
Les développements dans ce domaine ont abouti à un
protocole de gestion des paramètres relatifs à IPsec
connu sous le nom de IKE (Internet Key Exchange – RFC 2409).
• IKE se charge de la gestion de tous les paramètres
relatifs à la sécurisation des échanges :
- négociation des clefs et paramètres
- mise à jour des clefs et paramètres
- suppression des anciennes clefs
Secret partagé ou clefs publiques
• IKE inclut, au début de la négociation, une
authentification mutuelle des tiers
communicants qui peut se baser :
• sur un secret partagé préalable (shared secret)
• sur des clefs publiques.
Clefs publiques
• L’échange des clefs publiques utilisées par IKE
peut se faire
– soit manuellement,
– soit par un échange de certificats en ligne,
– soit par le biais d’une infrastructure à clefs publiques
(Public Key Infrastructure, PKI) extérieure.
Il ne faut pas confondre le protocole d’échange de
clefs qu’est IKE avec le protocole d’échange de
paramètres de sécurité qu’est ISAKMP.
(RFC 2407 et 2408)
Internet Security Association and
Key Management Protocol
• ISAKMP a pour rôle la négociation, l’établissement, la
modification et la suppression des associations de
sécurité et de leurs attributs.
• ISAKMP est un cadre générique indépendant des
mécanismes en faveur desquels la négociation a lieu.
• ISAKMP peut être implémenté directement au dessus
d’IP ou au dessus de tout protocole de la couche
transport.
Le port UDP 500 lui est attribué par l’IANA.

Cours 10 - Le site de Marc

Transcription

Documents pareils

Marc-André Royal - Le St

Nom: Prénom: Classe 1 Note: Grille d`évaluation présentation orale

Coupon-rabais - Verger La Vieille Grange

LE PREMIER JOUR DU RESTE DE TA VIE

Imprimer

Dragon Rouge lance DR Innovation

FrÃ¨re de sens-1

Marc-André Caron - MACV Productions

Les bons coups : monter un pneu de chenillette

MONITEURS CLIENTS MONITEURS CLIENTS Client Léger TC191