La Citadelle Électronique Séminaire Du 14 Mars 2002

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique
séminaire du 14 mars 2002
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4 Agenda
fLa citadelle électronique

fContrôle d’intégrité (FIA)
fWindows 2000 (smartcard)
fSécurité Unix (SSH)
fPortail Web (SSL)
fMessagerie (S/Mime)
fSignature documents électroniques
fValidation des certificats (OCSP)
4 Solutions à la clef
4 Quel risque est-on prêts à accepter ?
Risque = Coûts * Menaces * Vulnérabilités
Risque
Coûts
4 Les coûts d’une attaque ?
fDéni de services (perte de productivité)

fPerte ou altération des données
fVol d’informations sensibles
fPerte de confiance dans les systèmes
fReconfiguration des systèmes
fAtteinte à l’image de l’entreprise
fEtc.
4 Les nouvelles menaces
fLes « intruders » sont préparés et organisés

fSites Web, News, Mailing List, Centre de formation
fConférences (DefCon, etc.)
fOutils d’intrusion sont très évolués et faciles
d’accès
fAttaques sur Internet sont faciles et
difficilement tracables
4 Augmentation des « intruders »
4 Les vulnérabilités
fAugmentation significative des vulnérabilités

fPas de « design » pensé sécurité
fMauvaise programmation
fComplexité du système d’information
fBesoins Marketing (Software)
fEvolution très (trop) rapide des technologies
fEtc.
4 Comment diminuer le risque ?
Risque = Coûts * Menaces * Vulnérabilités
4 Modèle de sécurité réseaux
fApproche « produit »
fDes solutions spécifiques, des cellules isolées
fFirewall
fSystèmes de détection d’intrusion
fAntivirus
fAuthentification périphérique
fContrôle de contenue (mail, http, etc.)
fEtc.
4 Les inconvénients du modèle de sécurité réseaux
fUn manque de cohérence et de cohésion

fL’approche en coquille d’oeuf
fDes remparts
fLes systèmes sont vulnérables (OS)
fDes applications (le noyau) vulnérables
4 Schématiquement…
Firewall, IDS, etc.
Ressources internes
4 Les enjeux pour le futur
fFortifier le cœur des infrastructures

fAméliorer la cohérence
fAmener la confiance dans les transactions
électroniques
fSimplicité d’utilisation
fDéfinir une norme suivie par les constructeurs &
éditeurs
4 La citadelle électronique
fModèle de sécurité émergent

fSécurisation plus globale
fApproche en couches ou en strates
fChaque couche hérite du niveau inférieur
fLes applications et les biens gravitent autour
d’un noyau de sécurité
4 Approche en couche
f1) Architecture
f2) Protocoles réseaux
f3) Systèmes d’exploitations
f4) Applications
4 Architecture
fSécurisation des accès bâtiments

fSegmentation & Cloisonnement IP
fSegmentation & Cloisonnement physique
fChoix d’environnement (Switch, hub, etc)
fMise en place de Firewall
fConfiguration de routeur (ACL)
fEtc.
4 Protocoles réseaux
fTCP/IP, IPSec, L2TP, PPTP, etc.

fAnti SYNFlooding
fAnti spoofing
f« Kernel » réseau à sécuriser (DoS)
fEtc.
4 Systèmes d’exploitation
fSécurisation des OS
fRestriction des services
fMise en place de FIA
fDétection d’intrusion sur les OS
fAuthentification forte
fSécurisation de l’administration
fLogging & Monitoring
fSauvegarde régulière
4 Applications
fChaque application est sécurisée

fCryptage des données sensibles
fCartes de crédits
fBase d’utilisateurs
fCloisonnement des bases de données
fAuthentification forte des accès
fCryptage des communications (SSL)
fSignature électronique
4 Schématiquement…
Architecture
O.S.
Applications
Protocoles réseaux
4 Pour répondre à ce challenge ?
fUne démarche
fLa politique de sécurité
fDes services de sécurité
fAuthentification
fConfidentialité
fIntégrité
fNon répudiation
fDisponibilité
fAutorisation
4 Et des technologies…
fFirewall
fIDS
fAnalyse de contenu
fFIA
fAntiVirus
fVPN
fPKI…
4 PKI…
fAu cœur de la citadelle

fOffre les mécanismes de sécurité aux
applications
fMécanismes & Outils exploités dans plusieurs
strates
fPermet de construire des relations de confiance
La citadelle électronique:
sécurité des O.S.
Contrôle d’intégrité des systèmes

Technologie FIA
4 Etes vous sûrs de l’intégrité de vos systèmes ?
fQuelle sont les attaques possibles ?

fCompromission du système
fRoot Kit
fSniffer
fBase d’attaque
fVirus - Back door
fEtc.
f« Defacement » (changement des pages Web)
fModification des configurations
fEtc.
4 Technologie FIA (File Integrity Assesment)
fOutil très puissant pour détecter les altérations

fContrôle de manière régulière l’intégrité des
systèmes
fOS (Windows, Unix, etc.)
fApplications (Messagerie, Firewall, DNS, etc.)
fEquipements réseaux (Routeurs IOS)
fWeb Serveurs (Apache, IIS, etc.)
4 Technologie FIA
fPrend une « photo » du système lors de sa mise

en production
fUtilise des mécanismes de cryptographie
fFonction de hashage (md5, sha1, etc.)
fFonction de signature (RSA, DSA)
fCréation d’une image de référence
fPrise de nouvelles « photos » de manière
régulière et comparaison avec l’image de
référence
4 Technologie FIA: Tripwire
Cisco
Unix
Solaris, Aix, HP, Linux
Microsoft Web Serveur

NT 4.0, Win2K IIS, Apache
Technologie FIA
démonstration avec Tripwire
(Microsoft et Linux)
sécurité des O.S.
Authentification forte Windows 2000

Smartcard et clé USB
4 Etes vous sûrs de l’identité de vos utilisateurs ?
fLes attaques possibles:

fNetwork Sniffing
fEcoutes des mots de passe sur le réseau
fAttaque du poste client
fBack door
fKey logger
fEtc.
fBrute force attack
fMot de passe faible
4 Authentification forte Windows 2000
fWindows 2000 utilise la technologie Kerberos

fSystème d’authentification mutuelle
fSystème de SSO avec l’utilisation de ticket
fSupport des smartcards avec une extension de
kerberos
fPKINIT (IETF)
fUtilisation des certificats numériques
4
Key Distribution
Center Logon Request Ka
TGT
Ka TGT
Kb Win2k Server
Ticket
Master Key win2K Server

Request
Database Win2k Server
With Ticket
Response
Win2k Server
« Kerberized »
Software Kb
4 Authentification forte Windows 2000
fDeux scénarios possibles:

f Utilisation native du Smartcard Logon Win2k
fIntégration avec la technologie PKI
fUtilisation d’une CA interne ou tiers
fUtilisation d’un produit tiers
fChangement de la GINA
fStockage des accréditations sur la smartcard
fApproche plus légère
4 Authentification forte Windows 2000: PKINIT
KDC
Active
Directory
2
CRL
Certs
TGT
CA Microsoft
ou
Tiers
Authentification forte Windows 2000

Démonstration avec Microsoft Smartcard logon et Aladdin
et
RSA Security Passage
sécurité applicative
Administration sécurisée des systèmes Unix

SSH, SecurID et PKI
4 Etes vous les seuls à administrer vos systèmes Unix ?

fNetwork Sniffing
fEcoutes des mots de passe sur le réseau
fFonctionne dans un environement switché
f ARP Poisoning ou spoofing ARP
fPratiquement indédectable
fAttaque du poste de l’administrateur
fBack door
fKey logger
fEtc.
4 SSH (Secure Shell)
fSolution de remplacement de Telnet, FTP, des

commandes R (rlogin, etc.)
fDefacto Standard
f5 millions d’utilisateurs
fFournit du chiffrement
f3des, AES, Blowfish, etc,
fAssure l’intégrité des communications
fSolution simple à mettre en oeuvre
4 SSH: système d’authentification
f Supporte plusieurs systèmes d’authentication

f Authentification « Classique »
f SecurID
f Public Key
f Pam
f Kerberos
f Etc.
f Authentification PKI
f Utilisation d’un certificat X509
f Smartcard ou clé USB
f Validation des certificats (OCSP ou CRL)
f Offre une solution très robuste
4 SSH (Secure Shell): Authentification forte
VA
SSH
Serveur
2) PKI / OCSP
1) SecurID SSH V3
AES 256
Ace Serveur
SSH - Secure Shell

Démonstration avec SSH.COM, Aladdin, Linux, Solaris
et
RSA Security (SecurID, Keon Certificate Authority)
Sécurisation des portails Web

Technologie PKI et SSL
4 Vos applications Web sont elles vulnérables ?

fProblème de confidentialité des communications
fNetwork Sniffing
fCompromission de la clé privée du serveur (SSL)
fUsurpation d’identité
fIdentité du client
f Back Door
f Keyloger, etc
fIdentité du serveur
f Attaques DNS, etc.
4 Sécurisation des portails Web: technologie PKI et SSL
f Utilisation de la technologie SSL / TLS

f Technologie PKI par excellence
f Authentification du serveur
f Certificat X509 publique (Verisign, Thawte, Certplus, etc.)
f Authentification possible du client
f Certificat X509 personnel
f Services de sécurité
f L’authentification
f La confidentialité
f L’intégrité
f La non répudiation
4 Sécurisation des portails Web: authentification des clients
PKCS#12
Smartcard
Challenge Response
SSL / TLS
Web Server SSL
Token USB
4 Sécurisation des portails Web: Module HSM
Smartcards
HSM
SSL Acceleration
SSL or TLS
Web Server SSL

4 Sécurisation des portails Web: Autorisation
f Mécanisme de gestion des privilèges sur le portail Web

f Droits d’accès
f Lecture
f Ecriture
f Etc.
f Heures de connections
f Gestion sur le web serveur de manière native
f Apache, IIS, Netscape, etc
f Gestion avec produits tiers
f Clear Trust (RSA Security)
f Site Minder (Netegrity)
f Etc.
4 Sécurisation des portails Web: Autorisation
fUtilisation des certificats numériques

fCertificats X509 (Issuer DN (o=e-xpertsolutions, ou=InfoSec,
cn=sysadm c=CH)
fCertificats X509 avec attributs dans les extensions
fSales, Marketing, etc.
fLa tendance: les PAC !
fCertificat temporaire contenant les privilèges
fSolution de Single Sign On
f Même idée que les tickets Kerberos
4 Sécurisation des portails Web: PAC
Certificat X509
personnel
PAC
Dn: cn=Alice
Lien par le DN
Alice
Attributs:
Sales: rwm
Marketing: r
Global: r
Signature
Sécurisation d’un portail Web

Démonstration avec RSA Security, Valicert et Apache
Sécurisation de la messagerie
Technologie S/Mime et PKI
4 Etes vous sûrs de l’intégrité de vos mails ?
f Quelle sont les attaques possibles ?

f Changement du contenu des messages
f Détournement des messages (DNS Attacks)
f Compromission du serveur de messagerie
f Back Door, etc.
f Lecture des messages
f Network Sniffing
f Accès au serveur de messagerie (administrateur, compromission,
Etc.)
f Usurpation de l’émeteur
f Spoofing
f Pas d’authentification
4 Sécurisation de la messagerie: S/Mime et PKI
fSecure Mime
fSolution de sécurisation de la messagerie
fStandard IETF
fMicrosoft, Lotus, Laboratoires RSA, etc.
fServices de sécurité
fL’authentification
fLa confidentialité
fL’intégrité
fLa non répudation
fUtilise la technologie PKI

fCertificats personnels X509
fAutorité de certification publique ou privée
fSupport des algorithmes symétriques
fDES, 3DES, RC2, etc.
fApplication très simple à utiliser
fSupport natif dans Outlook, Lotus, Netscape, etc.
Autorité Bob
de certification
Certificat
public ou privée
Personnel
Certificat
Alice Personnel
S/Mime
3DES / RSA Signature
Sécurisation de la messagerie
Démonstration avec RSA Security et Microsoft
Signature de documents électroniques

Technologie PKI
4 Etes vous sûrs de l’origine de vos documents électroniques ?
fLes attaques possibles:

fUsurpation d’identité de l’auteur
fSubstitution de l’origine
fAltération du contenu
fDocument Word, Excel, PDF, etc.
fRépudiation de l’auteur
fNier avoir écrit le document
4 Signature de documents électroniques
fUtilisation de la technologie PKI pour lier une

signature numérique à un document
fServices de sécurité
fL’authentification
fAuteur, Révision, etc.
fNon Répudiation
fL’intégrité
fOption: chiffrement possible avec outils
complémentaires
4 Signature de documents électroniques
Document Document signé
Clé privée
Signature
Signature de documents électronique

Démonstration avec RSA Security, Microsoft Office et Lexign
Validation des certificats X509

VA-OCSP
4 Validation des certificats X509
fRévocation d’un certificat X509

fVol ou perte du container des clés
fQuitter l’entreprise
fEtc.
fPlusieurs solutions
fCRL, Delta CRL, etc.
fProblèmes de délais
fOnline Check
fOCSP (rfc 2560)
4 Validation des certificats X509: OCSP
Validation
Authority
OCSP request
Valide
Pas valide
Inconu
Alice
Web Server Solutions à la clef
4
Validation des certificats X509: OCSP

Démonstration avec RSA Security, Valicert et Apache
Questions?
Pour plus d’informations
e-Xpert Solutions SA
Sylvain Maret
Route de Pré-Marais 29
CH-1233 Bernex / Genève
+41 22 727 05 55
info@e-xpertsolutions.com

La Citadelle Électronique Séminaire Du 14 Mars 2002

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

La Citadelle Électronique Séminaire Du 14 Mars 2002

Transféré par

Droits d'auteur :

Formats disponibles

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

fLa citadelle électronique

Risque = Coûts * Menaces * Vulnérabilités

fDéni de services (perte de productivité)

fLes « intruders » sont préparés et organisés

fAugmentation significative des vulnérabilités

Risque = Coûts * Menaces * Vulnérabilités

fUn manque de cohérence et de cohésion

Firewall, IDS, etc.

fFortifier le cœur des infrastructures

fModèle de sécurité émergent

fSécurisation des accès bâtiments

fTCP/IP, IPSec, L2TP, PPTP, etc.

fChaque application est sécurisée

fAu cœur de la citadelle

Contrôle d’intégrité des systèmes

fQuelle sont les attaques possibles ?

fOutil très puissant pour détecter les altérations

fPrend une « photo » du système lors de sa mise

Microsoft Web Serveur

Authentification forte Windows 2000

fLes attaques possibles:

fWindows 2000 utilise la technologie Kerberos

Master Key win2K Server

fDeux scénarios possibles:

Authentification forte Windows 2000

Administration sécurisée des systèmes Unix

fQuelle sont les attaques possibles ?

fSolution de remplacement de Telnet, FTP, des

f Supporte plusieurs systèmes d’authentication

SSH - Secure Shell

Sécurisation des portails Web

fQuelle sont les attaques possibles ?

f Utilisation de la technologie SSL / TLS

Web Server SSL

f Mécanisme de gestion des privilèges sur le portail Web

fUtilisation des certificats numériques

Sécurisation d’un portail Web

f Quelle sont les attaques possibles ?

fUtilise la technologie PKI

Signature de documents électroniques

fLes attaques possibles:

fUtilisation de la technologie PKI pour lier une

Document Document signé

Signature de documents électronique

Validation des certificats X509

fRévocation d’un certificat X509

Validation des certificats X509: OCSP

Pour plus d’informations

Vous aimerez peut-être aussi