Vous êtes sur la page 1sur 37

Cryptographie

Virtual Private Network

Cryptographie

Virtual Private Network

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Cryptographie

Virtual Private Network

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Cryptographie : tymologie
1

KRUPTOS (grec) = cach

GRAPHEIN (grec) = crire

Dfinitions :
1 Code graphique (crit) dchiffrable par lmetteur et le
destinataire seulement (Dictionnaire Robert)
2

Science du secret tendant protger des donnes

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Quelques dfinitions :
1

Chiffrer : Transformer un message par un procd


cryptographique
Dchiffrer :Transformer un message chiffr pour faire
apparatre le message original en clair (connaissant
cryptographique)

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Quelques dfinitions :
1

Dcrypter :Traduire des messages chiffrs (connat pas le


procd de chiffrement)
Cryptogramme : message chiffr

Principe cryptographique :
1

Utilisation des signes conventionnels (chiffres, lettres)

Modification de lordre, de la disposition des signes

Remplacement de signes par dautres signes

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Procds cryptographiques de base :


1

Substitution

Transposition

Chiffrement clefs :le texte chiffrer est additionn avec un


texte cl : Cl de mme longueur que le texte ou Cl alatoire

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Substitution :
Substitution = un signe est remplac par un autre
Exemple : chiffrement de Csar
Taille de lalphabet (nombre de signes diffrents) : T
Cl : 1<K= 5<T
JEANRAMAEKERS = OJFSWFRFJPJWX
BRICEONDJIBOU = ? ? ?
ABCDEFGHIJKLMNOPQRSTUVWXY

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Exemples :
Crytpter en utilisant la subbstitution lexpression suivante :
PLANDUCOURSDESECURITE

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Transposition :
Transposition : Modification des positions des signes lintrieur du
message
TD faire et rendre :
Crytpter en utilisant la Transposition lexpression suivante
PLANDUCOURSDESECURITE

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Cryptographie symtrique et asymtrique :


Cryptographie symtrique : une clef est utlise pour chiffer et
dechiffrer les donnes
Avantages Cryptographie symtrique :
Seul les dtenteurs de cette clef peuvent accder aux donnes.

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Cryptographie symtrique et asymtrique :


Cryptographie asymtrique : gnration des cls
1

A gnre une paire de cls Ksa et Kpa

B gnre une paire de cls Ksb et Kpb

Avantages Cryptographie asymtrique :


1

A et B gnrent leurs cls de chiffrement indpendamment lun


de lautre

Il ny a pas de cl secrte partage

Chacun est responsable de la protection de son secret :

Toute cl publique peut tre distribue sans protection


particulire

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Grration des clefs :


3 composants qui entre en jeu :
1

cl publique

cl prive

passphrase : phrase qui fait office de "mots de passe".

Type de clefs :Il existe 2 types de cl


1

Rivest Shamir Adleman (RSA) :utilis e-commerce :pour


changer des donnes confidentielles sur Internet.
Digital Signature Algorithm (DSA) :algorithme de signature
numrique standardis par le NIST aux tats-Unis

Il existe plusieurs longueurs de cl : 1024, 2048, 4096, 8192.

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Grration des clefs


1 openssl genrsa -out nomfichier.pem taillefichier
2

avec fichier est un nom de fichier de sauvegarde

taille=taille souhaite (exprime en bits)

PEM (Privacy Enhanced Mail, format en base 64)

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Exemple : :
Exemple, pour gnrer une paire de clefs de 1024 bits, stocke dans
le fichier tests.pem :
openssl genrsa -out tests.pem 1024
Visualis les clefs RSA :
openssl rsa -in tests.pem -text -noout
1
2

Option -text demande laffichage dcod de la paire de clef


Option -noout supprime la sortie normalement produite par la
commande rsa.

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Chiffrement dun fichier de clef RSA :


Il nest pas prudent de laisser une paire de clef en clair (surtout la
partie prive). Avec la commande rsa, il est possible de chiffrer une
paire de clefs .
Pour cela trois options sont possibles qui prcisent lalgorithme de
chiffrement symtrique utiliser :
1

option -des,

option -des3

option -idea

Nota :
Il est possible de chiffrer le fichier lors de sa gnration. Il suffit de
mettre lune des trois options
1

option -des,

option -des3

option -idea
Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Certificats Numriques
Certificats Numriques sont mis en ouvre pour utiliser le protocole
SSL.
Lusage du certificat numrique est ncessire pour permettre
lchange des clefs de session entre client et serveur.
Les certificats numriques sont utiliss dans des applications
mettant en ouvre le standard S/MIME (Secure Multipurpose
Internet Mail Extensions)
exemple : messagerie.
Les Certificats Numriques permettent de chiffrer et ou signer les
messages

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Types de certificats Numriques


1

certificat serveurs

certificat client

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Certificats serveurs et clients


1 certificat serveurs
Il est ncessaire de scuriser les 2 cots dune communication
pour augmenter le niveau de scurit.
La solution la plus courante est de scuriser le point fixe qui
est le serveur.
2

certificat client

certificat serveur = preuve de lidentit du serveur

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Mise en oeuvre de certificat


1 authorit de certification :CA
2

autosignature

authorit de certification :CA


Les CA mettent disposition des certificats signs pour :
1

serveurs

standars

utilisateurs

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Exemple de CA :
1

Verisign

Thawte

Entrust

Baltimore

Certum

Certplus

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Protocle SSL
Secure Socket Layer permet de scuriser les achanges de donnes
entre client et serveur.
Les 3 fonctions :
1

authentification des serveurs

authentification des users

chiffrement des donnes

Protocle SSL dans modle OSI


Dans OSI, SSL est entre la couche TCP et Application : il est donc
vue comme la couche session.
SSL est donc independant de la couche Application et tous les
protocoles de la couche 7 peuvent etre encapsuler dans SSL.

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

TD faire et rendre :
Dresser un tableau de 10 applications de la couche 7 du modle
OSI contenant :
1

nom de lapplication

numro de port

nom de lapplication encapsul dans SSL

numro de port de lapplication encapsul dans SSL

commentaire

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

OpenSSL
Boite outils cryptographiques implmentant les protocoles
1

SSL : secure socket Layer

TLS : Tranport Layer security

Il permet de :
1

crer des clefs RSA et DSA

crer des requetes de certificat :CSR

signer des certificats

gnrer la liste de rvocation :CRL

calculder les empreintes numriques

chiffer et dchiffer les fichiers

tester les clients et serveurs SSL/TLS

manipuler les e-mails signs ou chiffrs


Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Installation de openssl
1

Lors dune authentification, lutilisateur va fournir un couple


login/passw qui devra transiter sur le rseau.
La plupart des services offrent la possibilit de chiffrer ces
changes laide dOpenSSL.
Chaque service doit disposer dun certificat SSL qui permettra
de sassurer de son authenticit et de chiffrer et dchiffrer

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Installation de openssl
aptitude install openssl openssl-blacklist openssl-doc
Les fichiers et repertoire :
1

/etc/ssl

/etc/ssl/openssl.cnf

/etc/ssl/private

/etc/ssl/certs

/usr/share/doc/openssl

/usr/lib/ssl

TD faire et rendre :
Donner le role de chaque fichier et repertoire ci-dessus :

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

cl prive, certificat, signature :Pas pas


Gnrer une cl prive pour le domaine inptic.ga nomme :
inptic.ga.key :
openssl genrsa -des3 -out inptic.ga.key 1024
Formuler une demande de certificat nomm inptic.ga.csr :
openssl req -new -key inptic.ga.key -out inptic.ga.csr
En test nous allons le signer nous-mme comme si nous tions
autorit de certification :
openssl genrsa -des3 -out ca.key 1024
openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

cl prive, certificat, signature :Pas pas (suite)


Vrifier que les fichiers et repertoires crs sont bien prsents : ls
/etc/ssl
1

ca.crt

ca.key

inptic.ga.csr

inptic.ga.key

certs

private

Signer linptic.ga.csr avec ca.crt


openssl x509 -req -in inptic.ga.csr -out inptic.ga.crt -CA ca.crt
-CAkey ca.key -CAcreateserial -CAserial ca.srl

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Cryptographie

Virtual Private Network

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Prsentation
un VPN permet un ou plisieurs sites distants de communiquer de
maniere sure.tout en empruntant des infrastructures publiques.
ce type de liaison est apparu suite aux besoins croissant des
entreprises de relier les differents sites, et ce de faon simple et
conomique.

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Mise en oeuvre des VPN


Plusieurs moyens techniques peuvent tre utiliss et coupls pour
mettre en oeuvre des VPN
Chiffrement :le chiffrement asymtrique et symtrique.
Authentification : garantir qua chaque instant de la
communication, on parle au bon interlocuteur.
Contrle dintgrit : garantir que les donnes nont pas t
modifi
Tunnel : tablir un canal entre 2 points

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Attention :
Il ny a pas quune seule faon de dployer un VPN.
Dans la plupart des cas, le protocole IPSec est utilis.Mais il
nest pas le seul.
Les spcifications du VPN dpendront de lutilisation

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Diffrents types de VPN


VPN daccs : pour les nommades et itinerents
Intranet VPN : pour relier les sites distants dune entreprise
Extranet VPN : relier une entreprise ses clients ou partenaires

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Fonctionnement
bas sur la technique de tunnelisation
Donnes peuvent ne pas appartenir IP, dans ce cas, les
donnes sont encapsuler
Tunneling est un ensemble de mcanismes comprenant
lencapsulation, transport et desencapsulation

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

Protocoles de tunnelisation
Leq principaux protocoles sont ;
GRE (Generic Routing Encapsulation)
PPP (Point to Point protocol)
PPTP (Point to Point tunneling protocol)
L2F (Layer to forwarding)
L2TP (Layer to forwarding Protocol)
IPSec
SSL/TLS

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

IPSec
Ensemble de protocoles couche 3
Scurise echange entre au niveau couche
Outils VPN
Openswan
vtun
openVPN
freeswan

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

VTUN
Permet de creer un tunnel par dessus TCP/IP.
Il supporte
trafic shaping (controle de la bande passante)
compression
chiffrement

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux

Cryptographie
Virtual Private Network

TP en groupe de 3 :
Ralisation dun tunnel entre 2 sous reseaux
1

Groupe 1 : installation et configuration vtun

Groupe 2 : installation et configuration openvn

Groupe 3 : installation et configuration openswan

Groupe 4 : installation et configuration freeswan

commentaire

Brice ONDJIBOU obrice07@gmail.com

Cours de Scurit Rseaux