Académique Documents
Professionnel Documents
Culture Documents
HTTPS
132
HTTPS
133
SSL : Services
Authentification
Serveur (obligatoire), client (optionnel)
Utilisation de certificat X509 V3
A l’établissement de la session.
Confidentialité
Algorithme de chiffrement symétrique négocié, clé
générée à l’établissement de la session.
Intégrité
Fonction de hachage avec clé secrète
Non Rejeu
Numéro de séquence
134
SSL : Protocoles
Application
SSL
Handshake
Alert CCS
Record
TCP
135
Handshake (1/5)
136
Handshake (2/5)
Ouverture d'une
session SSLv3
Client Serveur
Client Hello
Serveur Hello
Certificate
(Serveur Key Exchange)
(Certificate Request)
Server Hello Done
(Certificate)
Client Key Exchange
(Certificate Verify)
ChangeCipherSpec
Finished
ChangeCipherSpec
Finished
Application Data
Application Data
140
ChangeCipherSpec (CCS)
141
Le protocole Record
Reçoit les données des couches supérieures : (Handshake, Alert, CCS,
HTTP, FTP ...), et les transmet au protocole TCP.
Après application de :
la fragmentation des données en blocs de taille maximum de
214 octets
la compression des données, fonction prévue mais non
supportée actuellement.
La génération d’un condensât pour assurer le service
d’intégrité.
le chiffrement des données pour assurer le service de
confidentialité.
142
Le protocole Alert
143
Le protocole Alert (2)
145
Exercice 1
On s’intéresse à HTTPS
Lors de l’authentification, le protocole utilise une clé publique contenue
dans un certificat que le serveur détient et diffuse au client à
l’établissement de la connexion. Quelles sont les services offerts par
l’utilisation d’un certificat serveur ?
Comment l'utilisateur du navigateur peut-
il être assuré que cette clé publique
correspond bien à l'organisme auquel il souhaite accéder ?
Pourquoi tolère-t-on l’absence d’authentification du client ?
Décrire les faiblesses de l’authentification dans SSL.
146
Exercice 2
147
CHAPITRE6
SÉCURISATION DES
SERVEURS DNS
148
Gestion des noms sur arpanet
153
L’espace des noms de domaine
• La racine s’appelle « root »
• Chaque nœud porte un
. ou root nom, c’est une zone (domaine
ou sous-domaine)
ac
domaines ac-tunis bnf
ipeti ump domaines
Univ-oujda
crdp
sous-domaines sous-domaines
www esto mail
hôtes 154
Résoudre un nom
DNS
DNS root ou . DNS .ma
ump.ma
155
DNS: RR (Ressource Record)
156
DNS: RR (Ressource Record)
La base de données DNS
Format d’un enregistrement (RR):
{nom} {TTL} Classe Type Valeurs
Classe: IN (INternet) , CH (CHaosnet,)
Contact
Zone admin@isetcom.tn
Pour la cohérence
des bases
Pour la m.à.j
158
RR A: Associe un nom à une ou plusieurs @IP, c’est le RR le plus fréquent
Serv-ftp IN A 172.172.17.3
IN A 172.172.17.12
IN A 172.172.17.26
3 IN PTR serv-ftp.isetcom.tn
12 IN PTR serv-ftp.isetcom.tn
26 IN PTR serv-ftp.isetcom.tn
RR MX: Donne la liste des machines ayant en charge la réception des mails dans le domaine
isetcom.tn IN MX 10 smtp.isetcom.tn
isetcom.tn IN MX 20 mailhost.isetcom.tn
159
Vulnérabilités du serveur DNS
Attaques du DNS
Empoisonnement de la cache
DNS A reçoit une requête pour laquelle il n’a pas
de réponse, alors il demande à DNS B.
DNS B répond avec des informations erronées.
DNS A accepte la réponse de DNS B sans aucune
autre vérification et enregistre des données
erronées dans sa cache.
Attaques du DNS
Attaques du DNS
Flooding du Client :
Le client envoie une requête DNS.
L’attaquant envoie des milliers de réponses
apparaissant comme venant du serveur DNS..
Le client accepte ces réponses car il n’a pas de
moyen pour vérifier leur origine.
Attaques du DNS
ID Spoofing du DNS
La machine X a besoin de connaitre l’IP d’une machine Y
X assigne un identificateur aléatoire (16 bits) à la requête
qu’il envoie au DNS et attend que ce nombre soit présent
dans la réponse du DNS.
Un attaquant utilisant un sniffer intercepte la requête du
DNS et envoie une réponse à X contenant l’identificateur
correct mais avec un IP de son choix.
spoofing
Solution: DNSSEC
169
RRs et RRsets
Resource Record:
name TTL class type rdata
www.ripe.net. 7200 IN A 192.168.10.3
Question: www.cnn.com
www.cnn.com A ? . (root)
dns.cs.umass.edu
lab.cs.umass.edu
Demander au serveur .com
www.cnn.com A ?
SIG(l’adresse IP et PK du serveur .com )
résolveur Serveur par sa clé privée
xxx.xxx.xxx.xxx récursif www.cnn.com A ?
.com
Signatures Demander au serveur cnn.com
des
SIG(l’adresse IP et PK du serveur .com )
transactions
par sa clé privée
add to cache
www.cnn.com A ?
slave servers
SIG(xxx.xxx.xxx.xxx)
Par sa clé privée Signatures de
la transaction
www.cnn.com cnn.com
Chaine de confiance DNSSEC
La clé publique du domaine
racine est source de confiance
Serveur de nom racine de
pour tous les serveurs de noms
l’arbre DNS
!
it. com.
Serveur de nom
177
DNS comme PKI
178
Exercice (1/2)
Vous souhaitez vous connecter à votre compte bancaire en passant par le
site Internet de votre banque.
1. Schématiser les différentes étapes vous permettant de vous connecter
au site de votre banque.
2. Donner la principale vulnérabilité du DNS.
3. Expliquer le RRset suivant :
www.mabanque.tn 7200 IN A 192.168.10.3
A 182.123.10.3
A 172.25.215.2
4. Proposez une attaque de type « DNS cache poisoning » dans ce
scénario.
179
Exercice (2/2)
5. Proposez une solution à l’attaque « DNS cache poisoning ».
6. Une des solutions proposées afin de sécuriser DNS est DNSSEC.
Expliquer son principe.
7. Changer le RRset de la question 3 afin d’appliquer les solutions de
sécurité offertes par DNSSEC.
8. Transaction Signature (TSIG) est une autre extension de sécurité
utilisant les clés symétriques.
Expliquer son fonctionnement.
Donner les principales attaques qui peuvent être résolues par TSIG.
Donner deux inconvénients de cette extension.
180