Académique Documents
Professionnel Documents
Culture Documents
Lecon 1 PDF
Lecon 1 PDF
et logicielles
Février 2020
1.0
Table des
matières
Objectifs 3
Introduction 4
3
Introduction
Les défenses matérielles interviennent au niveau de l'architecture du réseau, directement sur le support sur lequel est
stockée l'information à protéger, les médias servant à transporter cette information et sur les équipements
intermédiaires traversés lors du transport.
Tous les systèmes de défense utilisent des programmes ou des algorithmes pour gérer essentiellement
l'authentification, le cryptage des données et la détection de malwares. Ces défenses logicielles sont mises en place
sur des architectures matérielles
4
Les techniques de défenses matérielles
Les techniques de
défenses matérielles I
Objectifs
Présenter les techniques de défenses matérielles
Le firewall ou pare-feu est chargé de filtrer les accès entre l'Internet et le réseau local ou entre deux réseaux
locaux (figure 1). La localisation du firewall (avant ou après le routeur, avant ou après le NAT ou translation
d'adresse) est stratégique, le firewall, qui est souvent un routeur possédant des fonctionnalités de filtrage,
possède autant d'interfaces que de réseaux connectés.
5
Les outils de défense matérielle
La configuration d'un firewall passe par l'écriture d'une suite de règles qui décrivent les actions à effectuer (
accepter ou refuser le trafic) suivant les informations contenues dans les en-têtes des paquets. Les
caractéristiques de chaque paquet sont comparées aux règles, les unes après les autres.
La première règle rencontrée qui correspond aux caractéristiques du paquet analysé est appliquée : l'action
décrite dans la règle est effectuée.
Pour assurer une sécurité maximum, la seule règle présente par défaut doit être celle qui interdit l'accès à tous
les paquets entrants et sortants, d'autres règles seront ensuite insérées pour ouvrir les accès souhaités. La
stratégie appliquée est donc : « tout ce qui n'est pas explicitement autorisé est interdit » .
Le tableau 1 donne un exemple de règles d'un firewall muni de deux interfaces : une vers le LAN privé, une
autre vers l'extérieur (cas de la figure 2).
Les règles précisent l'interface, la direction du trafic, les adresses IP (une valeur à 0 autorise toutes les
adresses), le protocole de niveau 4, les services (valeurs des ports) et éventuellement le blocage des connexions
entrantes (test du bit ACK). La stratégie de sécurité est la suivante :
- la règle A permet à toutes les machines situées sur le réseau local d'adresse 192.168.0.0 d'ouvrir une
connexion TCP vers un serveur web (port 80) externe quelconque (adresse 0.0.0.0) ;
- émission (règle C) ou réception (règle D) de courrier SMTP (port 25) avec un serveur externe ;
- les paquets entrants depuis des supposés serveurs SMTP ne peuvent passer que si la connexion a été initiée
de l'intérieur (règle D)
6
Les outils de défense matérielle
Le NAT
La translation d'adresse ou NAT est aussi un dispositif de sécurité complémentaire au filtrage dans la mesure où
elle masque les adresses privées qui ne sont par conséquent plus visibles de l'extérieur.
Les firewalls étant généralement intégrés aux routeurs qui possèdent de plus des fonctionnalités de translation, il
est nécessaire pour la compréhension des règles de routage et de filtrage de savoir dans quel ordre sont
effectuées ces différentes opérations.
Pour un paquet entrant, la translation concerne l'adresse destination (celle qui est masquée), cette opération est
nommée DNAT (Destination NAT). Il est nécessaire que la translation soit réalisée avant le processus de
routage puisque le routeur doit connaître l'adresse interne pour prendre sa décision.
Pour un paquet sortant, la translation concerne l'adresse source (celle qui doit être masquée) ; cette opération est
nommée SNAT (Source NAT). Dans ce cas, le filtrage est d'abord effectué pour savoir si le paquet est autorisé
à sortir. La translation est ensuite réalisée après le processus de routage, en sortie du routeur.
Dans la figure 3, le paquet entrant est destiné au serveur web interne. L'adresse de destination qui est
initialement celle du routeur (193.55.45.254), la seule visible de l'extérieur, est translatée vers celle du serveur
web (172.16.0.11) grâce à l'indication du numéro de port 80. Le paquet peut ensuite être routé suivant la table
et traité par la première règle du firewall, sur l'interface concernée Eth1.
Dans l'exemple de la figure 3, le paquet sortant provient du serveur web interne, il est autorisé à sortir par la
deuxième règle de filtrage. Après routage, son adresse est translatée vers celle de l'interface de sortie du routeur
(Serial 1).
7
Les outils de défense matérielle
Le DMZ
Une zone démilitarisée (ou DMZ, de l'anglais DeMilitarized Zone) est une zone de réseau privée ne faisant partie
ni du réseau local privé ni de l'Internet (figure 4).
La DMZ permet de regrouper des ressources nécessitant un niveau de protection intermédiaire. Comme un
réseau privé, elle est isolée par un firewall mais avec des règles de filtrage moins contraignantes.
Un niveau supplémentaire de sécurité peut être introduit avec un deuxième firewall. Les règles d'accès sur le
firewall du réseau local privé sont plus restrictives. La DMZ est située entre les deux firewalls avec des règles
moins restrictives introduites par le premier firewall.
Les proxys
Un système mandataire (proxy) repose sur un accès à l'Internet par une machine dédiée : le serveur mandataire
ou proxy server, qui joue le rôle de mandataire pour les autres machines locales et exécute les requêtes pour le
compte de ces dernières (figure 5).
Le serveur mandataire est configuré pour un ou plusieurs protocoles de niveau applicatif (HTTP, FTP,
SMTP...) et permet de centraliser, donc de sécuriser, les accès extérieurs (filtrage applicatif, enregistrement des
connexions, masquage des adresses des clients...).
8
Exercice : Exercice
Les VPN
Le réseau privé virtuel (VPN, Virtual Private Network) est un élément essentiel dans les architectures modernes
de sécurité. Un VPN est constitué d'un ensemble de réseaux locaux (LAN) privés reliés à travers Internet par un
« tunnel » sécurisé dans lequel les données sont cryptées.
La principale contrainte du VPN est de sécuriser les transmissions, par nature exposées sur le réseau public
Internet.
Ce mécanisme est illustré par la figure 6. Les PC des deux LAN et le PC nomade font partie du même VPN.
Les communications passent par des passerelles matérielles ou logicielles chargées d'identifier les extrémités du
tunnel, de crypter les données et de les encapsuler dans un nouveau paquet en gérant un double adressage privé
et public.
Pour mieux comprendre le rôle des passerelles et la gestion des adresses, un exemple de communication à
travers un tunnel VPN est donné sur la figure 7. Le transfert se déroule en quatre étapes :
- Le PCI (10.1.0.1) envoie un paquet vers le serveur web (10.2.0.2) comme il le ferait si ce dernier était sur
le même LAN ;
- Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute l'en-tête VPN et un nouvel en-
tête IP avec les adresses publiques et relaie le paquet ;
- à l'autre extrémité, le routeur/firewall reçoit le paquet, confirme l'identité de l'émetteur, confirme que le
paquet n'a pas été modifié, décapsule et décrypte le paquet original ;
9
Exercice : Exercice
2. Exercice : Exercice
Faites une synthèse de cette activité d'apprentissage.
10
Les techniques de défenses logicielles
Les techniques de
défenses logicielles II
Objectifs
Présenter les techniques de défenses logicielles
Tous les systèmes de défense utilisent des programmes ou des algorithmes pour gérer essentiellement
l'authentification, le cryptage des données et la détection de malwares. Ces défenses logicielles sont mises en
place sur des architectures matérielles, par exemple l'authentification sur une liaison point à point pour se
connecter à son Fournisseur d'Accès Internet (FAI), le cryptage sur un tunnel VPN ou l'antivirus sur les postes
de travail.
1. Défenses logicielles
Le cryptage
Le but de la cryptographie est de garantir la confidentialité, l'authenticité et l'intégrité des données échangées. Il
existe à l'heure actuelle deux grands principes de chiffrement ou cryptage : le cryptage symétrique qui utilise
une même clé partagée et le cryptage asymétrique qui utilise deux clés distinctes.
Il est basé sur l'utilisation d'une clé privée (ou algorithme) partagée entre les deux parties communicantes. La
même clé sert à crypter et à décrypter les messages (figure 8). Ce type de chiffrement est efficace (des
longueurs de clés de 64 ou 128 bits sont suffisantes), rapide et peu gourmand en puissance de calcul. La
principale difficulté est de trouver un moyen sécurisé pour communiquer la clé aux deux entités.
11
Défenses logicielles
- DES {Digital Encryption Standard) : avec des clés de 64 bits seulement et la puissance de calcul actuelle,
sa robustesse est mise en cause ;
- AES {Advanced Encryption Standard) : utilise des clés de 128 bits, le plus efficace aujourd'hui compte
tenu des faibles ressources de calcul nécessaires.
- la première est privée et n'est connue que de l'utilisateur qui a généré les clés ;
Les clés publique et privée sont mathématiquement liées par l'algorithme de cryptage de telle manière qu'un
message crypté avec une clé publique ne puisse être décrypté qu'avec la clé privée correspondante et qu'il est
impossible de déduire la clé privée à partir de la clé publique.
Une clé est donc utilisée pour le cryptage et l'autre pour le décryptage (figure 9).
Son principal avantage est qu'il résout en partie le problème du transfert de la clé mais en revanche, il est plus
coûteux en termes de temps de calcul et nécessite des tailles de clé plus importantes (couramment 1 024 ou 2
048 bits).
- L'algorithme de chiffrement asymétrique le plus courant est l'algorithme RSA (Rivest, Shamir, Adleman).
- L'algorithme ElGamal, du nom de son créateur Taher Elgamal, est un algorithme asymétrique basé sur les
logarithmes discrets. Il est également très utilisé pour le chiffrement et la signature.
- Le programme complet de cryptographie à clé publique le plus connu est PGP {Pretty Good Privacy), Le
format OpenPGP est le standard ouvert de cryptographie issu de PGP.
C- Échange de clé
Pour profiter de l'efficacité du chiffrement symétrique, il existe deux méthodes pour résoudre le problème de
l'échange de clé symétrique :
- l'échange de clé RSA (figure 10), nommé ainsi car des clés asymétriques publique et privée utilisant cet
algorithme servent à l'échange :
- le destinataire déchiffre la clé symétrique avec sa clé privée, puis le message avec la clé
symétrique qu'il peut utiliser à son tour pour envoyer des messages chiffrés ;
12
Défenses logicielles
- (la principale faiblesse de cette méthode est que la clé symétrique cryptée est transmise sur le réseau et
donc susceptible d'être interceptée et déchiffrée) ;
- l'échange Diffîe-Hellman (notamment utilisé dans le protocole SSH, voir § 9.5) dans lequel la clé
symétrique est générée par les deux extrémités sans qu'il ne soit nécessaire de la transmettre ; seules des
valeurs calculées à partir d'un nombre aléatoire sont échangées.
La figure 11 montre le principe de cet échange :
Le hash
Un algorithme de hachage est une fonction mathématique qui convertit une chaîne de caractères d'une longueur
quelconque en une chaîne de caractères de taille fixe appelée empreinte ou hash ou encore digest. Cette
fonction possède deux propriétés essentielles :
- elle est irréversible : il est impossible de retrouver le message lorsqu'on connaît le hash ;
- elle est résistante aux collisions : deux messages différents ne produiront jamais (en théorie) le même hash.
Les algorithmes de hachage les plus utilisés sont : MD5 (Message Digest) sur 128 bits et SHA-1 (Secure Hash
Algorithm) sur 160 bits.
La signature
La signature par chiffrement est l'équivalent électronique de la signature physique des documents papiers. Elle
garantit l'authenticité de l'expéditeur et l'intégrité du message reçu. Pour signer électroniquement un message, il
suffit de le chiffrer avec la clé privée. Le déchiffrement avec la clé publique correspondante prouve que seul le
détenteur de la clé privée a pu créer la signature.
Il est bien entendu nécessaire que la signataire du message ait transmis au préalable la clé publique au
destinataire qui vérifie la signature.
13
Défenses logicielles
Par ailleurs, il n'est pas nécessaire de chiffrer tout un document pour le signer, il suffit de chiffrer son hash. Le
destinataire pourra calculer à son tour le hash avec le même algorithme (le document aura aussi été transmis) et
comparer avec le hash reçu et déchiffré (figure 11).
L'algorithme DSA (Digital Signature Algorithm) proche de RSA est souvent utilisé pour générer une signature.
L'authentification
Une autre méthode pour s'assurer de l'identité de l'expéditeur est d'utiliser un chiffrement symétrique pour
chiffrer le hash. Dans ce cas, il s'agit d'une authentification et non d'une signature. La clé symétrique utilisée
pour vérifier le hash permet aussi de le créer. Si cette clé n'est connue que par les deux partenaires, alors elle
permet d'authentifier l'expéditeur du message.
Pratiquement, la clé n'est pas utilisée directement pour chiffrer le hash mais elle intervient lors du calcul du
hash (figure 12). Un hash ainsi généré est appelé un
MAC (Message Authentication Code). Les algorithmes de hachage classiques sont utilisés : HMAC-SHA et
HMAC-MD5.
Les certificats
La transmission de clés publiques peut être sujette à l'interception sur le réseau par le « MiM ». Celui-ci peut
intercepter la clé publique, transmettre une fausse clé
publique à l'expéditeur, déchiffrer avec sa fausse clé privée correspondante les messages envoyés par
l'expéditeur et les retransmettre au destinataire après les avoir éventuellement modifiés (figure 13).
14
Défenses logicielles
Pour garantir l'origine d'une clé publique, l'une des solutions est d'utiliser un certificat qui provienne d'un tiers
de confiance. C'est le mécanisme de signature qui est utilisé pour garantir l'identité de ce tiers. La figure 14
illustre ce principe.
La génération et la distribution sur Internet des certificats sont organisées autour d'infrastructures à clé publique
(PKI, Public Key Infrastructure). Une PKI est constituée des éléments suivants (figure 15) :
- une autorité d'enregistrement ou RA {Register Authority) qui a pour rôle d'authentifier chaque nouveau
participant. Ce dernier peut alors générer par son intermédiaire une paire de clés publique/privée ;
- une autorité de certification ou CA {Certification Authority) qui crée et signe les certificats avec l'identité
du participant, sa clé publique, une date d'expiration et sa propre signature.
- des annuaires de certificats : Le cas d'utilisation le plus courant est la connexion à un site bancaire ou
marchand à partir de son navigateur. Ce site doit être certifié par une CA. Les clés publiques des
principales CA sont donc mémorisées (et éventuellement révoquées) dans les navigateurs et ne
nécessitent pas d'installation spécifique de la part des usagers.
15
Exercice : Exercice
La plupart des certificats couramment utilisés sur Internet sont au format X.509 qui est une norme de
cryptographie de LUIT (Union Internationale des Télécommunications), dédiée aux PKI. Ce fichier transmis
par la CA sur l'ordinateur du client contient la clé publique de l'utilisateur et la signature de la CA ainsi que
différents champs normalisés qui donnent l'identité de l'émetteur (CA), les dates de validité et les algorithmes
de cryptage utilisés pour la clé publique et la signature.
2. Exercice : Exercice
Faites une synthèse de cette activité d'apprentissage.
16