Académique Documents
Professionnel Documents
Culture Documents
Esi 2011 Baz Etu
Esi 2011 Baz Etu
(MESS)
Secrétariat Général
TABLEDESMATIERES
TABLE DES MATIERES 1
REMERCIEMENTS 111
AVANT·PROPOS X
INTRODUCTION GENERALE 1
Paae1
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _--1
1_"_'_
"_' _
CONCLUSION 57
BmUOGRAPI-IIE ET WEBOGRAPI-IIE ' 58
REMERCIEMENTS
~ twt ~ }'~ <U-w trWtci à ~ fro ~ ~ ~ 11 m'a;,u
~ L'Ecole Supérieure d'Informatique(E.S.I) pour la formation reçue durant ces trois dernières
années;
~ M. DIALLO Abdoul Karim, mon superviseur de stage qui a accordé beaucoup de son temps
~ Mme BOKOUM Awa, chef du service informatique à la BSIC Burkina qui est mon maître de
stage et qui a pu libérer son temps pour m'aider dans l'élaboration de mon projet de fin de
cycle;
1 ~". 1
INTRODUCTION GENERALE
En tant que banque comrœrciale la BSIC assure les services bancaires et financiers grâce à
des inst:rurœnts rmdernes de paiement. Aussi, d 'une part elle finance les opérations bancaires,
notamrœnt les besoins d'exploitation de sa clientèle (rond de roulement, escompte du papier
cormercial, ... ). D'autres part, elle finance les opérations de conmerce extérieur et les
opérations bancaires, notanment les besoins d'exploitation de sa clientèle (fond de roulement,
escompte du papier commercial, caution et avals, ... ). L'une des activités majeures est qu'elle
finance les projets d'investissements productifs des petites et rmyennes entreprises du secteur
privé, mixte ou public et les grands marchés dont sont adjudicataires ses clients. Enfin, elle
participe au financement des crédits de campagne des principaux produits d'exploitation.
---------------------------------------, ----
Ratmort duorale:de finde cvcle Paoe3
Etude et Optimisation d 'unepolitique de sécurité des liaisons BLR 211]]
Les clients de la BS/C bénéficient d'un certain nombre de produits parmi lesquels on peut
citer:
Dans la ville de Ouagadougou, les agences de la BSIC sont interconnectées entre elles par des
liaisons BLR. Il s'agit des agences suivantes: l'agence principale, l'agence de ouaga2000,
l'agence de Samandin, l'agence de Gounghin, l'agence de Larlé et l'agence de Charles de
Gaule. Chaque agence à une liaison point-à-point avec l'agence principale sur l'avenue
Kwarœ n'knnmh. Ainsi toutes les agences peuvent cornrmmiquer entre elles VIa l'agence
principale. La technologie BLR utilisée est le WIMAX (Wordwide Interoperability for
Microwave Access) standard IEEE 802.16d. Les services utilisés par ces intercormexions
sont la VaIP, les services de transfert de fichiers FTP et la connexion internet.
D'autres agences existent également dans d'autres villes et sont aussi connectées à l'agence
principale par des liaisons LS de l'ONATEL. Ce sont les agences de Bobo-Dioulasso,
üuahïgouya et Pouytenga. Le schéma suivant présente les interconnexions de la BSIC
Burkina dans la ville de Ouagadougou
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - _ .__. _ -
Raooort du oroie: de fin de cvde Paae6
Etude et Optimisation d'unepolitique de sécurité des liaisons BLR 2011
AnbmeII.Rde1''9!'1Ce
de Ouaga 2000
Anœme II.Rdel'.,ce
Ré!l1aJ i11IJre:
deL<rlé
9oI'ibtlS
cxdi1a1lUs
IPJi'aes
1rrp'i1lléllte5
~Acti'leDi'a:tCl"f
RéseaJ i'I1Erre:
9oI'it1:t6
CXdi'latlm
IPJi'aes
Irrp'i1llo1'11es
Ré!l1aJ i111Jre:
9oI'it1:t6
CXdi1a1lUs
IPJi'aes
1rrp'i1lléllte5
RéseaJ i111Jre:
9oI'iths
CXdi'latlm
Ré!l1aJ i1lerre:
9oI'it1:t6
IP Ji'aes
1rrp'i1lléllte5
Frewall mallnil
CXdi'latlm
IPJi'aes
1rrp'i1lléllte5
93rIelr Acti'Ie Di'a:tc.y
5er'lllU'FTP
~d'ntm3t
La stratégie de sécurité WlMAX existante à la BSIC Burkina repose sur les possibilités des
équipements WlMAX de marque RADWIN. Autrement dit, seul le modem RADWIN WlMAX
est configuré pour sécuriser les transmissions de données entre les stations. Cette stratégie de
sécurité repose sur trois principes.
II.1.1.Authentification
L'authentification est le mécanisme qui permet de s'assurer que celui qui se connecte est bien
celui qui a les droits de se connecter. Dans notre cas, le processus d'authentification est
déclenché la première fuis qu'une machine veuille communiquer avec l'une des agences. Le
rmdem de cette agence initie donc un processus d'authentification avec le modem de l'agence
distante. Le protocole d'authentification utilisé est RSA. Le protocole d'authentification RSA
utilise des certificats numériques X. 509.
L'authentification se fuit sekm le node client/serveur. Le client (la station qui initie la
communication) initialise le processus d'autorisation en envoyant un message Authentication
Information au serveur (la station qui reçoit la communication). Ce message contient le
certificat X. 509 délivré par le constructeur RADWIN. Le message Authentication Information
est purement intorrratif la station serveur peut décider de l'ignorer.
Le client envoie un message Authorization Request au serveur irmnédiatement après avoir
envoyé le message Authentication Information. Ceci est une demande de clé
d'authentification AK. Ce message est signé par le certificat X.509 du client et contient les
capacités de sécurité supportées par ce dernier. A la réception, le serveur va vérifier la
signature du message. Si les données sont correctes, elle utilise la clé publique de la station
cliente pour chiffrer une clé AK aléatoire dans un message destiné au client. Ce message
contient également la longueur de la clé et sa durée de vie ainsi que la stratégie de sécurité
choisie par le serveur.
Ainsi, si une station est authentifiée c'est corrnne SI tous les éléments du réseau de cette
station étaient authentifiés.
La prochaine authentification entre ces stations se fera après que l'une des stations se serait
mis en veille(ou à uœ fréquence donnée) et qu'une machine veuille connnuniquer.
Le schéma suivant décrit le processus d'authentification d'une station WIMAX.
Authentification InrlllTllaion
AulDrization Request
(certiftat X509 dl c1ien~ cipceités dJ séarité SlppOft93S]
~ ftItorization Reply
(br1J.Jelr de lac/é etgadlfée de vie, stratégie desécU'itéchoisie]
Clé AK CléAK
génà'edé KEK(128 bits) génère dé KEK(l28 bits)
etdé ""AC(lfiO bits) et dé .",H:(160 bits
II.1.3. Confidentialité
La confidentialité est le rrécanisrre qui permet d'assurer la protection des données contre les
actions non autorisées. Dans le cas de la BSIC, c'est l'algoritlune AES (qui est en réalité la clé
TEK) qui est utilisé pour chiffrer les données afin de garantir la confidentialité.
En effet, RADWIN a remplacé le 3DES (qui utilise des clefs de chiffrerœnt de 56 bits) par
l'AES. L'AES a été adopté par le NIST (National Institute of Standards and Teclmology) en
2001. De plus, son utilisation est très pratique car il consorrune peu de rrérmire, sa
complexité est rmindre et il est plus facile à implémenter.
L'algoritlnne procède par bloc de 128 bits (16 octets). A l'aide d'un aux une clé secrète est
ajoutée au bloc. Chaque octet est transformé par une fonction non linéaire et l'ensemble des
octets sont placés dans une matrice de 4x4 éléments. Les 3 dernières lignes sont décalées
cycliquement vers la gauche (la Zèrre ligne est décalée d'une colonne, la 3èIre ligne de 2
colormes, et la -lèrre ligne de 3 colormes). Ensuite, chaque colonne est transformée par
combinaisons linéaires des différents élérrents de la colorme (ce qui revient à multiplier la
matrice 4x4 par une autre matrice 4 x4). Une clé de tour est générée à partir de la clé secrète
par un sous-algoritlune (dit de cadencerrent). Cette clé de tour est ajoutée par un aux au
dernier bloc obtenu Ces différentes opérations définissent un « tour ». Pour une clé de 128
bits, AES nécessite 10 tours. Le schéma suivant explique le processus de chiffrerœnt avec
l'algorithrœ AES.
clé
1
1
1
1
1
1
clé de tour 1
1
1
1
1
sortie de
Il 'algorithme
J.
Repose sur RSA avec Utilisation de clé KEK pour Chiffrement avec l'algorithme
certificat X.S09 du côté de transmettre les clés lEK et de AES (128bits)
la station cliente clé HMAC pour chiffrer les
rœssages d'authentification
II.2.1. Confidentialité
L'Wl des algoritlnnes les plus puissants de chiffrement est utilisé afin de protéger les données
contre toute sorte d'interception, il s'agit de l'algorithme AES 128bits. Pour déchiffrer Wl
message crypté avec l'algoritlnne AES 128 bits, il y a 2 128 clés possibles. C'est un algoritlnne
rigide aux attaques; de plus sa conception s'est basée sur les milles de sécurité des
algorithmes qui l'ont précédé (notarrnrent le 3DES).
II.2.2. Authentification
En ce qui concerne l'authentification, un problème se pose: l'ouverture à plusieurs types
d'attaques dû au manque d'authentification mutuelle. En effet, seule la station cliente est
authentifier au niveau de la station serveur (avec un certificat X.S09) mais le serveur ne
s'authentifie pas au niveau du client. Ainsi, pendant une demande d'accès, un serveur peut
être usurpé et communiquer avec un client désirant établir une conmunication C'est Wle
mille énorme à prendre en compte surtout dans notre conteste de banque.
II.2.4. Non-répudiation
L'algorithme AES-CCM utilisé par les équipements RADW1N présente un important rôle dans
le cas de non-répudiation, En effet la clé symétrique utilisée permet de s'assurer qu'un
message a bien été envoyé par ure source spécifiée et reçu par un récepteur spécifié.
En somme, il en ressort que le véritable problème de cette stratégie de sécurité des liaisons
BLR est le manque d'authentification nmtuelle et de système de prévention d'intrusion. Ceci
est une faille de sécurité qui peut favoriser différents types d'attaques.
Ce type d'attaque consiste à écrire lID canal de fréquence radio à l'aide d'émetteur
radiofréquence qui rend ainsi possible à l'attaquant de construire me nouvelle trame de
données ou alors capturer ou rrodfier les trames de données et les retransmettre dans le canal
d'une façon continue. Ainsi, la station cliente ne demandant pas d'authentification préalable,
accepte ces requêtes. Il est même possible d'insérer des codes de virus qui pourront récupérer
des infurmations sur l'entreprise. Ce sont des trames qui peuvent avoir des répercutions sur le
modem WlMAX en consommant assez d'énergie et en paralysant le réseau
Un message de type Auth-invalid est envoyé à la station cliente lorsque la clé d'accès AK est
expirée ou lorsque le serveur n'arrive pas à authentifier le client. Ce rœssage n'est pas
protégé par HMAC et son identifiant PKM est égal à zéro. Ceci est une faille qui peut être
utilisé par des outils de DoS afin d'invalider me station légitime et ainsi l'usurper et agir en sa
gUISe.
II.2.6.4. Redirection
Il est possible pour un attaquant d'intercepter les signaux BLR et les rediriger vers un autre
réseau Les trames de données seront capturer par me autre antenne au lieu d'être acheminé
vers la destination légitime. Cette attaque perrret donc à l'attaquant de mieux exploiter les
données redirigée s.
L'analyse de l'existant nous conduit à des objectifs spécifiques pour la sécurité des liaisons
BLR. Il 1àudra mettre un place une stratégie qui permettra de gérer l'authentification mutuelle
et le contrôle d'accès. Aussi, il 1àudra que cette stratégie soit rigide face aux différentes
attaques citées plus haut.
Afin d'atteindre ces objectifs, nous allons d'abord étudier les équiperœnts de sécurité réseaux
existants. Ensuite, nous pourrons les comparer par catégories afin de fàire ressortir ceux qui
nous intéressent.
-----------.--------------_.,---------------'''''.,-_.".,--
Rapport du oroie: de fin de cycle Paae14
Eh/de et Optimisationd'unep 0 litique de sécurité des liaisonsBLR 2n11
Il s'agit d' efièctuer une analyse des différents équipements de sécurité réseaux avec leurs
forces et leurs fàiblesses. Cette section nous permettra de fàire lID bilan des différents
équipements de sécurité réseaux afin de nous permettre à la suite d'étudier celles qui pourront
nous aider dans notre projet.
II.3.2.1. Fonctionnement
Le principe de forctionœrœnt basique d'un serveur proxy est assez simple : il s'agit d'un
serveur "mandaté" par une application pour effectuer une requête sur Internet à sa place.
Ainsi, lorsqu'un utilisateur se connecte à internet à l'aide d'une application cliente configurée
pour utiliser un serveur proxy, celle-ci va se connecter en premier lieu au serveur proxy et lui
donner sa requête. Le serveur proxy va alors se connecter au serveur que l'application cliente
cherche à joindre et lui transmettre la requête. Le serveur va ensuite donner sa réponse au
proxy, qui va à son tour la transmettre à l'application cliente.
Aussi, grâce à l'utilisation d'un proxy, il est possible d'assurer un suivi des connexions (en
anglais logging ou tracking) VIa la constitution de journaux d'activité (logs)
en enregistrant systématiquement les requêtes des utilisateurs lors de leurs demandes de
connexion à Internet. Il est ainsi possible de filtrer les connexions à internet en analysant
d'une part les requêtes des clients, d'autre part les réponses des serveurs. Lorsque le filtrage
est réalisé en comparant la requête du client à une liste de requêtes autorisées, on parle de liste
blanche, lorsqu'il s'agit d'une liste de sites interdits on parle de liste noire. Enfin l'analyse des
réponses des serveurs confomérœnt à une liste de critères (mots-clés) est appelé filtrage de
contenu
serveur proxy permettant non pas aux utilisateurs d'accéder au réseau internet, mais aux
utilisateurs d'internet d'accéder indirectement à certains serveurs internes.
II.3.4. IDSIIPS
II.3.4.1. IDS
Un IDS (Intrusion Detection System) est un système qui permet de surveiller les activités d'un
réseau, de contrôler les données qui y transitent et aussi de détecter les actions suspectes sur le
réseau Ainsi, il permet d'avoir une action de prévention sur les risques d'intrusion Il existe
deux grandes familles distinctes d'IDS: les N-IDS(Network Based Intrusion Detection System)
qui assurent la sécurité au niveau du réseau et les H-IDS(Host Based Intrusion Detection
System), ils assurent la sécurité au niveau des hôtes. Un N-IDS nécessite un matériel dédié et
constitue un système capable de contrôler les paquets circulant sur un ou plusieurs liens
réseau dans le but de découvrir si un acte malveillant ou anormal a lieu Le trafic réseau est
généralement constitué de datagramrres IP. Un N-IDS est capable de capturer les paquets
lorsqu'ils circulent sur les liaisons physiques sur lesquelles il est connecté. Un N-IDS consiste
en une pile TCPIIP qui réassemble les datagrammes IP et les connexions Tep.
II.3.4.2. IPS
Un IPS (Intrusion Prevention System) est un système de prévention et de protection contre les
intrusions et non plus seulerœnt de reconnaissance et de signalisation des intrusions comme la
plupart des IDS le sont.
11.3.5.1. CHAP
II.3.5.2. PAP
II.3.5.3. SecurID
SecurID permet, en une seule étape, d'identifier avec certitude les utilisateurs du systèrre et
du réseau afin d'interdire tout accès illicite. Utilisé avec des modules de contrôle d'accès
(ACM) logiciels ou matériels dédiés, SecurID génère un nouveau code d'accès imprévisible
toutes les soixante secondes.
Le problème avec les paquets IPest que leurs contenus comprennent des données sensibles
(adresse + contenu) facilerœnt fàlsifiable. L'un des protocoles d'authentification exige donc
de rajouter un entête d'authentification cryptographique (Authentication Header) pour
perrrettre d'authentifier la provenance des paquets.
II.3.5.5. TACACS
II.3.5.6. RADIUS
un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance
- le NAS achemine la demande au serveur RADIUS;
- le serveur RADIUS consulte la base de données d'identification afin de connaître le
type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel
convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le
serveur RADIUS retourne ainsi une des quatre réponses suivantes: ACCEPT
(l'identification a réussi), REJECT(l'identification a échoué),CHALLENGE (le serveur
RADIUS souhaite des informations supplémentaires de la part de l'utilisateur) ou
encore CHANGE PASSWORD où le serveur RADIUS demande à l'utilisateur un
nouveau mot de passe. Le schéma suivant illustre les éléments entrant en jeu dans un
système utilisant le protocole RADIUS:
Après avoir étudié les équipements de sécurité avec leurs possibilités et leurs limites, et
connaissant nos besoins nous pouvons aisément découvrir celles qui nous intéresse. Nous
étudions donc les sohrtions qui peuvent répondre aux exigences suivantes:
~ Pouvoir gérer de façon sécurisée l'authentification mutuelle à l'aide de certificats
nurrériques.
~ Le seul rmyen d'avoir accès au réseau est de disposer d'un certificat (que ce soit au
niveau de la station cliente qu'au niveau de la station serveur).
~ Pouvoir gérer l'ensemble des certificats d'authentification.
~ Pouvoir empêcher une action au cas où elle arriverait à contourner la stratégie de
sécurité existante.
~ Ne pas trop surcharger le réseau avec des paquets de gestion (tenir compte de la bande
passante).
Il est possible d'associer EAP à diffërentes méthodes afin d'étendre la sécurité pendant
l'authentificatio n
II.4.1.1. EAP-MD5
2) Le serveur émet une requête EAP-MD5 sous fonne d'un texte de défi ou challenge text.
3) Le client doit répondre à cette requête en chiffrant le défi avec son mot de passe.
4) Le serveur chiffre le défi de son côté en utilisant le mot de passe du client stocké dans sa
base. Si le résuhat coïncide, le client est authentifié.
Il est très important de noter que les échanges ne sont pas chiffrés. Le challenge text et son
résuhat transitent en clair sur le réseau
Cette méthode est vulnérable aux attaques de types Dictionnaire (pas de notion de session,
attaque brute possible), Man In the Middle, session hijacking.
Le seul avantage de cette méthode est la simplicité. Le schéma suivant illustre les différentes
phases d'authentification avec EAP-MD5.
I c~nll
FOL
1 i'iIIIlI LU' : I11", , Odlntl )
Cisco a développé sa propre méthode EAP de manière à pouvoir proposer une solution
complète (cartes clients, points d'accès, serveur Radius). Malgré tout, les équipements Cisco
supportent d'autres types d'authentification (pEAP, EAP- TLS, ...).
Du point de vue de radministrateur, le fuit d'avoir une solution complète est tm avantage
indéniable. Cependant, il est difficile de contraindre tous les utilisateurs à s'équiper avec des
cartes et des points d'accès d'tm seul constructeur. Heureusement, il existe des logiciels clients
permettant de s'authentifier en utilisant LEAP avec des cartes d'autres constructeurs. Par
ailleurs, LEAP présente quelques défaillances. Tout d'abord, la clé utilisée entre le client et le
point d'accès est dérivée du login et du mot de passe stockés sur le serveur Radius. La
méthode utilisée dans ce cas est MS-CHAPv 1, connue pour être vulnérable, Ensuite, Les
échanges EAP ne sont pas chiffrés, le login passe en clair, seul le mot de passe est protégé
parle hachage MS-CHAPv 1.
II.4.1.3. EAP-TLS
EAP s'appuie sur TLS (Transport Layer Security) pour proposer une authentification
sécurisée. Cette méthode s'appuie sur les certificats électroniques. Ainsi, chaque partie
(station serveur et station cliente) doit posséder tm certificat pour prouver son identité. Ils sont
souvent considérés comrre plus sûrs que les mots de passe, cependant les opérations de
gestion qu'ils engendrent peuvent se révéler fastidieuses (création, suppression, listes de
révocation) et l'existence d'une infrastructure de gestion de clés (IGC) est requise. La
distnbution des certificats aux clients est une contrainte qu'il ne faut pas négliger.
Le processus d'authentification se fuit comrre suit :
CLIENT SERVER
EAP·Res.ponse Identity
EAP-TLS (start)
EAP·TLS:
Client-Hello
EAP-TLS:
Server-Hello
TLS certificate
ëAP-TI.S: (Client Cent. request]
(Client Certificate) ServerOone
Client Key Exchange
(Cartf. Verifi cation)
CtlaOgB Ciphor
Finished EAP-TLS:
Change Cipher
Fioished
ëAP';TLS ( mpty)
. ~rlê l
rvr
..
EAP·SIXCéSS & ~ ~I
Il
En ce qui concerne le protocole d'authentification, nous voyons que ce qui correspond le plus
à nos exigences est !e protocole EAP-TLS. En effet, ce protocole, contrairement aux autres est
capable de gérer l'authentification mutuelle avec des certificats du côté client comme du côté
serveur. Aussi, les di:flèrentes attaques sur les autres protocoles (notarrnnent Man-In-The-
Middle et attaques par dictiormaire) sont inefficaces.
Cette solution corrnnerciale est développée par la société Funk Software inc. Basée aux États-
Unis, elle a été créée par Paul FUNK en 1982. Elle a amorcé son intégration dans les réseaux
Raooort duoroie;de finde cvde Paae2S
Etude et Optimisationd 'unepolitiquede sécuritédes liaisonsBLR 2011
en 1992 avec lD1 logiciel de télémaintenance (proxy Rermte Control). Elle est désormais
spécialisée dans les systèmes d'authentification et la mobilité.
Sieel Belted Radius s'adresse aux entreprises corrnne aux fournisseurs d'accès Internet avec
deux offres distinctes : SBR/enterprise et SBR/Service Provider Edition La version Steel
Be1ted Radius Enterprise est celle qui nous intéresse. Elle coûte environ 4558€ (HT). Une
interface de SBR/entreprise se trouve ci-dessous.
Fi tle
ClSCOAP
IF 0$ jl 72.3 0.1.103
Microsoft Internet Authentication Server est une solution intéressante pour les administrateurs
ayant des serveurs Microsoft. Ce module est en effet inclus de manière standard à partir de
Windows 2000 serveur.
Pour les versions Windows NT, il faut récupérer lID pack additionnel qui contient lAS et
d'autres programmes. Microsoft propose sa vision de l'authentification mais l'application n'est
pas aussi complète que les autres produits (notarrnnent l'absence d'authentification de type
EAP-TTLS). Une interfuce de Microsoft lAS se trouve ci-dessous.
Il.4.2.3. Radiator
Le groupe "Open System Consultants" est une société créée en 1991. Ce groupe établi à Gold
Coast et Melbourne en Australie, propose des solutions pour les fournisseurs d'accès.
Radiator supporte plus de 60 méthodes d'authentification (LDAP, PAM, iPass, bases de
données, ...) et propose un mécanisme sécurisé d'échange de trames entre relais RADIUS.
RadSec (JANA, port 2083) est une solution propriétaire et développée en langage Perl. Le
prix de ce produit varie entre 600€ pour un serveur, 1800€ pour 2 à 7 serveurs et 5100€ pour
un pack infini. La configuration utilise des fichiers au format texte.
Il.4.2.4. FreeRADIUS
FreeRADIUS est une application AAA libre et gratuite. Malgré cela, ses possibilités sont très
étendues et il est le seul logiciel hbre capable de soutenir la comparaison face aux applications
commerciales. Historiquement, FreeRADIUS est basé sm les sources de Cistron RADIUS qui
n'est désormais plus développé. Parmi les solutions gratuites, il est le plus abouti et son
évolution est régulière.
Le protocole LDAP définit la méthode d'accès aux données sur le serveur au niveau du client,
et non la manière dont les infonnations sont stockées. Le protocole LDAP en est actuellement
à la version 3 et a été normalisé par l'IETF (Internet Engineering Task Force).Ce protocole se
conforme à quatre modèles de base :
MySQL est le serveur de bases de données le plus populaire. C'est un progrannne hbre et
gratuit, très robuste, rapide et capable de manipuler sans problème des tables avec des
millions de registres. C'est une solution qui pourrait beaucoup nous aider dans la gestion des
certificats.
Nous préférons la solution Mysql qui a la possibilité de gérer des groupes de clients.
Contrairement à l'annuaire LDAP, il sera plus fàcile de créer des groupes de certificats en
fonction des agences de la BSIC Burkina.
Watchguard IPS est un IPS hardware qui protège les réseaux contre un large éventail de
vulnérabilités de sécurité connues et de points fuibles dans les applications, les bases de
données et les systèmes d'exploitation. Il a aussi la capacité d'analyser tous les protocoles
principaux, notamment HfTP, HFTPS, FTP, Tep, UDP, DNS, SMFP et POP 3 pour bloquer
les attaques de protocoles, du réseau et des applications.
Pour répondre aux menaces, il est possible d'attribuer des actions spécifiques à prendre, selon
le degré de sévérité de la menace (chaque signature a une sévérité attribuée), Les adresses IP
identifiées corrnne étant source d'une attaque peuvent être automatiquement bloquées pour
empêcher un trafic malveillant futur.
Attack Mitigator IPS est une gannne de solutions de prévention d'intrusions qui protège les
réseaux face aux cyber-attaques les plus répandues. Les attaques hybrides, les attaques par
saturation (flood), les attaques par déni de service simple ou distribué (DoS/DdoS), les
anomalies de protocole et de trafic, l'usurpation d'adresse IP, et bien d'autres encore, sont
détectées avec précision et contrées en temps réel Attack Mitigator IPS assure également une
défense contre les menaces émergentes. La photo suivante nous présente l'aspect physique de
cet équiperœnt.
Snort NIDS est un logiciel libre de détection et de prévention d'intrusion. C'est égalenent le
«cheval gagnant» en matière de détection d'intrusion, utilisé par beaucoup d'entreprises et
organisations gouvernerœntales. Snort est un des plus actifs NIDS Open Source et possède
une communauté importante contribuant à son succès. Il a la capacité de détecter des erreurs
dans la couche transport et la couche réseau (dans le modèle OSI). La figure suivante présente
la position de Snort dans un réseau
Snort_inline
Nous préférons mettre en place un IPS logiciel (notamment Snort Inline) tournant sur un
système LINUX (notamment Ubuntuï. Nous retenons cette solution car toute une cornmmauté
participe à son développement et sa mise à jour, Il est gratuit et il offre plusieurs options
paramétrables comparativerœnt aux autres solutions, Il est à noter cependant que son
déploiement s'avère plus complexe.
Protocoles d'authentification
Caracté ris tiques Attaques possibles Solution Jus tificatio os
appropriée
EAP-TLS Utilisation de certificats Par obtention de
client et serveur l'ID du client
Utilisation d'un IGe
Authentification mutuelle
Authentification
EAP-TTLS Authentification Man-In-The-Middle
mutuelle basée
unilatérale avec certificat
sur des
EAP-MD5 Echangesnon chiffiés Vol de session
Authentification du client Attaques par certificats.
par hachage et par mot de dictionnaire EAP-TLS
passe Man-In-The-Middle Rigide face aux
Authentification attaques de type
unilatérale Man-In-The-
Cisco-LEAP Authentification du client Attaquespar Middle et
par hachage et par mot de dictionnaire attaques par 1
passe dictionnaire
Authentification
unilatérale
Serveurs d'authentification
Capacités Limites Solution Jus tifications
appropriée
Ste e 1belted Supporte tous les Solution propriétaire
protocoles (très coûteux)
d'authentification
Fonctionnalités avancées
lAS Directement intégré à Pas de possibilités
Microsoft Windows d'implémenter
Fonctionnement
Serveur certains protocoles
d'authentification plus rapide
Radiator Supporte tous les Fonctionnement pas (langage C)
protocoles très rapide à cause de Free
son développement Radius Supporte le
en Perl protocole EAP-
TLS
FreeRadius Supporte tous les Mise en œuvre
protocoles complexe
Fonctionnement rapide à
cause de son
développement en
langage C
Base de données des comptes d'utilisateurs
Caracté ristiques Limites Solution Jus tifications
• appropriée
Annuaire Fonctionnement sur des Gestion des groupes Possibilité de
LDAP modèles de base d'utilisateurs gérer fàcilement
complexes des groupes de
Mysql Manipulation rapide des Mise en œuvre Mysql certifica15 en
tables complexe
fonction des
agences de la
BS/C
ID SlIPS
Caractéristiques Limites Solution Justifications
appropriée
Watchguard IPS matériel Occupation de bande Toute une
IPS passante communauté
Attack IPS matériel Occupation de bande Version partie ipe à son
mitigator passante développement et
améliorée
IPS sa mise à jour.
de Snort :
Prelude IPS logiciel Besoin d'une
Snort
NIDS machine dédiée Gratuit
Inline
Snort NIDS IPS logiciel Besoin d'une
machine dédiée Largement
paramétrable
Avant de commencer à rrettre en place les sohrtions. Nous récapitulons dans le tableau
suivant les élérœnts à mettre en œuvre afin d'optimiser la politique de sécurité des liaisons
BLR de la BSfC Burkina.
IPS
!i
IVltEmeIl.Rdel'~
delll1é
IVllemell.R
cil19lrol C1l11es De GiDe
IPS
'---lB
1
RéiiJall1lEme :
91V1lrl1s
Fivltallmataill
Cldnatals
IP~
Iflllinmles
93val Actite OrB:llJy
9irIlUFlP
93val d\1llmlt
IPS
On exécute la corrnnande
$sudo vi lu rllocallopenssl-certgenlssllopenssl.cnf
[req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = BF
countryN am e_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_defaul t = Some-State
locality Name = Locality Name (eg. city)
localityName_default = BSIC
O.organizationN ame = Organ ization Name (eg. company)
O.organizatio nNam e_default = BSIC
# we can do this but it is not needed nonnally:-)
#1.organizationName = Second Organization Name (eg.
company)
# l .organizati on Nam e_d efa ult = Worl d Wide Web Pty Ud
organizationalUnitNam e = Organiz ational Unit Name (eg.
section)
#organizationalUnitName_default = BSIC
com monName = Common Name (eg. YOUR name)
co mmonName_max = 64
commo nNam e_default = BSIC
emailAddress = Email Address
emaiiAddress_max = 64
emailAddress_default=marcbazie@yahoo.fr
Pour la génération des certificats, nous avons besoin des fichiers xpextensions, CA.root,
CA.svr, CA.cltqui se trouvent dans le dossierjusrjlocaljopenssl-certgenjssl.
On crée un dossier /root/certset on copieces fichiers dans le nouveau dossier.
Le fichier CA.root permet de générer le certificat root qui est l'autorité de certification. Il
permettra la génération des certificats clients (signature du certificat). Chaque utilisateur
devra avoir son certificat et l'autorité de certification sur sa machine.
A chaque question, on tape sur la touche «Entrée ». Les fichiers root.pem, root.p12, root.der
et le dossier dernoCA sont créés. Le fichier root .pern est utilisé par FreeRadius, et il fàudra
installer le fichier root. der sur chaque station cliente.
Nous allons maintenant générer le certificat serveur.
Ce certificat sera installé sur le serveur RADIUS. On exécute alors la commande suivante
$sudo .jCAsvrserveur
Avant l'installation de FreeRadius, il faut installer certaines bibliothèques afin d'éviter des
erreurs pendant la compilation.
On exécute la commande :
On passe à l'installation des certificats sur le serveur. Pour cela on se rend dans le dossier de
configuration de FreeRadius (/etc/raddb/), puis on efface les certificats par défàut. Après on
copie notre certificat root et serveur créés auparavantdans le dossier certs. On génère les
fichiers random & dh avec la fonction date.
Pour cela, exécutons la suite de connnande suivante
$sudo date> dh
$sudo vi/etc/raddb/eap.conf
tls {
private_key_password :;: whatever
privatekeyfile :;: ${raddbdir}jcertsjserveur.pem
certificate_fiIe :;: ${raddbdir}jcertsjserveur.pem
CA_file:;: ${raddbdir}jcertsjrootpem
dh_fiIe =${raddbdir}jcertsjdh
random_fiIe :;: ${raddbdir}jcertsjrandom
fragmentsize =1024
includelength :;: yes
#check_crl :;: yes
check_cert_cn = %{User-Name}
}
$sudo vi /etc/raddb/clientsconf
client 192.168.0.250 {
secret = bonjour
shortname = rad_win
nastype =other
}
Pour être sur que ça marche bien on lance le daemon avec le debug à l'aide de la corrnnande
$radiusd -X -A &
On ne coche pas l'option automatique. Nous allons choisir nous même l'emplacement
où ce certificat sera stocké ensuite « suivant ».
Après ces quelques manipulations, c'est la fin de l'installation. Cliquons sur « Terminer ».
..~
.
•U1'('el'f ' - ,
1 ~ .
'-,
'o.
.....
:"-~,j
On comrœnce par installer le serveur MySQL + le serveur Web (apache + php) pour la
gestion via phpmyadmin avec la corrunande :
Il faut qu'on modifie la configuration du serveur RADIUS, on édite les fichiers radiusdconf et
Raooortduoroie:de finde cycle Paae44
Etude et Optimtsationd 'unepolitique de sécurité des liaisonsBLR 2011
sql.conf
Connnençons par le fichier sql.conf
On utilise une base de données MySQL, donc on prend le driver rlm sqlmysql. Il n'y a pas de
rmt de passe par défaut pour l'accès.
Ce qui suit est un aperçu du fichier sql.conf
# Databas e type
# CUITent supported are: rlm_sq l_mysql, rlm.sql.postgresql,
authorize {
[ ... ]
#
# Read the 'users' file
# files
#
# Look in an SOL database. The schema of the database
# is meant to mirror the "users" file.
#
# See "Authorization Oueries" in sql.conf
Sql
Pour l'installation de la base de données, nous utilisons le prompt MySQL, mais il est aussi
possible d'utiliser un gestionnaire de base de données corrnne PhpMyAdmin.
On exécute la connnande :
$sudo mysql
Cette commande nous conduit à une interfàce corrnne celle située ci-dessous.
Nous avons maintenant 8 nouvelles tables, on utilisera juste les tables radgroupcheck et
usergroup. On a une table:
- nasqui pennet de remplacer le fichier client.conf en stockant la liste des NAS
autorisés;
radacctqui stocke les infonnations que retourne le NAS quand on mit de le
accounting;
radcheckqui pennet de vérifier une option d'un utilisateur (par exemple le mot
de passe quand on utilise PEAP ou 111...8) ;
- radgroupcheck même chose que radcheck mais pour une option de groupe ;
radgroupreply qui pennet de retourner une option de groupe
- radpostauth qui stocke chaque authentification réussie;
radreply qui permet de retourner une option pour l'utilisateur
- usergroupqui pennet de mire la liaison entre le nom d'utilisateur et son groupe.
111.2.4.1. Pré-requis
On crée deux dossiers, un pour stocker le fichier de configuration, l'autre pour stocker les
règles Snort.
On copie les deux fichiers à l'intérieur du dossier /etc/snort inline/rules à l'aide des
corrnnandes :
I$su do /varllog/snorCinline
On crée la base de données et les tables MySQL pour recevoir les journaux de Snort avec les
corrnnandes :
Comme il est dangereux d'accéder à la base de données en tant que root, nous avons besoin
de créer un utilisateur qui a des permissions sur la base de données snort.
»flush privlleqes:
»exit;
On exécute la commande
'$sudo cd snortinline-Za.Sa
I$sudo ,jconfigure -witb-mysql
I$sudo make
Une fois Snort_Inlineinstallé, il est nécessaire d'installer les règles de signature Snort et de les
maintenir à jour.
On installe oinkmaster, après l'installation ouvrons le fichier /etc/oinkmaster.conf et ajoutons
la ligne suivante pour mettre à jour les règles:
uri =http://www.bleedingsnort.comjbleeding.rules.tar.gz
Elles indiquent quelles règles seront utilisées. Si on ajoute un ''#'' au début d'une ligne, la
règle correspondante ne sera pas pris en compte. Le démarrage du script oinkmaster va
télécharger les règles bleedingsnort et dire s'il y a un problème.
$sudo su oinkmaster
$sudo oinkmaster -0 /etc/snorc/rules -b /etc/snort/backup 2>&1
Snort utilise NetFilter pour filtrer les paquets. NetFilter est un module du noyau de Linux
disporuble depuis la version 2.4 du noyau Il fournit trois principales fonctionnalités: le
filtrage de paquet (accepte ou rejette des paquets), le NAT (change la source ou la destination
IP d'un paquet réseau), le "Packet Mangling" (modifie les paquets).Nous devons charger le .
module Ïp_queue et vérifier si Iopération a bien été effectuée.
ConfiguronsIptables pour tester Snort Inline. Nous configurons en réalité une règle Netfilter
pour envoyer tout le trafic entrant vers la queue où il sera analysé contre les règles de
Snort Inline.
$sudo iptables - L
./ -v verbose
Vérifions que Snort Tnline fontienne correctement. Nous pouvons simuler me attaque en
accédant simplement à me page web située sur la machine Snort_Inline depuis cette même
machine parce que ceci correspondra à me règle d'attaque .Snort.
Par exemple, ouvronsFirefox et entronshttp://localhost.
Consultons le journal de log de Snort à l'aide de la commande
$sudo tai/ofjvarjlogjsnorCinlinejsnorCinline{ast
En consultant l'aperçu ci-dessous, on se rend compte que le trafic a été perçu par snort.
Nous pouvons simuler me autre attaque. Ajoutons me règle de signature pour rejeter tout le
trafic web entrant.
.
Ajoutons la règle suivante dans le fichier /ete/snort inline/rules/web-attacks.rules :
L'aperçu suivant nous montre une fois de plus que snort a détecté l'attaque.
On exécute la connnande
# !/bin/bash
#
# snort inline
startû]
# Démarrage de Snort_inline
echo "Démarrage de snort inline: "
/usr/local/bin/snort_inline -c /etc/snort_inline/snort_inline.conf -Q -D -v \
-l/var/log/snort_inline
# -Q -> process le trafflc en queue
# -D -> lancer en tant que démon
# -v -> verbose
# -1 -> chemin vers les journaux (log)
# -c -> chemin vers le fichier de configuration
}
stopt) r
# Stopper les démons.
# Stopper Snortjnline
# echo "Arrêt de snort inline: "
$sudo iptables -L
Afin de finaliser la configuration de l'IPS, il est nécessaire de configurer un pont afin que
Snort_Inline vérifie les paquets avant de décider s'il mut les accepter ou les refuser.
Nous décidons de charger le rmdule du noyau bridge et nous installons l'outil qui permet de
gérer des ponts avec les connnandes
Il est nécessaire de configurer les interfuces réseau de l'IPS. Exécutons alors la commande
# interfàce Loopback
auto 10
ifàce 10 illet loopback
#
# Configuration du pont (bridge)
auto brO
iface brO inet static
addres 192.168.) .22
netmask 255 .255.255. 0
broadcast 192.168.1.255
gateway 192.168.1.1
# Ports que vous voulez ajouter dans
# le pont
bridgeyorts ethO ethl
# Temp qu'il faut attendre avant
.# le lancement du pont
bridge_maxwait 0
$sudo/etc/init.d/networking restart
Ajoutons à présent un "cron job" pour charger le module du noyau bridge chaque fois que
Linux démarre.
CONCLUSION
Le WIMAX qui est une technologie de plus en plus utilisée par les entreprises pour des
interconnexions est en réalité moins sécurisé. Il est donc nécessaire de mettre en place des
équipements de sécurité supplémentaires. Notre étude nous a permis de comprendre les
processus de sécurité de la plupart des équipements WIMAX notarrnnent l'authentification, le
PKM et la cryptographie. Aussi, il nous a été possible de percevoir un bon nombre d'attaques
sur l'environnement radio et en même temps corrnnent arriver à déjouer ces attaques avec des
serveurs et des IPS. La difficulté de cette solution est sa mise en place car c'est une solution
où il faut beaucoup de temps, savoir manipuler des fichiers textes et avoir une connaissance
des systèrres LINUX. Nos solutions proposées peuvent être implérœntées sur n'importe
quelle norme WIMAX. C'est donc une solution compatIble avec les réseaux téléphoniques
qui utilise le WIMAX mobile (notarnrœnt la norme S02.16e). Il faudra seulement tenir
compte de l'existant et ajouter certaines stratégies, certains équiperœnts ou certaines règles et
la solution est efficace pour tout le réseau
C~ projet a pu être réalisé grâce aux documents existants, mais surtout le fruit de nos
recherches personnelles. Cela nous a forgé à nous :fàrniliariser au milieu professiomel, de voir
de façon pratique les difficultés et l'organisation de celui-ci.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - . _•.._---
"
Ratmort: du orale: de lin de cvde PaaeS?
Etude et Optimisation d 'unepolitique de sécurité des liaisonsBLR 21111
BIBLIOGRAPI-llE ET WEBOGRAPI-llE
Libellés
Fabrice LEMAINQUE
Editions DUNOD
http://ellperts-univers.com'themes-pour-Ia-soutenance-en-reseaux-infonnatiques.html 07/0912011
http://www.xmco.fr/actusecu.html (18/09/2011
http://www.secuser.com.vulnerabilite/2011/110809-windows.htm. ,08/09/20 II
http://wwwJournaldunet.com.solutions/OSOI/OSOI18_wimax_versus_wifi.shtml... 09/09/2011
http://fr.wikipedia.org/wikilAdvanced_Encryption_Standard.htm 10/09/20 II
http:JIwww.commentcamarche.net/contents/protect/firewall.php3 , 05/10/20 II
http://www.commentcamarche.net/contents/lan/proxy.php3 06/10/2011
http:JIwww.commentcamarche.net/contents/authentification/radius.php3 10/10/2011
http://www.guill.net/index.php?cat=4&sec=2&cqr=4 10/10/20 Il
http://packages.ubuntu.com...................................................................................................................... 15/10/2011