Académique Documents
Professionnel Documents
Culture Documents
Sécurité, Internet et
messagerie
Partie III : Messagerie et travail
collaboratif
M. Abderrezak RACHEDI
Professeur des Universités
Université Paris-Est Marne-la-Vallée (UPEM)
Laboratoire d’Informatique Gaspard Monge (UMR8049)
Février 2019
1
© 2019 - Ddéveloppé par M. A. RACHEDI – droits réservés – reproduction interdite
2
Plan
n Messagerie électronique
n Sécurité de la messagerie
¨ les systèmes anti-SPAM
n Travail collaboratif
¨ Gestion partagée du temps
¨ Agenda électronique
¨ Suivi d’activités
n Serveurs applicatifs
¨ Serveurs d’applications
¨ Serveurs de fichiers
Messagerie électronique
Protocoles et standard
n SMTP (Simple Mail Transfer Protocol)
¨ Définit la manière de communiquer entre deux MTA en utilisant une connexion TCP
n POP3 (Post Office Protocol)
¨ Permet de récupérer localement les courriers électroniques situés sur un serveur
de messagerie
n IMAP (Interactive Message Access Protocol)
¨ Permet d'accéder aux courrier directement sur le serveur de messagerie
n MIME (Multipurpose Internet Mail Extensions)
¨ Standard qui étend le format de données des courrier pour supporter des textes en
différents codage des caractères autres que d’ASCII
MUA et MDA
n Les MUA sont les programmes utilisés par les utilisateurs pour gérer leur
messagerie.
- Exemples : Microsoft Outlook, Evolution, Thunderbird, Mutt, Pine, mailx, etc.
n qmail
¨ Architecture modulaire conçue de façon très sécurisée
¨ Configuration aisée, très performant
n Postfix
¨ Architecture similaire à qmail
¨ Plus moderne (plus d'évolutions possibles)
n Caractéristiques
¨ TCP/143 (ou TCP/993 pour imap over SSL)
¨ Les messages restent sur le serveur, l'utilisation est en mode connecté
¨ Boîtes aux lettres partagées, accès concurrentiels, etc.
¨ Plusieurs connexions IMAP peuvent être ouvertes simultanément lors de
l'accès à une BAL
¨ Création de dossiers IMAP résidant sur le serveur
MIME - exemple
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="3Pql8miugIZX0722”
--3Pql8miugIZX0722
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Bonjour,
blah blah, ci-joint un document pdf, blah blah
--3Pql8miugIZX0722
Content-Type: application/pdf
Content-Disposition: attachement; filename="figure.pdf"
Content-Transfer-Encoding: base64
JVBERi0xLjMKJcfsj6IKNiAwIG9iago8PC9MZW5ndGggNyAwIFIvRmlsdGVyIC9GbGF0Z
URlY29kZT4+CnN0cmVhbQp4nN1aS4/cxhG+81fw6BhQp9+Po4wYRoAIiLRr5BxM1paC
oRzJkvP3
--3Pql8miugIZX0722--
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
16
n Adresses particulières
¨ postmaster@domain.com (RFC 822)
¨ abuse@domain.com
¨ ...
¨ En cas d'échec de la requête DNS, cela ne veut pas dire qu'il n'y a pas
d'enregistrement MX pour le domaine concerné : le client doit réessayer
un peu plus tard...
¨ Si la requête DNS ne renvoie aucun enregistrement MX, alors le MTA
doit prendre comme MX l'hôte lui-même
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
23
Protocole SMTP
Protocole SMTP
n Lorsqu'un serveur de mail accepte un message, il ajoute un en-tête
"Received:" au début du message
bash$ nc mxa.relay.renater.fr 25
220 mxb1-1.relay.renater.fr ESMTP asm
EHLO marley.com
250-mxb1-1.relay.renater.fr
250-PIPELINING
250-SIZE 31457280
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
Outils et commandes
n L’outil “nc” (netcat) : outil polyvalent (couteau suisse). Il permet :
¨ d’ouvrir des connexions TCP, envoyer des paquets UDP,
¨ écouter des ports TCP et UDP, effectuer un scan des ports (IPv4 et IPv6).
¨ Tester le serveur SMTP: nc nom_du_serveur 25
¨ Tester la disponibilité du serveur POP3 : nc pop.laposte.net 110
Sécurité de la messagerie
électronique
¨ les messages ainsi que leurs entête sont transportés sans aucune
vérification
¨ les contrôles sur l’enveloppe sont limités aux règles anti-relayage
¨ l’enveloppe peut contenir n’importe quoi pourvu qu’elle passe l’anti-
relais
¨ un relais SMTP peut modifier un message sans violer le protocole
¨ les échanges se font en clair
Relayage SMTP
n Règle :
¨ Un serveur SMTP accepte de relayer un message seulement si l’expéditeur ou le
destinataire est local
n Mise en œuvre :
¨ Utilise les champs de l’enveloppe (EHLO, MAIL FROM : et RCPT TO :)
¨ Vérifications dans le DNS
¨ Comparaison avec la liste des sites locaux
n Contenu exécutable
¨ MIME permet de transporter des fichiers exécutables (code machine,
scripts, plug-ins,...)
¨ Les MUA ouvrent automatiquement les documents attachés
n Pour un document exécutable, l’action par défaut est (était) de l’exécuter
n Convaincre les utilisateurs d’ouvrir (exécuter) les documents attachés
n Abus de privilège
¨ MTA et MDA exécutés avec les droits du super-utilisateur augmentent
l’impact des vulnérabilités
¨ Compte de messagerie = compte Unix avec shell et exécution de code
sur le serveur POP/IMAP
¨ L’outil local de messagerie a l’accès complet à la machine de
l’utilisateur, alors qu’il traite des contenus potentiellement dangereux.
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
36
n Architecture réseau
n Au niveau MTA :
¨ protection globale
¨ plus facile de garantir la mise à jour et l’utilisation systématique
¨ problèmes de charge serveurs
¨ problèmes de politique de sécurité globale
Anti-virus
Approches :
n Limites :
¨ liste exhaustive des types MIME exécutables ?
¨ comment échanger des exécutables légitimes ?
Interaction sendmail/mimedefang
n Exemple : SpamAssassin
¨ Ensemble de tests sur le contenu
¨ Chaque test attribue des points
¨ Somme des points → score
¨ Marque les messages qui dépassent un seuil.
¨ Ecrit en Perl.
¨ Plusieurs modes de fonctionnement :
n filtre simple (utilisation avec procmail)
n filtre client d’un démon (meilleurs performances) (spamc)
n au travers de l’API milter (sendmail) → filtrage global
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
47
Sécurité du transport
IPSec
n IPSec est un protocole lié à IPv4 et IPv6. Il assure l’authentification
et le chiffrement des données via Internet
n IPSec encapsule des paquets IP complets et les protège jusqu'à
leur destination, où les paquets IP sont "décapsulés" et restitués.
n Il regroupe les protocoles suivants :
¨ Pour le chiffrement et l’authentification : ESP et AH
¨ Pour l’échange de clés IKE (Internet Key Exchange)
IPSec
n 2 types de VPN avec IPSec
n L2TP sur IPSec en mode transport (mode Microsoft) :
¨ transporte n'importe quel protocole (IP, IPX, NetBeui) ;
¨ Beaucoup d'en-têtes et d'encapsulations.
n Deux phases :
¨ Phase1 : négocie une SA (Security Association : enregistrement
contenant les paramètres pour AH et ESP) pour protéger les
négociations.
¨ phase 2 : définit les SA nécessaires pour des flux ESP ou AH.
IPSec
n Services fournis par IPSec
IPSec
n Avantages :
¨ Modèles de sécurité flexible (toolkit modulaire)
¨ Différents niveaux de sécurité : chiffrement fort ou faible et/ou
authentification
¨ Totalement transparent pour les applications
n Inconvénients :
¨ Système très complexe (nombreux protocoles)
¨ Interaction IKE & PKI possible mais pas normalisée
¨ IPSec est limité à l’instauration de VPN entre réseaux
(passerelles/serveurs)
¨ Pas d’authentification de personnes
¨ pas de transaction sécurisée & non concurrence à SSL
n Il permet :
¨ une authentification réciproque entre client et serveur à l’aide de clés symétriques ;
¨ des transaction encryptées entre client et serveur
Echange SSL
SSL : Capture
n Une fois le tunnel SSL créé, Il est donc possible de faire passer
n'importe quel protocole dedans (SMTP, POP3, HTTP, NNTP...).
n Ceci peut être réalisé avec des outils comme STunnel
(http://www.stunnel.org) ou SSH.
n La version 3.0 (actuellement la plus répandue) est standardisée par
l’IETF (Internet Engineering Task Force).
n TLS (Transport Layer Security) proposé par l’IETF est la version 3.1 de
SSL.
n TLS est défini dans le RFC 22456 et n’impose pas de méthodes de
chiffrement spécifiques.
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
62
¨ PC1 (10.2.2.2) envoie un paquet vers le serveur web S1 (10.1.1.1) comme il le ferait si
ce dernier était sur le même LAN.
¨ Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute les en-têtes
VPN et un nouvel en-tête IP (avec les @ publiques) et relaie le paquet.
¨ Le « man in the middle » peut intercepter le paquet mais ne peut lire ni son contenu ni
les adresses privées.
¨ Le routeur/firewall ASA-1 reçoit le paquet, confirme l’identité de l’émetteur, confirme
que le paquet n’a pas été modifié, et décrypte le paquet original.
¨ Le serveur S1 reçoit le paquet décrypté.
n Eléments de base :
¨ Protocole de VPN sur les routeurs ou les PCs (portables) ;
¨ Encapsulation des paquets pour leur voyage à travers
Internet
¨ Chiffrement des données pour garantir la confidentialité.
n Encapsulation :
¨ Le protocole PPTP chiffre et encapsule (fait passer par un « tunnel crypté») le
datagramme IP dans le cadre d’une connexion point à point.
¨ Le serveur VPN à l’entrée du tunnel exécute l'ensemble des contrôles de la sécurité et
des validations, et active le cryptage des données.
¨ Une trame PPTP est donc constituée :
n Du datagramme IP contenant les données utiles et les adresses IP de bout en bout ;
n De l’en-tête PPP nécessaire pour toute connexion point à point ;
n D’un en-tête GRE (Generic Routing Encapsulation) qui gère l’encapsulation et permet d’isoler
les flux IP privé et public ;
n D’un nouvel en-tête IP contenant les adresses IP source et destination des passerelles VPN
(client et serveur VPN).
n Négociation :
¨ Avant d'établir le tunnel GRE, une connexion TCP (port 1723) est utilisée :
n négociation des paramètres ;
n authentification de l'utilisateur ;
¨ La négociation se fait en clair.
¨ La version courante utilise des clés de 128 bits aléatoires.
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
69
Travail collaboratif
n Outils :
¨ Scrumblr
Serveurs applicatifs
Serveurs applicatifs
n Définition : le serveur d’application est un logiciel d’infrastructure,
installé sur ordinateur placée sur un réseau qui offre un contexte un
d’excution pour des composants applicatifs
Serveurs applicatifs
n Il existe une grande variété de logiciels serveurs et de logiciels
clients en fonction des besoins à servir :
¨ un serveur web publie des pages web demandées par des navigateurs web
¨ un serveur de messagerie électronique envoie des mails à des clients de
messagerie
¨ un serveur de fichiers permet de stocker et consulter des fichiers sur le réseau
¨ un serveur de données à communiquer des données stockées dans une base
de données
¨ un contrôleur de domaine permet de gérer les utilisateurs et les droits d'accès
sur un réseau, etc.