Architecture des plates-formes informatiques sécurisées
Plan
Rappel
Briques techniques
Exemple échange courriel
Comparaison SSL & IPsec
SSL
IPsec
Architectures de plate-formes sécurisées
Pare-feu
Quelques architectures
NAT & PAT
IDS - IPS
Terminologie
Plate-forme
Syn. : Environnement
Pare-feu
Syn. : Coupe-feu
IDS, IPS
Intrusion Detection System
Intrusion Prevention System
Rappel : Briques techniques
Chiffrement
Symétrique ou asymétrique
Condensé
Signature
MAC (Message Authentication Code)
Certificat
Rappel : Processus Envoi
Complément: Nonce & Rejeu
Attaque du rejeu
Envoyer une seconde fois les mêmes paquets
Exemple d’attaque :
Rejouer une transaction de versement de salaire (pour le toucher DEUX fois)
Nonce
Une des parties génère un nombre aléatoire (nonce) qui identifiera la session
Cette partie refusera tout paquet à venir qui ne contienne pas le nonce (chiffré).
SSL
Phase
Tâches Handshake phase
Authentification du serveur
Agrément sur les algo utilisés
Echange de clé
En option : Authentification du client
Tâches Data transfer
Echange de fragments (protégé)
SSL - principe
Echange SSL
Couche et type de fragments
Handshake types :
ClientHello
ServerHello, Certificate, ServerHelloDone
ClientKeyExchange
Finished
…
SSL sniff (1/3)
SSL sniff (2/3)
SSL sniff (3/3)
Détail du fragment ServeurHello
Détail du fragment Certificate
Détail frag. ClientKeyExchange
ClientKeyExchange
EncryptedPreMasterSecret[64] =
17 4d 00 32 bc b2 af 95 09 0a 45 24
…
Détail du fragment Finished
Description ASN.1
TLS
struct {
opaque verify_data[12]
}
Fragmentation SSL
Structure d’un Fragment
IPsec : plan
Les RFC associées
SA
Security Association
Rappel DH
ISAKMP & IKE
Format
AH, ESP
Modes
Transport, Tunnel
IPsec : panachage technique
RFC2408 : ISAKMP
Internet Security Association and Key Management Protocol
RFC2409 : IKE
Internet Key Exchange
RFC2402 : AH
Authentication Header
RFC2406 : ESP
Encapsulated Security Payload
IPsec : Security Association
Unidirectionnelle
Pour un échange, il faut DEUX Sas
Identifié de manière unique par
SPI : Security Parameter Index
@IP SRC
Format : AH ou ESP
IPsec :Etablissement SA
Deux méthodes possibles
Manuel
Les clés publiques sont échangées une fois pour toutes, manuellement.
Automatique
ISAKMP & IKE
IPsec :ISAKMP & IKE
Formats IPsec
AH
Message authentifié
Anti-rejeu
ESP
Chiffrement
En option: Anti-rejeu
En option: Message authentifié
Format AH
Format ESP
SSL vs Ipsec
SSL
Authentification one-way
IPsec
Gestion des clés et chiffrement sont séparés
Mis en œuvre nativement dans IPv6
SSL, IPsec en couche
Synthèse : et les VPN, y sont où ?
Couche 5
SSL, SSH
Couche 3
IPsec, IP over IP, GRE
Couche 2
L2TP, PPTP
Pare-Feu principe
Pare-feu : définition
Pare-feu : composant ou ensemble de composants par lequel transite tout le trafic entre Internet et le réseau protégé
Objectif : Concentrer sur des machines dédiés les aspects sécurité
Différentes architectures
Routeur-filtreur
Bastion
Hôte à double-réseaux
Pare-feu: avantages
Concentre les aspects sécurité en un seul point
Permet la génération d ’alarmes et le suivi (monitoring)
Point unique en cas de panne (pas d ’influence sur le réseau interne)
Endroit idéal pour déployer un traducteur d ’adresses, un serveur HTTP, etc ...
Base de règles
L ’ensemble des pare-feu est basé sur des règles
Distinguer deux politiques
Tout ce qui n ’est pas autorisé est interdit
Tout ce qui n ’est pas interdit est autorisé
Traitement des paquets interdit
Rejeter : envoyer un paquet ICMP
Refuser: mettre de côté sans avertir l ’expéditeur
IP Masquerading : RFC 1631
Une implémentation d ’un mécanisme de pare-feu
Applications
Intérêt pour la sécurité
Réponse aux limites d ’adresses
Deux techniques
PAT: Port Address Translation (1:many)
Une unique adresse externe
NAT: Network Address Translation (many:many)
Ensemble d’adresses externes
IP Mascarade : Contexte
IP Mascarade : Technique NAT
IP Mascarade : Technique PAT
Port Forwarding
Limitation de NAT et PAT:
Le routeur ne sait vers quel machine locale rediriger un paquet entrant (généré par une machine ‘publique’) qui arrive sur un port non affecté (par une requête sortante).
Port forwarding permet d’initier des connexions depuis l’extérieur:
Attache une adresse IP particulière à un port particulier.
ie : toutes les requêtes sur le port 27015 (Serveur Counter Strike) vont vers la machine 192.168.0.4
Exemple : ipchains
IDS / IPS
IDS (Intrusion Detection System)
Fonctions
Rejette les paquets
Avertit l’administrateur des paquets suspects
Typologie
IDS Statique (Stateless)
IDS Dynamique (Statefull)
IPS (Intrusion Prevention System)
Fonctions
Cf IDS
Prend des décisions (arrêt d’un service, …)
IDS / IPS : schéma
Règles pour détection d’intrusion
Syntaxe SNORT pour détecter des signatures d’attaques
FORCE BRUTE
alert tcp any any -> 192.168.1.0/24 21 (content: "user root"; \ msg: "FTP root login";)
Fragmentation IP
alert tcp any any -> any any (minfrag: 256; msg: "Tiny fragments detected, possible hostile activity";)
SYN –FIN Scan
alert any any -> 192.168.1.0/24 any (flags: SF; msg: "Possible SYN FIN scan";)
