Soumettre la recherche
Mettre en ligne
Sécurite operationnelle des Systèmes d'Information Volet-2
•
3 j'aime
•
1,560 vues
PRONETIS
Suivre
Sécurite opérationnelle des Systèmes d'Information Volet-2
Lire moins
Lire la suite
Formation
Signaler
Partager
Signaler
Partager
1 sur 211
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
Vpn
Vpn
malekoff
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm
projet sur le vpn presentation
projet sur le vpn presentation
Manuel Cédric EBODE MBALLA
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
Recommandé
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
Vpn
Vpn
malekoff
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm
projet sur le vpn presentation
projet sur le vpn presentation
Manuel Cédric EBODE MBALLA
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm
Introduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
sécurité informatique
sécurité informatique
Mohammed Zaoui
IPsec
IPsec
Ivandro Ismael
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
Rabeb Boumaiza
IPv6
IPv6
medalaa
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
Ousmane BADJI
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
Résumé vlsm et cidr
Résumé vlsm et cidr
Boubaker KHERFALLAH
Sécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
reseaux et systemes avances
reseaux et systemes avances
mohamednacim
La sécurité informatique
La sécurité informatique
Saber Ferjani
présentation sur le vpn
présentation sur le vpn
Manuel Cédric EBODE MBALLA
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
Manuel Cédric EBODE MBALLA
Sécurité informatique
Sécurité informatique
oussama Hafid
Cours Vlan
Cours Vlan
EL AMRI El Hassan
La sécurité des réseaux sans fil
La sécurité des réseaux sans fil
smiste
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
PRONETIS
IPS (intrusion prevention system)
IPS (intrusion prevention system)
Netwax Lab
Cours sécurité 2_asr
Cours sécurité 2_asr
TECOS
SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511
Atilgan Sesen
Jex formation-l-essentiel-de-la-commutation-junos-juniper
Jex formation-l-essentiel-de-la-commutation-junos-juniper
CERTyou Formation
Contenu connexe
Tendances
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm
Introduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
sécurité informatique
sécurité informatique
Mohammed Zaoui
IPsec
IPsec
Ivandro Ismael
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
Rabeb Boumaiza
IPv6
IPv6
medalaa
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
Ousmane BADJI
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
Résumé vlsm et cidr
Résumé vlsm et cidr
Boubaker KHERFALLAH
Sécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
reseaux et systemes avances
reseaux et systemes avances
mohamednacim
La sécurité informatique
La sécurité informatique
Saber Ferjani
présentation sur le vpn
présentation sur le vpn
Manuel Cédric EBODE MBALLA
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
Manuel Cédric EBODE MBALLA
Sécurité informatique
Sécurité informatique
oussama Hafid
Cours Vlan
Cours Vlan
EL AMRI El Hassan
La sécurité des réseaux sans fil
La sécurité des réseaux sans fil
smiste
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
PRONETIS
IPS (intrusion prevention system)
IPS (intrusion prevention system)
Netwax Lab
Cours sécurité 2_asr
Cours sécurité 2_asr
TECOS
Tendances
(20)
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Introduction à la sécurité informatique
Introduction à la sécurité informatique
sécurité informatique
sécurité informatique
IPsec
IPsec
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
IPv6
IPv6
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Résumé vlsm et cidr
Résumé vlsm et cidr
Sécurité des réseaux
Sécurité des réseaux
reseaux et systemes avances
reseaux et systemes avances
La sécurité informatique
La sécurité informatique
présentation sur le vpn
présentation sur le vpn
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
Sécurité informatique
Sécurité informatique
Cours Vlan
Cours Vlan
La sécurité des réseaux sans fil
La sécurité des réseaux sans fil
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
IPS (intrusion prevention system)
IPS (intrusion prevention system)
Cours sécurité 2_asr
Cours sécurité 2_asr
Similaire à Sécurite operationnelle des Systèmes d'Information Volet-2
SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511
Atilgan Sesen
Jex formation-l-essentiel-de-la-commutation-junos-juniper
Jex formation-l-essentiel-de-la-commutation-junos-juniper
CERTyou Formation
Portail_captif_alcasar.pptx
Portail_captif_alcasar.pptx
KenjiNatsuhi
Firewall Endian
Firewall Endian
Fouad Root
Firewall Endian
Firewall Endian
Fouad Root
VPN (3).pptx
VPN (3).pptx
NabilTouj1
F5 ltm administering big ip v11
F5 ltm administering big ip v11
Amine Haddanou
Jspx formation-junos-service-provider-switching-juniper
Jspx formation-junos-service-provider-switching-juniper
CERTyou Formation
Administration reseau
Administration reseau
nadimoc
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
AbdellahELMAMOUN
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-nat
PRONETIS
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
infcom
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes
Orange Business Services
Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radius
James Curtis Camdoum Deudjui
Ingénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
Aurore de Cosnac
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
Boubaker KHERFALLAH
Sca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfr
Yamadou BATHILY
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
Cdt juin2011 21
Cdt juin2011 21
Yassmina AGHIL
9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi
kenane toufik
Similaire à Sécurite operationnelle des Systèmes d'Information Volet-2
(20)
SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511
Jex formation-l-essentiel-de-la-commutation-junos-juniper
Jex formation-l-essentiel-de-la-commutation-junos-juniper
Portail_captif_alcasar.pptx
Portail_captif_alcasar.pptx
Firewall Endian
Firewall Endian
Firewall Endian
Firewall Endian
VPN (3).pptx
VPN (3).pptx
F5 ltm administering big ip v11
F5 ltm administering big ip v11
Jspx formation-junos-service-provider-switching-juniper
Jspx formation-junos-service-provider-switching-juniper
Administration reseau
Administration reseau
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-nat
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes
Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radius
Ingénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
Sca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfr
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Cdt juin2011 21
Cdt juin2011 21
9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi
Plus de PRONETIS
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
PRONETIS
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
PRONETIS
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
PRONETIS
C7 Réseaux : couche transport
C7 Réseaux : couche transport
PRONETIS
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
PRONETIS
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
PRONETIS
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifi
PRONETIS
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et concepts
PRONETIS
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
PRONETIS
Demonstration injection de code
Demonstration injection de code
PRONETIS
Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
PRONETIS
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013
PRONETIS
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
PRONETIS
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_b
PRONETIS
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
PRONETIS
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
PRONETIS
Plus de PRONETIS
(18)
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
C7 Réseaux : couche transport
C7 Réseaux : couche transport
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifi
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et concepts
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
Demonstration injection de code
Demonstration injection de code
Introduction cyber securite 2016
Introduction cyber securite 2016
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Dernier
SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdf
SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdf
SKennel
Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024
Gilles Le Page
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
Faga1939
Bernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx Peintre français
Txaruka
Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024
Alain Marois
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SKennel
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
MedBechir
DO PALÁCIO À ASSEMBLEIA .
DO PALÁCIO À ASSEMBLEIA .
Colégio Santa Teresinha
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directe
XL Groupe
PIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdf
RiDaHAziz
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 37
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SKennel
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SKennel
Principe de fonctionnement d'un moteur 4 temps
Principe de fonctionnement d'un moteur 4 temps
RajiAbdelghani
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
papediallo3
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SKennel
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSET
MedBechir
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 37
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Txaruka
PIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdf
RiDaHAziz
Dernier
(20)
SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdf
SciencesPo_Aix_InnovationPédagogique_Conférence_SK.pdf
Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
Bernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx Peintre français
Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
DO PALÁCIO À ASSEMBLEIA .
DO PALÁCIO À ASSEMBLEIA .
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directe
PIE-A2-P4-support stagiaires sept 22-validé.pdf
PIE-A2-P4-support stagiaires sept 22-validé.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
Bibdoc 2024 - Ecologie du livre et creation de badge.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
Principe de fonctionnement d'un moteur 4 temps
Principe de fonctionnement d'un moteur 4 temps
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSET
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
PIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdf
Sécurite operationnelle des Systèmes d'Information Volet-2
1.
VOLET 2 1 PRONETIS©2016
- Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
2.
AGENDA VOLET II Module
N°1 : Protection et cloisonnement des réseaux Menace des couches basses – Menaces sur les équipements - Bonnes pratiques Protection logique du réseau- VLAN – Firewalls - Diodes Protection de la couche applicative - Proxy – Web Applicatif Firewall (WAF) Module N°2 : Protection des applications, données et cryptologie Origine du besoin et définition – Terminologie - Concepts de base Sécurisation des données et PKI (Public Key Infrastructure) Problématique de la distribution des clés publiques - Composantes d’une PKI Certificat électronique & Cycle de vie Module N°3 : Protection des communications : messagerie et réseau Messagerie sécurisée S/MIME VPN - Virtual Private Network - Familles de VPN Standards SSL et IPSec - SSL versus IPSec Module N°4 : Authentification utilisateurs – réseaux – applications Gestion des accès aux ressources Modèles DAC/MAC/ORBAC Modes d’authentification Authentification non-rejouable 2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Module N°5 : Sélectionner des produits de sécurité Référentiels Critères d’évaluation de sécurité Processus d’évaluation des produits Exemples Pour aller plus loin Livre Magazine Articles - Web
3.
TRAVAIL PERSONNEL Sécurité informatique
et réseaux - 4eme édition Ghernaouti Lecture des chapitres suivants Chapitre 6 Sécurité des infrastructures télécoms : 6.1 à 6.5 Chapitre 8 Systèmes Pare-feu et Détection d’intrusion : 8.1 à 8.3 Chapitre 5 Chiffrement :5.1 à 5.4 Chapitre 9 Application : 9.1, 9.2, 9.4 Chapitre 4 Politique de sécurité : 4.8 3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
4.
OBJECTIFS MENACE DES COUCHES
BASSES – BONNES PRATIQUES PROTECTION LOGIQUE DU RÉSEAU- VLAN – FIREWALLS - DIODES PROTECTION DE LA COUCHE APPLICATIVE - PROXY – PARE-FEU APPLICATIF ILLUSTRATION – ARCHITECTURE SÉCURISÉE LES PRODUITS DU MARCHÉ RÉSUMÉ DU MODULE MODULE N°1 : PROTECTION ET CLOISONNEMENT DES RÉSEAUX 4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
5.
OBJECTIFS Protection périmètrique : Les
infrastructures de sécurité périmètrique protègent le système d’information des menaces extérieures. Cela se traduit par un contrôle d’accès au réseau et un cloisonnement des flux d’information. Notion de responsabilité Distinction des zones de responsabilités de l’entreprise - Où commence et où s’arrête la part de responsabilité de l’entreprise ? - Délimitation de son système d’information Un périmètre logique et non physique Joint-venture, GIE, structures à 50/50, sous-traitants, infrastructures infogérées, etc. 5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
6.
MENACES DES COUCHES
BASSES Physique Écoute des émissions électromagnétiques des câbles Connexion directe au réseau Déni de service Liaison Usurpation de paquets ARP et envoie de fausses adresses MAC Écrasement d’entrées dans le cache ARP Surcharge ou tromperie des commutateurs Réseau Obtention d’une adresse IP via DHCP Usurpation d’adresse IP Écoute sur les routeurs Déni de service visant un routeur Usurpation du protocole de routage pour insérer de mauvaises routes dans les routeurs alentours Usurpation des messages de diagnostic ICMP 6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
7.
MENACES SUR LES
ÉQUIPEMENTS Concentrateurs, commutateurs, routeurs Offrent des outils de gestion, souvent accessibles par le réseau, qui peuvent être détournés Tous exécutent des firmwares ou d’autres logiciels plus sophistiqués qui peuvent présenter des vulnérabilités Ils peuvent être bidouillés ou volés en cas d’accès physique Leurs configurations par défaut sont connues des attaquants 7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
8.
BONNES PRATIQUES Ségrégation des
réseaux Séparation des réseaux ayant des fonctions différentes (réseau des guichets automatiques séparé du réseau bureautique) Séparation des réseaux de différents niveaux de sensibilité Sécurité des différents des réseaux périphériques Mettre en place des pare-feux aux endroits stratégiques Internet, prestataires, agences…. Mise à jour des firmwares Changement des mots de passe par défaut Activer les fonctions de traçabilité 8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
9.
BONNES PRATIQUES Activer la
fonction Port Security sur les commutateurs Fonction Port-Security (sur les Cisco) : limite les effets de l’ARP spoofing, et des attaques sur le service DHCP (plusieurs MAC sur un port Ethernet) Restriction du nombre d’adresse MAC autorisé par port Configuration de comportement dynamique Envoi automatique d’une trap SNMP 99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
10.
VLAN : VIRTUAL
LAN 10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
11.
VLAN – VIRTUAL
LAN Contexte De nouveaux besoins : visio conf, e-learning, la voix sur IP De nouvelles exigences : sécurité, mobilité des utilisateurs, performance Des contraintes existantes : Sous-réseaux liés aux switchs Utilisateurs regroupés géographiquement mais avec des liens fonctionnels différents Plan d’adressage difficile à mettre en œuvre dans la cadre de la mobilité des postes Congestions des réseaux locaux (ex : tempête de broadcast) Finalités Permettre une configuration et une administration plus facile des grands réseaux Permettre la mobilité des utilisateurs Limiter les domaines de broadcast Effectuer de la QoS (Qualité de Service) Garantir la sécurité 11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
12.
VLAN – VIRTUAL
LAN Concept Une nouvelle manière d’exploiter la technique de commutation pour donner plus de flexibilité aux réseaux locaux. Un VLAN est un domaine de broadcast dans lequel l’adresse de diffusion atteint toujours les stations appartenant au VLAN. Les communications à l’intérieur du VLAN sont sécurisées (cloisonnées) et celles entre deux VLAN distincts sont contrôlées. 12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
13.
VLAN – VIRTUAL
LAN Les VLAN (Virtual LAN) Consiste à scinder une infrastructure réseau unique en différents tronçons « logiques » correspondant à un domaine de broadcast Plusieurs types de VLAN ont été définis suivant les regroupements des stations du système (voir Cours Réseaux 3A) 13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
14.
VLAN – VIRTUAL
LAN VLAN de niveau physique ou de niveau 1 VLAN 1 VLAN 2 VLAN 3 14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
15.
VLAN – VIRTUAL
LAN VLAN de niveau 2, ou VLAN de niveau MAC (Trame) VLAN 1 VLAN 2 VLAN 3 15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
16.
VLAN – VIRTUAL
LAN 16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Configuration typique d’un réseau industriel présentant une surface d’attaque maximale
17.
VLAN – VIRTUAL
LAN Comment définir les zones Dépendances fonctionnelles existantes – (Niveau 4 et les autres niveaux de 3 à 0 du modèle ISA – cf. Volet I) Ruptures technologiques entre équipements – dans le cas d’utilisation de protocoles réseaux différents – liaison d’interconnexion par des passerelles Séparation des API de sureté – place les API de pilotage et les API de sûreté dans des zones distinctes 17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Se référer à la norme IEC 62443
18.
VLAN – VIRTUAL
LAN 18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Principe des degrés de criticité avec des règles de filtrage de flux réseaux
19.
VLAN – VIRTUAL
LAN 19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Segmentation des réseaux en fonction de leur criticité
20.
ROUTEUR FILTRANT 20 PRONETIS©2016
- Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
21.
ROUTEUR Hors périmètre du
routeur : • Pas de protection contre les attaques au niveau réseau • Pas de protection au niveau applicatif 21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
22.
ROUTEUR Réseau A Réseau
B 22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Les paquets sont vérifiés dans la couche réseau. Utile en première ligne de défense. Modèle de décision simple (rejet ou acceptation) basé sur l’en-tête IP
23.
ROUTEUR Filtrage du trafic La
possibilité de filtrer les paquets est généralement incluse dans le logiciel des routeurs Travaille sur la base de toute combinaison des informations suivantes : Adresse source Adresse destination Port source Port destination (qui définit à quel service vous voulez vous connecter) Le sens d'établissement de la communication Les règles « filtres » sont appliquées de haut en bas Les spécifiques doivent être placées vers le haut de la liste Les règles génériques vers la fin ( « deny all » ) 23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
24.
ROUTEUR Fonctionnement des ACLs
(ACCESS CONTROL LIST) 2 ACLs doivent être posées sur chaque interface Format des ACLs (exemple sur un routeur CISCO) Positionnement des ACLs Requiered keyword N°ACL Action Protocol Src dest Optional Access-list 102 Permit TCP Any eq 21 144.19.74.0 0.0.0.255 gt 1023 Established 24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
25.
DMZ AUTHENTIFICATION : RÉSEAU N°
ACL Action IP Src Port Src IP Dest Port Dest Optional 102 Permit 144.19.74.201 / 255.255.255.255 Gt 1023 Any Eq 25 Established 102 Permit 144.19.74.201 / 255.255.255.255 Eq 25 Any Gt 1023 102 Deny Any Any Any Any S’il n’y avait pas le Flag « Established » , les machines extérieures pourraient générer du trafic entrant vers n'importe quel autre port. Pour résoudre ce problème nous avons besoin d'une information sur la direction (Established), en autorisant les appels entrants uniquement sur le port 25 pour les connexions déjà établies. Sécurité Externe Client Client Client Client Client Reseau Interne Relais SMTP 144.19.74.201 102 25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
26.
FIREWALLS (OU PARE-FEU) 26
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
27.
FIREWALLS Définition Terme générique pour
désigner, le logiciel ou le hardware appliquant la politique de sécurité réseau Principe Opère dans les couches TCP/IP Point de passage obligatoire (Check point) Tout le trafic entrée/sortie transite par le firewall Point de concentration sur lequel, le firewall focalise et applique la politique de sécurité Cloisonnement entre plusieurs réseaux : En général, public ou privée Pour isoler des serveurs (services), DMZ Traçabilité de l’activité réseau Ergonomie et console d’administration 27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
28.
FIREWALLS Les composantes d’un
Firewall Logiciel sur un système d’exploitation propriétaire ou standard (en général du Linux Free BSD) Hardware dédié « Appliance » Évolution des technologies de Firewalling 1ère génération: les routeurs filtrants, 2ème génération: les passerelles applicatives proxy, ou Socks 3ème génération: éléments filtrant l’état des connexions par paquets, « stateful inspection », Stratégie et orientation actuelles des constructeurs le « tout en un » : les firewalls cumulent régulièrement de nouvelles fonctionnalités (détection d’intrusion, proxy, authentification…) Le Mode « Appliance » est souvent proposé 28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
29.
FIREWALLS • Hors périmètre
du firewall : Pratiquement pas de protection au niveau applicatif Exemple : n’offre pas de protection contre les virus contenus dans un fichier transféré par FTP ou attaché à un mail au format MIME, ou bien des codes mobiles malicieux en HTTP/S 29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
30.
FIREWALLS 30 PRONETIS©2016 -
Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
31.
FIREWALLS Filtrage IP à
état - SPI - Statefull packet inspection Ensemble de contrôles sur les entêtes des paquets pour s’assurer que les protocoles de niveau Réseau (IP) et Transport (TCP, UDP, ICMP, …) sont bien respectés par les paquets inspectés. L’en-tête du paquet reçu L’information sur l’état de la connexion (ouverture, fermeture) La fragmentation IP et les Offset Type d’application au dessus de la couche transport (UDP, TCP) Interface par laquelle est traité le datagramme IP Date et heure de l’arrivée/départ du datagramme IP Vérification de l'état de la communication Vérification de la cohérence de la communication (bits SYN/SYN-ACK/ACK) Vérification de la fragmentation : analyse des datagrammes fragmentés Validation des numéros de séquences TCP Elimination des paquets « Out-Of-State » Protection contre les dénis de services réseaux Limitations : protège uniquement contre les attaques de niveau « réseau ». 3131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
32.
FIREWALLS Application Level Filtering
– ou – proxy applicatif Vérification de la cohérence et du contenu des données au niveau protocolaire. Analyse Sémantique et/ou Syntaxique des protocoles standards Principe de fonctionnement Cette technique consiste à analyser les paquets circulant sur un réseau dans le but de « décoder » le protocole applicatif utilisé : Contrôle de conformité de la communication aux standards (on parle ici de RFC) du protocole applicatif Contrôle de l’utilisation faite du protocole Avantages du contrôle de la conformité du protocole : Technique proactive, elle permet de bloquer des attaques non connues simplement car elles dérogent aux RFC ou aux règles. Elle ne nécessite pas le maintien d’une base de signatures d’attaques. Limitations : Technique efficace seulement sur les protocoles analysés (difficulté d’analyser tous les protocoles). Elle ne permet pas de détecter attaques qui respectent le protocole. 3232 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
33.
FIREWALLS 3333 PRONETIS©2016 -
Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
34.
FIREWALLS Fonctions complémentaires Anti-Spoofing :
Détection de l’usurpation d’adresse NDIS : sonde de détection et de prévention d’intrusions VPN chiffré (compliant VPN IPSec et/ou VPN SSL) Authentification des utilisateurs (sur un annuaire externe LDAP / AD) Antivirus Anti spam 3434 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
35.
FIREWALLS Inconvénients d’un routeur
filtrant Traçabilité : pas de fonction avancée pour logger les informations. Administration complexe et pas de mécanisme d’alerte Inconvénients d’un logiciel firewall installé sur un serveur Coût d’exploitation Compétences requises en Windows ou Unix Gestion des sauvegardes Nécessite le durcissement de l’OS Failles de sécurité connues Avantage du Firewall « Appliance » Système d’exploitation déjà durci et limité au stricte minimum en sortie usine Nécessite peu de maintenance Upgrade des versions OS Pas de sauvegarde complète, uniquement les fichiers de configuration (kOctects) 35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
36.
ARCHITECTURES TYPES DE
FIREWALLS DMZ (demilitarized zone) : En termes militaires, zone où les activités militaires sont interdites (cf. Corée) réseau tampon situé entre le réseau protégé (interne) et le réseau non protégé (Internet) 36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
37.
37 PRONETIS©2016 -
Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PRIVEE
38.
FIREWALLS : NETASQ 3838
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
39.
FIREWALLS 39 PRONETIS©2016 -
Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
40.
CAS DES FIREWALLS
INDUSTRIEL Marché en forte croissance Des constructeurs industriels d’automates - SCHNEIDER Des constructeurs informatiques spécifiques au monde industriels – HISCHMANN Des constructeurs et éditeurs classiques - THALES 40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
41.
CAS DES FIREWALLS
INDUSTRIEL Eagle20 : filtrage du traffic – firewall réseau http://www.hirschmann.com/en/Hirschmann_Produkte/Industrial_Ethernet/security- firewall/index.phtml Tofina : firewall applicatif http://iom.invensys.com/fr/pages/Triconex_Tofino_Firewall.aspx 41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Degree of protection: IP20 Operating temperatures: -40°C to +70°C
42.
DIODES RÉSEAUX 42 PRONETIS©2016
- Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
43.
DIODES RÉSEAUX Une diode
réseau est un système qui permet d’interconnecter 2 réseaux, en autorisant le transfert de données dans un seul sens. Ce type de système est généralement employé pour relier un réseau nécessitant un niveau de sécurité élevé, appelé « réseau haut » à un réseau de confiance moindre (par exemple (Internet), le « réseau bas » . Seul la remontée d’informations du réseau bas vers le haut est autorisée, afin de garantir la confidentialité du réseau haut. 43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Diode de données garantissant l’unidirectionnalité des flux d’information
44.
DIODES RÉSEAUX Partie matérielle
de la diode : la liaison Ethernet optique unidirectionnelle qui relie 2 serveurs est garantie par l’utilisation d’une seule fibre optique reliée du côté « bas » à un port émetteur optique (TX), du côté « haut » à un port récepteur (RX). 44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
45.
DIODES RÉSEAUX Les caractéristiques
optiques et électroniques intrinsèques du matériel assurent qu’aucune donnée ne peut être transmise du haut vers le bas, il n’existe donc pas de canal caché possible. Cette propriété matérielle distingue fondamentalement la diode réseau d’un pare-feu classique : Même s’il est possible de configurer un pare-feu pour bâtir une liaison unidirectionnelle entre deux réseaux, on ne pourra jamais assurer qu’une vulnérabilité logicielle ou un canal caché ne puisse pas un jour permettre de transférer des données dans l’autre sens. 45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
46.
DIODES RÉSEAUX Exemple :
Un réseau très sensible peut avoir besoin d'informations publiques pour son utilisation. Par exemple, un réseau de contrôle aérien aura besoin d'informations météo pour fonctionner. Si ces informations sont disponibles sur internet, il faut pouvoir les récupérer tout en protégeant les informations du contrôle aérien d'un accès non contrôlé depuis l'internet. https://www.thalesgroup.com/sites/default/files/asset/document/eli ps_sd_leaflet_fr_10042013.pdf 46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
47.
PROTECTION DE LA
COUCHE APPLICATIVE PROXY - PARE-FEU APPLICATIF 47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
48.
PROTECTION DE LA
COUCHE APPLICATIVE Inspectent les paquets au plus profond (couche 7) en tenant compte de la sémantique de l’application Ex: peuvent distinguer un GET d’un PUT dans une requête HTTP Problème Performance amoindrie Ce sont les seuls pare-feux qui prennent en charge les menaces actuelles (80% des attaques au niveau applicatif) 48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
49.
PROXIES Définition d’un serveur
Proxy Propriétés générales Coupure protocolaire entre le client et le serveur destination Relais des requêtes du client vers le serveur destination Fonctionne au-dessus de la couche IP Différentes utilisations Performances réseaux Fonctions de sécurité Définition des rôles d’un serveur Proxy Contrôle d’accès Disponibilité & Performance Traçabilité 49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
50.
PROXIES Familles de proxies Proxies
applicatifs (Proxy HTTP, Proxy SMTP…) Proxies dédiés à un ou plusieurs protocoles au dessus de TCP/UDP Proxies génériques (proxies forwarding ou Proxies de niveau circuit) 50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
51.
PROXIES Proxies Client Proxy Serveur 51
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Les paquets sont vérifiés dans la couche Application (L7), Application/Content filtering. Par exemple les commandes FTP « put » peuvent être interdites, certaines requêtes Web peuvent être interdites en fonction de l’URL demandée
52.
PROXY WEB Principes de
Fonctionnement Proxy applicatif effectue Translation de N°port et @IP Filtrage basé sur le sens du flux, N°port, @IP Analyse sémantique et syntaxique du protocole au niveau applicatif Exemple : proxy HTTP 5252 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Proxy Internet Réseau LAN Web server utilisateur requêterequête page page
53.
PROXY WEB Proxy -
Contrôle d’accès Authentification : Synchronisation avec l’annuaire d’entreprise pour les utilisateurs et les groupes Utilisant la méthode « X authenticated-user: » dans le header HTTP Utilisant le script de Login…. Définition des droits d’accès : Personnes autorisées, Heures permises et sites autorisés pour des groupes d’utilisateurs Type de navigateur Internet autorisé….. Sur la base d’un annuaire avec des login de connexion Annuaire Interne ou externe Utilisation des enregistrements (logs) Permet d’analyser les URLs demandées, et d’identifier les internautes 53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
54.
PROXY WEB Proxy -
Filtrage de contenu Filtrage des URLs permet de Bloquer certaines URLs ou certaines catégories d’URLs (listes noires) Autoriser certaines URLs (listes blanches) Obligatoire pour certaines organisations : Ecoles, Bibliothèques, etc. Sur la base des listes statiques ou dynamiques d’URL Listes blanches et listes noires Base de données incluant des millions de sites par catégorie (porn, politique, jeux, piratage, …) et mises à jour quotidiennement Critères de filtrage par groupe ou profil : Utilisateurs et groupes d’utilisateurs Stations de travail (hostname ou adresse IP) Sous-réseau en fonction des plages d’adresses IP ou VLAN Heures des accès 54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
55.
PROXY WEB Proxy -
Filtrage de contenu Filtrage des requêtes utilisateurs (exemple : Get-Only) Filtrage des codes mobiles Elimination des scripts malveillants, activeX, cookies, Java, JavaScript, Blocage des publicités Blocage des virus Blocage des tentatives d’exploitation des failles de sécurité HTML et HTTP 55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
56.
PROXY SMTP (MAILS) Proxy
– Filtrage Anti-Spam Préambule En 2007 Radicati Group estime à 75% le volume de spam par rapport au trafic email global Ouverture de la plate-forme nationale de signalement www.signal-spam.fr le 10 mai 2007 Comment lutter contre le SPAM : Pas de solution miracle à ce jour ! Action juridique (manque d’efficacité) : déposer plainte auprès de la CNIL en cas de collecte illégale d’informations personnelles des organismes de défense des consommateurs pour dénoncer des publicités mensongères. de la justice « Depuis le12 juillet 2002, la loi statue en faveur de l’opt-in : l’accord préalable et explicite de l’utilisateur pour l’utilisation de son email à des fins d’envois commerciaux. La collecte par opt-out (accord implicite) devient illégale au même titre que le spam. Le recours doit se faire auprès de l’autorité compétente » Action de sensibilisation interne des utilisateurs (travail de fond) sur le « bon » usage de la messagerie 56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
57.
PROXY SMTP (MAILS) Proxy
– Filtrage Anti-Spam Calcul coût du spam avec Vade Retro Technology http://www.vade-retro.com/fr/cout_spam.asp Pour le Gartner Group, une entreprise perd 1300 $ par an et par employé. 5757 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
58.
PROXY SMTP (MAILS) Proxy
– Filtrage Anti-Spam Action technique - Méthodes de filtrage Listes noires mises à jour en temps réel (RBL) Vérification l’adresse IP du serveur de messagerie expéditeur, en la comparant aux adresses de diverses listes noires, en vue de s’assurer que le serveur en question ne fasse pas partie des serveurs relais ouverts utilisés par les spammeurs. www.mail-abuse.com Normalement, tout serveur de messagerie sécurisé devrait refuser l'envoi (le transit – relais ouvert) de messages électroniques d'expéditeurs externes à son domaine Recherche de DNS Détermine si le serveur de messagerie expéditeur est légal et s’il a un nom d’hôte valide. Cette technique simple permet d’éliminer le spam envoyé par des serveurs de messagerie non enregistrés en tant qu’hôte qualifié au niveau d’aucun serveur de noms de domaines (DNS). 58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
59.
PROXY SMTP (MAILS) Proxy
– Filtrage Anti-Spam : Méthodes de filtrage (suite) Filtre sur empreinte Centralisation de tous les spam et calcul des empreintes par hachage. Pour tout nouveau message, l’empreinte est calculée puis comparée à la base existante. Filtre sémantique Analyse lexicale Analyse heuristique Analyse statistique (ou filtrage de Bayes) Reconnaissance optique de caractères De nombreux messages de spam sont reçus sous forme d’image et non de texte. La technique OCR (reconnaissance optique de caractères) est capable de lire le texte, même s’il apparaît sous forme d’image graphique. 59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
60.
PROXY SMTP (MAILS) Proxy
– Filtrage Anti-Spam : Analyse de l’en-tête SMTP (suite) 6060 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Return-Path: <inteactiv.credltlyonais@security.fr> Received: from mwinf0504.wanadoo.fr (mwinf0504.wanadoo.fr) by mwinb0505 (SMTP Server) with LMTP; Wed, 08 Mar 2012 03:32:56 +0100 X-Sieve: Server Sieve 2.2 Received: from me-wanadoo.net (localhost [127.0.0.1]) by mwinf0504.wanadoo.fr (SMTP Server) with ESMTP id A2B6874005E1 for <wfr400009ee3445071e7c8cb76e@back05-mail01-03.me-wanadoo.net>; Wed, 8 Mar 2012 03:32:56 +0100 (CET) Received: from -1213298912 (unknown [218.24.193.197]) by mwinf0504.wanadoo.fr (SMTP Server) with SMTP id 65F1074005E0 for <bob.leponge@wanadoo.fr>; Wed, 8 Mar 2012 03:32:52 +0100 (CET) X-ME-UUID: 20120308023253417.65F1074005E0@mwinf0504.wanadoo.fr Received: from security.fr (-1217000416 [-1216293296]) by quintanaroo.com (Qmailv1) with ESMTP id AF2AF35AF4 for <bob.leponge@wanadoo.fr>; Wed, 08 Mar 2012 06:32:51 -0800 Date: Wed, 08 Mar 2012 06:32:51 -0800 From: Security_credltllyonais <inteactiv.credltlyonais@security.fr> X-Mailer: The Bat! (v2.00.2) Personal X-Priority: 3 Message-ID: <3509647370.20120308063251@security.fr> To: Bruno <bob.leponge@wanadoo.fr> Subject: Le Credit Lyonnais.Nouveau systeme de securite de notre banque est en regime de test. MIME-Version: 1.0 Les différents relais de transit Ordinateur émetteur Date et heure Serveur messagerie qui a reçu le mail
61.
PROXY SMTP (MAILS) Proxy
– Filtrage Anti-Spam : Méthodes de filtrage (suite) 61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
62.
PROXY SMTP (MAILS) Une
alternative efficace 6262 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
63.
WAF – WEB
APPLICATION FIREWALL – REVERSE PROXY WAF – ou - Reverse Proxy (ou Proxy de relais inverse) Caractéristiques Principalement dédiés aux protocoles HTTP et HTTPS Protègent les sites web contre les attaques en provenance de l’Internet. Proposent d’assurer les fonctions d’accélération SSL (via un processeur spécialisé) déchargeant ainsi le serveur Web de cette tâche et permettant de réaliser l’analyse applicative sur le flux HTTPS Se réfère au processus où le serveur Proxy apparaît aux utilisateurs comme un serveur Web. Le reverse proxy est situé côté serveur destination La requête client est relayée à un autre serveur voir un autre Proxy serveur Permet de protéger le serveur contre les attaques applicatives 6363 Blocage des attaques applicatives externes (failles XSS, injections SQL, malwares etc...) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Reverse Proxy Internet Réseau Web server Internaute requêterequête page page
64.
WAF – WEB
APPLICATION FIREWALL – REVERSE PROXY Utilisation d’un WAF: Protection contre les attaques externes - Filtrage les requêtes au niveau applicatif - Identification des attaques grâce à la base de signatures d’attaques et aux règles de filtrage (SQL injection, XSS, Directory Traversal, Déni de service) 6464 Blocage des attaques applicatives externes PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
65.
WAF – WEB
APPLICATION FIREWALL – REVERSE PROXY 6565 Blocage des attaques applicatives externes PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
66.
PRODUITS DU MARCHÉ 66
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
67.
PRODUITS DU MARCHÉ Les
principaux acteurs du marché Firewall Palo Alto Networks Checkpoint Software Technologies Cisco Systems StormShield (ancien Netasq) Fortinet (Fortigate) Juniper Networks CyberGuard SonicWall (Dell) WatchGuard Technologies UTM (Unified Threat Management) Fortinet Sophos, Dell (SonicWall) Watchguard Check Point 6767 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
68.
PRODUITS DU MARCHÉ Proxy
Applicatif SG Blue Coat CISCO Cache Engine (intégration aux routeurs CISCO), CacheQube, Dynacache (InfoLibria), ISA Serveur (Microsoft) NetCache (NetAppliance), « I-Planet Web Proxy Server » (SUN) SafeWeb, Border Manager (Novell) Squid (Open source), Trafic Edge (Inktomi), WinGate Pro IPCop Add-on Advanced Proxy Module « Proxy » de Apache Proxy Content filtering -Anti-SPAM Olfeo WebSense Mimesweeper SurfinGate (Finjan) eSafe (Aladdin) AntiSpam (Aladdin) Mfiltro (Netasq) IPCop Add-on URL Filtering Barracuda Networks Smartfilter (Secure Computing) 6868 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés WAF – Produits spécialisés DENY ALL BEEWARE F5 Diodes – Firewall industriels THALES SCHNEIDER HIRSCHMANN INVENSYS
69.
PRODUITS DU MARCHÉ Proxy
Web 69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés WAF
70.
PAUSE-RÉFLEXION Avez-vous des questions
? 70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
71.
RÉSUMÉ DU MODULE 71
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Bonnes pratiques Cloisonnement VLANs Firewall (pare-feu) Diode Proxy Web/Mails WAF Routeur filtrant Illustration Architecture sécurisée
72.
OBJECTIFS ORIGINE DU BESOIN
ET DÉFINITION – TERMINOLOGIE - CONCEPTS DE BASE SÉCURISATION DES DONNÉES ET PKI (PUBLIC KEY INFRASTRUCTURE) PROBLÉMATIQUE DE LA DISTRIBUTION DES CLÉS PUBLIQUES - COMPOSANTES D’UNE PKI CERTIFICAT ÉLECTRONIQUE & CYCLE DE VIE RÉSUMÉ DU MODULE MODULE N°2 : PROTECTION DES APPLICATIONS, DONNÉES ET CRYPTOLOGIE 72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
73.
OBJECTIFS Patrimoine informationnel de
l’entreprise : La perte, la divulgation ou l’altération de l’information peuvent constituer un grave préjudice à l’entreprise en terme de compétitivité, d’image de marque et donc in fine de pertes financières voire la survie de l’entreprise elle-même. La mise en œuvre d’une politique de sécurité au niveau de l’information se traduit par une protection des applications sensibles et de leurs données « stratégiques ». La mesure de protection des données est principalement une mesure de chiffrement et de restriction des accès. 73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
74.
NOTIONS DE CRYPTOLOGIE 74
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
75.
NOTIONS DE CRYPTOLOGIE Origine,
problématique et terminologie 75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
76.
ORIGINE DU BESOIN
ET DÉFINITION La cryptographie assure quatre fonctions essentielles : Confidentialité : Protection de l’information d’une divulgation non autorisée (messages, fichiers, données brutes, réseau…) Intégrité : Protection contre la modification non autorisé de l’information (messages, fichiers, programmes,..) Authentification : Le destinataire d’un message doit connaître avec certitude son émetteur (ressources, utilisateurs, accès, réseau………. ) Non répudiation : Offre la garantie qu’une entité ne pourra pas nier être impliquée dans une transaction (imputabilité des transactions) 76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
77.
ORIGINE DU BESOIN
ET DÉFINITION Pour répondre à ces besoins, différentes techniques de cryptographie Le chiffrement et le déchiffrement de données par des techniques (algorithmes) à clé symétrique et asymétrique pour assurer la confidentialité et l’authentification implicite. La technique de création de condensés des informations obtenues par des opérations de hachage pour l’intégrité La signature des messages échangés afin de permettre l’authentification de leurs émetteurs et la non répudiation. 77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
78.
ORIGINE ET PROBLÉMATIQUE Historique Atbash
cipher (500 – 600 B.C.), Scytale spartiate (150 av. J.C.), Chiffre de César (100 av. J.C.), Enigma (1929) A été un enjeu de pouvoir Usage contrôlé réservé à l’état (militaires, services de renseignements, diplomates) La cryptographie a été libérée en France en 1999 (choix de protection des activités commerciales et de la vie privée et reconnaissance que les activités malveillantes en tiraient déjà parti) 78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
79.
ORIGINE ET PROBLÉMATIQUE Problématique Techniques
de chiffrement en constante évolution en fonction des progrès en mathématiques, en logique et en physique. La cryptographie est un domaine où les standards peuvent tomber aussi rapidement qu'ils naissent ( contre exemple DES 1970 ) Le chiffrement de nos jours Le chiffrement des données est « omniprésent » Sur votre ordinateur, sur Internet, Carte bancaire, Carte Vitale, GSM, la télévision payante … 79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
80.
TERMINOLOGIE Cryptographie Désigne l'ensemble des
techniques de chiffrement d'informations Cryptologie Science du chiffrement. La Cryptanalyse / Décryptage En opposition avec la cryptographie. Regroupe l'ensemble des techniques visant à décrypter les messages chiffrés sans légitimité. Déjouer les mécanismes mis en place dans le cadre de la cryptographie Chiffrement/Déchiffrement Action de retrouver les informations en clair à partir de données chiffrées Action légitime en opposition avec le décryptage 80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
81.
TERMINOLOGIE 81 PRONETIS©2016 -
Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ? ! ? •L’algorithme de cryptographie est une fonction mathématique qui est associée avec une clé. •Une clé est un mot, un nombre ou une suite de caractères alphanumériques •L’utilisation de clés différentes entraine un résultat de chiffrement différent Message en Clair Message chiffré Cryptogramme Clé de chiffrement Clé de déchiffrement Message en Clair Algorithme de Chiffrement Algorithme de Déchiffrement Cryptanalyse : Déchiffrement illégitime ?!?
82.
TERMINOLOGIE Application « interactive
» Application dépendante des informations échangées entre le client et le serveur et en générale ayant une contrainte temporelle (ou de temps de réponse) Exemple : Application Web (Browsing), Visio Conférence Application « non interactive » Application fonctionnant en mode différée (ou de façon asynchrone) Exemple : envoi de Mails, transfert de fichier (FTP) 82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
83.
NOTIONS DE CRYPTOLOGIE Les
concepts de base 83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
84.
LES CONCEPTS DE
BASE 84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Information Secret Défense (Régie par la loi) Information Confidentielle (Secret ou discrétion professionnelle) Information sensible SURETE SECURITE COMSEC TRANSEC Cryptologie Stéganographie Sécurisation contre les perturbations • Pannes • Dégradation • Bruit de fond Sécurisation contre les malveillances Sécurisation de la transmission Les données et la transmission sont dissimulées Sécurisation de la communication on sait que les données sont chiffrées
85.
LES CONCEPTS DE
BASE Chiffrement symétrique Principe Notion de symétrie car on utilise la même clé pour chiffrer et déchiffrer le message Notion fondamentale du canal sécurisé pour l'échange de la clé afin de communiquer en toute sécurité via en environnement à risque Le chiffrement consiste à appliquer au message un algorithme dont le paramètre est la clé de chiffrement, appelé aussi chiffrement à clé secrète (ou encore clé de session). C’est le moyen le plus répandu, le plus ancien et le plus simple à mettre en œuvre. 85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
86.
LES CONCEPTS DE
BASE 86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés •La même clé (Ks : Clé secrète) permet de chiffrer et déchiffrer •Les algorithmes à chiffrement symétrique sont fiables et rapides •Exemple : Algorithme DES, AES, … •Problème : Avoir un canal sécurisé pour distribuer la clé Ks Clé Ks pour chiffrement Clé Ks pour déchiffrement
87.
LES CONCEPTS DE
BASE Les algorithmes symétriques • 2 variantes de chiffrement symétrique – Chiffrement symétrique par flux (Stream Cipher) – Chiffrement symétrique par bloc (Block cipher) • Chiffrement symétrique par flux (Stream Cipher) : RC4 (Rivest Code 4) – Traitement d’un Byte à un instant donné – Key stream Ks, Message M, Résultat du chiffrement C C[i] = Ks[i] Xor M[i] M[i] = Ks[i] Xor C[i] • Chiffrement symétrique par bloque (Block cipher) : DES, AES, RC2 – Traitement d’un bloque de bytes à un instant donné (8, 16 bytes) – Matrice de données avec un clé pour sélectionner les colonnes C[i] = E(K,M[i]) M[i] = D(K,C[i]) (Modèle de base ECB) 87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
88.
LES CONCEPTS DE
BASE 88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Exemples DES (Data Encryption standard) conçu par IBM/NSA en 1970 IBM a conçu LUCIFER (128 bits), revue par la NSA pour donner le DES (56bits) En 97, une attaque a été menée en trouvant la clé de chiffrement en moins de 24 heures -> Apparition du 3DES 3DES : Robustesse effective de la clé est de 112 bits et non de 168 bits (3 x 56) IDEA 128 bits crée par la société Mediacrypt – brevet expiré en 2012 SKIPJACK : conçu par NSA en 1980 et resté secret jusqu’en 1998 – non fiable ou intégrant une backdoor. AES (Advanced Encryption standard) – Préconisation actuelle – AES-CBC 128 bits Adopté par le NIST (National Institute of Standards and Technology) Tailles de clé : 128, 192, 256, 512 Bits
89.
LES CONCEPTS DE
BASE Avantage Le chiffrement symétrique permet de chiffrer de grandes quantités de données avec des performances élevées. Inconvénients Partage de la même clé entre l’émetteur et le destinataire du message. Toute la sécurité repose sur la clé symétrique La sécurité est fragilisée par le problème de distribution des clés via un « canal non sécurisé » La gestion, la garantie de confidentialité et d'intégrité des clés secrètes engendrent alors des difficultés en termes de ressources et d'organisation : Un même utilisateur communique avec des groupes différents qui, n'ayant pas accès aux mêmes types d'information, ne doivent pas partager le même secret. Ceci conduit à utiliser un grand nombre de clés : Nombre de Clés = (n-1)n/2 avec n = nombre d’utilisateurs 89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
90.
LES CONCEPTS DE
BASE Chiffrement Asymétrique (chiffrement à clé publique) Principe Il utilise une clé différente en émission et en réception (une partie privée qui est secrète et une partie publique, dont la confidentialité n'est pas nécessaire). Ce couple de clés est appelé «bi-clé ». Les deux clés utilisées sont crypto graphiquement indissociables de telle sorte que tout message chiffré avec l’une des clés ne peut être déchiffré que par l’autre clé. Reposent sur le problèmes mathématique de la factorisation en grands nombres premiers Il est parfaitement possible de trouver les facteurs premiers d'un nombre à 50 chiffres. Il ne s'agit que d'une question de temps Valable tant qu’aucune découverte mathématique ne serait faite. 90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
91.
LES CONCEPTS DE
BASE 91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 91 • Un interlocuteur communique sa clé publique et garde sa clé Privée • Pour une communication à deux, on a 2 couples de clés (Kpu, Kpr) • une clé publique permet de chiffrer, Une clé privée sert à déchiffrer Clé Kpu de chiffrement Clé Kpr de déchiffrement Clé Kpu de chiffrement Clé Kpr de déchiffrement
92.
LES CONCEPTS DE
BASE Avantages Confidentialité : Permettre à tous de chiffrer des messages avec la clé publique d'une personne. Mais seule la clé privée sera en mesure de lire les messages. Authentification et Non répudiation : en chiffrant un message avec sa clé privée, une personne prouve la provenance du message puisque seule sa clé privée est en mesure de générer un message déchiffrable par sa clé publique connue de tous. Le chiffrement asymétrique simplifie donc la gestion des clés puisque la clé publique peut être distribuée à tout le monde. n « bi-clé » pour n utilisateurs (évolution linéaire) Au moins trois types de bi-clés pour des besoins de sécurité différents : bi-clés de signature permettant de garantir l'intégrité et l'authentification l'origine d'un message bi-clés de chiffrement utilisés pour chiffrer directement des messages bi-clés d'échange de clé destinés à protéger un échange de clé de session (elle-même utilisée pour chiffrer un message) Inconvénient Processus lent car nécessite de nombreux calculs 1000 fois plus lent que le chiffrement symétrique 92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
93.
LES CONCEPTS DE
BASE Combinaison des deux chiffrements Principe Garder les avantages des 2 systèmes (symétrique et asymétrique) Consiste à protéger les clés symétriques par un chiffrement asymétrique Fonctionnement L’émetteur chiffre son message avec une clé symétrique dite clé de session Les clés de session sont de 56, 128, 256, 512 bits. L’émetteur chiffre cette clé de session avec la clé publique du destinataire. Les clés publiques sont de 1024 bits ou 2048 bits. (ANSSI préconise une taille > 1024 bits) L’émetteur émet à la fois le message chiffré et la clé de session chiffrée. Le destinataire déchiffre la clé de session en utilisant sa clé privée. Le destinataire déchiffre ensuite le message avec cette clé de session. 93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Logiciel de cryptologie hybride : PGP, GnuPG, ACID Crytofiler
94.
LES CONCEPTS DE
BASE La combinaison des 2 principes Asymétrique et Symétrique résout : - le problème de performance : le nombre de bits chiffrés avec l’algorithme asymétrique est faible comparé à la longueur du message chiffré avec l’algorithme symétrique - Plus besoin d’un canal sécurisé pour l’échange des clés de session (ou clés secrètes) - Réduit la complexité de la gestion des clés (réduction du nombre globale de clés) Alice Bob 94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
95.
LES CONCEPTS DE
BASE 95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 95 Mécanisme : Mixage du chiffrement symétrique et asymétrique en considérant les avantages de chacun Clé Kpu de chiffrement Clé Kpr de déchiffrement Clé Ks pour chiffrement Clé Ks pour déchiffrement Génération d’une clé secrète (Clé de session Transissions de Ks Transissions sécurisé
96.
LES CONCEPTS DE
BASE Algorithmes Asymétriques RSA (1977) : Ron Rivest, Adi Shamir, Len Adelman Algorithme à clé publique le plus utilisé. Repose sur la quasi impossibilité à inverser une fonction puissance et est ainsi considéré comme sûr quand la clé est suffisamment longue RC4 et RSA sont presque toujours associés (RC4 pour le chiffrement des messages, RSA pour le chiffrement des clés AES). RSA permet l’utilisation de clé de 512, 768, 1024 ou 2048 bits Préconisation actuelle : RSA avec une clé >= 2048 bits De gauche à droite : Adi Shamir, Ronald Rivest, Leonard Adleman 96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
97.
LES CONCEPTS DE
BASE Algorithmes Asymétriques DH Diffie-Hellman (1976) Utilisé pour la mise en accord de clé de chiffrement Utilisé pour l’échange de clé à travers une liaison non sécurisée uniquement Permet de chiffrer mais pas de signer. Il doit donc être associé à un autre algorithme DSS (Digital Signature Standard) Withfield Diffie Martin Hellman 97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
98.
LES CONCEPTS DE
BASE Analogie pour l’explication du secret partagé de « Diffie-Hellman » Alice et Bernard désirent s’échanger une clé de session. Ils conviennent entre eux d’utiliser une certaine quantité de bleu pour communiquer Chacun ajoute une quantité d’une autre couleur dans son pot. La quantité et la couleur choisies par chacun ne sont connues de personne Alice Bernard 98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
99.
LES CONCEPTS DE
BASE Analogie Les deux pots de peinture sont alors échangés Alice Bernard 99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
100.
LES CONCEPTS DE
BASE Analogie Il n’est pas possible de connaître les couleurs ajoutées Chacun ajoute à nouveau la même teinte et la même quantité que la fois précédente Alice Bernard 100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
101.
LES CONCEPTS DE
BASE Analogie Alice et Bernard obtiennent la même couleur alors que les quantités ajoutées de vert et d’orange par chacun n’ont jamais été communiquées. Alice Bernard 101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
102.
LES CONCEPTS DE
BASE Calcul d’intégrité d’un message : Hachage Principe Utilisé pour contrôler l’intégrité de l’information, en envoyant cette information accompagnée de son condensé, ce dernier étant éventuellement chiffré. Ne garantie pas la provenance du message Fonction appelée également fonction de condensation Fonctionnement Permet d'obtenir un « nombre caractéristique » sous forme d’une suite de caractères de taille fixe correspondant à partir d’un message de taille variable. Chaque message doit donner qu'un seul résultat appelé un condensé du message Fonction à sens unique (On Way Function). Il est impossible de retrouver le message original à partir du condensé. C’est l'empreinte digitale du message 102 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés À un texte est associé un et un seul condensé Fonction à sens unique : impossibilité de retrouver le texte à partir d’un condensé
103.
LES CONCEPTS DE
BASE Fonctionnement (suite) Très faible probabilité pour un condensé de correspondre à deux messages En pratique, il faut que le condensé ait une taille minimum de 128 bits Probabilité de collision : Calcul de la résistance aux collisions : la ½ de la taille du condensé Condensé de 128 bits -> 264 opérations pour générer une collision Illustration d’un condensé résultat d’un opération de hachage 103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
104.
LES CONCEPTS DE
BASE Illustration de l’utilisation 104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
105.
LES CONCEPTS DE
BASE Algorithmes de Hashing MD5 (Message Digest 5) par Ron Rivest 92 Condensé de 128 Bits Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2008 SHA-1 (Secure Hash Algorithm) - plus supporté en 2016 dans les certificats Condensé de 160 Bits Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2010 SHA-256 bits et SHA-512 bits recommandés aujourd’hui pour éviter les collisions 105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
106.
LES CONCEPTS DE
BASE MD5: ad88955aae07d7b60c9d0d022cda0a34 SHA -1: eb17e6600074f371a4b40d72d35e95e0d896ee1d SHA-256: 7d0e8e1c4b5b6ba516322f603710eba7da73323fbfa4dac3e0ed4291b98737c4 SHA-512: a9261cc227b3d0ed2129d64841d59b3e82721dcb0a912c54a529c4835f281dfcf 8706a93d2d5a2047a97403701368cabca2b2a76637c634b9c9905b98f6a3c78 WHIRPOOL: 33db4434493fc116d1d1a0c602502e343f05010cdc2a1e3527d80eacd0531e339 6f2fe824883c525332f41abab77bc92c4af8407af5482f5a1b8465fbd6a439f 106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
107.
LES CONCEPTS DE
BASE Signature électronique Principe Aspect fondamentale dans l’authentification de l’origine d’une transaction ainsi que dans sa garantie de « non répudiation ». Elle s’obtient en associant une opération de hachage et un opération de chiffrement asymétrique avec la clé privée de l’émetteur Comme un condensé représente l'empreinte digitale d'un message, il suffit de chiffrer ce condensé à l'aide d'un algorithme à clés asymétriques. Si le condensé de l’émetteur ne peut pas être déchiffré à l'aide de sa clé publique, il ne provient pas de la même personne. Si le message a été modifié, les condensés après comparaison ne correspondent pas. 107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Permet d’assurer l’intégrité du message Permet d’authentifier l’expéditeur Permet d’assurer la non-répudiation
108.
LES CONCEPTS DE
BASE 108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Clé Kpu de chiffrement Clé Kpr de déchiffrement Vérification authenticité par le destinataire Transissions Scellement du message de l’expéditeur Sceau Permet d’assurer l’intégrité du message Permet d’authentifier l’expéditeur Permet d’assurer la non-répudiation
109.
COMMENT CHOISIR UNE
TAILLE DE CLÉ ? http://www.keylength.com/fr/5/ 109 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
110.
SÉCURISATION DES DONNÉES
ET PKI (PUBLIC KEY INFRASTRUCTURE) 110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
111.
SÉCURISATION DES DONNÉES
ET PKI Problématique de la distribution des clés publiques 111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
112.
PROBLÉMATIQUE DE DE
LA DISTRIBUTION DES CLÉS PUBLIQUES Les mécanismes décrits précédemment permettent la constitution d’un réseau où les personnes peuvent communiquer de façon sûr grâce au chiffrement des messages Or, comment l’émetteur peut-être sûr que la clé publique qu’il utilise appartient bien au destinataire ? Si une personne malintentionnée a pu modifier l’annuaire (contenant l’ensemble des clés publiques) et mettre sa propre clé publique à la place du destinataire « Bob », alors cette personne peut déchiffrer les messages à destination de « Bob » ou envoyer des messages chiffrés et/ou signés en se faisant passé pour lui. D’où la nécessité d’avoir un composant supplémentaire qui garantisse que la clé est bien celle du propriétaire annoncé. 112 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
113.
PROBLÉMATIQUE DE DE
LA DISTRIBUTION DES CLÉS PUBLIQUES La PKI ou infrastructure à clés publiques a pour but de résoudre le problème de la distribution des clés publiques. La PKI fournit des certificats garantissant le lien entre une identité et un clé publique. 113 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
114.
COMPOSANTES D’UNE PKI 114
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
115.
COMPOSANTES D’UNE PKI Définition
de l’IETF L’Infrastructure à clé publique de la PKI (Public Key Infrastructure) désigne l’ensemble des moyens et des ressources nécessaires à la gestion du cycle de vie et à l’exploitation des certificats Une PKI regroupe ainsi les composants techniques, les ressources, l’organisation et les politiques de sécurité permettant l’usage de la cryptographie à clé publique dans un contexte défini 115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
116.
COMPOSANTES D’UNE PKI Principales
fonctions de la PKI : Enregistrement de demandes et de vérification des critères pour l’attribution des certificats (Autorité d’enregistrement) Génération d’une demande de signature de certificat (Autorité d’enregistrement) Création de certificats (fabrication des bi-clés) (Autorité de certification) Certification des certificats entraînant la publication des clés publiques Renouvellement des certificats (Autorité de certification) Révocation sur date de péremption, perte, vol ou compromission de clés (Autorité de certification) Stockage et archivage des certificats pour assurer la sécurité et la pérennité (Autorité de dépôt) – Annuaire LDAP en général 116 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
117.
COMPOSANTES D’UNE PKI Autorité
de Certification (Certification Authority : CA) Principe de fonctionnement Pour publier une clé publique, il faut effectuer une demande à une autorité de certification (ou par l’intermédiaire d’une autorité d’enregistrement) qui fournit après vérification de l ’identité du demandeur un certificat numérique à ce dernier Ce certificat délivré authentifie la clé publique du demandeur Dans le certificat se trouve la signature de l’autorité de certification L’autorité de certification qui effectue cette signature se porte garante de l’exactitude de l’association entre la clé publique et le nom de son possesseur. Hiérarchie et organisation L’autorité de certification ne peut pas vérifier la légitimité de toutes les demandes. C’est le rôle des autorités d’enregistrement qui vérifient et valident les demandes avant de les transmettre à l’autorité de certification 117 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Autorité de certification : VeriSign, Certplus, Click&Trust, ChamberSign, Thawte, Entrust.net, Certinomis
118.
INFRASTRUCTURE PKI 118 PRONETIS©2016
- Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Demande de certificat Demande de certificat Expiration du certificat Expiration du certificat AuthentificationAuthentification Génération du certificat Génération du certificat Révocation du certificat Révocation du certificat Suspension du certificat Suspension du certificat Levée de la suspension Levée de la suspension Exploitation du certificat Exploitation du certificat Remise au demandeur Remise au demandeur RenouvellementRenouvellement
119.
COMPOSANTES D’UNE PKI 119
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés AC : Autorité de certification = Préfecture AE: Autorité d’enregistrement = Marie End entity : propriétaire du certificat Certificat = Carte d’identité
120.
COMPOSANTES D’UNE PKI AC
racineAC racine AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée Chaîne de certification La hiérarchie d’une PKI 120 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
121.
COMPOSANTES D’UNE PKI Usages
d’une PKI : Navigateur en SSL (https) Messagerie électronique (S/MIME) Carte à puce pour ouverture de session ou authentification SSL Connexion réseau sécurisée (VPN) 121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
122.
CERTIFICAT ÉLECTRONIQUE 122 PRONETIS©2016
- Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
123.
CERTIFICAT ÉLECTRONIQUE Le propriétaire
du certificat peut être une être humain ou une machine. - Exemple de certificat machine : serveur SSL, serveur VPN IPSec … - Exemple de certificat personne : utilisation de la messagerie S/MIME 123 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le certificat électronique Des informations relatives à l’utilisateur : Nom, prénom, département, adresse email… Sa clef publique La durée de validité du certificat Les usages du certificat Le tout est signé par l’Autorité de Certification de la PKI Il existe un « typage » des certificats électroniques, par fonction (keyusage) Permet de distinguer, schématiquement, les certificats: d’authentification de chiffrement de signature
124.
CERTIFICAT ÉLECTRONIQUE X509 Identité
du sujet Identité de l’émetteur Valeur de la clé publique du sujet Durée de validité Signature numérique de l’Autorité de Certification (AC) Chemin pour la CRL Chemin pour la récupération du certificat AC Sujet: Cyril Voisin Émetteur: Issuing CA Valide à partir de: 17/01/2014 Valide jusqu’au: 17/01/2017 CDP:URL=http://pronetis.fr/crl/CA. crl AIA:URL=http://pronetis.fr/ca.crt Clé publique du sujet: RSA 1024.. Politique d’application: Client Authentication, SmartCard Logon... Numéro de série: 78F862… …… Signature: F976AD… La signature numérique garantie l’intégrité des données (idem pour une CRL) 124 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
125.
CERTIFICAT ÉLECTRONIQUE La classe
d’un certificat se caractérise en fonction des points suivants - Vérification d’identité - Protection de la clé privée de l’autorité de certification - Protection de la clé privée du demandeur Classe 1 : certificat gratuit ou de test. Seule l’adresse e-mail est vérifiée Classe 2 : les informations concernant le titulaire et son entreprise sont contrôlées par l’autorité de certification sur la base de pièces justificatives Classe 3 : par rapport au certificat de classe 2, un contrôle supplémentaire de l’identité du titulaire est effectué physiquement entre le titulaire et un agent de l’autorité de certification. Le stockage obligatoire de la clé privée doit se faire sur un support sécurisé (Token USB, carte à puce) 125 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
126.
CERTIFICATS ÉLECTRONIQUES Certificats dans
Internet Explorer 3 grandes catégories Certificats racines Certificats intermédiaires Certificats personnels 126 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
127.
CERTIFICATS ÉLECTRONIQUES Exemple de certificat
serveur 127 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
128.
CERTIFICATS ÉLECTRONIQUES Exemple de
certificat serveur 128 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
129.
CERTIFICATS ÉLECTRONIQUES Exemple de
certificat serveur 129 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
130.
LA CHAÎNE COMPLÈTE Chiffrement asymétrique Clé
privée de Bob ( émetteur) empreinte empreinte déchiffrement asymétrique ALICE BOB Exemple de la signature d’un message Certificat de BobService de publication Clé publique de Bob 130 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
131.
LA CHAÎNE COMPLÈTE ALICE BOB Exemple
du chiffrement d’un message Clé publique de Bob (destinataire) Chiffrement asymétrique Clé privée de Bob (destinataire) déchiffrement asymétrique Certificat de Bob Service de publication 131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
132.
CYCLE DE VIE
DU CERTIFICAT Création : Révocation : - Perte du support de la clé privée - Compromission de la clé privée - Changement des informations contenues dans le certificat (changement de ville, de fonction, etc…) La révocation est la seule manière de dégager sa responsabilité en cas de signature frauduleuse. Suspension La suspension est une révocation temporaire. Un utilisateur a perdu son certificat mais qu’il pense pouvoir retrouver. Renouvellement A la fin de la période de validité, l’utilisateur peut demander le renouvellement de son certificat. 132 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
133.
RÉSUMÉ DU MODULE 133
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Origine Besoin Définition Terminologie Composante d’une PKI Certificats et cycle de vie Concepts de base : Signature, Condensé, symétrique, asymétrique PKI & distribution des clés
134.
MESSAGERIE SÉCURISÉE S/MIME VPN
- VIRTUAL PRIVATE NETWORK - FAMILLES DE VPN STANDARDS SSL ET IPSEC - SSL VERSUS IPSEC PRODUITS DU MARCHÉ MODULE N°3 : PROTECTION DES COMMUNICATIONS RÉSEAU 134 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
135.
ILLUSTRATION AVEC UN
CLIENT DE MESSAGERIE MICROSOFT OUTLOOK 2013 ENVOI ET RÉCEPTION DE MAILS SIGNÉS ET CHIFFRÉS MESSAGERIE SÉCURISÉE S/MIME 135 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
136.
S/MIME 136 La technologie S/MIME (Secure
Mime), créée en 1995, permet d’envoyer et recevoir des courriers électroniques signés et/ou chiffrés. Elle est implémentée dans la plupart des agents de messagerie (Microsoft Outlook, Lotus Notes, Thunderbird, MacOS Mail, etc.). PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
137.
ILLUSTRATION AVEC LE
CLIENT OUTLOOK 2007 : CONFIGURATION 137 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
138.
ILLUSTRATION AVEC LE
CLIENT OUTLOOK 2007 138 Envoi d’un mail signé et chiffré PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
139.
ILLUSTRATION AVEC LE
CLIENT OUTLOOK 2007 139 Réception d’un mail signé PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
140.
ILLUSTRATION AVEC LE
CLIENT OUTLOOK 2007 140 Réception d’un mail signé et chiffré Le message n’est pas stocké en clair dans le fichier « .pst ». Il n’est pas affiché automatiquement dans l’écran de visualisation PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
141.
ILLUSTRATION AVEC LE
CLIENT OUTLOOK 2007 141 Réception d’un mail signé et chiffré PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
142.
VPN (VIRTUAL PRIVATE
NETWORK) VPN CHIFFRÉ ET TECHNIQUES DE TUNNELING 142 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
143.
FAMILLES DE VPN Virtual
Private Network Liaison sécurisée entre deux réseaux Les informations sont envoyées à travers un tunnel chiffré Protocoles largement déployés : IPSec, SSL, SSH Extension d’un réseau privé à travers un réseau public (ex : Internet) : Site-to-site VPN : interconnexion de deux réseaux privés de type LAN (ex : siege et son agence) Remote access VPN : connexion pour les utilisateurs nomades 143 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Site-to-site VPN
144.
LA CHAÎNE DE
LIAISON SÉCURISÉE Site distant : agence, fournisseur Transport sécurisé • IPSec • SSL Réseau IP Protection du poste de travail • Authentification • Sécurisation • Connexion Périmètre de défense • Firewall • Concentrateur VPN Accès • Authentication • Autorisation • Détection d’intrusion MPLS Internet RTC/RNIS DSL/Câble GPRS/3G RTC/RNIS DSL/Câble GPRS/3G MPLS Internet MPLS Internet 144 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
145.
FAMILLES DE VPN SSL
Extranet Application-aware IPSec VPN CPE-based Virtual Router IPSec / MPLS / BGP Circuit VPN ATM / FR Ethernet VPN Optical / MPLS Network-based VPNs Layer 4-7 Layer 3 Layer 2 Accès distant aux applications et Extranets pour les partenaires Liaisons site à site et Accès distant au réseau Outsourced Network-to-network and SP Managed Employee remote network access Layer 4-7 Layer 3 Layer 2 Accès distant aux applications et Extranets pour les partenaires Liaisons site à site et Accès distant au réseau Outsourced Network-to-network and SP Managed Employee remote network access 145 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
146.
STANDARDS SSLV3 ET
IPSEC 146 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
147.
LES STANDARDS SSL
ET IPSEC Les standards SSL (Secure Sockets Layer) Se situe au-dessus de la couche TCP Exemple de protocoles utilisant SSL : HTTPS, SFTP, LDAPS IPSec (IP Security) Se substitue à la couche 3 de IPV4 en dessous des couches UDP, TCP 147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
148.
LES STANDARDS :
SSL Objectif de SSL Authentification du serveur, Confidentialité, Intégrité des données et optionnellement authentification du client Principe SSL Utilise une combinaison de chiffrement à clé publique (asymétrique) et à clé secrète (symétrique). Une session SSL débute toujours avec un échange de messages appelé « accord SSL» ou « SSL handshake » Cet échange a lieu afin de faciliter les actions suivantes : Authentification du serveur par le client en utilisant des techniques de clés publiques Sélection des algorithmes de cryptographie supportés par les deux parties Mise en accord sur une clé de session pour le chiffrement des données Authentification du client par le serveur (optionnel) Etablissement d’une connexion SSL chiffrée. 148 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
149.
LES STANDARDS :
SSL Utilisation de SSL SSL est largement utilisé dans les transaction e-business à travers Internet SSL est une solution intégrée par les navigateurs principaux du marché : Mozilla, Netscape Navigator, Microsoft Internet Explorer… Par les serveurs utilisant SSL : Websphere (IBM), Entreprise Server (Netscape), Internet Information Server (Microsoft), JAVA Web Server (Sunsoft) Open SSL est une version gratuite www.openssl.org 149 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
150.
LES STANDARDS :
SSL 1 : c > s : envoi de la requête ClientHello Contenant la version SSL supportée, liste des méthodes de chiffrement proposée au serveur ainsi qu’une Valeur aléatoire R1 qui sera utilisée dans la génération d’une clé de session 2 : s > c : réponse avec 3 messages - ServerHello : sélection d’une méthode de chiffrement et d’une valeur aléatoire R2 - Certificate : contenant la clé publique du serveur - ServerHelloDone : indicateur de fin de la négociation côté serveur 3 : c > s : envoi de 3 réponses - ClientKeyExchange contient une clé C1 générée aléatoirement et chiffrée avec clé publique du serveur. La clé de session sera dérivée à partir des valeurs R1, R2 et de C1. - ChangeCipherSpec : spécifie que tous les messages envoyés après seront chiffrés avec la méthode de chiffrement négociée mutuellement - Finished : contient une valeur de retour validant la fin de la bonne négociation de la méthode de chiffrement 4 à (n-1) : La connexion est prête à échanger les données applicatives n : c > s : close_notify indiquant la fin de la communication. 150 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
151.
LES STANDARDS :
SSL Remarque : Traces effectuées avec « SSLDump » Affichage des informations les plus importantes Version supportée Les listes des méthodes supportées 1. Algo d’échange de clés 2. Algo d’authentification 3. Algo de chiffrement 4. Algo de signature Méthodes de compression supportées Paramètres retenus par le serveur RSA, DES CBC et SHA-1 151 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
152.
LES STANDARDS :
SSL Le pre-master-secret (C1) Chiffrement effectif des informations échangées À partir de la requête N°7 jusqu’à La fin de la session 152 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
153.
LES STANDARDS :
SSL Algorithmes supportés par SSL V3 DES, Triple-DES MD5 RC2 et RC4 RSA Chiffrement RSA Echange de clé. Un algorithme d’échange de clé pour SSL basé sur RSA. DHE : Diffie Hellman Ephemeral SHA-1, SKIPJACK KEA. Key Exchange Algorithm, (utilisé pour l’échange de clé par les USA) Etc… SSL utilise généralement RSA pour l’échange de clé ainsi que RC4 pour chiffrer les sessions. Application de SSL HTTPS RFC2818 (port 443) HTTPS utilise le « hostname » comme intégrité de référence conjugué avec le certificat du serveur. 153 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
154.
LES STANDARDS :
SSL Points de contrôles Est-ce que la version du protocole SSL est vulnérable ? Quel est le niveau de sécurité du chiffrement proposé par votre serveur SSL ? (type d’algorithme et taille des clés de chiffrement) Est-ce que le certificat du serveur est valide ? L’implémentation du protocole SSL est-il vulnérable aux failles connues (ex : Heartbleed) TEST : https://www.ssllabs.com/ssltest/ Préconisations : Protocoles : Utiliser TLS 1.2 (SSL V3, TLS 1.0, TLS 1.1 sont vulnérables) Algorithmes à retenir : AES-GCM, SHA-2, SHA-512 Algorithmes à proscrire : MD5, 3DES Algorithmes à éviter : RC4, SHA-1 Tailles de clés à utiliser : AES-128 bits, RSA-2048 bits 154 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
155.
LES STANDARDS :
IPSEC Objectifs de IPSec Confidentialité, Intégrité Garantir la provenance des données (Authentification d’origine) Contrôle d’accès (ACLs), Anti-Rejeu Masquage des topologies réseaux (en utilisant le mode Tunnel) Caractéristiques IPSec Substitue de la couche IP v4 Inclus dans la spécification IP v6 Interopérabilité : Méthode standard. IPSec n’impose ni algorithmes de chiffrement, ni procédures d’authentification particulières 2 Modes d’encapsulation : Mode Transport et Mode Tunnel 155 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
156.
LES STANDARDS :
IPSEC 156 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés VPN LAN To LAN VPN NOMADE CONCENTRATEUR VPN
157.
LES STANDARDS :
IPSEC Présentation Comme SSL, IPSec a un mécanisme de mise en accord sur un secret partagé et une gestion de clés fournis par IKE, ainsi qu’une protection des données fournie par AH et ESP. La SA (Security Association) est le liant technique entre les fonctions IKE et AH/ESP. A la différence de SSL, l’échange, la gestion de clés et les fonctions de protection du trafic sont complètement séparés « Briques techniques » de IPSec AH (Authentication Header) RFC2402 ESP(Encapsulating Security Payload) RFC2406 IKE (Internet Key Exchange) RFC2409 157 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
158.
LES STANDARDS :
IPSEC AH : Authentification Header Objectif Assure l’intégrité et l’authentification des paquets IP Assure une protection contre le « rejeu » (optionnel) Fonctionnement Signe numériquement le paquet sortant (entête et données du corps) grâce à une fonction de hachage HMAC Un code MAC (Message Authentication Code) est généré à chaque datagramme transmis, qui sera contrôlé par le destinataire. HMAC-MD5 ou HMAC-SHA sont le plus souvent utilisés dans le calcul de la MAC 158 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
159.
LES STANDARDS :
IPSEC ESP : Encapsulating Security Payload Objectif Assure l’intégrité et la confidentialité des données dans le message original l’origine du paquet Assure l’authentification (optionnel) Assure une protection contre le « rejeu » (optionnel) Fonctionnement Combine une fonction de hachage (HMAC-MD5 ou HMAC-SHA-1) et un chiffrement type Triple-DES, AES… 159 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
160.
LES STANDARDS :
IPSEC SA (Security Association) Contient l’ensemble des paramètres de sécurité pour effectuer une communication sécurisée. IKE (Internet Key Exchange) IKE engendre automatiquement les clés et gère automatiquement leur renouvellement, tout en utilisant un mécanisme de rafraîchissement de clé IKE régit l’échange de clés, en s’assurant qu’elles sont délivrées de façon sûre. Cet échange est basé sur le protocole Diffie-Hellman et s’assure que l’identité des deux parties est connue. Soit au travers de mots de passe appelés secrets pré partagés (pre-shared key) Soit à l’aide de certificats X509 V3. 160 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
161.
LES STANDARDS :
IPSEC Les phases IKE Phase 1 « IKE » : La 1er phase établit un canal sécurisé pour la négociation des paramètres de sécurité afin d’établir la future communication. 1 : Choix de l’algorithme de chiffrement, la fonction de hachage, la méthode d’authentification, ainsi que les paramètres de codage propres à Diffie-Hellman 2 : Les deux parties calculent ensuite le secret partagé et les clés de session destinées à protéger les échanges IKE suivants. (Diffie-Hellman) 3 : Dans un troisième temps a lieu l’identification mutuelle selon le mode d’authentification retenu. (Soit avec un certificat ou une pre-shared key) Phase 2 “Quick Mode” : Négociation des SA générales : La 2nd phase construit les SA nécessaires pour la suite de la communication sécurisée Définition des SA générales 161 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
162.
LES STANDARDS :
IPSEC IPSec supporte deux modes d’encapsulation Mode Transport Mode Tunnel 162 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
163.
LES STANDARDS :
IPSEC 163 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mode Transport • Chiffre seulement le corps de chaque datagramme • Assure une protection des couches supérieures • Entête IP reste intacte • Pas de changement au niveau du routage • Utilisable que par les équipements terminaux (postes clients, serveurs).
164.
LES STANDARDS :
IPSEC 164 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mode Tunnel • Chiffre à la fois l’entête IP et le corps du datagramme • Encapsule le tout dans un nouveau paquet avec une « pseudo-entête » IP de remplacement. • Permet une protection de l’entête originale du datagramme • Cache la topologie (ou les adresses IP) des équipements terminaux • Utilisable par les équipements réseau (routeurs, firewall…). Exemple : Un tunnel reliant 2 réseaux en adresses 192.168.1.0/24 à un réseau 192.168.2.0/24 à travers Internet, permettra à un utilisateur en 192.168.1.100 d’accéder à une ressource en 192.168.2.200
165.
SSL VERSUS IPSEC 165
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
166.
SSL VS IPSEC Les
deux solutions offrent l’authentification, la confidentialité et l’intégrité des données IPSec Opère au niveau 3 pour créer un tunnel sécurisé Le paquet IP original est chiffré et transporté dans un autre paquet IP Nécessite un client IPSec sur le poste Le réseau doit supporter IPSec Sécurité forte SSL Opère au niveau 4 Les données applicatives sont chiffrées dans le paquet IP Supporté par la totalité des navigateurs Les applications doivent supporter SSL Sécurité forte 166 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
167.
SSL VS IPSEC SSL
Vs IPSec IPSec fournit des mécanismes de sécurité au niveau réseau (3), donc pour les protocoles basés sur UDP ou bien TCP. IPSec peut poser des problèmes pour traverser des équipements intermédiaires (Proxies, Firewall) Nécessité d’avoir un client IPSec sur le poste client IPSec permet de faire passer tous les flux IP contrairement à SSL Les protocoles applicatifs utilisant SSL fournissent plus de flexibilité et sont plus faciles à mettre en œuvre. Indépendance du poste de travail. Notion de client léger (Thin Client) 167 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
168.
SSL VS IPSEC OuiNonDe
n’importe quel poste (web kiosk etc.) OuiNonQuel que soit le réseau (FW, NAT,…) OuiNonPas de logiciel client OuiNonContrôle d’accès par application NonOuiLe PC distant fonctionne comme au bureau NonOuiSupporte toutes les applications IP NonOuiLiaison site à site NonOuiTéléphonie IP SSL VPNIPSec VPNAPPLICATIONS OuiNonDe n’importe quel poste (web kiosk etc.) OuiNonQuel que soit le réseau (FW, NAT,…) OuiNonPas de logiciel client OuiNonContrôle d’accès par application NonOuiLe PC distant fonctionne comme au bureau NonOuiSupporte toutes les applications IP NonOuiLiaison site à site NonOuiTéléphonie IP SSL VPNIPSec VPNAPPLICATIONS 168 *Le mieux est d’utiliser des technologies d’environnement déporté (CITRIX, TSE) pour les PC devant fonctionner comme au bureau PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
169.
SSL VS IPSEC
: APPLIANCE SSL 169 Barracuda SSL-VPN 280 : 3 k€ HT Invest. - 1 k€ HT Maintenance (AV/MAJ.SOFT/HARD) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
170.
SSL VS IPSEC
: APPLIANCE SSL 170 Mode de fonctionnement - Synoptique PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
171.
VPN Architecture VPN Positionnement du
VPN Le décodage des flux IPsec/SSL doit se faire avant ou après l’application des règles de firewall ? Avant: La passerelle de sécurité devient un élément sensible aux attaques directes. Après: Comment le firewall peut connaître certaines infos, comme le port du destinataire ou le type du datagramme ? IPSec et la translation d’adresse IP La mise en œuvre du NAT par des éléments intermédiaires (Firewall, routeur) sur un flux Ipsec pose des difficultés Solution : draft IPsec-NAT-traversal implémenté par certains éditeurs 171 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
172.
VPN SSL DMZ Entreprise SSL
VPN Réseau Interne • Web Applications, Web mail • Client/Server • Emulation client HTML (FTP, partage de fichiers voisinage réseau) • Emulation du client via applet Java ou ActivX (SSH, Telnet, TSE, VNC,TSE/RDP, CITRIX) • Tunneling HTTPS (toute application IP, TCP ou UDP) Authentification LDAP/RADIUS/NTLM • Annuaire externe LDAP, NT, Radius, • Windows Active Directory • Certificats électroniques X509 (sur carte à puce, clé USB) • OTP (Calculatrice token, usb) Firewall 172 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
173.
PRODUITS DU MARCHÉ 173
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
174.
PRODUITS DU MARCHÉ Les
principaux acteurs du marché VPN SSL/IPSec Netscreen Juniper Cisco Checkpoint CITRIX Nortel Avantail F5 Networks Thales Baracuda Networks Zyxel, SonicWall (TPE, PME) 174 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
175.
PAUSE-RÉFLEXION Avez-vous des questions
? 175 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
176.
RÉSUMÉ DU MODULE 176
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Famille de VPN VPN SSL Messagerie sécurisée S/MIME SSL Versus IPSec VPN IPSEC Illustration Architecture VPN
177.
OBJECTIFS GESTION DES ACCÈS
AUX RESSOURCES – DIFFÉRENTS TYPES DE CONTRÔLE D’ACCÈS MODES D’AUTHENTIFICATION - LES DIFFÉRENTS TYPES D’AUTHENTIFICATION AUTHENTIFICATION NON-REJOUABLE OTP - ILLUSTRATION OTP GEMALTO– ARCHITECTURE AUTHENTIFICATION RÉSEAU - 802.1X QUARANTAINE RÉSEAU - TECHNOLOGIE DAC ET NAC AUTHENTIFICATION SSO - EXEMPLE - SOLUTIONS SSO DU MARCHÉ RÉSUMÉ DU MODULE AUTHENTIFICATION UTILISATEURS – RÉSEAUX - APPLICATIONS 177 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
178.
OBJECTIFS 178 PRONETIS©2016 -
Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
179.
OBJECTIFS L'objectif principal de
l’authentification est d’authentifier les utilisateurs ou les équipements de manière fiable. Le mécanisme d’authentification est en général associé à la gestion des autorisations. La gestion des autorisations détermine quels sont les droits d’accès de chacun Dans ce chapitre, nous ne traitons pas de la gestion des autorisations. 179 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
180.
CONTRÔLE D’ACCÈS Le contrôle
d’accès recouvre : L’identification : l’entité indique qui elle est (= son identité, ex : je suis Cyril) L’authentification : vérification / validation de l’identité d’une entité (ex : l’utilisateur est bien Cyril) L’autorisation : vérification / validation qu’une entité a la permission d’accéder à une ressource (ex : Cyril a la permission d’accéder à cette ressource) 180 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés « Qui peut accéder à quoi ? », autrement dit : quels utilisateurs (ou quelles catégories d’utilisateurs) peuvent accéder à quelles informations (ou quelles catégories d’information) ? « Qui peut décider de qui peut accéder à quoi ? », autrement dit : quels interlocuteurs particuliers peuvent prendre la responsabilité de décider si telle catégorie d’utilisateurs peut être autorisée à accéder à telle catégorie d’informations ?
181.
DIFFÉRENTS TYPES DE
CONTRÔLES D’ACCÈS Un modèle de contrôle d’accès décrit la façon dont une entité (ou sujet) peut accéder à une ressource (ou objet) Discretionary Access Control (DAC) Le contrôle d’accès est à la discrétion du propriétaire de la ressource Par défaut, le propriétaire est le créateur de l’objet La propriété peut être transférée ou attribuée différemment Mis en œuvre sous forme de permissions (ACL) Le système compare le jeton de sécurité de l’utilisateur (permissions et droits) avec l’ACL de la ressource 181 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
182.
DIFFÉRENTS TYPES DE
CONTRÔLES D’ACCÈS Mandatory Access Control (MAC) Basé sur un système de labels (plus strict car l’OS prend la décision finale qui peut être contraire au souhait du propriétaire) Les utilisateurs se voient attribuer un niveau d’accréditation (ex: secret, confidentiel) Les données sont classées selon les mêmes niveaux (et cette classification accompagne les données) En complément des niveaux d’accréditation des catégories peuvent être mentionnées pour respecter le principe du besoin de savoir (ce n’est pas parce que j’ai l’accréditation Confidentiel que je dois avoir accès à tous les projets confidentiels) Le système compare le niveau d’accréditation et les catégories de l’utilisateur avec le label de sécurité 182 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
183.
DIFFÉRENTS TYPES DE
CONTRÔLES D’ACCÈS Role Based Access Control (RBAC) Aussi appelé nondiscretionary access control Utilise un référentiel centralisé Différence entre rôle et groupe : Quand on appartient à un groupe, on a les droits du groupe plus les siens Les rôles permettent un contrôle resserré : quand on a les droits d’un rôle, on n’a rien de plus Pratique quand il y a de nombreux mouvements dans l’entreprise 183 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
184.
LA LOGIQUE GÉNÉRALE
DE GESTION DES ACCÈS 184 Arrivée d’une personne Ressources humaines Système d’information Services généraux Téléphonie Création du dossier RH Comptes informatiques 1. Création automatique 2. Création manuelle par l’informatique PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
185.
PRÉSENTATION : LA
GESTION DES PROCESSUS 185 Nouvel utilisateur Demandes d’accès en ligne Création de la fiche personne par le service RH Approbation et validation par le responsable Création des comptes informatiques Les utilisateurs disposent de leurs comptes et de leurs ressources de travail (ordinateur, badges, etc) Approbation et validation par un second acteur (si nécessaire) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
186.
MODES D’AUTHENTIFICATION 186 PRONETIS©2016
- Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
187.
LES DIFFÉRENTS TYPES
D’AUTHENTIFICATION Il existe différentes classes d’authentification : Je connais Je possède Je suis 187 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
188.
LES DIFFÉRENTS TYPES
D’AUTHENTIFICATION « Ce que je connais » Mode classique le plus répandu et le plus simple (login/pwd) Principe Secret correspondant à une donnée de l’utilisateur Le serveur et l’utilisateur doivent connaître le secret tous les deux Avantages Simple et économique Inconvénients Protéger la transmission du mot de passe au serveur Facile à découvrir par des attaques à base de dictionnaires ou par force brute Facilement communicable à une tierce partie Facilement volable (regard indiscret sur le clavier) Facilement oubliable 188 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
189.
LES DIFFÉRENTS TYPES
D’AUTHENTIFICATION « Ce que je possède » Principe Intervention d’un objet physique : Carte à puce, Clé USB, Calculette, Carte magnétique On parle d’authentification à deux facteurs (le support + le secret) Avantages Utilisation de mot de passe plus long car il est stocké sur le support Inconvénient Pertes ou vols des supports : révocation, délai de remplacement Cout d'acquisition et de gestion des supports 189 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
190.
LES DIFFÉRENTS TYPES
D’AUTHENTIFICATION « Ce que je suis » Principe Domaine de la biométrie Mesure des caractéristiques physiques d’un individu Contrôles physiques et comportementales reconnus à ce jour Empreintes digitales ,reconnaissance de la main, l’iris, reconnaissance faciale, La dynamique de frappe au clavier, la reconnaissance vocale, dynamique du tracé des signatures Avantages Difficilement volable Difficilement oubliable Inconvénients Coût de la mise en œuvre Problème du faux rejet et de la fausse acceptation Détermination des seuils d’acceptation Problème légaux Les prises de positions de la CNIL et de ses homologues 190 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
191.
AUTHENTIFICATION PERSONNELLE 191 PRONETIS©2016
- Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
192.
CHOIX DU MOT
DE PASSE 192 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés http://www.undernews.fr/nos-services/tester-la-force-de-votre-mot-de-passe https://pwdtest.bee-secure.lu/ https://www.microsoft.com/en-gb/security/pc-security/password-checker.aspx
193.
AUTHENTIFICATION PERSONNELLE Authentification personnelle
: nom d'utilisateur, numéro ID L'authentification personnelle repose généralement sur le « Login » et « password » Login est représenté par un adresse email, un matricule, nom L'authentification de l'utilisateur ne repose plus que sur la sécurité du mot de passe Les entreprises mettent en place des règles imposant : Longueur minimale : 10 caractères La complexité des mots de passe à utiliser : alphanum. , Min-Maj, carac. spéciaux Un renouvellement : expiration de mot de passe tous les 30 jours Un blocage temporaire des comptes utilisateurs en cas d’échecs répétés d’authentification ou d’inactivité du compte : 5 échecs – 15 minutes Historique des mots de passe précédents : 6 mots de passe mémorisés 193 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
194.
AUTHENTIFICATION NON-REJOUABLE OTP (OTP
: ONE TIME PASSWORD) 194 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
195.
OTP : ONE
TIME PASSWORD Objectif de l’OTP Authentification à 2 facteurs - « ce que je sais et ce que je possède ». « One Time Password » – OTP – mot de passe non rejouable Utile pour les usages suivants Ressources internes sensibles devant être partagées avec le monde extérieur Nomadisme et télétravail Télémaintenance par des sociétés externes (infogérance) 195 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
196.
OTP : ONE
TIME PASSWORD L’OTP généré est toujours différent et donc non rejouable Basé sur le temps OTP généré est calculé à partir de l’heure courante. L’unité de temps pour calculer l’OTP doit être suffisamment longue pour minimiser les problèmes de synchronisation entre l’objet utilisé pour générer un OTP et le serveur. Basé sur un compteur Ce compteur, utilisé en entrée de l’algorithme cryptographique, est incrémenté chaque fois qu’un mot de passe est généré, ce qui aboutit à un OTP différent à chaque fois. Basé sur le temps et un compteur Mélange des deux techniques précédentes. 196 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
197.
Authentification de l’individu
: Permettre une identification formelle de l’individu Lier l’identité physique à l’identité logique Principe basé sur 2 facteurs indépendants L’utilisateur dispose d’un code identifiant (code pin) L’utilisateur possédera un support physique le Token Les produits commercialisés : Active Card, Aladdin, RSA SecurID, S/Key, OPIE (One-time Passwords In Everything), Gemalto OTP : ONE TIME PASSWORD 197 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
198.
OTP : ONE
TIME PASSWORD 198 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
199.
PAUSE-RÉFLEXION Avez-vous des questions
? 199 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
200.
RÉSUMÉ DU MODULE 200
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Modes d’authentification Authentification Autorisation Modèles d’autorisation DAC/MAC/RBAC Authentification OTP
Télécharger maintenant