Réseaux & Applications Internet: Sécurité & Annuaires Paulin CHOUDJA
Agenda <ul><li>Introduction </li></ul><ul><li>Solutions de Sécurité </li></ul><ul><li>Sécurité active </li></ul><ul><li>Sé...
Introduction : Problématique <ul><li>Un des grands enjeux des prochaines années </li></ul><ul><li>La sécurité nécessite un...
Introduction: Menaces <ul><li>Sans oublier le « social engineering »….. dont le  « phishing »  est une version … peu évolu...
Les Solutions de Sécurité Sécuriser les Opérations et les sites: des solutions existent, mais il faut les utiliser
La sécurité active Confidentialité des données pour éviter les indiscrets et espions Intégrité des données pour éviter les...
Sécurité active:  Chiffrage/Cryptage Symétrique Principe Exemple <ul><li>Le premier algorithme DES (Data Encryption Standa...
Sécurité active:  Chiffrage/Cryptage Asymétrique <ul><li>Seul Jean peut décoder avec sa clé privée le message envoyé par P...
Secure Socket Layer Principe de l’algorithme asymétrique (RSA)  : tout ce qui est codé avec la clef publique ne peut être ...
Clef Symétrique vs Clef Asymétrique <ul><li>La publication de la clef publique est le point faible des systèmes. Sa public...
La Signature Electronique
La Certification X509 Chaque interlocuteur possède deux clefs et un Certificat
La PKI  Appliquée à la Signature électronique et à la Facturation
La PKI  Appliquée à la Sécurité Internet & Extranet
Institutions de certifications <ul><li>Des tiers de confiance sont agréés </li></ul><ul><ul><li>Outils de certification : ...
La Sécurité Passive: Les Parefeux
Les Parefeux Internet: Outils <ul><li>Stratégie de base  </li></ul><ul><ul><li>Règles d’accès définies pour tout couple de...
VPN-Virtual Private Network
VPN-Virtual Private Network <ul><li>Fonctions multiples : </li></ul><ul><ul><li>Sécurisation par « tunneling »: boîtiers f...
Sécurités Personnelles:  Antivirus et Vers <ul><li>Plus de 400.000 signatures aujourd’hui, .... </li></ul><ul><li>Installa...
Sécurités Personnelles:  Antispams, AntiSpyware   <ul><li>Les spams sont détectés en répondant à 4 questions : </li></ul><...
Les Boîtes de Sécurité « tout en un » <ul><li>Equipements qui connaissent un fort succès (PME) </li></ul><ul><ul><li>80% d...
Annuaire et Identité <ul><li>Problème : multiples répertoires hétérogènes </li></ul><ul><ul><li>L'utilisateur réclame un &...
Annuaires LDAP –  Lightweight Directory Access Protocol <ul><li>A la fois modèle de données, de nommage, de sécurité, de d...
Méta-Annuaires <ul><li>Le méta-annuaire se greffe au dessus des applications et des annuaires pour offrir une vue simplifi...
Méta-Annuaires et Gestion des Identités <ul><li>Il ne s’agit plus seulement de mettre en oeuvre un annuaire unique, maîtri...
Architecture Globale de Sécurité
Prochain SlideShare
Chargement dans…5
×

Sécurités & Annuaires

3 587 vues

Publié le

Publié dans : Technologie
0 commentaire
10 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
3 587
Sur SlideShare
0
Issues des intégrations
0
Intégrations
22
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
10
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurités & Annuaires

  1. 1. Réseaux & Applications Internet: Sécurité & Annuaires Paulin CHOUDJA
  2. 2. Agenda <ul><li>Introduction </li></ul><ul><li>Solutions de Sécurité </li></ul><ul><li>Sécurité active </li></ul><ul><li>Sécurités passive (Parefeux & VPN) </li></ul><ul><li>Sécurité Individuelles </li></ul><ul><li>Annuaires </li></ul><ul><li>Sécurités Globales </li></ul>
  3. 3. Introduction : Problématique <ul><li>Un des grands enjeux des prochaines années </li></ul><ul><li>La sécurité nécessite une approche globale </li></ul><ul><li>La messagerie est le talon d’Achilles du SI </li></ul><ul><li>Terminaux mobiles et portables sont des maillons faibles </li></ul><ul><li>Il n’y a pas de solution sans adhésion et information des utilisateurs </li></ul><ul><li>Tout lancement d’attaque nécessite un accès au SI cible </li></ul>
  4. 4. Introduction: Menaces <ul><li>Sans oublier le « social engineering »….. dont le « phishing » est une version … peu évoluée. </li></ul><ul><li>Et les « botnets », ordinateurs zombies contrôlés via le réseau à des fins malveillantes </li></ul>Destruction de ressources et contamination croisée Diffusion via messagerie, duplication illimitée (ver) ou activation humaine (virus) Virus / Ver Interception d’échanges et pénétration réseau privé Emploi d’une adresse IP légitime IP Spoofing Prise de contrôle d’applications Emploi d’une adresse DNS correcte à but frauduleux Attaque DNS Prise de contrôle à distance d’une machine Programme introduit discrètement par un logiciel, une consultation de page Cheval de Troie (Back Door) Paralysie et arrêt des serveurs Saturation d’un serveur par envoi d’un flot de messages Déni de service Caractéristiques Méthode Catégorie
  5. 5. Les Solutions de Sécurité Sécuriser les Opérations et les sites: des solutions existent, mais il faut les utiliser
  6. 6. La sécurité active Confidentialité des données pour éviter les indiscrets et espions Intégrité des données pour éviter les vandales et pirates Identité des interlocuteurs pour éviter les imposteurs Paternité des transactions pour éviter la répudiation des actes Droits du clients pour éviter les usages frauduleux Chiffrage des messages Calcul de l’empreinte des messages (Signatures Electroniques) Echange des certificats entre client et serveur Mémoire historique Enregistrement des droits des utilisateurs dans un annuaire
  7. 7. Sécurité active: Chiffrage/Cryptage Symétrique Principe Exemple <ul><li>Le premier algorithme DES (Data Encryption Standard) a été cassé </li></ul><ul><li>Remplacé aujourd’hui par le Triple DES, AES (Advanced Encryption Standard) à clefs de 128 à 256 bits, RC4 (Rivest Cipher 4à à taille de clef variable. Une clef AES de 128 bits devrait tenir jusqu’en 2015. </li></ul>
  8. 8. Sécurité active: Chiffrage/Cryptage Asymétrique <ul><li>Seul Jean peut décoder avec sa clé privée le message envoyé par Paul à partir de sa clé publique </li></ul><ul><li>L’opération de chiffrement est lente avec une clé asymétrique, la clé doit être longue pour plus de sécurité </li></ul><ul><li>Paul et Jean communiquent sans partager un secret </li></ul><ul><li>RSA (Rivest, Shamir et Adelman) est un système basé sur la théorie de la complexité </li></ul><ul><li>Les clefs sont plus longues (256 à 2048 bits) </li></ul><ul><li>Le célèbre PGP (Pretty Good Privacy) est de type asymétrique, comme d’autres déclinaisons </li></ul><ul><li>Une clef de 2048 bits doit pouvoir tenir jusqu’en 2030 </li></ul>
  9. 9. Secure Socket Layer Principe de l’algorithme asymétrique (RSA) : tout ce qui est codé avec la clef publique ne peut être décodé que par la clef privée qui ne quitte pas la machine qui l ’a créée. La version SSL3 (TLS : Transport Socket Layer) est la plus complète. Elle assure l’authentification du serveur, la confidentialité, l’intégrité et optionnellement l’authentification du client
  10. 10. Clef Symétrique vs Clef Asymétrique <ul><li>La publication de la clef publique est le point faible des systèmes. Sa publication doit offrir l’assurance que : </li></ul><ul><ul><li>La clef appartient bien à la personne avec laquelle on veut échanger </li></ul></ul><ul><ul><li>Le possesseur de cette clef est bien digne de confiance </li></ul></ul><ul><ul><li>La clef est toujours valide </li></ul></ul><ul><li>Cette garantie est offerte par les certificats et autorités de certification </li></ul><ul><li>Lent, algorithme complexe </li></ul><ul><li>Nécessité de publication de la clef publique </li></ul><ul><li>Deux clefs différentes </li></ul><ul><li>Capacité d’intégrité et de non Répudiation par signature électronique </li></ul>Asymétrique <ul><li>Difficulté de distribution </li></ul><ul><li>Pas de signature électronique </li></ul><ul><li>Rapide </li></ul><ul><li>Peut être rapidement placée dans un échange </li></ul>Symétrique Inconvénients Avantages
  11. 11. La Signature Electronique
  12. 12. La Certification X509 Chaque interlocuteur possède deux clefs et un Certificat
  13. 13. La PKI Appliquée à la Signature électronique et à la Facturation
  14. 14. La PKI Appliquée à la Sécurité Internet & Extranet
  15. 15. Institutions de certifications <ul><li>Des tiers de confiance sont agréés </li></ul><ul><ul><li>Outils de certification : EntrustPKI, BaltimoreUnicert, VerisignOnSite, SagemConfidence </li></ul></ul><ul><ul><li>Opérateurs agréés mettant en oeuvre ces produits : Certinomis ( La Poste, Sagem), Certplus ( France Télécom, Matra, Gemplus, basé sur Verisignet retenu par Coface, BNP, SG, CL et BRED), Certeurope (greffiers, experts-comptables, TVA), Mediacert ( Atos-Originet les banques), ThalèsTrusted Solutions basé sur Baltimore, Bureau Veritas, Chambersign (les CCI) </li></ul></ul><ul><ul><li>Au niveau mondial : Verisign-Thawte (monopole mondial de facto, basé sur la technologie RSA Data Security), GTECybertrust, KeywitnessCanada </li></ul></ul><ul><li>Valicert Global VA valide ou révoque les certificats, 24h/24 </li></ul><ul><ul><li>Certificats émis par Baltimore, Cybertrust, Entegrity, Entrust, IBM, Microsoft, Netscape, RSA Security, Thawte, Xcert </li></ul></ul><ul><ul><li>S’interface avec PKI et avec toute messagerie, VPN, serveur proxy, formulaire, ecommerce </li></ul></ul>
  16. 16. La Sécurité Passive: Les Parefeux
  17. 17. Les Parefeux Internet: Outils <ul><li>Stratégie de base </li></ul><ul><ul><li>Règles d’accès définies pour tout couple de machines susceptible d’échanger </li></ul></ul><ul><ul><li>Translation d’adresses : leurre «antispoofing», redirection des ports </li></ul></ul><ul><ul><li>Filtrage des paquets par vérification des en-têtes IP (adresse et/ou port) </li></ul></ul><ul><ul><ul><li>Laisser-passer pour streaming audio-vidéo </li></ul></ul></ul><ul><ul><ul><li>Conflits entre objets distribués et pare-feux (usage des ports) </li></ul></ul></ul><ul><li>Outils de supervision des pare-feux </li></ul><ul><ul><li>Inclut support de systèmes en grappe, analyse de trafic, détection d’intrusion par moteurs de corrélation </li></ul></ul><ul><li>Offres de BMC, CheckPoint, Cisco, Nokia, Seagate, SonicWall, Tivoli, WebTrends, …. </li></ul><ul><li>Problèmes d’organisation et … de société </li></ul><ul><ul><li>charte précisant aux employés les contrôles effectués </li></ul></ul>
  18. 18. VPN-Virtual Private Network
  19. 19. VPN-Virtual Private Network <ul><li>Fonctions multiples : </li></ul><ul><ul><li>Sécurisation par « tunneling »: boîtiers filtrants en extrémité de réseau. Le flux de données est crypté par clefs asymétriques. </li></ul></ul><ul><ul><li>Fonctions réalisées par des « appliance servers » de sécurité simples à installer mais souvent peu extensibles </li></ul></ul><ul><ul><li>Ces outils de filtrage des accès à Internet peuvent combiner : </li></ul></ul><ul><ul><ul><li>Serveur d’authentification Radius, authentification et sécurisation de type SSO (Single SignOn), annuaire LDAP et des sites autorisés, mots de passe, filtrage de contenu, pare-feu et antivirus, procédures de sauvegarde automatisées, détection de vulnérabilité,… </li></ul></ul></ul><ul><li>De nombreuses solutions : </li></ul><ul><ul><li>Logicielles (Check Point Software, Symantec,..), boîtiers spécialisés (Avaya, Cisco, Enterasys, Netscreen, Nokia, Sonic Wall, Symantec, WatchGuard..), routeurs avec fonction VPN (Cisco, Connect Labs, Nortel, Bintec, Enterasys,..) </li></ul></ul><ul><li>VPN-SSL ou VPN-IPsec? </li></ul><ul><ul><li>Le premier nommé est beaucoup plus largement diffusé (SSL crypte au niveau message, IPsec au niveau paquet) </li></ul></ul><ul><ul><li>SSL ne nécessite aucune installation sur le poste de travail (il est géré par le navigateur), mais il ne sécurise que les flux Internet (HTTP) </li></ul></ul><ul><ul><li>IPsec nécessite une installation et un paramétrage lourds sur le poste de travail, il traite tous les protocoles, mais passe mal les firewalls, routeurs, … </li></ul></ul>
  20. 20. Sécurités Personnelles: Antivirus et Vers <ul><li>Plus de 400.000 signatures aujourd’hui, .... </li></ul><ul><li>Installables partout : postes de travail, serveurs locaux, serveurs passerelles (HTTP, SMTP, FTP), pare-feux </li></ul><ul><ul><li>Paramétrés de façon rigoureuse sur les postes de travail </li></ul></ul><ul><ul><li>Sondes ou agents, dans les routeurs ou les serveurs applicatifs </li></ul></ul><ul><ul><li>Mise à jour rapide au sein de l’entreprise à partir de serveurs en mode « fichiers » ou par connexion web (Symantec Update) </li></ul></ul><ul><li>Basés sur des bases de « signatures » énormes et mises à jour en permanence </li></ul><ul><ul><li>Recherche de profils binaires (« signatures »), filtrage des URL </li></ul></ul><ul><li>Importance à terme des dispositifs matériels associés </li></ul><ul><ul><li>Fonction NX d’Intel – No Execute, pour éviter le « buffer overflow » </li></ul></ul><ul><ul><li>Fonction EVP d’AMD (Enhanced Virus Protection) </li></ul></ul><ul><li>Capables aujourd’hui de </li></ul><ul><ul><li>Détecter des virus « mutants » (« Pattern Matching » de Sophos) </li></ul></ul><ul><ul><li>Détecter des virus inconnus (HIVE – Heuristics in Virtual Environment) de Bit Defender </li></ul></ul>
  21. 21. Sécurités Personnelles: Antispams, AntiSpyware <ul><li>Les spams sont détectés en répondant à 4 questions : </li></ul><ul><ul><ul><li>D’où vient le message? </li></ul></ul></ul><ul><ul><ul><li>Où va-t-il ? </li></ul></ul></ul><ul><ul><ul><li>Comment est-il structuré? </li></ul></ul></ul><ul><ul><ul><li>Quel est son contenu? </li></ul></ul></ul><ul><li>L’élimination se fait sur la base de listes d’URL, de mots-clefs et expressions dans les contenus </li></ul><ul><li>Les courriers et émetteurs indésirables sont « black-listés » </li></ul><ul><li>A terme, il faudra identifier de façon certaine les émetteurs </li></ul><ul><ul><ul><li>SenderID/SPF (Microsoft) réclame le certificat de l’émetteur </li></ul></ul></ul><ul><ul><ul><li>DomainKeys (Yahoo) impose que les emails soient signés </li></ul></ul></ul><ul><li>Les spywares sont détectés sur des bases proches des virus. </li></ul><ul><li>Les spywares les plus célèbres </li></ul><ul><ul><ul><li>Keylogger (enregistre frappe touches et mots de passe), Hijacker (contrôle à distance), Droneware (envoi de pourriels), Dialer (utilisation frauduleuse de modem), Spammer (Pop-up publicitaire) </li></ul></ul></ul>
  22. 22. Les Boîtes de Sécurité « tout en un » <ul><li>Equipements qui connaissent un fort succès (PME) </li></ul><ul><ul><li>80% de la sécurité des entreprises repose aujourd’hui sur ces solutions </li></ul></ul><ul><li>Des « Box » assurant l’ensemble des fonctions de sécurité </li></ul><ul><ul><li>Pare-Feu, VPN, Antivirus, Anti Spam, IDS, IPS, Contrôle d’URL, Filtrage de contenu et applicatif, …etc. </li></ul></ul><ul><ul><li>Basées sur des processeurs spécialisés (ASIC) ou généralistes </li></ul></ul><ul><ul><li>Utilisant souvant des logiciels libres. </li></ul></ul><ul><li>Pouvant également vérifier les mobiles et portables à la reconnexion au réseau </li></ul><ul><ul><li>Basé sur un agent installé sur le poste </li></ul></ul><ul><ul><li>Si les niveaux de logiciels (AV, AS, FW,..) ne sont pas cohérents, si certaines alarmes se sont déclenchées, le poste est orienté vers une zone de quarantaine </li></ul></ul><ul><ul><li>Approche NAC (Network Admission Control) de Cisco et NAP (Network Access protection) de Microsoft </li></ul></ul><ul><li>Arkoon, Barracuda, Blue Coat, Fortinet, ISS, Netasq, MacAfee, NetsecureOne, Sonicwall, St Bernard Software, Symantec, …etc </li></ul><ul><li>Posent néanmoins des problèmes d’administration (technicité) </li></ul><ul><ul><li>Recours à un SIM (Security Information Management) pour la remontée et la gestion des alertes. </li></ul></ul>
  23. 23. Annuaire et Identité <ul><li>Problème : multiples répertoires hétérogènes </li></ul><ul><ul><li>L'utilisateur réclame un &quot;login&quot; unique (SSO : Single Sign On), </li></ul></ul><ul><ul><li>L’administrateur veut un répertoire unifié pour un Extranet sécurisé </li></ul></ul><ul><ul><ul><li>L’employé d’une grande entreprise apparaît dans plusieurs dizaines d’annuaires, synchronisés manuellement dans plus de 50% des cas </li></ul></ul></ul><ul><li>Au coeur de la qualité des services : l’annuaire </li></ul><ul><ul><li>BDD distribuée représentant les ressources, leurs attributs, leurs relations : toute information utile sur les hommes et les ressources </li></ul></ul><ul><ul><ul><li>Adresses électroniques, adresses réelles, n° téléphones et fax, clés publiques </li></ul></ul></ul><ul><ul><ul><li>Paramètres d'accès et de configuration des serveurs, privilèges d'accès, ressources spécifiques à chaque application </li></ul></ul></ul><ul><ul><li>Un outil essentiel pour la sécurité (routage, pare-feux) </li></ul></ul><ul><li>La norme X500 : une réponse trop complexe </li></ul>
  24. 24. Annuaires LDAP – Lightweight Directory Access Protocol <ul><li>A la fois modèle de données, de nommage, de sécurité, de duplication, de partitionnement </li></ul><ul><li>LDAP réconcilie X500 et Internet </li></ul><ul><ul><li>Version simplifiée du DSP (Directory Service Protocol) de X500 </li></ul></ul><ul><ul><li>Réplication automatisée mais non incrémentale </li></ul></ul><ul><li>LDIF : format d’échange standard avec les annuaires X500 et propriétaires, évoluant vers le DSML (Directory Services Markup Language) </li></ul><ul><li>Une offre importante </li></ul><ul><ul><ul><li>Microsoft Active Directory : un pari stratégique </li></ul></ul></ul><ul><ul><ul><li>Novell e-Directory : une longueur d’avance avec NDS </li></ul></ul></ul><ul><ul><ul><li>Sun ONE Directory Server : nativement Internet </li></ul></ul></ul><ul><ul><ul><li>Critical Path Global Directory Server : très compatible LDAP </li></ul></ul></ul><ul><ul><ul><li>Oracle OID (Oracle Internet Directory) : intégré à l’offre 9i </li></ul></ul></ul><ul><ul><ul><li>OpenLDAP (Open Source) </li></ul></ul></ul>
  25. 25. Méta-Annuaires <ul><li>Le méta-annuaire se greffe au dessus des applications et des annuaires pour offrir une vue simplifiée et une administration centralisée de l’ensemble des informations </li></ul><ul><li>Il permet de conserver l’hétérogénéité des infrastructures applicatives et de services tout en introduisant une vue homogène des différents annuaires </li></ul><ul><li>Un outil de communication interne </li></ul><ul><ul><li>annuaire central, moteur de jointure avec règles </li></ul></ul><ul><ul><li>connecteurs : fichiers DRH, NDS, Active Directory, iPlanet, les PABX </li></ul></ul><ul><ul><li>composants d’accès en mode LDAP et TCP/UDP </li></ul></ul><ul><li>Une offre diversifiée </li></ul><ul><ul><ul><li>Syntegra-BT(origine Control Data), Siemens(DirX Meta Hub), X&Mail, Critical Path(InJoin, origine Isocor), MicrosoftZoom-It (Canadien racheté), Novell(e-Directory et DirXML), DM/Active Roles ( FastLane) </li></ul></ul></ul>
  26. 26. Méta-Annuaires et Gestion des Identités <ul><li>Il ne s’agit plus seulement de mettre en oeuvre un annuaire unique, maîtriser les accès aux applications et la réduction du temps d’activation et de suppression des comptes. La gestion des identités permet ainsi de satisfaire aux contraintes légales (LSF, SOX, B II) </li></ul><ul><ul><li>On parle plus de « processus » que de « référentiel » </li></ul></ul><ul><li>La Gestion d’identités </li></ul><ul><ul><li>Ensemble logiciel regroupant le workflow de validation des droits, le provisionning –création et suppression des droits- l’administration et l’audit, le contrôle des accès, la gestion des mots de passe de l’annuaire </li></ul></ul><ul><ul><li>Les identités des utilisateurs sont définies à partir de leur « rôle », lequel correspond à un ensemble de droits d’accès (RBAC : Role Based Access Control) </li></ul></ul><ul><ul><li>Composant de suite logicielle (BMC, CA, Evidian, HP, IBM, Novell, Oracle, Sun) ou produit autonome (Critical Path, Entegrity, Entrust, Ilex, Microsoft, RSA Security, …) </li></ul></ul><ul><li>La Fédération d’identités </li></ul><ul><ul><li>Permet à deux entreprises d’accorder des droits sur un de leur système à un utilisateur de l’autre entreprise (WS-Security, Liberty Alliance) via des fichiers au format XMl ( DSML, SPML, SAML,…) </li></ul></ul>
  27. 27. Architecture Globale de Sécurité

×