La citadelle électronique Systèmes d’authentifications Sylvain Maret (sylvain.maret@e-xpertsolutions.com) Novembre 2002 Ve...
Agenda <ul><li>Introduction </li></ul><ul><li>Elements d’un système d’authentification </li></ul><ul><li>Les attaques </li...
Agenda <ul><li>Les « Tokens » </li></ul><ul><li>Challenge Response </li></ul><ul><li>Authentification indirecte </li></ul>...
Introduction
Introduction <ul><li>Tour d’horizon des technologies d’authentification </li></ul><ul><li>Clé de voute pour la constructio...
Authentification… <ul><li>L’identification et l’authentification sont la base des services de sécurité </li></ul><ul><ul><...
Identification et authentification ? <ul><li>Identification </li></ul><ul><ul><li>Qui êtes vous ? </li></ul></ul><ul><li>A...
Elements d’un système d’authentification
Les 6 élements d’un système d’authentification <ul><li>Entité ou personne </li></ul><ul><li>Charactéristique Unique </li><...
Exemple avec Ali Baba … <ul><li>Entité </li></ul><ul><ul><li>La personne qui connait le  mot de passe </li></ul></ul><ul><...
Exemple avec Ali Baba <ul><li>Mécanisme d’authentification </li></ul><ul><ul><li>Elément magique qui répond au mot de pass...
Login par mot de passe Mécanisme d’authentification Login Process Mécanisme  de contrôle D’accès Propriétaire La personne ...
Les attaques
Les attaques courantes… <ul><li>Brute force - Password Guessing </li></ul><ul><li>Network Sniffing </li></ul><ul><ul><li>A...
Facteurs d’authentifications
Les facteurs d’authentification <ul><li>Quelque chose que l’on connait </li></ul><ul><ul><li>PIN, Mot de passe, etc. </li>...
Authentification forte <ul><li>Un minimum de deux facteurs </li></ul><ul><ul><li>Smartcard + PIN </li></ul></ul><ul><ul><l...
Que sécuriser ?
Que sécuriser ? <ul><li>Equipements réseaux </li></ul><ul><ul><li>Routeurs, Switchs, etc. </li></ul></ul><ul><li>Systèmes ...
Quelle technologie d’authentification ?
Quelle technologie d’authentification ? <ul><li>Password standard </li></ul><ul><li>Tokens </li></ul><ul><li>Challenge Res...
Les « tokens »
Les « Tokens » <ul><li>Quelque chose que vous possédez </li></ul><ul><ul><li>Généralement authentification forte (PIN+Toke...
Passive Tokens <ul><li>Contient un secret unique (Base Secret) </li></ul><ul><ul><li>Secret unique partagé  </li></ul></ul...
Mode de fontionement Token + (PIN) = Base Secret Base Secret
Active Tokens <ul><li>Contient un secret unique (Base Secret) </li></ul><ul><ul><li>Secret unique partagé </li></ul></ul><...
Mode de fontionement Token + (PIN) Facteur commun changeant Facteur commun changeant = = Base Secret Base Secret
Counter Based Tokens Hash Counter +1 OTP Facteur commun Secret  unique partagé Base Secret
Clock Based Tokens Hash OTP Secret unique partagé Base Secret
Protection des tokens <ul><li>Deuxième facteur par PIN </li></ul><ul><ul><li>Personal Identifier Number </li></ul></ul><ul...
PIN Code interne Hash Clock or Counter PIN unlock Base Secret OTP Base Secret
PIN Code externe Hash Clock or Counter + PIN *  OTP * Shoud use encryption (SSL, IPSEC, SSH Base Secret
RSA SecurID <ul><li>De facto standard </li></ul><ul><ul><li>Grandes banques, industries, gouvernements </li></ul></ul><ul>...
RSA SecurID Seed Time 482392 ACE/Server Token Algorithm Seed Time 482392 Algorithm Same Seed Same Time
RSA  ACE/Server (Primary) RSA ACE/Agents NT/  Unix Novell Intranet Firewall RSA  ACE/Server (Replica) VPN RSA ACE/Agents W...
Challenge Response
Challenge Response <ul><li>Basé sur un challenge ( nonce) </li></ul><ul><li>Basé sur un secret unique </li></ul><ul><li>Ca...
Mode de fontionement nonce ( adf341gf) dupont nonce = adf341gf response = ff747dgd4 = Base Secret Base Secret
Norme X9.9 <ul><li>Standard ouvert pour Challenge Response </li></ul><ul><ul><li>US Gouvernement </li></ul></ul><ul><ul><l...
Norme X9.9 Hash (DES encrypt) Random Challenge Nonce OTP  Response Base Secret
S/Key <ul><li>OTP dévellopé par Bellcore </li></ul><ul><ul><li>1990, pour Login Unix </li></ul></ul><ul><li>Basé sur un se...
S/Key Hash Seed S/Key Response Counter (99, 98, 97, etc.) digest Table S/Key Human Readable Base Secret
Démo S/Key Counter Seed OTP Base Secret
Microsoft NT Lan Manager <ul><li>Windows NT 4.0 </li></ul><ul><li>Stockage des password dans la SAM </li></ul><ul><ul><li>...
Protection SAM Microsoft <ul><li>Utilitaire « Sytem Key » </li></ul><ul><ul><li>Encryption SAM </li></ul></ul><ul><ul><li>...
Authentification indirecte
Authentification indirecte <ul><li>Sécurisation des accès réseaux et systèmes </li></ul><ul><ul><li>Gestion centralisée de...
Authentification indirecte Authentication Server Resource Server or NAS Client Logon Request Logon Response Authentication...
Contrôle d’accès aux réseaux <ul><li>Remote Access </li></ul><ul><ul><li>Point 2 Point Protocol (PPP) </li></ul></ul><ul><...
Serveurs d’authentification OTP tier <ul><li>Interface entre le serveur OTP et serveur d’authentification </li></ul><ul><l...
Serveurs d’authentification OTP Authentication Server Radius Router with  Agent radius Client Server OTP
Radius <ul><li>RADIUS </li></ul><ul><ul><li>R emote  A ccess  D ial- I n  U ser  S ervice </li></ul></ul><ul><li>Standart ...
Radius: authentification <ul><li>Authentification des utilisateurs </li></ul><ul><li>Base de données utilisateur en local ...
Radius: autorisation <ul><li>Contrôle d’accès aux applications (filtrage) </li></ul><ul><li>Attributs granulaires </li></u...
Radius: accounting <ul><li>Collecte des informations des connexions </li></ul><ul><ul><li>Temp de la session </li></ul></u...
Démonstration sécurisation des routeurs Cisco Authentication Server Radius AAA Router with  Agent radius Client Ace Server
Tacacs+ <ul><li>Alternative à Radius </li></ul><ul><ul><li>3 x AAA </li></ul></ul><ul><li>Protocole dévellopé par Cisco </...
Kerberos
Kerberos <ul><li>Protocole de sécurité pour l’authentification </li></ul><ul><li>Architecture Single Sign-On </li></ul><ul...
Kerberos <ul><li>Fournit du chiffrement de session </li></ul><ul><ul><li>Secure Single Sign-On </li></ul></ul><ul><li>Four...
Kerberos: concept de base <ul><li>Utilisation de secret partagé </li></ul><ul><ul><li>Chiffrement symétrique </li></ul></u...
Key Distribution Center Master Key Database Unix Server « Kerberized » Software Logon Request TGT TGT Unix Server Ticket U...
Kerberos et Win 2000 <ul><li>Protocole d’authentification de Windows 2000 </li></ul><ul><ul><li>Remplacement de NTLM </li>...
Extension du protocol Kerberos <ul><li>Logon initial remplacé par la technologie PKI </li></ul><ul><ul><li>PKINIT (IETF) <...
Biométrie
Biométrie <ul><li>Système « ancien » </li></ul><ul><ul><li>1930 - carte d’identité avec photo </li></ul></ul><ul><ul><li>R...
Mesure des traits physiques <ul><li>Empruntes digitales </li></ul><ul><li>Géométrie de la main </li></ul><ul><li>Les yeux ...
Mesure d’un comportement <ul><li>Reconnaissance vocal </li></ul><ul><li>Signature manuscrite </li></ul><ul><li>Dynamique d...
Promesses et réalité <ul><li>Problème de « false rejection » </li></ul><ul><li>Problème de « false acceptance » </li></ul>...
Personal trait Biometric Reader Feature Extraction 1=127 2=126 3=456 4=987 Biometric Signature dupont: 1=127,2= deraud: 1=...
Mécanisme de contrôle <ul><li>Par serveur d’authentification </li></ul><ul><ul><li>Requêtes par réseau </li></ul></ul><ul>...
Précision Biométrique <ul><li>False Acceptance </li></ul><ul><ul><li>FAR (False Acceptance Rate) in % </li></ul></ul><ul><...
Equal Error Rate (EER)
Authentification forte <ul><li>Deux facteurs </li></ul><ul><ul><li>Une carte à puce </li></ul></ul><ul><ul><li>Un PIN code...
Quelques Liens <ul><li>http://www.rsasecurity.com </li></ul><ul><li>http://www.cesg.gov.uk/technology/biometrics/index.htm...
Questions?
e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers...
Pour plus d’informations e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 5...
Prochain SlideShare
Chargement dans…5
×

Authentification Forte Cours UNI 2002

2 123 vues

Publié le

Cours Uni Genève 2002

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 123
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
132
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Authentification Forte Cours UNI 2002

  1. 1. La citadelle électronique Systèmes d’authentifications Sylvain Maret (sylvain.maret@e-xpertsolutions.com) Novembre 2002 Version 1.12
  2. 2. Agenda <ul><li>Introduction </li></ul><ul><li>Elements d’un système d’authentification </li></ul><ul><li>Les attaques </li></ul><ul><li>Facteurs d’authentifications </li></ul><ul><li>Que sécuriser ? </li></ul><ul><li>Quelle technologie d’authentification ? </li></ul>
  3. 3. Agenda <ul><li>Les « Tokens » </li></ul><ul><li>Challenge Response </li></ul><ul><li>Authentification indirecte </li></ul><ul><li>Kerberos </li></ul><ul><li>Biométrie </li></ul>
  4. 4. Introduction
  5. 5. Introduction <ul><li>Tour d’horizon des technologies d’authentification </li></ul><ul><li>Clé de voute pour la construction de la citadelle électronique </li></ul><ul><ul><li>1er besoin pour la sécurité du système d’information </li></ul></ul>
  6. 6. Authentification… <ul><li>L’identification et l’authentification sont la base des services de sécurité </li></ul><ul><ul><li>Autorisation </li></ul></ul><ul><ul><li>Auditing </li></ul></ul><ul><ul><li>Non répudiation </li></ul></ul><ul><ul><li>Confidentialité </li></ul></ul>
  7. 7. Identification et authentification ? <ul><li>Identification </li></ul><ul><ul><li>Qui êtes vous ? </li></ul></ul><ul><li>Authentification </li></ul><ul><ul><li>Prouvez le ! </li></ul></ul>
  8. 8. Elements d’un système d’authentification
  9. 9. Les 6 élements d’un système d’authentification <ul><li>Entité ou personne </li></ul><ul><li>Charactéristique Unique </li></ul><ul><li>Propriétaire du système </li></ul><ul><li>Mécanisme d’authentification </li></ul><ul><li>Mécanisme de contrôle d’accès </li></ul><ul><li>Mécanisme d’archivage </li></ul>
  10. 10. Exemple avec Ali Baba … <ul><li>Entité </li></ul><ul><ul><li>La personne qui connait le mot de passe </li></ul></ul><ul><li>Caractéristique Unique </li></ul><ul><ul><li>Le mot de passe: « Sésame, ouvre toi ! » </li></ul></ul><ul><li>Le propriétaire de la caverne </li></ul><ul><ul><li>Ali Baba et Les 40 voleurs </li></ul></ul>
  11. 11. Exemple avec Ali Baba <ul><li>Mécanisme d’authentification </li></ul><ul><ul><li>Elément magique qui répond au mot de passe </li></ul></ul><ul><li>Mécanisme de contrôle d’accès </li></ul><ul><ul><li>Mécanisme pour rouler la pierre ou les pierres </li></ul></ul><ul><li>Mécanisme d’archivage </li></ul><ul><ul><li>Journal des évenements </li></ul></ul>
  12. 12. Login par mot de passe Mécanisme d’authentification Login Process Mécanisme de contrôle D’accès Propriétaire La personne Caractéristique unique Mot de passe Computer Ressources Mécanisme D’archivage
  13. 13. Les attaques
  14. 14. Les attaques courantes… <ul><li>Brute force - Password Guessing </li></ul><ul><li>Network Sniffing </li></ul><ul><ul><li>ARP spoofing </li></ul></ul><ul><ul><li>Environement « Switché » </li></ul></ul><ul><li>Cheval de Troie, Back Door (Virus) </li></ul><ul><li>Social Engineering </li></ul>
  15. 15. Facteurs d’authentifications
  16. 16. Les facteurs d’authentification <ul><li>Quelque chose que l’on connait </li></ul><ul><ul><li>PIN, Mot de passe, etc. </li></ul></ul><ul><li>Quelque chose que l’on possède </li></ul><ul><ul><li>Tokens, Carte à puce, badge, etc. </li></ul></ul><ul><li>Quelque chose que l’on est </li></ul><ul><ul><li>Biométrie </li></ul></ul>
  17. 17. Authentification forte <ul><li>Un minimum de deux facteurs </li></ul><ul><ul><li>Smartcard + PIN </li></ul></ul><ul><ul><li>Token + PIN </li></ul></ul><ul><ul><li>Biométrie avec Smartcard </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  18. 18. Que sécuriser ?
  19. 19. Que sécuriser ? <ul><li>Equipements réseaux </li></ul><ul><ul><li>Routeurs, Switchs, etc. </li></ul></ul><ul><li>Systèmes d’accès aux réseaux </li></ul><ul><ul><li>Remote access </li></ul></ul><ul><ul><li>Firewall </li></ul></ul><ul><li>Serveurs du système d’information </li></ul><ul><ul><li>Unix, NT, Main Frame, AS400, etc. </li></ul></ul><ul><li>Postes de travail </li></ul><ul><ul><li>Windows (NT, 2000, XP, etc.) </li></ul></ul><ul><li>Applications </li></ul><ul><ul><li>Web, ERP, Back office, etc. </li></ul></ul>
  20. 20. Quelle technologie d’authentification ?
  21. 21. Quelle technologie d’authentification ? <ul><li>Password standard </li></ul><ul><li>Tokens </li></ul><ul><li>Challenge Response </li></ul><ul><li>Authentification indirecte </li></ul><ul><ul><li>Radius, Tacacs+ </li></ul></ul><ul><li>Kerberos </li></ul><ul><li>Biométrie </li></ul><ul><li>PKI (Smartcard, Tokens USB) </li></ul><ul><li>Etc. </li></ul>
  22. 22. Les « tokens »
  23. 23. Les « Tokens » <ul><li>Quelque chose que vous possédez </li></ul><ul><ul><li>Généralement authentification forte (PIN+Token) </li></ul></ul><ul><li>Deux grande familles </li></ul><ul><ul><li>Passive Tokens </li></ul></ul><ul><ul><li>Active Tokens </li></ul></ul>
  24. 24. Passive Tokens <ul><li>Contient un secret unique (Base Secret) </li></ul><ul><ul><li>Secret unique partagé </li></ul></ul><ul><li>Type de Tokens </li></ul><ul><ul><li>Badge de proximité </li></ul></ul><ul><ul><li>Carte magnétique </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Généralement authentification « faible » </li></ul><ul><ul><li>Pas de deuxième facteur </li></ul></ul>
  25. 25. Mode de fontionement Token + (PIN) = Base Secret Base Secret
  26. 26. Active Tokens <ul><li>Contient un secret unique (Base Secret) </li></ul><ul><ul><li>Secret unique partagé </li></ul></ul><ul><ul><li>Facteur commun changeant </li></ul></ul><ul><li>Résultat: One Time Password (OTP) </li></ul><ul><li>Mode de fonctionnement dit synchrone </li></ul><ul><ul><li>Counter Based </li></ul></ul><ul><ul><li>Clock Based </li></ul></ul><ul><ul><li>Hybride </li></ul></ul>
  27. 27. Mode de fontionement Token + (PIN) Facteur commun changeant Facteur commun changeant = = Base Secret Base Secret
  28. 28. Counter Based Tokens Hash Counter +1 OTP Facteur commun Secret unique partagé Base Secret
  29. 29. Clock Based Tokens Hash OTP Secret unique partagé Base Secret
  30. 30. Protection des tokens <ul><li>Deuxième facteur par PIN </li></ul><ul><ul><li>Personal Identifier Number </li></ul></ul><ul><li>Deux solutions </li></ul><ul><ul><li>PIN externe </li></ul></ul><ul><ul><li>PIN interne </li></ul></ul>
  31. 31. PIN Code interne Hash Clock or Counter PIN unlock Base Secret OTP Base Secret
  32. 32. PIN Code externe Hash Clock or Counter + PIN * OTP * Shoud use encryption (SSL, IPSEC, SSH Base Secret
  33. 33. RSA SecurID <ul><li>De facto standard </li></ul><ul><ul><li>Grandes banques, industries, gouvernements </li></ul></ul><ul><li>Système basé sur le temps </li></ul><ul><li>Très portable </li></ul><ul><li>Grand nombre d’agents (env. 300) </li></ul><ul><li>Facilité d’utilisation </li></ul>
  34. 34. RSA SecurID Seed Time 482392 ACE/Server Token Algorithm Seed Time 482392 Algorithm Same Seed Same Time
  35. 35. RSA ACE/Server (Primary) RSA ACE/Agents NT/ Unix Novell Intranet Firewall RSA ACE/Server (Replica) VPN RSA ACE/Agents Web Server RSA ACE/Agent Firewall RAS DMZ Internet
  36. 36. Challenge Response
  37. 37. Challenge Response <ul><li>Basé sur un challenge ( nonce) </li></ul><ul><li>Basé sur un secret unique </li></ul><ul><li>Calcul du challenge avec une fonction de hachage </li></ul><ul><li>Mode de fonctionnement dit asynchrone </li></ul>
  38. 38. Mode de fontionement nonce ( adf341gf) dupont nonce = adf341gf response = ff747dgd4 = Base Secret Base Secret
  39. 39. Norme X9.9 <ul><li>Standard ouvert pour Challenge Response </li></ul><ul><ul><li>US Gouvernement </li></ul></ul><ul><ul><li>American Bankers Association </li></ul></ul><ul><li>Utilisation de « DES » comme Hash </li></ul><ul><ul><li>Problème de « Password Guessing » </li></ul></ul><ul><li>Migration vers « AES » </li></ul>
  40. 40. Norme X9.9 Hash (DES encrypt) Random Challenge Nonce OTP Response Base Secret
  41. 41. S/Key <ul><li>OTP dévellopé par Bellcore </li></ul><ul><ul><li>1990, pour Login Unix </li></ul></ul><ul><li>Basé sur un secret unique </li></ul><ul><li>Basé sur un pseudo challenge </li></ul><ul><ul><li>Challenge pas aléatoire </li></ul></ul><ul><li>Calcul du « challenge » par « Token Soft » </li></ul><ul><ul><li>Ou liste à barrer </li></ul></ul><ul><li>Utilisation de Hachage </li></ul><ul><ul><li>MD4, MD5, etc. </li></ul></ul>
  42. 42. S/Key Hash Seed S/Key Response Counter (99, 98, 97, etc.) digest Table S/Key Human Readable Base Secret
  43. 43. Démo S/Key Counter Seed OTP Base Secret
  44. 44. Microsoft NT Lan Manager <ul><li>Windows NT 4.0 </li></ul><ul><li>Stockage des password dans la SAM </li></ul><ul><ul><li>Security Accounts Manager </li></ul></ul><ul><li>Utilisation d’un challenge Response </li></ul><ul><ul><li>DES et maintenant MD4 </li></ul></ul><ul><li>Problème de password « Guessing » </li></ul><ul><ul><li>Dump SAM (pwdump) </li></ul></ul><ul><ul><li>Sniffer réseau (SMB sniffer) </li></ul></ul>
  45. 45. Protection SAM Microsoft <ul><li>Utilitaire « Sytem Key » </li></ul><ul><ul><li>Encryption SAM </li></ul></ul><ul><ul><li>PIN Code </li></ul></ul><ul><ul><ul><li>Boot </li></ul></ul></ul><ul><ul><ul><li>PIN dans la registry </li></ul></ul></ul><ul><ul><ul><li>PIN sur une disquette </li></ul></ul></ul>
  46. 46. Authentification indirecte
  47. 47. Authentification indirecte <ul><li>Sécurisation des accès réseaux et systèmes </li></ul><ul><ul><li>Gestion centralisée des utilisateurs </li></ul></ul><ul><ul><li>Facilité de gestion des mot de passe </li></ul></ul><ul><ul><li>Autorisation </li></ul></ul><ul><ul><li>Archivage des évenements </li></ul></ul><ul><li>Utilisation d’un serveur d’authentification tier </li></ul><ul><li>Protocole standard comme Radius </li></ul>
  48. 48. Authentification indirecte Authentication Server Resource Server or NAS Client Logon Request Logon Response Authentication Request Authentication Response Applications
  49. 49. Contrôle d’accès aux réseaux <ul><li>Remote Access </li></ul><ul><ul><li>Point 2 Point Protocol (PPP) </li></ul></ul><ul><ul><li>Point 2 Point Tunneling Protocol (PPTP) </li></ul></ul><ul><ul><li>Layer 2 Tunneling Protocol (L2TP) </li></ul></ul><ul><ul><li>IPSEC </li></ul></ul><ul><li>Firewall </li></ul><ul><li>Equipements réseaux </li></ul><ul><ul><li>Router, Switch, etc. </li></ul></ul>
  50. 50. Serveurs d’authentification OTP tier <ul><li>Interface entre le serveur OTP et serveur d’authentification </li></ul><ul><li>Authentification forte (RAS, Firewall, etc.) </li></ul><ul><li>Utilisation du mode proxy (Radius, etc.) </li></ul><ul><ul><li>SecurID </li></ul></ul><ul><ul><li>Activcard </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  51. 51. Serveurs d’authentification OTP Authentication Server Radius Router with Agent radius Client Server OTP
  52. 52. Radius <ul><li>RADIUS </li></ul><ul><ul><li>R emote A ccess D ial- I n U ser S ervice </li></ul></ul><ul><li>Standart ouvert </li></ul><ul><li>Fournit les 3 services (AAA) </li></ul><ul><ul><li>Authentification </li></ul></ul><ul><ul><li>Autorisation </li></ul></ul><ul><ul><li>Accounting </li></ul></ul><ul><li>Utilisé par de nombreux ISP </li></ul><ul><li>Protocol standard (rfc 2138 et 2139) </li></ul>
  53. 53. Radius: authentification <ul><li>Authentification des utilisateurs </li></ul><ul><li>Base de données utilisateur en local ou en mode proxy </li></ul><ul><ul><li>SAM, NDS, SecurID, etc. </li></ul></ul>Radius SAM Ace Server
  54. 54. Radius: autorisation <ul><li>Contrôle d’accès aux applications (filtrage) </li></ul><ul><li>Attributs granulaires </li></ul><ul><ul><li>Utilisateurs </li></ul></ul><ul><ul><li>Groupes </li></ul></ul><ul><ul><li>Protocoles et services (applications) </li></ul></ul><ul><ul><li>Destination IP </li></ul></ul><ul><li>Autres attributs </li></ul><ul><ul><li>Le temps </li></ul></ul><ul><ul><li>Nb de sessions </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  55. 55. Radius: accounting <ul><li>Collecte des informations des connexions </li></ul><ul><ul><li>Temp de la session </li></ul></ul><ul><ul><li>Nb de bytes </li></ul></ul><ul><ul><li>Identité de l’utilisateur </li></ul></ul><ul><li>Utiliser pour </li></ul><ul><ul><li>Statistiques </li></ul></ul><ul><ul><li>Facturation </li></ul></ul><ul><ul><li>Auditing </li></ul></ul>
  56. 56. Démonstration sécurisation des routeurs Cisco Authentication Server Radius AAA Router with Agent radius Client Ace Server
  57. 57. Tacacs+ <ul><li>Alternative à Radius </li></ul><ul><ul><li>3 x AAA </li></ul></ul><ul><li>Protocole dévellopé par Cisco </li></ul><ul><li>Problème de sécurité </li></ul><ul><li>Peu d’implémentations « Open Source  » </li></ul>
  58. 58. Kerberos
  59. 59. Kerberos <ul><li>Protocole de sécurité pour l’authentification </li></ul><ul><li>Architecture Single Sign-On </li></ul><ul><li>Dévellopé par le MIT en 1985 </li></ul><ul><ul><li>Version 4.0 </li></ul></ul><ul><ul><li>Version 5.0 (IETF) rfc 1510 et 1964 </li></ul></ul><ul><ul><li>Open Software pour environement Unix </li></ul></ul>
  60. 60. Kerberos <ul><li>Fournit du chiffrement de session </li></ul><ul><ul><li>Secure Single Sign-On </li></ul></ul><ul><li>Fournit l’authentification mutuelle </li></ul><ul><ul><li>Entre clients et serveurs </li></ul></ul><ul><li>Utilisation du protocole par Windows 2000 </li></ul><ul><ul><li>Nouvelle vie pour Kerberos </li></ul></ul>
  61. 61. Kerberos: concept de base <ul><li>Utilisation de secret partagé </li></ul><ul><ul><li>Chiffrement symétrique </li></ul></ul><ul><li>Utilisation d’un tier de confiance pour le partage des secret partagés (clés) </li></ul><ul><ul><li>K ey D istribution C enter </li></ul></ul><ul><li>Utilisation de ticket distribué par le KDC </li></ul><ul><ul><li>Credential ou ticket de session </li></ul></ul><ul><ul><li>Validité des tickets dans le temps </li></ul></ul>
  62. 62. Key Distribution Center Master Key Database Unix Server « Kerberized » Software Logon Request TGT TGT Unix Server Ticket Unix Server Request With Ticket Unix Server Response Ka Ka Kb Kb
  63. 63. Kerberos et Win 2000 <ul><li>Protocole d’authentification de Windows 2000 </li></ul><ul><ul><li>Remplacement de NTLM </li></ul></ul><ul><li>Utilisation de Active Directory pour le stockage des clés Kerberos </li></ul><ul><li>Architecture Single Sign-On </li></ul><ul><li>Kerberos Version 5.0 </li></ul>
  64. 64. Extension du protocol Kerberos <ul><li>Logon initial remplacé par la technologie PKI </li></ul><ul><ul><li>PKINIT (IETF) </li></ul></ul><ul><ul><li>Utilisation des smartcards </li></ul></ul><ul><ul><li>Authentification basé sur un certificat X509 </li></ul></ul><ul><li>KDC vérifie le certificat </li></ul><ul><ul><li>« Trust » et les « Path » </li></ul></ul><ul><ul><li>Validation du certificat (CRL) </li></ul></ul>
  65. 65. Biométrie
  66. 66. Biométrie <ul><li>Système « ancien » </li></ul><ul><ul><li>1930 - carte d’identité avec photo </li></ul></ul><ul><ul><li>Reconnaissance de la voix </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Deux familles </li></ul><ul><ul><li>Mesure des traits physiques uniques </li></ul></ul><ul><ul><li>Mesure d’un comportement unique </li></ul></ul>
  67. 67. Mesure des traits physiques <ul><li>Empruntes digitales </li></ul><ul><li>Géométrie de la main </li></ul><ul><li>Les yeux </li></ul><ul><ul><li>Iris </li></ul></ul><ul><ul><li>Rétine </li></ul></ul><ul><li>Reconnaissance du visage </li></ul><ul><li>Nouvelles voies </li></ul><ul><ul><li>ADN, odeurs, oreille et « thermogram » </li></ul></ul>
  68. 68. Mesure d’un comportement <ul><li>Reconnaissance vocal </li></ul><ul><li>Signature manuscrite </li></ul><ul><li>Dynamique de frappe </li></ul><ul><ul><li>Clavier </li></ul></ul>
  69. 69. Promesses et réalité <ul><li>Problème de « false rejection » </li></ul><ul><li>Problème de « false acceptance » </li></ul><ul><li>« Replay Attacks » et « Spoofing » </li></ul><ul><ul><li>Ajout d’un PIN Code ou Smartcard </li></ul></ul><ul><li>Prix ? </li></ul><ul><ul><li>Bon capteur sont très chers (600 CHF/poste) </li></ul></ul>
  70. 70. Personal trait Biometric Reader Feature Extraction 1=127 2=126 3=456 4=987 Biometric Signature dupont: 1=127,2= deraud: 1=878,2= marcus: 1=656,2= Biometric Matching Biometric Pattern ?
  71. 71. Mécanisme de contrôle <ul><li>Par serveur d’authentification </li></ul><ul><ul><li>Requêtes par réseau </li></ul></ul><ul><ul><li>Problème de sécurité </li></ul></ul><ul><ul><li>Problème de confidentialité </li></ul></ul><ul><ul><li>Problème de disponibilité </li></ul></ul><ul><li>Sur une smartcard </li></ul><ul><ul><li>Meilleure sécurité </li></ul></ul><ul><ul><li>Mode « offline » </li></ul></ul><ul><ul><li>Prix plus élevé </li></ul></ul><ul><ul><li>MOC = Match On card </li></ul></ul>
  72. 72. Précision Biométrique <ul><li>False Acceptance </li></ul><ul><ul><li>FAR (False Acceptance Rate) in % </li></ul></ul><ul><ul><li>Lecteur sale, mauvaise position, etc </li></ul></ul><ul><li>False Rejection </li></ul><ul><ul><li>FRR (False Rejection Rate) in % </li></ul></ul><ul><ul><li>Usurpation, falsification </li></ul></ul>
  73. 73. Equal Error Rate (EER)
  74. 74. Authentification forte <ul><li>Deux facteurs </li></ul><ul><ul><li>Une carte à puce </li></ul></ul><ul><ul><li>Un PIN code </li></ul></ul>
  75. 75. Quelques Liens <ul><li>http://www.rsasecurity.com </li></ul><ul><li>http://www.cesg.gov.uk/technology/biometrics/index.htm </li></ul><ul><li>http://www.microsoft.com/technet/default.asp </li></ul><ul><li>http://web.mit.edu/kerberos/www/ </li></ul>
  76. 76. Questions?
  77. 77. e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité d e périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix , Microsoft et des postes clients (firewall personnel).
  78. 78. Pour plus d’informations e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 [email_address]

×