Scurit des rseaux

Quelques chiffres Pourquoi scuriser ? 1. Les attaques Techniques dintrusion Phishing Crackage SSL - SSH Sniffing Spoofing 4. Authentification Malwares Locale Dni de service Kerberos Smurfing CHAP et MS-CHAP TCP-SYN Flooding 802.1x et EAP DDOS RADIUS 2. Architectures Firewall 5. LANs et WLANs scuriss DMZ WiFi (WEP, WPA) NAT Bluetooth Proxy ZigBee VPN (PPTP, L2TP, IPSec) WiMax 3. Cryptage Principes Hash Signatures Certificats et PKI

Quelques chiffres
En 2009, les rseaux sociaux tels que Facebook ou Twitter sont devenus une cible privilgie des pirates. Ces sites Web sont aujourd'hui les premiers vecteurs de fuites de donnes et de vols d'identit. Cisco estime que 2 % environ de tous les clics enregistrs sur Internet en 2009 via les 4 000 appliances de scurit Web l'ont t sur des rseaux sociaux (1,35 % uniquement sur Facebook).

le nombre dentreprises ayant t victimes d'attaques de spam et de malwares via les rseaux sociaux a augment de 70 % au cours de 2009. Plus de la moiti des entreprises interroges ont confirm avoir reu du spam via les sites de rseaux sociaux et plus d'un tiers d'entre elles ont reu du malware. 72 % des entreprises estiment que le comportement de leurs employs sur les sites de rseaux sociaux reprsentent un risque pour leur scurit, soit une hausse de 66 % par rapport l'enqute prcdente.

Le nombre d'entreprises ayant fait l'objet d'attaques de spam, de phishing et de malwares via les sites de rseaux sociaux a considrablement augment, le spam passant lui seul de 33,4 % en avril 57 % en dcembre.

Les vers de Mikeyy Mooney En avril 2009, le ver StalkDaily a exploit une faille de scurit sur le site Twitter pour envoyer des milliers de messages de spam en utilisant des comptes de membres Twitter. Cette attaque a t revendique par Mikeyy Mooney, un adolescent de 17 ans qui a galement t mis en cause dans une seconde vague d'attaques quelques heures aprs le premier ver. Peu aprs, un autre ver cr grce des techniques de "cross-site scripting" s'est propag, mettant une nouvelle fois en cause Mikeyy Mooney.

Les plus grandes fuites de donnes de la dcennie : Janvier 2000 : 300 000 numros de cartes de crdit ont t voles du magasin de musique en ligne CD Universe. La nouvelle s'est propage sur le Net aprs le rejet de demandes de ranon. Novembre 2000 : Travelocity a expos les donnes de 51 000 clients sur le serveur Web de l'entreprise. Mars 2001 : Bibliofind.com, un site appartenant Amazon, a t infiltr par des pirates, compromettant les donnes de plus de 98 000 clients. Avril 2001 : des pirates ont annonc le vol de donnes personnelles de 46 000 clients de la

socit d'hbergement amricaine ADDR. com. Fvrier 2002 : un ancien employ de Prudential Insurance Company, une socit de services financiers amricaine, a t condamn pour avoir vol une base de donnes de 60 000 clients des fins de revente sur le Net. Mars 2003 : cinq millions de numros de cartes de crdit avec dates d'expiration ont t vols de Data Processors International. Il sagirait d'une attaque en interne. Juin 2004 : 92 millions d'adresses lectroniques d'abonns AOL ont t vendues des spammeurs. Juin 2005 : 40 millions de numros de cartes de crdit ont t vols par une socit de traitement de cartes de donnes pirates. Mai 2006 : les donnes de 26,5 millions de vtrans de l'arme amricaine ont t voles par des pirates. Juin 2006 : la socit de tlcommunication japonaise KDDI a admis la perte de donnes de 4 millions de clients. 31 Janvier 2007 : TJX Companies Inc., le conglomrat international qui englobe T.J. Maxx,T.K. Maxx, Marshalls and Winners, a perdu au moins 45 millions de donnes de cartes bancaires suite l'infiltration de leurs systmes par des pirates. Novembre 2007 : le HM Revenue and Customs, ladministration fiscale britannique a gar les donnes personnelles de 25 millions de contribuables au Royaume-Uni. Mars 2008 : 12,5 millions de donnes stockes sur cassettes ont t perdues par la socit de gestion d'actifs et de services de titres BNY Mellon. Septembre 2008 : deux CD contenant des renseignements personnels de 11 millions d'individus ont t trouvs sur un tas de ferraille Seoul. Les donnes appartiendraient la raffinerie ptrolire GS Caltex. Octobre 2008 : T-Mobile Allemagne a perdu un disque dur contenant les donnes de 17 millions de clients. Janvier 2009 : les rseaux de Heartland Payment Systems ont t pirats, exposant les donnes de 130 000 000 utilisateurs de cartes de crdit.34 Mai 2009 : des informations confidentielles sur Joint Strike Fighter et l'hlicoptre priv du prsident Obama ont t divulgues via des rseaux P2P. Octobre 2009 : des disques durs envoys en rparation contenaient des informations sur 76 millions de vtrans de l'arme amricaine.

Pourquoi scuriser ?

Trois objectifs

Pourquoi les systmes sont-ils vulnrables ? mergence en permanence de nouveaux usages et de nouvelles technologies et donc de nouvelles vulnrabilits (rseaux sociaux, peer to peer, messagerie instantane, rseaux sans fil, smartphone connects en WiFi ou en 3G, tlphonie sur IP, stockage sur cl mobile USB, ) ; Politiques de scurit complexes (firewall sur les routeurs daccs et sur les serveurs dextrmit, cryptage de certains fichiers, droit accrus pour les administrateurs sur certaines ressources) ; Politiques de scurit bases sur des jugements humains ; La scurisation est coteuse en moyens, en temps et surtout en ressources humaines. Trois principaux objectifs de la scurit : L'intgrit, c'est--dire garantir que les donnes sont bien celles qu'on croit tre ; La confidentialit, consistant assurer que seules les personnes autorises ont accs aux ressources ; La disponibilit, permettant de maintenir le bon fonctionnement du systme informatique.

Pourquoi scuriser ?

Attaques et dfenses

1. Les attaques 1. Techniques dintrusion

Types dattaque

Les accs physiques vont du vol de disque dur ou de portable lcoute du trafic sur le rseau (sniffing) ; Lingnierie sociale (social engineering) permet de retrouver ou de rcuprer directement des couples identifiant/mot de passe en envoyant par exemple des messages falsifis (phishing) ; Linterception de communications permet lusurpation d'identit, le vol de session (session hijacking), le dtournement ou laltration de messages (spoofing) ; Les intrusions sur le rseau comprennent le balayage de ports (port scan), llvation de privilges (passage du mode utilisateur au mode administrateur) et surtout ou malware (virus, vers et chevaux de Troie).

Le sniffing Sur la plupart des rseaux, les trames sont diffuses sur tout le support (cble Ethernet, transmission radio WiFi). En fonctionnement normal, seul le destinataire reconnat son adresse (adresse MAC destination sur un rseau Ethernet) et lit le message. La carte Ethernet ou Wifi dun PC peut tre reprogramme pour lire tous les messages qui traversent le rseau (promiscious mode). La limite dans ce cas est le dispositif dinterconnexion utilis sur le LAN ou le segment de LAN (hub, switch, AP WiFi, routeur). Les hackers utilisent des sniffers ou analyseurs rseau qui scannent tous les messages qui circulent sur le rseau et recherchent ainsi des identits et des mots de passe. La commande tcpdump sous Unix et le logiciel Wireshark, par exemple, sont des logiciels de sniffing.

Le Crackage de mot de passe Le hacker utilise un dictionnaire de mots et de noms propres construit partir dinformations personnelles et prives qui ont t collectes (social engineering). Mot de Mot de Passe Passe Passe laide de programmes spcifiques qui peuvent tester des milliers de mots de passe la seconde Exemple : John the ripper Toutes les variations sur les mots peuvent tre testes : mots crits lenvers, majuscules et minuscules, ajout de chiffres ou de symboles. Ce type dattaque est souvent nomm attaque par force brute car le mot de passe est devin grce des milliers dessais successifs partir dun dictionnaire, et non pas retrouv laide dun programme capable de dcrypter une chane de caractres. Mot de Ces chanes de caractre sont essayes une une

Le phishing Nologisme anglais, contraction de " fishing : pcher, et de " phreaking " : pirater le rseau tlphonique. Il sagit de conduire des internautes divulguer des informations confidentielles, et notamment bancaires, en usant dun hameon, fait de mensonge et de contrefaon lectronique (identit visuelle dun site connu, en-ttes, logo ). Le cas le plus classique est celui dun mail usurpant lidentit de votre banque et contenant un lien vers un faux site o on vous demandera de confirmer votre numro de carte bleue. Le phishing utilise galement des virus qui installent des programmes espions afin dintercepter la frappe des donnes confidentielles sur le clavier (keyloggers) pour les transmettre ensuite sur un site o le phisher pourra les rcuprer. La parade propose par la plupart des banques est une saisie la souris du numro de compte et du code dentre.

Les keyloggers Programmes installs votre insu sur votre PC et capables denregistrer toutes les squences de touches frappes sur un clavier : login, mot de passe, numro de compte, numro de carte bancaire... Le keylogger cre un fichier cach (.log) sur votre systme susceptible dtre ensuite transmis via Internet. Le fichier log peut ainsi contenir ainsi toutes les squences de touches pour chaque De plus en plus de banques proposent une saisie du code personnel la souris.

fentre ouverte sur votre systme

Le Spoofing LIP spoofing (to spoof : faire passer pour, usurper ) Lagresseur prtend provenir dune machine interne pour pntrer sur le rseau priv. Cette attaque peut tre simplement bloque avec un pare-feu (firewall) au niveau du routeur daccs qui liminera les paquets entrants avec une adresse IP source

interne.

@IP source usurpe : 195.10.4.12 195.10.4.12 Pirate Internet Routeur LAN daccs Priv Rseau 195.10.4.0

Le mail Spoofing Les courriers lectroniques sur Internet sont galement sujet au spoofing : une adresse dexpditeur peut tre falsifie simplement dans la mesure o elle ne comporte pas de pas de signature numrique. Le protocole denvoi de messages SMTP nest pas scuris. Le DNS spoofing Le pirate utilise les faiblesses du protocole DNS et de son implmentation sur les serveurs de noms de domaine pour rediriger des internautes vers des sites falsifis. Le but du pirate est donc de faire correspondre l'adresse IP d'une machine qu'il contrle lURL rel d'une machine publique. Deux attaques de type DNS Spoofing : Le DNS ID Spoofing bas sur la rcupration et lexploitation dans une fausse rponse du numro d'identification contenu dans une requte DNS ; Le DNS Cache Poisoning qui corromps (empoisonne) avec de fausses adresses le cache des serveurs DNS.

Le web spoofing Version labore de lIP spoofing. Il s'agit de remplacer un site par une version pirate du mme site. Technique est notamment utilise dans la dernire tape du phishing.

La falsification se droule en plusieurs temps : Amener la victime entrer dans le faux site web (grce lutilisation du DNS spoofing par exemple) Intercepter les requtes HTTP ; Rcuprer les vraies pages web et modifier ces pages ; Envoyer de fausses pages la victime.

Les virus Nom souvent utilis pour dsigner sans distinction tout type dattaque. En vrit, programme qui se propage laide dautres programmes ou de fichiers. Souvent simples et faciles dtecter partir de leur code (signature). Efficaces, car ils se propagent plus vite que les anti-virus peuvent tre mis jour. Passent le plus souvent par la messagerie Activs par la slection dun lien sur le message ou louverture dun fichier attach. Consquences de lexcution dun virus : simple modification des paramtres dune application (page par dfaut du navigateur) Modification de la base de registre du systme (excution automatique dun programme commercial chaque dmarrage) Effacement de donnes ou de fichiers essentiels au systme dexploitation.

Les vers Un ver (worm) est un programme plus sophistiqu capable de se propager et de s'auto-reproduire sans l'utilisation d'un programme quelconque (dun vecteur) ni d'une action par une personne. La particularit des vers ne rside pas forcment dans leur capacit immdiate de nuire mais dans leur facilit pour se propager grce par exemple aux listes de contacts prsentes sur les PC ou les smartphones. Le premier ver introduit sur l'iPhone change le fond dcran Dtournant la fois la protection du Web et des messageries, l'attaque qui a fait le plus parler d'elle en 2009 est le ver Conficker (aka Downadup). Conficker se propage directement travers les rseaux en exploitant les vulnrabilits de

Windows. Par exemple Windows AutoPlay pour les priphriques amovibles tels que les cls USB Effets les plus significatifs : diffusion descroqueries de faux antivirus ; distribution de la famille de malwares Waledpak. Les chevaux de Troie (troyans) Un cheval de Troie (troyan) est programme cach dans un autre programme qui sexcute au dmarrage du programme hte . Il permet donc de s'introduire sur le systme linsu de la victime (ouverture dune porte drobe ou backdoor). Le cheval de Troie devient alors autonome et peut agir comme un virus en infectant des donnes ou des programmes. Le Dni de service Ce type dattaque nomm en anglais Denial Of Service ou DOS empche par saturation un service de fonctionner correctement sur une machine. Par exemple le Ping of the death est la plus ancienne des attaques de type DOS : un ping continu avec une taille de paquet maximum est lanc vers la machine cible. Tous les OS rcents empchent ce type dattaque. Une variante connue sous le nom de smurfing est base sur lenvoi dun echo request ICMP avec comme adresse source celle de la victime et une adresse destination de diffusion. Les rponses echo reply provenant de toutes les machines du rseau vers la machine de la victime saturent celle-ci. Cette vulnrabilit a galement t supprime sur tous les OS rcents. TCP-SYN Flooding Cette attaque consiste inonder (flooding) la cible laide de demandes successives douverture de connexion TCP. Lors dune ouverture normale : le premier segment TCP est transmis par le client avec le bit SYN 1 pour demander louverture ; le serveur rpond avec dans son segment TCP les bits SYN et ACK 1 ; le client demandeur conclut la phase avec le bit ACK 1.

TCP-SYN Flooding Les abus interviennent au moment o le serveur a renvoy un accus de rception (SYN ACK) au client mais na pas reu le ACK du client. Cest alors une connexion semi-ouverte et lagresseur peut saturer la structure de donnes du serveur victime en crant un maximum de connexions partiellement ouvertes. Le client autoris ne pourra alors plus ouvrir de connexion. Il existe plusieurs mthodes simples pour parer cette attaque : la limitation du nombre de connexions depuis la mme source ou la mme plage d'adresses IP ; la libration des connexions semi-ouvertes selon un choix de client et un dlai alatoires ; la rorganisation de la gestion des ressources alloues aux clients en vitant d'allouer des ressources tant que la connexion n'est pas compltement tablie.

TCP-SYN Flooding : exemples

Le DDOS Le Distributed denial-of-service ou dni de service distribu les mmes effets que le DoS traditionnel except qu'ici ce n'est plus une seule machine qui attaque les autres mais une multitude de machines zombies contrles par un matre unique.

Le DDOS Lattaque se droule en plusieurs tapes : Recherche sur Internet d'un maximum de machines vulnrables qui deviendront des complices involontaires, des zombies . Les rseaux de zombies ( botnet en anglais) ainsi forms sont une ressource prcieuse pour les hackers ; Installation sur ces machines de programmes dormants (daemons) et suppression des traces ventuelles (logs) ; Les daemons sont bass sur les attaques DOS classiques (paquets UDP multiples, SYN Flood, buffer overflow ) ;

Activation du dispositif l'heure et au jour programm. Parmi les attaques DDoS trs populaires, on connat l'attaque sur les sites internet Yahoo, CNN, Amen et EBay qui ont subit une inondation de leur rseau. Frquence des attaques

2. Architectures
Concepts Plusieurs modles de scurit existent : La scurit par lobscurit : le systme est sr car personne ne le connat ; La scurit par lhte : chaque machine est scurise un certain niveau (serveurs ou stations avec ncessit d'authentification au login et des protections locales et sur laccs aux ressources) ; La scurit par le rseau : laccs lensemble des ressources du rseau est protg par un firewall charg de filtrer les accs et de scuriser les donnes qui circulent. Principe du moindre privilge Chaque lment d'un systme (utilisateur, logiciel) ne doit avoir que le minimum de privilges ncessaires pour accomplir sa tche. Exemples : Les utilisateurs normaux ne doivent pas tre administrateurs ; Les administrateurs doivent aussi utiliser des comptes d'utilisateurs ; Un serveur web tourne sous nobody.

Quelques vidences...? Dfense en profondeur Plusieurs mesures de scurit valent mieux qu'une. Par exemple Anti-spam sur les serveurs de messagerie ET sur les postes de travail Interdiction par dfaut On ne connat jamais l'avance toutes les menaces qu'on va subir. Il est mieux d'interdire tout ce qui n'est pas explicitement permis que de permettre tout cequi n'est pas explicitement interdit.

Si on fait un oubli, il vaut mieux interdire quelque chose d'utile que d'autoriser une attaque ! Participation des utilisateurs Un systme de protection n'est efficace que si tous les utilisateurs le supportent. Un systme trop restrictif pousse les utilisateurs devenir cratifs Simplicit La plupart des problmes de scurit ont leur origine dans une erreur humaine. Dans un systme simple : le risque d'erreur est plus petit ; il est plus facile de vrifier son bon fonctionnement. La scurit peut tre tudie deux niveaux interdpendants : Au niveau de larchitecture du rseau (firewall, DMZ, VPN) ; Au niveau des protocoles utiliss dans le rseau (IPSec, PPTP, authentification, SSH, HTTP-S, cryptographie).

Firewall : Principe Le firewall ou pare-feux est charg de filtrer les accs entre lInternet et le rseau local ou entre deux rseaux locaux. La localisation du firewall (avant ou aprs le routeur, avant ou aprs le NAT..) est stratgique. Le firewall, qui est souvent un routeur possdant des fonctionnalits de filtrage, possde autant dinterfaces que de rseaux connects. Suivant la politique de scurit, le filtrage est appliqu diffremment pour chacune des interfaces dentre et de sortie (blocage des adresses IP prives entrantes, autorisation des accs entrants vers le serveur web institutionnel) Les machines dextrmit possdent galement un firewall mais celui-ci est logiciel (pare-feu Windows ou iptables sous Linux par exemple) et sert protger les machines du trafic entrant si le firewall lentre du LAN na pas t suffisamment slectif.

Filtrage de paquets Pour chaque trame ou chaque paquet entrant ou sortant sur une interface donne, les en-ttes correspondant aux diffrentes couches sont analyss et le filtrage slectif est appliqu suivant la stratgie de scurit dfinie par ladministrateur du

rseau. Le filtrage peut porter sur : les adresses MAC source ou destination ; les adresses IP source ou destination ; les ports TCP ou UDP source ou destination ; les Flags de len-tte TCP (SYN, ACK) ; le type de message ICMP ; le type de message ou le contenu HTTP, SMTP, POP (filtrage applicatif ).

Filtrage sur les entres Le firewall peut galement empcher les connexions entrantes en analysant la valeur du bit ACK de len-tte TCP. Lors dune demande de connexion, le bit ACK du premier segment TCP est 0, les bits ACK des segments suivants sont gnralement tous 1. Il suffit donc de bloquer les segments entrants avec le bit ACK 0, les segments suivants pour cette connexion ne seront pas pris en compte

Rgles dun Firewall La configuration dun firewall passe par lcriture dune suite de rgles qui dcrivent les actions effectuer (accepter ou refuser le trafic) suivant les informations contenues dans les en-ttes des paquets. Les caractristiques de chaque paquet sont compares aux rgles, les unes aprs les autres. La premire rgle rencontre qui correspond aux caractristiques du paquet analys est applique : laction dcrite dans la rgle est effectue. Pour assurer une scurit maximum, la seule rgle prsente par dfaut doit tre celle qui interdit laccs tous les paquets entrants et sortants, dautres rgles seront ensuite insres pour ouvrir les accs souhaits. La stratgie applique est donc : tout ce qui n'est pas explicitement autoris est interdit . Exemple de rgles dun firewall Les rgles A et B permettent aux machines locales (192.168.0.0) douvrir une connexion sur un serveur web (port 80) externe.

mission (rgle C) ou rception (rgle D) de courrier SMTP (port 25) avec un serveur externe. Les paquets entrants depuis des supposs serveurs SMTP ne peuvent passer que si la connexion a t initie de lintrieur (rgle D). Blocage de toute autre connexion (rgle E).

Firewall : Stateless ou statefull Le Firewall stateless Filtrage simple de paquets ; Bas sur les adresses, les ports, les entres ou des informations de la couche application. Le Firewall statefull : Ralise un suivi de connexion ; Diffrents tats pour une connexion : NEW. La connexion est cre (par ex., un client envoie sa premire requte vers un serveur web. ESTABLISHED. Connexion dj initie, suit une connexion NEW dj passe. RELATED. Peut tre une nouvelle connexion, mais prsente un rapport direct avec uneconnexion dj connue. INVALID. Pour tous les paquets suspects suivant des rgles pr-tablies. Exemple de stratgie : Toutes les connexions NEW qui viennent du LAN et qui vont sur le NET port 80 sont acceptes. Tous les clients du LAN peuvent interroger tous les serveurs web du NET ; Toutes les connexions RELATED et ESTABLISHED qui viennent du NET port 80 sont autorises rentrer. Les serveurs peuvent rpondre ; Toutes les connexions RELATED et ESTABLISHED qui sortent du LAN sont autorises. Les connexions peuvent se poursuivre, mme si elles ouvrent de nouvelles connexions. Toutes les connexions INVALID, d'o qu'elles vienn ent sont rejetes.

Firewall : les ACL Cisco Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les paquets entrants ou sortants en fonction des adresses IP source et destination. Il existe 2 types d'ACL

Standard : uniquement sur les IP sources ; Etendue : sur quasiment tous les champs des en-ttes IP, TCP et UDP. Le filtrage sur les paquets peut intervenir : sur linterface dentre, avant le processus de routage ; sur linterface de sortie, aprs le processus de routage.

logique des ACL Cisco Le paquet est vrifi par rapport au 1er critre dfini sur les informations contenues dans les en-ttes IP, TCP ou UDP : S'il vrifie le critre, l'action dfinie est applique ; Sinon le paquet est compar successivement aux ACL suivants ; S'il ne satisfait aucun critre, l'action deny est applique. Des masques sont utiliss pour pouvoir identifier une ou plusieurs adresses IP en une seule dfinition. Le masque dfini la portion de l'adresse IP qui doit tre examine : 0.0.255.255 signifie que seuls les 2 premiers octets doivent tre examins ; deny 10.1.3.0 avec 0.0.0.255 : refus de toutes les IP commenant par 10.1.3. Syntaxe d'une rgle standard : access-list number [deny|permit] source [source-wildcard] number compris entre 1 et 99 ou entre 1300 et 1999 Source-wildcard : masque pour la source Syntaxe d'une rgle tendue : access-list number [deny|permit] protocol source source-wildcard destination dest.wildcard number : compris entre 100 et 199 ou 2000 et 2699

Firewall : exemples dACL Cisco access-list 1 deny 172.16.3.10 0.0.0.0 (ou deny host 172.16.3.10) access-list 1 permit 0.0.0.0 255.255.255.255 (ou permit any) Refuse les paquets d'IP source 172.16.3.10. Le masque (galement appel wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs. La dernire rgle autorise toutes les autres adresses (le masque signifie quaucun nest significatif)

access-list 2 permit 172.16.3.0 0.0.0.255 Autorise tous les paquets d'IP source 172.16.3.0/24. Diffrence avec access-list 2 permit 172.16.3.0 0.0.0.0 ? access-list 101 deny ip any host 10.1.1.1 Refus des paquets IP destination de la machine 10.1.1.1 et provenant de n'importe quelle source access-list 102 deny tcp any gt 1023 host 10.1.1.1 eq 23 Refus de paquet TCP provenant d'un port > 1023 et destination du port 23 de la machine d'IP 10.1.1.1 access-list 103 deny tcp any host 10.1.1.1 eq http Refus des paquets TCP destination du port 80 de la machine d'IP 10.1.1.1

Firewall sous Linux Netfilter est le module qui fournit Linux les fonctions de pare -feu, de translation dadresse (NAT) et d'historisation du trafic rseau. Netfilter fonctionne en mode noyau. Il intercepte et manipule les paquets IP entrant et sortant de votre machine. iptables est le programme qui permet un administrateur de configurer Netfilter. iptables est install par dfaut dans toutes les distributions Linux et est utilisable en mode commande. Des interfaces graphiques sont disponibles pour modifier plus aisment les rgles de filtrage ou de translation.

Firewall sous Linux : chanes Par dfaut, le programme iptables utilise la table filter qui contient trois listes de rgles ; Ces listes sont appeles chanes de firewall ou juste chanes. Les trois chanes sont nommes INPUT, OUTPUT et FORWARD : La chane INPUT permet de dcider ce que lon fait dun paquet entrant. Il peut tre accept (ACCEPT) ou rejet (DROP) ;

La chane OUTPUT permet de la mme faon de fixer le sort des paquets sortants (ceux quisont gnrs localement) ; La chane FORWARD permet de transfrer sur une autre carte rseau le paquet arriv sur lamachine.

FORWARD Entre Dcision de routage DROP INPUT ACCEPT local Sortie DROP
utilise 3 chanes : translation sur adresse destination avant le processus de routage. Ex : pour un paquet entrant vers un serveur web interne et masqu, le routeur va remplacer sa propre IP par lIP du serveur web. POSTROUTING, la sortie du routeur et utilise pour faire du SNAT ( Source NAT) : masquage d'adresse source aprs le processus de routage. Ex : un ordinateur local veut sortir sur le WAN, le routeur va remplacer l'IP du paquet mis en local par sa propre IP. OUTPUT, cette chane va traiter les rponses mises en local si le paquet avait pour destination le routeur, comme dans le cas de la table filter.

ACCEPT

OUTPUT Processus ACCEPT

DROP

Une autre table est utilise pour les translations dadresses : la table nat . Elle PREROUTING, c'est la chane qui va tre utilise pour faire du DNAT (Destination NAT) :

PREROUTING ACCEPT routage Entre DROP OUTPUT Processus local ACCEPT Dcision de

POSTROUTING ACCEPT

DROP

Sortie

DROP

Firewall sous Linux : rgles Chaque chane est compose d'un ensemble de rgles. Quand un paquet atteint une chane celle ci va examiner cet ensemble rgle par rgle pour trouver celle qui lui correspond. Si c'est le cas alors cette rgle lui sera applique. Finalement s'il n'y a pas de rgle qui corresponde ce paquet, une politique par dfaut sera applique. La commande iptables permet de spcifier des rgles de slection des paquets IP dans les trois chanes (INPUT, OUTPUT et FORWARD). Les paquets sont slectionnes suivant la combinaison : adresse source, adresse destination ; protocole (tcp, udp, icmp, all) ; numro de port. Pour chaque rgle de slection, on dfinit une politique : accepter (ACCEPT) ou rejeter (DROP) le paquet. Exemple : on rejette les pings entrants : # iptables -A INPUT -i eth0 -p icmp -j DROP

Firewall sous Linux : exemple Le rseau local est sr, les paquets peuvent entrer et sortir : iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT Translation d'adresses pour tout ce qui traverse la passerelle en sortant par ppp0 : iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE Restriction du NAT une plage d'IPs du rseau local : iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

DMZ : principe Une zone dmilitarise (ou DMZ de langlais DeMilitarized Zone) est une zone de rseau prive ne faisant partie ni du rseau local priv ni de lInternet

 la manire d'une zone franche au del de la frontire, la DMZ permet de regrouper des ressources ncessitant un niveau de protection intermdiaire. Comme un rseau priv, elle est isole par un firewall mais avec des rgles de filtrage moins contraignantes.

DMZ : 2 niveaux de Firewall Un niveau supplmentaire de scurit peut tre introduit avec un deuxime firewall. Les rgles daccs sur le firewall du rseau local priv sont plus restrictives. La DMZ est situe entre les deux firewalls (DMZ en sandwich ) avec des rgles moins restrictives introduites par le premier firewall

Proxy Un systme mandataire (Proxy) repose sur un accs lInternet par une machine ddie : le serveur mandataire ou Proxy server, qui joue le rle de mandataire pour lesautres machines locales et excute les requtes pour le compte de ces dernires. Un Proxy est configur pour un ou plusieurs protocoles de niveau applicatif (HTTP, FTP, SMTP ) et permet de centraliser, donc de scuriser, les accs extrieurs (filtrage applicatif, enregistrement des connexions, masquage des adresses des clients ). Les Proxys configurs pour HTTP permettent galement le stockage de pages web dans un cache pour acclrer le transfert des informations frquemment consultes vers les clients connects (Proxy cache).

Connexion directe virtuelle Requte relaye Requte au serveur Internet Cache Rponse du serveur Rponse relaye Internet Proxy

(Serveur mandat) LAN priv

NAT : principe La translation dadresses est base sur lutilisation des adresses prives, non routables sur Internet : Classe A Classe B Classe C 10.0.0.0 172.16. 0.0 172.31.0.0 192.168.0.0 192.168.255.0 Elle permet disoler le trafic local du trafic public de linternet et ncessite lutilisation dun translateur dadresse (NAT - Network Adress Translator). Le NAT qui peut tre localis sur le routeur/firewall ou le proxy peut travailler suivant 3 types de translation : n @ prives vers 1 @ publique ; n @ prives vers m @ publiques ; 1 @ prive vers 1 @ publique.

NAT : translation dynamique Initialement la table de translation est vide. Quand un paquet sort, l'adresse source est remplace par une adresse publique. Les adresses et ports source et destination internes et externes sont inscrits. Quand une rponse un paquet arrive depuis Internet, la source interne qui correspond la destination du paquet est cherche dans la table. La destination est remplace par la source interne.

Exemple : NAT vu par Cisco 1. Le PC 10.1.1.1 envoie son premier paquet vers le serveur 170.1.1.1. 2. Le routeur NAT configur pour translater les adresses 10.1.1 ajoute une entre dans sa table pour 10.1.1.1 en tant quadresse locale. 3. Le NAT alloue une adresse disponible prise dans sa liste dadresses globales (200.1.1.1) et lajoute dans sa table de translation. 4. Le routeur/NAT translate ladresse IP source et relaie le paquet.

NAT et PAT Quand deux connexions ne sont diffrentes que par l'adresse interne : collision On peut utiliser un pool d'adresses publiques et utiliser des adresses sources externes diffrentes. On peut changer le port source externe (Port and Adress Translation : PAT). Le NAT dynamique ne permet pas l'tablissement de connexions entrantes (bonne protection par dfaut).

VPN Le rseau priv virtuel (VPN : Virtual Private Network) est un lment essentiel dans les architectures modernes de scurit. Un VPN est constitu dun ensemble de LAN privs relis travers Internet par un tunnel scuris dans lequel les donnes sont cryptes. Les postes distants faisant partie du mme VPN communiquent de manire scurise comme sils taient dans le mme espace priv, mais celui-ci est virtuel car il ne correspond pas une ralit physique. Cette solution permet dutiliser les ressources de connexion de lInternet plutt que de mettre en place, comme par le pass, une liaison spcialise prive entre deux sites qui peut tre trs coteuse si les sites sont fortement loigns. La principale contrainte du VPN est de scuriser les transmissions, par nature exposes sur le rseau public Internet.

Exemple de VPN 1. Le PC1 (10.1.0.1) envoie un paquet vers le serveur web (10.2.0.2) comme il le ferait si ce dernier tait sur le mme LAN. 2. Le routeur qui joue le rle de passerelle VPN encrypte le paquet, ajoute len-tte VPN et un nouvel en-tte IP avec les adresses publiques et relaie le paquet. 3. A lautre extrmit, le routeur/firewall reoit le paquet, confirme lidentit de lmetteur, confirme que le paquet na pas t modifi, dcapsule et dcrypte le paquet original. 4. Le serveur web reoit le paquet dcrypt.

VPN sur MPLS

Rappels sur MPLS (Multiprotocol Label Switching) : Architecture permettant dintgrer et dhomogniser les diffrents protocoles de routage et decommutation existant diffrents niveaux (Ethernet, IP, ATM, Frame Relay) ; Amliore la QoS dans les routeur/commutateurs en pratiquant une commutation rapide (Switching) multi-niveau base sur lidentification des tiquettes (label) portes par les trames ou les paquets ; Indpendant des protocoles des couches 2 et 3 ; La transmission de donnes se fait sur des chemins commutation de label ou LSP (Label Switched Path) ; Les LER (Label Edge Router) placent les labels pour les paquets entrants ou sortants en fonction des adresses IP et de la QoS demande ; Les LSR (Label Switch Router) lisent les labels et commutent les paquets sans remonter au niveau 3. Les LSP (Label Switched Path) sont utiliss pour former des tunnels VPN avec des fonctionnalits de niveau 2 et 3. Les VPN sont crs au niveau 3 entre des routeurs MPLS de priphrie appartenant un oprateur et ddis des groupes ferms d'usagers particuliers. Deux types de routeurs composent une architecture MPLS / VPN : PE (Provider Edge) : situs la frontire du rseau c ur MPLS, ils ont par dfinition une ou plusieurs interfaces relies des routeurs clients ; CE (Customer Edge) : appartiennent au client et n'ont aucune connaissance des VPN ou mme de la notion de label. Chaque VPN et donc chaque interface de PE correspond une VRF (VPN Routing and Forwarding). Une VRF est constitue d'une table de routage, d'une FIB ( Forwarding Information Base) et d'une table de commutation spcifiques. Quand un paquet est reu dun CE, la table de routage de la VRF prsente dans le PE pour ce client et ce VPN est utilise pour dterminer la route (gnralement grce BGP). La sparation des trafics est assure en assignant un VRF unique tous les clients dun mme VPN. Un utilisateur dans un VPN spcifique ne peut voir le trafic en dehors de son VPN. La sparation des trafics est ralise sans tunnel ou cryptage car elle est construite directement dans le rseau.

Protocoles VPN Au niveau 2, les deux protocoles les plus utiliss pour mettre en place un tunnel VPN sont : PPTP (Point to Point Tunneling Protocol - RFC 2637) propos au dpart par Microsoft ; L2TP (Layer 2 Tunneling Protocol - RFC 2661) normalis par lIETF (Internet Engineering Task Force) et qui est le rsultat de la fusion du protocole L2F (Layer 2 Forwarding) de Cisco et de PPTP. Les rseaux MPLS permettent galement de mettre en place des VPN : Les circuits virtuels nommes LSP (Label Switched Path) peuvent tre utiliss pour former des tunnels VPN avec des fonctionnalits de niveau 2 et 3. Au niveau 3, IPSec (IP Security - RFC 2401) dfini par l'IETF permet de scuriser les paquets IP et de crer un tunnel sur la couche rseau. Aux niveaux suprieurs, SSL/TLS (Secure Socket Layer / Transport Layer Security RFC 2246) et SSH (Secure Shell - RFC 2401) permettent de chiffrer les messages encapsuls dans des segments TCP et donc de crer indirectement des VPN de niveau 7.

VPN : protocole PPTP La mthode standard pour accder distance un rseau non scuris, par exemple lInternet via son FAI, est de se connecter par un modem un serveur daccs distant ou Remote Access Server (RAS). La connexion entre le modem et lun des modems du FAI repose sur le protocole PPP (Point-toPoint Protocol - RFC 1661) qui est un protocole de niveau 2 charg de ngocier les paramtres de la connexion (dbit, authentification) et dencapsuler les paquets IP dans des trames. Dans le cas dun VPN, le serveur RAS devient une passerelle VPN laquelle on accde par le protocole PPTP (Point to Point Tunneling Protocol). Le rle de PPTP est donc de chiffrer et dencapsuler, en les faisant passer par un tunnel crypt, les datagrammes IP dans le cadre dune connexion point point

VPN : encapsulation PPTP

Une trame PPTP est constitue : du datagramme IP contenant les donnes utiles et les adresses IP de bout en bout ; de len-tte PPP ncessaire pour toute connexion point point (4 octets) ; dun en-tte GRE (Generic Routing Encapsulation) qui gre lencapsulation et permet disoler les flux IP priv et public (12 octets) ; dun nouvel en-tte IP contenant les adresses IP source et destination des passerelles VPN (client et serveur VPN). Avant d'tablir le tunnel GRE, une connexion TCP sur le port 1723 est ralise. Elle intgre la ngociation des paramtres et lauthentification de l'utilisateur. Lun des points faibles de PPTP est que toute la partie ngociation de la connexion nest pas protge.

VPN : protocole IPSEC IpSec est li IPV4 et IPV6 et assure l'authentification et l'encryptage des paquets IP au travers de l'internet. Il intervient donc au niveau 3. IPSec peut tre utilis pour ne faire que de l' authentification : L'ajout d'un en-tte d'authentification (AH : Authentication Header) permet de vrifier l'authenticit et l'intgrit des paquets. AH ne spcifie pas d'algorithme de signature particulier mais MD5 et SHA-1 sont les plus utiliss. L'authentification est faite sur : les donnes qui suivent l'en-tte AH ; sur l'en-tte AH ; sur les champs importants de l'en-tte IP (source, destination, protocole, longueur, version) et qui ne varient pas pendant le transfert sur le rseau. Un hash est ralis sur les champs authentifier, il est envoy dans len-tte AH et vrifi avec cls symtriques changes au pralable (authentification par cl symtrique).

VPN : paquets IPSEC Dans la plupart des applications IPSec, l'enveloppe ESP (Encapsulated security payload) qui permet de chiffrer et d'authentifier les paquets est utilise. Lenveloppe ESP contient :

len-tte (header) ; les donnes chiffres ; une queue (trailer) ; des donnes supplmentaires d'authentification optionnelles. Le chiffrement ne porte que sur les donnes encapsules et le trailer. Il ne porte pas sur les champs de l'en-tte et les donnes d'authentification. L'authentification optionnelle porte sur l'en-tte ESP et tout ce qui suit, mais pas sur l'en-tte IP. ESP ne spcifie pas d'algorithmes de signature ou de chiffrement particuliers, ceux-ci sont dcrits sparment. La plupart des implmentations supportent les algorithmes de chiffrement DES et les signatures l'aide des fonctions de hachage MD5 et SHA-1.

VPN : modes IPSEC Deux modes correspondant deux architectures sont possibles avec IPSec : le mode transport qui ne protge (par authentification AH ou chiffrage ESP) que les donnes des paquets transmis ; le mode tunnel dans lequel le paquet entier est protg (par authentification AH ou chiffrage ESP) en lencapsulant dans un nouveau paquet IP.

VPN : cryptage IPSEC Sur chaque systme susceptible d'utiliser IPSec, une base de donnes nomme SPD (Security Policy Database) doit tre prsente. Sa forme prcise est laisse au choix de l'implmentation ; elle permet de prciser la politique de scurit appliquer au systme. Une communication protge entre deux systmes l'aide dPSec est appele une SA (Security Association). Une SA est une entre de la SPD, c'est--dire un enregistrement contenant des paramtres de communication IPSec : algorithmes, types de cls, dure de validit, identit des partenaires. Pour viter davoir grer les cls de cryptage et dauthentification manuellement, IPSec intgre un protocole d'change automatique de cl nomm IKE (Internet Key Exchange). IKE est utilis dans la phase dinitialisation :

Il est charg dans un premier temps de ngocier une SA (paramtres des cls pour AH ou ESP) ; Puis de procder lchange des cls choisies par lintermdiaire de certificats X509 par exemple.

Notions de cryptographie Le but de la cryptographie est de garantir la confidentialit, l'authenticit et l'intgrit des donnes changes. Il existe lheure actuelle deux grands principes de chiffrement ou cryptage : le Cryptage symtrique qui utilise une mme cl partage et le cryptage asymtrique qui utilise deux cls distinctes. Cryptage symtrique Il est bas sur lutilisation dune cl prive (ou algorithme) partage entre les deux parties communicantes. La mme cl sert crypter et dcrypter les messages.

Cryptage symtrique Ce type de chiffrement est efficace (des longueurs de cls de 64 ou 128 bits sont suffisantes), rapide et peu gourmand en puissance de calcul. La principale difficult est de trouver un moyen scuris pour communiquer la cl aux deux entits. Les algorithmes de chiffrement symtrique les plus utiliss sont : DES (Digital encryption Standard) : avec des cls de 64 bits seulement et la puissance de calcul actuelle, sa robustesses est mise en cause ; AES (Advanced Encryption Standard) : utilise des cls de 128 bits, le plus efficace aujourdhui compte-tenu des faibles ressources de calcul ncessaires.

Cryptage asymtrique Le cryptage asymtrique utilise deux cls diffrentes pour chaque utilisateur : la premire est prive et nest connue que de lutilisateur qui a gnr les cls ; la deuxime est publique et peut tre transmise sur Internet. Les cls publique et prive sont mathmatiquement lies par lalgorithme de cryptage

de telle manire quun message crypt avec une cl publique ne puisse tre dcrypt quavec la cl prive correspondante et quil est impossible de dduire la cl prive partir de la cl publique. Une cl est donc utilise pour le cryptage et lautre pour le dcryptage. Son principal avantage est quil rsout le problme du transfert de la cl mais en revanche, il est plus coteux en termes de temps de calcul et ncessite des tailles de cl plus importantes (couramment 1024 ou 2048 bits).

Exemples de cryptage asymtrique Principe de lalgorithme de chiffrement RSA (Rivest, Shamir et Adelman MIT) : M : message, C : message chiffr. Pour chiffrer on calcule : e C = M mod n 3 (Rappel : x modulo n = y si x - y est un multiple de n. Ex : 3 mod 7 = 6) Pour dchiffrer : d M = C mod n La cl publique est le couple (e,n). La cl prive est le couple (d,n). n est le produit de deux nombres premiers p,q (environ 100 chiffres). e et d sont drivs de p et q. Il "suffit" de factoriser n pour cracker RSA.

Exemples de cryptage asymtrique L'algorithme ElGamal, du nom de son crateur Taher Elgamal, est un algorithme asymtrique bas sur les logarithmes discrets. Il est galement trs utilis pour le chiffrement et la signature. Le programme complet de cryptographie cl publique le plus connu est PGP (Pretty Good Privacy).

Le format OpenPGP est le standard ouvert de cryptographie issu de PGP. Sous Linux, la distribution la plus rpandue est GnuPG. Sous Windows, il sagit de WinPT ( Windows Privacy Tools).

Cryptage symtrique et asymtrique Pour profiter de l'efficacit du chiffrement symtrique et des avantages de l'asymtrique qui limine le problme de transfert de la cl, une solution est de combiner les deux chiffrements : on chiffre le message avec une cl symtrique ; on chiffre la cl symtrique avec la cl publique du destinataire ; on joint la cl symtrique chiffre au message ; le destinataire dchiffre la cl symtrique avec sa cl prive, puis le message avec la cl symtrique quil peut utiliser son tour pour envoyer des messages chiffrs.

Problme pour changer les cls Il existe deux mthodes pour rsoudre le problme de lchange de cl symtrique : Lchange de cl RSA nomm ainsi car des cls asymtriques publique et prive utilisant cet algorithme servent lchange. La principale faiblesse de cette mthode est que la cl symtrique crypte est transmise sur le rseau et donc susceptible dtre intercepte et dchiffre. Lchange Diffie-Hellman, utilis dans SSH. La cl symtrique est gnre par les deux extrmits sans quil ne soit ncessaire de la transmettre. Seules des valeurs calcule partir dun nombre alatoire sont changes.

Problme pour changer les cls Principe de lchange Diffie-Hellman : Alice et Bob ont choisi un groupe de nombres et une gnratrice g de ce groupe ; a Alice choisit un nombre au hasard a, lve g la puissance a, et transmet g Bob ; Bob fait de mme avec le nombre b ;

ba Alice, en levant le nombre reu de Bob la puissance a, obtient g et la cl K : ab Bob fait le calcul analogue et obtient g , et donc la mme cl K : b a b ab b a a K=A mod p = (g mod p) mod p = g mod p = (g mod p) mod p = B mod p Il est difficile d'inverser l'exponentiation dans un corps fini, cest--dire de calculer le logarithme discret. Lhomme au milieu (MiM : Man in the Middle), ne peut pas dcouvrir a et b, donc ne ab peut pas calculer g .

Hacher pour mieux chiffrer Un algorithme de hachage est une fonction mathmatique qui convertit une chane de caractres d'une longueur quelconque en une chane de caractres de taille fixe appele empreinte ou hash ou encore digest. Cette fonction possde deux proprits essentielles : elle est irrversible : il est impossible de retrouver le message lorsqu'on connat le hash ; elle est rsistante aux collisions : deux messages diffrents ne produiront jamais (en thorie) le mme hash. Une modification mme infime du message initial entrane une modification du hash. Si un message est transmis avec son hash, le destinataire peut vrifier son intgrit en recalculant son hash et en le comparant avec le hash reu. Les algorithmes de hachage les plus utiliss sont : MD5 (Message Digest) sur 128 bits et SHA-1 (Secure Hash Algorithm) sur 160 bits.

La signature La signature par chiffrement est lquivalent lectronique de la signature physique des documents papiers. Elle garantit lauthenticit de lexpditeur et lintgrit du message reu. Pour signer lectroniquement un message, il suffit de le chiffrer avec la cl prive. Le dchiffrement avec la cl publique correspondante prouve que seul le dtenteur de la cl

prive a pu crer la signature. Il n'est pas ncessaire de chiffrer tout un document pour le signer, il suffit de chiffrer son hash. Le destinataire pourra calculer son tour le hash avec le mme algorithme (le document aura aussi t transmis) et comparer avec le hash reu et dchiffr. Lalgorithme DSA (Digital Signature Algorithm) proche de RSA est souvent utilis pour gnrer une signature (utilis dans SSH pour lauthentification).

Authentification Une autre mthode pour sassurer de lidentit de lexpditeur est dutiliser un chiffrement symtrique pour chiffrer le hash. Il sagit dune authentification et non dune signature. La cl symtrique utilise pour vrifier le hash permet aussi de le crer. Si cette cl n'est connue que par les deux partenaires, alors elle permet d'authentifier l'expditeur du message. Pratiquement, la cl nest pas utilise directement pour chiffrer le hash mais elle intervient lors du calcul du hash. Un hash ainsi gnr est appel un MAC (Message Authentication Code). Les algorithmes de hachage classiques sont utiliss : HMAC-SHA et HMAC-MD5.

Intrt des certificats La transmission de cls publiques peut tre est sujette l'interception sur le rseau par lhomme au milieu (MiM : Man in the Middle). MiM peut intercepter la cl publique, transmettre une fausse cl publique lexpditeur, dchiffrer avec sa fausse cl prive correspondante les messages envoys par lexpditeur et les retransmettre au destinataire aprs les avoir ventuellement modifis.

Alice
Ce qui devrait se passer lorsquAlice veut envoyer

Bob Donnes

cryptes
un message Bob :

Bonjour Cl publique

Zv*yic Cl prive

Bonjour

de Bob MiM Alice

Ce qui pourrait se

de Bob Bob Adieu Df$ml Cl publique de Bob Cl prive Bx*io Adieu

Bonjour
passer

Bonjour Cl publique Cl prive de de MiM MiM

de Bob

Principe des certificats Un certificat fourni en mme temps que la cl publique permet de garantir lorigine de la cl publique. Le certificat doit provenir dun tiers de confiance. Le mcanisme de signature est utilis pour garantir lidentit de ce tiers. Exemple : Bob transmet dabord sa cl publique Trent (1) ; Trent dispose lui aussi dune paire de cls asymtriques, il utilise sa cl priv pour signer le certificat contenant la cl publique de Bob (2) et lui transmet celui-ci (3). Bob peut alors envoyer le certificat sign Alice (5). Alice qui a galement reu la cl publique de Trent (4) peut vrifier la signature et tre sure que la cl publique provient bien de Bob.

Cl publique de Bob Trent 1 4 2 Cl publique Trent : de Trent 3 Certificat

Cl prive de Trent Alice 5 Bonjour Cl publique de Bob certifie Zv*yic Cl prive de Bob Bonjour Bob

Les certificats sur Internet La gnration et la distribution sur Internet des certificats est organise autour dinfrastructures cl publique (PKI: Public Key Infrastructure). Une PKI est constitus des lments suivants : Une autorit d'enregistrement ou RA (Register Authority) qui a pour rle dauthentifier chaque nouveau participant (ceux-ci doivent prsenter des informations prouvant leur identit). Le participant peut alors gnrer par son intermdiaire une paire de cls publique/prive (il peut aussi gnrer lui-mme sa paire de cls et joindre directement sa cl publique sa demande de certificat au CA). Une autorit de certification ou CA (Certification Authority) qui cre et signe les certificats avec l'identit du participant, sa cl publique, une date d'expiration et sa propre signature. La CA fournit une copie de sa propre cl publique au participant. Muni de son certificat et de la cl publique de la CA, le nouveau participant peut communiquer avec tous les autres participants certifis par la mme CA (la RA peut tre intgre la CA). Des annuaires de certificats. Les cls publiques des principales CA sont mmorises dans les navigateurs et ne ncessitent pas dinstallation de la part des usagers.

Architecture dune PKI

Exemple de certificat X509

Protocole SSL Le protocole SSL (Secure Socket Layer) a t propos au dpart par Netscape (jusqu la version 2.0) pour permettre des connexions scurises sur des serveurs web. La version 3.0 (actuellement la plus rpandue) est standardise par lIETF. TLS (Transport Layer Security), propos par lIETF, est la version 3.1 de SSL. Le protocole TLS est dfini dans la RFC 2246 et nimpose pas de mthodes de chiffrement spcifiques. SSL intervient au dessus de la couche transport et peut tre utilis pour scuriser pratiquement n'importe quel protocole utilisant TCP/IP (SMTP, POP3, IMAP...) en crant un tunnel dans lequel toutes les donnes changes seront automatiquement chiffres. Certains protocoles applicatifs ont t spcialement adapts pour supporter SSL : HTTPS (HTTP+SSL) est inclus dans tous les navigateurs et permet par exemple de consulter des comptes bancaires par le web de faon scurise ; FTPS est une extension de FTP utilisant SSL.

Protocole SSL Le protocole SSL/TLS utilise un cryptage asymtrique par cl publique/cl prive pour authentifier le serveur (et ventuellement le client) ainsi que pour changer la cl matresse. La cl matresse permet un cryptage symtrique des donnes pendant toute la dure de la session. Phases dauthentification et de cration du tunnel scuris : aprs tablissement de la connexion TCP sur le port 443, un premier dialogue permet de choisir la version SSL et les types de cryptage qui seront utiliss ; au cours de ce dialogue, le serveur envoie au client un certificat X509 qui cont ent la cl i publique du serveur (PK : Public Key) signe par une autorit de certification (CA) ; lusage du certificat nest pas obligatoire mais est couramment ralis ; le client vrifie le certificat, gnre une cl matresse MK (MK : Master Key) et se sert de PK pour crypter MK. La cl MK crypte (PMK : Primary Master Key) est transmise au serveur avec un message indiquant que le chiffrage est effectif ct client (Change Cipher Spec) ; le serveur reoit PMK, la dcrypte avec sa cl prive et indique son tour que le chiffrage est effectif (Change Cipher Spec) ;

le tunnel scuris est cr, toutes les donnes applicatives seront cryptes et dcryptes avec la cl symtrique MK.

change SSL avec certificat

Capture SSL Les 4 premires trames correspondent au dialogue (handshake protocol) pour la mise en place du tunnel SSL. La connexion TCP est ouverte sur le port 443 pour un serveur HTTPS.

HTTPS Les donnes HTTP sont changes lintrieur dun tunnel SSL.

HTTPS HTTPS utilise le port 443 HTTPS garantit lintgrit et la confidentialit. La non-rpudiation n'est pas tablie dans HTTPS : Seuls les changes lors de l'tablissement de la session SSL/TLS sont signs, le reste des donnes changes ne l'est pas. Autre inconvnient de HTTPS : les trames sont cryptes et lanalyse de l'intgrit des donnes (dtection de virus, backdoor, vers) par les applications de scurit nest plus possible. Une autorit de certification doit avoir au pralable install les certificats ct serveur et les cls publiques ct client.

Certificats SSL/HTTPS Ct client, chaque navigateur contient une liste des CA de confiance. Le client possde donc la cl publique du CA lui permettant de vrifier la signature du certificat envoy par le serveur.

Certificats SSL/HTTPS Lorsque la connexion SSL s'tablit, le navigateur vrifie que le certificat du serveur a t mis par une CA digne de confiance. Le certificat peut tre affich lors de la transaction.

Certificats SSL/HTTPS Pour que le serveur puisse aussi authentifier le client, celui-ci peut galement installer un certificat. Cas des transactions ou la preuve de lidentit du client est indispensable. Lors dun changement de machine, le certificat doit tre import.

Connexion scurise SSH L'environnement SSH (Secure Shell) s'adresse aux utilisateurs qui souhaitent accder de manire scurise des systmes Linux distants. Ses composants remplacent des programmes peu scuriss comme telnet pour tablir partir dun terminal une session sur un serveur ou FTP pour les changes de fichiers. La scurit est garantie par une authentification l'tablissement de chaque connexion et par l'encryptage des donnes (y compris les mots de passe). SSH intervient donc au niveau 7, la connexion TCP est tablie sur port 22. Une connexion SSH peut galement tre utilise pour transporter un autre protocole, (SMTP, POP). Le modle en couches nest alors pas respect mais le tunnel scuris dans lequel les communications sont chiffres permet, comme pour SSL, dencapsuler nimporte quel dialogue applicatif. Deux protocoles de transfert ont t prvus pour fonctionner avec une connexion SSH : SCP (Secure CoPy), utilis gnralement en mode commande, permet de tlcharger des fichiers de manire scurise dans un tunnel SSH ; SFTP, version SSH de FTP, peut galement tre utilise pour les transferts de fichiers. SFTP ne ncessite pas de clients ou de serveur FTP puisque le transfert se fait par le shell .

Modle SSH

Le groupe de travail lIETF qui soccupe de Secure Shell a normalis en 2006 le protocole SSH v2 sous forme de trois couches : 1. SSH Transport Layer Protocol (SSH-TRANS) 2. SSH Authentication Protocol (SSH-AUTH) 3. SSH Connection Protocol (SSH-CONN)

Initialisation SSH Ds que la connexion est tablie (TCP sur le port 22 du serveur), le client et le serveur changent en clair le numro de version SSH. Tous les messages changs sont alors encapsuls dans des paquets SSH :

Initialisation SSH Suit la phase dinitialisation de SSH qui correspond la couche SSH -TRANS et consiste mettre en place le tunnel scuris : Ds que la connexion TCP est tablie sur le port 22 du serveur, le client et le serveur se mettent daccord sur la version SSH ; Suit la phase dinitialisation de SSH qui consiste mettre en place le tunnel scuris : le client et le serveur senvoient la liste des mthodes supportes pour le chiffrement et lauthentification (messages Key EXchange Init) ; Le client demande un change de cl de type Diffie-Hellman (DH GEX Request pour DH Group EXchange Request) ; Le serveur choisit deux nombres g et p et les transmet au client (DH Key Exchange Reply) ; a Le client gnre un nombre alatoire a, calcule A = g mod p et transmet A (DH GEX Init) ; b b Le serveur gnre b, calcule B = g mod p et la cl de session K = A mod p. Le serveur calcule galement un hash H partir dun maximum dinformations partages avec le client, il signe H avec sa cl prive RSA. Il transmet B, la signature s de H et la cl publique RSA Host Key (DH GEX Reply) ; Le client dcrypte s avec la cl publique reue et compare le rsultat avec son propre calcul de H. Ce mcanisme vite davoir recours un certificat. Le client qui a ainsi vrifi lauthenticit a du serveur peut alors calculer son tour K=B mod p ;

Aprs confirmation du client (New Key), le reste des communications est chiffr grce un algorithme de chiffrement symtrique utilisant la cl de session K partage par le client et le serveur.

Initialisation SSH

Initialisation SSH

Authentification SSH Phase dauthentification (couche SSH-AUTH) Une fois le tunnel scurise tabli, le client doit s'identifier sur le serveur . Trois mthodes dauthentification existent : Par mot de passe (password) Authentification classique : lutilisateur transmet son mot de passe, le serveur calcule le hash et le compare avec celui stock dans sa base de donnes (algo. DES sous Linux). Cette mthode permet aux utilisateurs Telnet de migrer vers SSH sans aucun changement au niveau de leur mcanisme dauthentification sauf que le mot de passe qui transitait en clair avec Telnet est maintenant encapsul dans une communication chiffre. Par clef RSA ou DSA ( publickey) Bas sur le cryptage asymtrique type RSA ou DSA . La cl publique de lutilisateur doit tout dabord tre stocke sur le serveur SSH (problme dchange des cls) et sa cl prive doit tre stocke sur sa machine de faon scurise. il sagit en fait dune signature : le client crypte un challenge avec sa cl prive (celle-ci peut tre protge localement par une passphrase) et transmet le challenge qui est dcrypt par le serveur. Par certificat X.509

Redirection de port SSH SSH permet de rediriger nimporte quel flux TCP dans le tunnel de la session SSH : le flux de nimporte quelle application circulant entre les ports client et serveur habituels, pourra tre transport lintrieur du tunnel SSH.

Cette fonctionnalit permet dtablir, entre deux points, un canal scuris par lequel peut transiter nimporte quel type de donne IP. Exemple : mise en place dun tunnel IP afin de scuriser les connexions entre un client et un serveur POP situ dans lintranet dune entreprise et derrire un serveur SSH : tablissement dune connexion SSH entre le client et le serveur SSH ; sur le client : faire pointer le client POP sur le systme SSH en local ; sur le serveur : transmettre les donnes arrivant depuis la connexion SSH au serveur POP.

Redirection de port SSH (2) Deux mthodes sont possibles suivant que lon utilise ou pas un serveur SSH intermdiaire. Exemple sous Linux : dans les deux cas, les connexions locales sur le port 2080 sont rediriges vers le port 80 du serveur web travers un tunnel SSH.

Diffrences SSL/SSH Les deux protocoles sont utiliss dans un mme cadre et leurs domaines d'utilisation se recouvrent. Ils n'ont pas t particulirement conus pour travailler ensemble (mme si c'est possible). SSL/TLS ne requiert aucune authentification ct serveur : celle-ci est optionnelle, et une connexion peut tre anonyme. Les connexions SSH doivent tre authentifies. SSL/TLS ne propose une authentification ct client que par certificat, tandis que SSH propose dautres options. SSH peut-tre utilis dans un cadre autre que le Web pur : FTP, POP3 / IMAP / SMTP, telnet... SSL est conu pour HTTPS mais peut aussi tre utilis pour dautres protocoles (FTPS, POPS, SMTPS). SSL/TLS n'est utile qu'en cas d'change entre deux applications. SSH permet de son ct de crer un "tunnel" entre ces deux applications, qui reste ouvert et disponible mme s'il n'y pas d'change en cours. En rsum, SSL/TLS intervient au niveau 4, SSH au niveau 7. Ils permettent tout deux par extension de scuriser plusieurs protocoles applicatif.

4. Authentification
Principe Lauthentification consiste apporter la preuve de lidentit dun utilisateur sur un rseau informatique. Le nom sert l'identification, le mot de passe l'authentification. Pour viter de s'authentifier pour chaque opration, on utilise des systmes d'authentification centraliss (systme d'exploitation, contrleur de domaine, serveur d'authentification RADIUS). Une fois qu'il a authentifi l'utilisateur, le systme lui assigne des privilges qui lui donnent accs certaines ressources. Les risques sont les plus levs au moment de lauthentification. ESPIONNAGE

4. Authentification

Locale sous Linux

Sous Linux comme pour les autres OS, les mots de passe ne sont jamais stocks en clair. Au lieu des mots de passe, on stocke un hash. Le hash doit tre unique et irrversible. En comparant le hash du mot de passe fourni avec le hash stock on sait si les deux hashs ont t cres partir du mme mot de passe. Sous Linux, le hash est cre en chiffrant (25 fois) une chane de caractres vide avec le mot de passe comme cl : L'algorithme de chiffrement (DES) utilise une cl de 56 bits. 7 bits sont extraits par caractre du mot de passe (les caractres au -del du huitime sont ignors). Un grain de sel (12 bits) est ajout pour que le mme mot de passe ne gnre pas toujours le mme hash (le sel est stock avec le hash).

Autre technique de cryptage en rseau

4. Authentification

Locale sous Linux

Lors d'un login local le hash est gnr l'aide du mot de passe fourni et du grain de sel stock localement. Le hash est compar avec celui stock localement. Lors d'un login rseau, le hash et le sel sont obtenus depuis un serveur central l'aided'un communication chiffre. Initialement, le nom et le hash des mots de passe taient stocks dans le fichier /etc/passwd avec accs libre en lecture ! Pour scuriser, les hashs se trouvent dsormais dans un fichier spar, /etc/shadow qui ne peut tre lu que par l'administrateur. Certaines distributions rcentes utilisent PAM (Pluggable Authentication Modules) qui est un processus d'authentification centralise des utilisateurs qui peut-tre utilis par de nombreuses applications.

4. Authentification

Locale sous Windows

Le protocole Kerberos est un protocole de scurit utilis notamment pour les authentifications dans un domaine Windows. Il permet aux utilisateurs daccder aux ressources rseau partir de la mme ouverture de session. Dans un domaine Windows, le service Kerberos sappelle le KDC (Key Distribution Center) et se trouve dans chaque contrleur de domaine (DC). Les clients Kerberos sont installs sur les ordinateurs clients. Lorsquun utilisateur veut accder un contrleur de domaine, le KDC de ce contrleur va vrifier lidentit du client. Le client pourra confirmer son identit en demandant au service Kerberos du rseau un ticket TGT (Ticket Granting Ticket). Le TGT permet au systme client daccder au TGS (Ticket Granting Service) se trouvant dans le contrleur de domaine. Ce TGS permettra lmission dun ticket de service au client (Ticket Service). Cest ce ticket de service que le client prsentera au service rseau demand pour accder des ressources. L'authentification Kerberos a une dure limite dans le temps (anti re-jeu).

4. Authentification

Kerberos

4.Authentification

Distante : par une liaison PPP

Une connexion par modem vers un FAI utilise un protocole en mode point point : Le PC commence par tablir une connexion un central compos dune batterie de modems connects vers Internet. Ce central, mis en Presence). La connexion entre le modem et lun des modems du PoP repose sur un le protocole PPP (Point-to-Point Protocol - RFC 1661). PPP dfinit notamment la mthode didentification par mot de passe choisie parmi 4 mthodes. uvre par le FAI, est souvent nomm PoP (Point of

4. Authentification dauthentification :

Par une liaison PPP : PAP et CHAP

PAP (Password Authentication Protocol) est le plus simple des mcanismes le client envoie son mot de passe en clair ; Le mot de passe est compar avec celui stock chez le FAI. Dans la pratique, le PAP nest utilis que lorsquun autre mcanisme permet dassurer la scurit de lchange. CHAP (Challenge Handshake Authentication Protocol) est dfini dans la RFC 1994 : compteur quil incrmente chaque dfi ; hachage (MD5) ; Le rsultat est une squence de bits pseudo-alatoires quon appelle le hash (16 octets dans le cas de MD5) ; concorde avec celui du client. Ce hash est envoy au serveur, qui peut alors effectuer le mme calcul et vrifier si son rsultat
 

Le serveur commence par envoyer un

dfi au client (16 octets alatoires), ainsi quun

Le client doit alors passer le compteur, son mot de passe et le dfi au travers dun algorithme de

Cet algorithme permet dviter que le mot de passe ne soit transfr et vite galement quun pirate ne rpte simplement une authentification russie quil aurait enregistre auparavant, puisque le dfi change chaque authentification. Il ne permet cependant pas au client de sassurer de lidentit du serveur.

4. Authentification

Par une liaison PPP : CHAP

4. Authentification RFC 2433 :

Par une liaison PPP : MS -CHAP

MS-CHAP, souvent appel MS-CHAP-v1, a t dfini par Microsoft dans la Variante de CHAP, destine en amliorer la scurit. Lun des problmes de CHAP est le fait quil soit ncessaire de stocker le mot de passe en clair sur le serveur pour calculer le hash et vrifier lidentit du client. Toute personne ayant accs la base de donnes des utilisateurs peut donc voir les mots de passe de tout le monde ! Pour viter cela, MSCHAP spcifie que le serveur doit stocker non pas le mot de passe, mais le rsultat dun hash sur ce mot de passe (selon un algorithme propritaire de Microsoft). Lorsque lutilisateur saisit son mot de passe, celui-ci doit dabord tre pass au travers du mme algorithme de hash avant de suivre la procdure habituelle de CHAP. Malheureusement, MS-CHAP comporte des failles de scurit (dues en particulier au hash propritaire de Microsoft) qui lont rendu rapidement obsolte : seuls quelques vieux systmes Windows 95/98 lutilisent encore.

4. Authentification

Par une liaison PPP : MS -CHAP-V2

MS-CHAP-v2 : Microsoft a conu la version 2 plus robuste, dfinie dans la RFC 2759 : Fournit notamment un mcanisme dauthentification mutuelle : le serveur sassure de lidentit du client et vice versa. Largement utilis dans les rseaux Windows, depuis la version Windows 2000. Les mthodes CHAP, MS-CHAP et MS-CHAP-v2 sont toutes vulnrables face

des attaques hors-ligne de type dictionnaire : Le pirate peut enregistrer les changes lors de lauthentification dun utilisateur lgitime, puis, il peut essayer hors-ligne de reproduire le mme dialogue en essayant des milliers de mots de passe. Il suffit quun seul utilisateur lgitime ait un mot de passe faible pour que le pirate puisse entrer sur le rseau. Besoin pour certains FAI didentifier les utilisateurs autrement que sur la base dun simple mot de passe : identification avec carte puce, certificats lectroniques Cest de ce besoin quest n EAP.

4. Authentification

Par une liaison PPP avec Windows

4. Authentification Standard 802.1x :

802.1x et EAP

solution de scurisation, mise au point par l'IEEE en juin 2001 ; permet d'authentifier un utilisateur souhaitant accder un rseau (filaire ou sans fil) grce un serveur d'authentification ; repose sur le protocole EAP (Extensible Authentication Protocol) dfini par lIETF. Le rle dEAP est de transporter les informations dauthentification des utilisateurs. EAP est un protocole de transport qui doit tre associ un protocole d'authentification comme MS-CHAP ou TLS par exemple. Le mcanisme EAP est analogue celui dune simple authentification un FAI au travers dune liaison PPP.

4. Authentification

Fonctionnement dEAP

EAP est bas sur l'utilisation d'un contrleur d'accs (Authenticator ou NAS: Network Access Server) charg d'tablir ou non l'accs au rseau pour un client (Supplicant). Le contrleur d'accs est un simple garde-barrire servant d'intermdiaire entre l'utilisateur et un serveur d'authentification (AS : Authentication Server) ; Dans le cas d'un rseau sans fil, lAP joue le rle de contrleur d'accs (trs peu de ressources ncessaires). LAS permet de valider l'identit de l'utilisateur, et de lui renvoyer les droits associs enfonction

des information d'identification fournies. LAS est gnralement un serveur RADIUS (Remote Authentication Dial In User Service) : serveur d'authentification standard dfini par les RFC 2865 et 2866.

4. Authentification parmi dautres.

Intrt dEAP

EAP peut tre utilis dans de multiples contextes, le WiFi nen est quun Le fait que le contrleur daccs ne soit quun intermdiaire entre le client et le serveur est lun des grands intrts de lEAP : Il na pas besoin de comprendre lchange entre le client et lAS, lexception du rsultat final (le succs ou chec de lauthentification) qui le dcidera ouvrir la porte du rseau ou la laisser ferme. Pour une nouvelle mthode dauthentification, il ne sera pas ncessaire de changer les contrleurs daccs. Seuls les clients et le serveur dauthentification devront tre mis jour. Les contrleurs daccs sont souvent de simples quipements sans grande puissance de calcul ou difficiles mettre jour (AP WiFi). Attention la terminologie : Les protocoles EAP, 802.1x et RADIUS ont des mots diffrents pour dsigner les mmes choses. Le client sappelle respectivement peer, supplicant et user dans ces trois protocoles. Le contrleur daccs sappelle authenticator dans lEAP et le 802.1x, mais Network Access Server (NAS) ou client dans le RADIUS.

4. Authentification

Paquets EAP

EAP dfinit quatre types de paquets pouvant tre changs entre le client et le serveur dauthentification (par lintermdiaire du contrleur daccs) : Paquet Requte Envoy par le serveur dauthentification, demande au client de fournir une information prcise : identit ou preuve de cette identit, selon une mthode dauthentification choisie par le serveur (mot de passe, certificat lectronique). Paquet Rponse

Envoy par le client en rponse une requte. Le contenu dpend de la mthode dauthentification requise par le serveur. Si le client ne gre pas la mthode dauthentification requise, il le signale et lui suggre une liste de mthodes quil est capable de grer. Le serveur dauthentification peut alors choisir lune de ces mthodes et renvoyer une nouvelle requte au client. Paquet Succs Envoy par le serveur dauthentification pour indiquer au client quil a t correctement identifi. Le contrleur daccs ouvre la porte du rseau. Paquet chec Envoy par le serveur dauthentification si le client na pas pu tre identifi.

4. Authentification
  

Format des paquets EAP

Le champ Code indique sil sagit dune requte, dune rponse, dun succs ou dun chec. Le champ ID est un identifiant qui permet de savoir quelle requte correspond une rponse. Le champ Longueur reprsente la longueur du paquet EAP. Dans les paquets de requtes et de rponses, un champ Type (un octet) situ juste avant le champ de donnes indique quel type de mthode dauthentification est utilise. Paquet EAP :


4. Authentification

changes 802.1x/EAP (1)

Le protocole 802.1x dfinit comment EAP peut tre utilis sur un LAN ou un WLAN grce au protocole EAPoL (EAP over LAN). EAPoL est utilis entre le client et le NAS. Les paquets EAPoL ou EAP sont encapsuls dans des trames Ethernet ou WiFi. Entre le NAS et le serveur RADIUS, les paquets EAP sont encapsuls dans des requtes RADIUS.

4. Authentification

changes 802.1x/EAP (2)

Lauthentification se droule en 4 tapes : 1. Le NAS, ayant pralablement reu une demande de connexion de la part du client (EAPoL-Start) envoie une requte d'identification ; 2. Le client envoie une rponse au NAS, qui la fait suivre lAS ; 3. LAS envoie un challenge au contrleur d'accs, qui le transmet au client. Le challenge est une proposition de mthode dauthentification (par exemple TLS). Si le client ne gre pas la mthode, le serveur en propose une autre et ainsi de suite ; 4. Le client rpond au challenge. Si lauthentification russie, lAS envoie un accord au NAS, qui ouvrira un port 802.1x sur le rseau ou une partie du rseau, selon ses droits.


4. Authentification

changes 802.1x/EAP (3)

4. Authentification

Paquets EAPoL

802.1x dfinit les types de messages EAPoL : EAPoL-Start : permet au client de prvenir le contrleur daccs quil souhaite se connecter ; EAPoL-Packet : type de paquet qui encapsule les paquets EAP ; EAPoL-Key : permet lchange de cls de cryptage ; EAPoL-Logoff : permet au client de demander la fermeture de sa session ; EAPoL-Encapsulated-ASF-Alert : permet aux clients dont lauthentification a chou de pouvoir tout de mme tre superviss distance (par exemple, par SNMP). Paquet EAPol : Le champ Version la version du protocole EAPoL utilis. Le champ Type indique sil sagit dun paquet EAPoL -Start, EAPoL-Key, etc. Le champ Longueur indique la longueur du message qui suit.
  

4. Authentification

802.1x et WiFi

Pour mettre en place une architecture 802.1x avec le WiFi, il faut : Un serveur dauthentification, gnralement RADIUS ; Des AP qui grent le 802.1x ; Un logiciel de connexion compatible 802.1x sur les postes client : fournit avec ladapateur WiFi Intgr lOS (windows XP ou Vista et MAC OS). Une ou plusieurs mthodes dauthentification EAP. Un cryptage pendant la phase didentification entre le client et le NAS, WPA par exemple.

4. Authentification

Mthodes EAP

EAP ne dcrit que quelques mthodes dauthentification entre le client et le serveur, les autres mthodes sont dcrites par des RFC : EAP/MD5 est base sur le protocole CHAP associ un algorithme de hachage MD5 ; EAP MS-CHAP-v2 est base sur la dernire version CHAP de Microsoft ; EAP/OTP (One Time Password) est base sur lutilisation unique dun mot de passe non ncessairement crypt ; rpond en clair au serveur ; elle ncessite lutilisation dune carte Token et dun lecteur de cartes qui calculent la rponse au dfi ; EAP/SIM permet un utilisateur de sidentifier grce la carte SIM de son tlphone portable ; EAP/TLS utilise le mcanisme dauthentification par certificat propos par SSL/TLS, le tunnel TLS nest pas utilis ; EAP/PEAP (Protected EAP) utilise une mthode dauthentification, CHAP/MD5 par exemple, lintrieur dun tunnel TLS ; EAP/TTLS (Tuneled TLS) ralise galement une authentification dans un tunnel TLS avec davantage de mthodes dauthentification possibles. Lors de la phase dauthentification, suivant la mthode dauthentification utilise, des changes de paquets EAP spcifiques sont ncessaires (change de cls de cryptage, de certificats ).
 

EAP/GTC (Generic Token Card) est une mthode simple avec lenvoi dun

dfi au client qui

4. Authentification

EAP / OTP

Le systme One Time Password (OTP) est dfini dans la RFC 2289. Lutilisation des OTP avec EAP est dfinie dans la RFC 3748. Un OTP est un mot de passe conu pour ntre utilis quune seule fois. Ceci permet de lchanger non crypt, sans craindre quil soit rutilis. Le serveur commence par envoyer un dfi au client : quelques octets alatoires et un index qui change chaque nouveau dfi. Le client doit alors utiliser un gnrateur logiciel afin de produire un OTP : Pour faire fonctionner le gnrateur, lutilisateur doit lui fournir le dfi (lindex et la squence alatoire) ainsi que son vrai mot de passe, appel la phrase secrte ou passphrase. Le gnrateur fonctionne en faisant passer plusieurs fois (en fonction de lindex) le dfi et la phrase secrte au travers dune fonction de hash. Le client doit renvoyer lOTP de 8 octets au serveur qui vrifie quil parvient bien au mme rsultat. Comme le CHAP, le MS-CHAP et le MS-CHAP-v2, la mthode OTP est vulnrable aux attaques de dictionnaire hors-ligne.
  

4. Authentification (carte jeton gnrique) :

EAP / GTC

La RFC 3748 prvoit un type didentification appel GTC Generic Token Card Le serveur envoie (optionnellement) un dfi au client et celui-ci doit y rpondre en tapant sa rponse, qui est renvoye en clair. Le serveur vrifie la validit de la rponse . Cette mthode trs simple a t conue pour les cartes jeton : Le jeton est une cl assez longue qui nest connue que par le serveur dauthentification et est ncessaire lidentification du client. Le plus souvent, un mot de passe est galement exig. On parle alors de scurit double facteur : pour sidentifier, lutilisateur doit la fois connatre quelque chose (son code PIN ou son mot de passe) et possder quelque chose (la carte jeton). La plupart des algorithmes utilisent le jeton, le mot de passe de lutilisateur et le dfi envoy par le serveur pour gnrer un hash qui est renvoy au serveur. Certaines cartes sont synchronises avec le serveur et affichent un code qui change toutes les 10 20 secondes environ. Pour sidentifier, lutilisateur doit taper ce code, ainsi que
 

son mot de passe (ou code PIN). Les cartes basiques sinsrent dans un lecteur de carte, connect par exemple au port USB de lordinateur Dautres sont autonomes et possdent un mini clavier voire mme un petit cran cristaux liquides.

4. Authentification

EAP / SIM

Cette mthode dauthentification est dfinie dans la RFC 4186. Son but est de permettre un utilisateur de sidentifier grce la carte SIM de son tlphone portable GSM : Celle-ci peut tre connecte lordinateur via une cl USB, par exemple, ou directement intgre dans ladaptateur WiFi. Pour que lidentification puisse fonctionner, le serveur dauthentification doit tre reli loprateur mobile de lutilisateur : il ne sert alor s que dintermdiaire entre le client et le serveur dauthentification de loprateur mobile. Cette solution a peu dintrt pour la plupart des entreprises dans le contexte dun rseau WiFi. Elle est intressante dans le cadre de la convergence entre la tlphonie et les technologies de linformation (oprateurs mobiles qui dploient des hotspots par ex.). Dautres mthodes didentification lies la tlphonie existent : EAP/SIM6 pour lidentification SIM passant par un rseau IPv6 et EAP/AKA pour lidentification par un rseau UMTS.

4. Authentification

EAP/TLS

EAP ne prend en charge que lauthentification, EAP/TLS nutilise donc que la partie authentification par certificat de TLS (la cl symtrique nest pas utilise). Clients et serveurs possdent un certificat ce qui suppose lutilisation dune PKI. Lors du dialogue EAP, les clients et le serveur schangent et vrifient leurs certificats en suivant le protocole TLS. Seuls les utilisateurs possdant un certificat valide sont autoriss se connecter. Gestion des certificats peut tre lourde. C'est pour se passer du certificat client que les

protocoles PEAP et EAP-TTLS ont t crs.

4. Authentification Certificat client

EAP/TLS : changes EAP Certificat Serveur

4. Authentification Certificat client 1 2 3 4 5

EAP/TLS : changes TLS Certificat Serveur

4. Authentification TLS start.

EAP/TLS : changes TLS

1. Le serveur Radius initie le processus d'authentification TLS par le message 2. Le client rpond avec un message client_hello, qui contient : des spcifications de chiffrement vides en attendant qu'elles soient ngocies entre le client et le serveur ; la version TLS du client ; un nombre alatoire (dfi ou challenge) ; un identifiant de session ; les types d'algorithmes de chiffrement supports par le client. 3. Le serveur renvoie une requte contenant un message server_hello suivi : de son certificat (x509) et de sa cl publique ; de la demande du certificat du client ; d'un nombre alatoire (dfi ou challenge) ; d'un identifiant de session (en fonction de celui propos par le client). Le serveur choisit un algorithme de chiffrement parmi ceux qui lui ont t proposs par le client.

4. Authentification sa cl publique.

EAP/TLS : changes TLS

4. Le client vrifie le certificat du serveur et rpond avec son propre certificat et 5. Le serveur vrifie le certificat du client. Le serveur et le client, chacun de son ct, dfinissent une cl de chiffrement principale (MK) utilise pour la session. Cette cl est drive des valeurs alatoires que se sont changes le client et le serveur. Les messages change_cipher_spec indiquent la prise en compte du changement de cl. Le message TLS_finished termine la phase d'authentification TLS ( TLS handshake), dans le cas d'EAP-TLS la cl de session ne sert pas chiffrer les changes suivants.

4. Authentification

EAP/PEAP

EPA/PEAP (Protected EAP) a t dvelopp par Cisco et Microsoft. Un tunnel TLS est dabord mis en place entre le client et le serveur puis une nouvelle ngociation EAP (par ex. EAP/MS-CHAP-v2 ou EAP/GTC) est effectue lintrieur du tunnel (EAP protg) Le dialogue est proche de celui dEAP/TLS mais avec quelques diffrences importantes : Au cours de la ngociation EAP/PEAP, lorsque le serveur demande son identit au client, celui-ci n'est pas oblig de rvler sa vritable identit ( anonyme , par exemple). Le client n'est pas oblig de fournir un certificat. Seul le serveur doit en fournir un pour prouver son identit au client. Plutt que de s'arrter la fin de la ngociation TLS, EAP/PEAP va jusqu' tablir compltement le tunnel TLS. Dans ce tunnel, une ngociation EAP complte a lieu: c'est ici que le client fournit son identit et la preuve de cette identit. La mthode utilise peut tre n'importe quelle mthode EAP. Dans lexemple, il sagit de EAP/MD5. Une fois que l'identification EAP interne est termine par un paquet de succs ou d'chec, le tunnel TLS est ferm et le serveur renvoie un nouveau paquet de succs ou d'chec au client en clair (le contrleur d'accs doit savoir quil faut laisser passer le client).
 

Lintrt principal de PEAP est dutiliser une mthode dauthentification lintrieur dun tunnel TLS.

4. Authentification

Dialogue EAP/PEAP

4. Authentification TLS puis met en

EAP/TTLS

Comme PEAP, TTLS (Tunneled TLS) commence par tablir un tunnel uvre une autre authentification dans ce tunnel. Le mcanisme est donc le mme, les diffrences sont : TTLS a t conu par Funk Software pour sa solution de scurit WiFi : Odyssey TTLS nest pas intgr Windows TTLS autorise tout type didentification interne, pas uniquement base dEAP (PAP, CHAP, MS-CHAP) Possibilit de rajouter des AVP ( Attribute-Value Pair) dans les paquets TTLS : Les AVP sont compose du type de lattribut et de sa valeur (par ex. [Prnom, Alice ]) et permet de transporter des informations supplmentaires (authentification, rgles de filtrage). RADIUS utilise galement les AVP. PEAP et TTLS sont donc 2 mthodes concurrentes avec une meilleure intgration pour la premire et une plus grande souplesse pour la deuxime.

4. Authentification

Faiblesses dEAP

EAP prsente 3 failles identifies : Attaque de la mthode dauthentification elle-mme ; Attaque de dictionnaire hors-ligne possible avec EAP/MD5 (lecture du dfi et du hash et recherche du mot de passe produisant le mme hash); Attaque de la session une fois que celle-ci est tablie : Une fois lutilisateur authentifi avec une mthode sure (EAP/TLS), lAP accepte tous les paquets en provenance de ladresse MAC de celui-ci ; Le travail dEAP tant termin, le tunnel TLS est ferm et les paquets sont transmis

en clair ; Une simple falsification dadresse MAC permet daccder la session Attaque de type Man in the Middle entre le client et le contrleur daccs, le pirate sidentifie la place du client. Peu probable dans une connexion PPP mais simple en WiFi (insertion dun AP pirate). La parade consiste mettre en place un cryptage pour la session dauthentification : sans les cls de cryptage, le pirate ne pourra ni envoyer ni recevoir

4. Authentification Attaque MiM

Optimiser EAP/802.1x

Pour viter les failles EAP et bnficier de la meilleure scurit avec 802.1x : Utiliser une mthode base de tunnel : EPA/TLS, EAP/TTLS ou PEAP ; Sassurer que le certificat du serveur est toujours vrifi par les clients ; Eventuellement mettre en place un certificat pour chaque client ; Utiliser une mthode dauthentification interne robuste (carte jeton) ; Sassurer quun cryptage puissant est utilis pendant lauthentification (WPA2 en WiFi).

4. Authentification

EAP : Exemple en WiFi

Le client possde un logiciel de connexion compatible avec le 802.1x (donc avec lEAP) et supporte deux mthodes dauthentification : PEAP/MS-CHAP-v2 et EAP/TLS. LAP est compatible 802.1x : Il na pas besoin de connatre PEAP/MS-CHAP-v2, EAP/TLS, TTLS/PAP ou toute autre mthode dauthentification particulire. Il est capable de relayer des requtes EAP vers le client (via la connexion WiFi) et vers le serveur dauthentification (via le rseau de lentreprise). Le serveur RADIUS gre les mthodes dauthentification EAP/TLS et TTLS/PAP : Le serveur demandera au client de sidentifier selon une mthode. Si le client ne la gre pas, le serveur en suggrera une autre et ainsi de suite jusqu ce que le client en accepte une. Dans lexemple, ils tomberont daccord sur la mthode didentification EAP/TLS.

4. Authentification

RADIUS : principe

RADIUS pour Remote Authentication Dial In User Service est un protocole d'authentification pour les connexions distance. Il permet la centralisation des donnes dauthentification. Il permet galement la gestion des connexions utilisateurs des services distants. Scnario de base RADIUS : Lutilisateur se connecte son NAS (Network Access Server) et fournit son identit ; Le NAS communique avec le serveur suivant le protocole RADIUS pour valider lidentit de lutilisateur ; Si lidentit est vrifie, le NAS autorise lutilisateur accder au rseau.

4. Authentification

Connecteurs RADIUS

Les mthodes dauthentification pises en charge par les serveur RADIUS sont varies : PAP, CHAP, MS-CHAP, MS-CHAP-v2, EAP/MD5, PEAP/MS-CHAP-v2 Pour valider les identits, les serveurs RADIUS peuvent : Consulter un simple fichier local ; Consulter une base de donnes type mySQL ou Oracle ; Consulter un serveur LDAP, un serveur Kerberos ou un contrleur de Domaine Windows. Le serveur RADIUS peut faire appel un serveur dauthentification existant grce un connecteur.

4. Authentification

Attributs RADIUS

Aprs la phase dauthentification, le protocole RADIUS peut fournir au NAS des information supplmentaires sous forme dAVP (Attribute-Value Pair) . Les AVP sont compose du type de lattribut et de sa valeur (par ex. [Prnom, Alice ]) . Exemples dAVP : Session-Timeout : entier de 32 bits qui dfinit en seconde la dure de la session,. Au-del, le NAT dconnecte lutilisateur ; Idle-Timeout : indique au NS au bout de combien de seconde lutilisateur doit tre dconnect en cas dinactivit. Le serveur RADIUS est capable de comptabiliser diffrentes informations sur les connexions : nombre de connexions des utilisateurs ;

dure des connexions des utilisateurs ; volume des donnes changes ; cause de la fin de session (dconnexion volontaire, timeout, perte de signal).

4. Authentification

Paquets RADIUS

RADIUS utilise UDP pour le transport : RADIUS est un protocole sans tat ; Permet la rmission dune demande dauthentification un serveur secondaire si le serveur primaire ne rpond pas ; RADIUS nexige pas une dtection "sensible" de la perte de donnes. 6 types de paquets pour effectuer une authentification RADIUS : Access-Request Envoy par le NAS, contient les informations sur le client qui souhaite se connecter (login/mot de passe, adresse MAC) Access-Challenge Envoy par le serveur pour demander la rmission dun access-request ou des informations complmentaires. Access-Accept Envoy par le serveur pour autoris la connexion si la vrification des informations est correcte (peut contenir un AVT du type Session-Timeout). Access-Reject Envoy par le serveur pour refuser une connexion en cas dchec de lauthentification ou pour mettre fin une connexion. Accounting-Request Envoy par le NAS pour indiquer le dbut (Start) ou la fin (Stop) dune session. Accounting-Response Envoy par le serveur pour acquitter le prcdent.

4. Authentification

Dialogue RADIUS

4. Authentification Code (1 octet):

RADIUS : format des paquets Length (2 octets):

1 : access-request 2 : access-accept 3 : access-reject 4 : accounting-request

Taille total du message (de 20 4096 octets)

Request Authenticator (16 octets): 5 : accounting-response 11 : access-challenge Identifier (1 octet) : MD5 (Code + ID + Length + - Identique pour une retransmission RequestAuth + Attributes + Secret) Un nombre alatoire unique Response Authenticator (16 octets):

- Unique pour chaque authentification

4. Authentification Type (1 octet): 1 : User-Name

RADIUS : format des attributs Value (1 -253 octets): text 1-253 octets string 1-253 octets

Length (1 octet):

Taille total du message

2 : User-Password (max 254 octets) 3 : CHAP-Password 4 : NAS-IP-Address 5 : NAS-Port 6 : Service-Type User-Password :

address 32 bit integer 32 bit time 32 bit

Le mot de passe est coup en blocs de 16 octets : p1, p2, c1 = p1 XOR MD5(Secret + Request Authenticator) c2 = p2 XOR MD5(Secret + c1) Le mot de passe encod est la concatnation de : c(1)+c(2)+...

4. Authentification

Scurit RADIUS

Le protocole RADIUS utilise 2 lments de scurit : Le secret RADIUS qui correspond un long mot de passe connu du serveur et du contrleur daccs (cl symtrique). Le secret est utilis pour crypter certains attributs et pour calculer le code de contrle dintgrit

utilis par le rcepteur pour sassurer que le paquet RADIUS na pas t modifi. La signature (authenticator) RADIUS est un champ de 16 octets prsent dans chaque paquet RADIUS. Pour un paquet Access-Request, lauthenticator est un nombre alatoire ; Pour un paquet de rponse (Access-Accept, Access-Challenge, Acces-Reject) , lauthenticator est calcul en utilisant lalgorithme de hachage MD5 appliqu au paquet de rponse, au nombre alatoire et au secret. Lauthenticator et le secret servent aussi crypter les mots de passe pour les authentifications simples PAP et CHAP.

5. LAN scuriss Problmes :

WiFi et la scurit

Empcher un intrus de se connecter au rseau sans fil (parking attack) ; Empcher lcoute clandestine des donnes changes ; 1re solution : WEP (Wired Equivalent Privacy) La cl secrte partage (40 ou 104 bits) est concatne (ajoute) avec un vecteur dinitialisation (IV) sur 24 bits rinitialis chaque trame ; Le rsultat (64 ou 128 bits) est plac dans un PRNG (Pseudo Random Number Generator) qui gnr une squence alatoire ; Paralllement, un calcul dintgrit (CRC) ainsi quune concatnation (ll) est ralis sur les donnes ; Une opration ou exclusif entre la squence alatoire et les donnes permet ensuite de chiffrer celles-ci ; Les donnes chiffres sont transmises ainsi que le vecteur dinitialisation (en clair) ; Pour le dchiffrement, lopration inverse est ralise (la cl wep et le vecteur dinitialisation sont connus la rception).


5. LAN scuriss IV PRNG || (RC4)

WiFi : chiffrement WEP

Cl partage CRC donnes I V E-T donnes || CRC 32 ICV Chiffrement Cl partage PRNG || (RC4) CRC donnes I V E-T  Dchiffrement d intgrit Contrle donnes

5. LAN scuriss Contre la confidentialit :

WiFi : vulnrabilits du WEP

Principale faiblesse du chiffrement WEP : utilisation de la mme cl partage pour un grand nombre dchanges (keystream reuse). Possibilit de dchiffrer la cl ds que lon connat un couple texte en clair, texte chiffr de mme IV. Mme si lIV change chaque transmission, une coute du rseau pendant un temps suffisant permettra de trouver cette cl. Faiblesse exploite par certains programmes (aircrack ) capables, suivant la taille de la cl et la charge du rseau, de trouver la cl en quelques minutes ou quelques Faiblesse de RC4 (key scheduling algorithm weakness) Attaque exhaustive (cl drive d'une passphrase) Attaque statistique Contre l'intgrit : Modification de paquets (bit flipping) Injection de faux paquets Contre l'authentification auprs de l'AP
  

jours

Fausse authentification (authentication spoofing)

5. LAN scuriss Attaque statistique

WiFi : Cassage du WEP (1)

Attaque dcouverte par un hacker nomm KoreK http://www.netstumbler.org/showpost.php?p=89036 Ne ncessite plus la capture de millions d'IV mais se base juste sur le nombre d'IV uniques capturs. L'injection de trafic permet d'acclrer grandement la capture des trames : 1. Tronque le message chiffr d'un caractre (1 octet) => message invalide 2. Suppose une valeur V pour le dernier octet (0 =< V =< 255), corrige le message et rinjecte la trame vers l'AP 3. L'AP rejette toute les trames sauf celle ayant le dernier octet valide (rpter 1 - 3) Dcryptage des paquets ARP/IP http://www.netstumbler.org/showthread.php?t=12489

5. LAN scuriss

WiFi : cassage du WEP (2)

Aircrack dernires versions : ng et ptw (Unix & Windows) Trs rapide et performant (cassage de la cl < 10s avec un nombre de trames suffisant) Implmente la nouvelle attaque statistique dveloppe par KoreK Ncessite un nombre d'IV unique pour pouvoir casser la cl Version ng : Ncessite 300 000 IV uniques pour une cl de 64 bits et 700 000 pour une cl de 128 bits Version ptw : Ncessite 50 000 IV uniques pour une cl de 128 bits

5. LAN scuriss Aircrack

WiFi : cassage du WEP (3)

Les dernires versions (ng et ptw) permet l'injection de paquet aprs rejeu d'une trame arp-request gnrant des IV uniques au niveau de la borne. Ncessite une mise jour des pilotes (HostAP, Atheros, Prism54, wlan-ng) Mthodes :

iwpriv <interface> mode 2 iwconfig <interface> mode Monitor channel <channel> ifconfig <iface> up airodump-ng --write "NomFichierSortie" --channel "NumeroChannel" "Interface" aireplay-ng -3 -e ESSID -b @_mac_AP -h @_mac_station interface aircrack-ng -x fichier_capture Trois composants : airodump pour la capture de paquets (scanne les rseaux et conserve les paquets qui serviront dcrypter la clef). aireplay pour linjection de paquets dans le but de stimuler le rseau et augmenter le nombre de captures. aircrack pour trouver la cl partir des informations captures par d'airodump (ncessite un nombre minimum de paquets)

5. LAN scuriss

WiFi : autres solutions de scurit

Cls WEP de 256 bits : plusieurs GO de donnes et plusieurs jours, voir plusieurs semaines pour rcuprer la cl ; Modifier rgulirement la cl (les AP proposent gnralement 4 cls au choix mais il faut alors changer galement la cl sur les stations ) ; Limiter la porte des AP aux locaux de lentreprise pour viter les attaques de parking ; Activer sur lAP un filtrage par adresses MAC ; Dsactiver sur le point daccs la diffusion du SSID ; Dsactiver sur le routeur Wifi le service DHCP ; Utiliser le protocole de cryptage WPA (Wi-Fi Protected Access) qui est une amlioration de WEP et fait appel l'algorithme TKIP (Temporal Key Integrity Protocol) pour changer la cl dynamiquement plusieurs fois par seconde ; Utiliser un algorithme plus robuste comme AES (Advanced Encryption Standard) propos dans la nouvelle norme sans fil 802.11i.

5. LAN scuriss

WiFi : le chiffrement WPA

WPA (Wi-Fi Protected Access) : recommandation de la Wi-Fi Alliance fonde sur un sous ensemble de la norme 802.11i.

Depuis 2003 tous les produits certifis au label WiFi doivent supporter cette recommandation. Cls de cryptage : gnration et distribution par lAP de cls dynamiques avec TKIP ( Temporal Key Integrity Protocol) ; TKIP gnre une cl par trame (WEP : mme cl pour toute la cellule et toutes les trames) ; vecteur dinitialisation de 48 bits (24 bits pour WEP) ; code MIC (Message Integrity Code) pour vrifier lintgrit de toute la trame. Mode dauthentification : mode personnel ou mode PSK (Pre-Shared Key) : saisie dun mot de passe alphanumrique ( passphrase ) ; mode entreprise : base du protocole 802.1x, avec une authentification centralise des utilisateurs partir dun serveur de type RADIUS.


5. LAN scuriss

WiFi : WPA et le mode PSK

Le mode PSK (Pre-Shared Key) est conu pour les rseaux individuels qui ne peuvent se permettre le cot et la complexit d'une solution utilisant un serveur d'identification 802.1x. La PSK est une phrase secrte (passphrase) partage par le client et lAP pouvant contenir de 8 63 caractres ASCII ou 64 octets (256 bits). La PSK permet de gnrer la PMK (Pairwise Master Key) de 256 bits grce une fonction de hachage cryptographique : PMK = PBKDF2(passphrase, ssid, ssidLength, 4096, 256) La PMK peut tre gnre directement en entrant un mot de 64 octets la place de la passphrase (mthode plus sur car elle vite les attaque par dictionnaire). LA PMK est ensuite utilise pour une authentification en 4 tapes. La plupart des OS permettent l'utilisateur de stocker la passphrase sur l'ordinateur afin de ne pas avoir la saisir nouveau mais cependant sous forme PMK, c'est--dire dj hache.

5. LAN scuriss

WiFi : WPA-PSK +TKIP ou AES

WPA-PSK pour lauthentification TKIP ou AES pour le cryptage WPA = PSK + TKIP

 WPA2 = PSK + AES = 802.11i Nommage Alliance

5. LAN scuriss

WiFi : WPA et AES

Le standard de chiffrement avanc AES (Advanced Encryption Standard), aussi connusous le nom de Rijndael, est un algorithme de chiffrement symtrique. AES a t choisi en 2000 pour remplacer DES (standard des annes 1970) qui utilisait des clefs de 56 bits, contre 128 256 pour AES. Principe : L'algorithme prend en entre un bloc de 128 bits (16 octets), la cl fait 128, 192 ou 256 bits. Les 16 octets en entre sont permuts selon une table dfinie au pralable. Ces octets sont ensuite placs dans une matrice de 4x4 lments et ses lignes subissent une rotation vers la droite. L'incrment pour la rotation varie selon le numro de la ligne. Une transformation linaire est ensuite applique sur la matrice, elle consiste en la multiplication binaire de chaque lment de la matrice avec des polynmes issus d'une matrice auxiliaire. Finalement, un XOR entre la matrice et une autre matrice permet d'obtenir une matrice intermdiaire. Ces diffrentes oprations sont rptes plusieurs fois et dfinissent un de 128, 192 ou 256, AES ncessite respectivement 10, 12 ou 14 tours. tour . Pour une cl

5. LAN scuriss

WiFi : WPA et 802.1x

Authentification base du protocole 802.1x et centralise pour tous les utilisateurs partir dun serveur de type RADIUS. Le client possde un logiciel de connexion compatible avec le 802.1x (donc avec lEAP) et supporte une mthode dauthentification (EAP/TLS par ex.) LAP est compatible 802.1x : Il na pas besoin de connatre EAP/TLS ou toute a utre mthode dauthentification particulire. Il est capable de relayer des requtes EAP vers le client (via la connexion WiFi) et vers le serveur dauthentification (via le rseau de lentreprise). Le serveur RADIUS gre la mthode dauthentification EAP/TLS : Le serveur demandera au client de sidentifier selon une mthode. Si le client ne la gre pas, le serveur en suggrera une autre et ainsi de suite jusqu ce que le client en accepte une.

5. LAN scuriss Faiblesses du WPA :

WiFi : vulnrabilits de WPA

attaque de type dni de service . un envoi dau moins deux paquets chaque seconde utilisant une cl de cryptage incorrecte provoque un blocage de lAP qui rinitialise toutes les connexions utilisateurs pendant une minute. mcanisme de dfense pour viter les accs non-autoriss un rseau protg, mais pouvant bloquer tout un rseau sans fil. Version aircrack pour WPA-PSK, base sur une attaque par dictionnaire. Amliorations de WPA : SSID (Service Set IDentifier) scuris ; WPA2 : nouveau protocole CCMP (Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol) bas sur le chiffrement AES (Advanced Encryption Standard ) et une meilleure protection au niveau MAC. Standard 802.11i : implmente les deux protocoles de niveau MAC (TKIP et CCMP/AES) et supporte les architectures antrieures (WEP, PSK).
!

5. LAN scuriss Cryptage WPA2/CCMP

WiFi : exemple de capture

5. LAN scuriss Donnes dcrypte

WiFi : exemple de capture

5. LAN scuriss

Bluetooth

Scurit base sur l'exploitation des trois notions suivantes : une adresse dpendante du dispositif physique : 1 carte Bluetooth 1 adresse permanente de 48 bits. @ rgies par l'IEEE, quivalent de l'adresse MAC pour les cartes rseau Ethernet. un code personnel d'identification : code personnel attribu l'utilisateur qui

permet de l'identifier. Code PIN stock sur 1 16 octets. un dispositif de gnration de nombre alatoire sur 128 bits. Ces trois lments primaires permettent de gnrer des cls d'authentification et de cryptage pour scuriser les transferts.

5. LAN scuriss

Bluetooth : 3 modes de scurit

Mode de scurit n1 : le moins fiable. Aucune fonction de scurit n'est active. Permet donc tous les autres dispositif Bluetooth de se connecter. Mode de scurit n2 : garantit une scurit aprs la connexion. Les fonctions offertes agissent au niveau application. Mode de scurit n3 : hrite des fonctionnalits du mode 2 + fonctions d'authentification et de cryptage avant que la connexion ne soit tablie. En plus de ces trois modes de scurit : deux niveaux de scurit pour les dispositifs physiques (fiable ou non fiable) et trois pour les services (Autoris et Authentifi, Authentifi, Accs libre).

5. LAN scuriss Bluetooth : un gestionnaire de scurit Avant l'tablissement d'une connexion, le gestionnaire de scurit (Security Manager) choisit la politique de scurit partir : du type de service utilis ; du dispositif distant avec lequel la communication va s'effectuer (son type et son niveau de scurit). Le Security Manager dcide du niveau d'authentification utilis et du type de cryptage. Les informations dont a besoin le gestionnaire sont stockes dans deux bases de donnes : la base de donnes des dispositifs physiques stocke le type de dispositif, son niveau de fiabilit et la taille de ses cls de cryptage ; la base de donnes des services : informations relatives au niveau de scurit service et au mode d'acheminement de l'information.

5. LAN scuriss Bluetooth : mcanismes scuritaires propritaires Diffrentes cls sont gnres partir du nombre alatoire de 128 bits et du code PIN. Suivant linstant et la localisation, ces cls ont diffrents rles : lors de l'initialisation du composant (unit key) ; lors d'une communication initie par un seul dispositif ( init key) ; lors de l'amorce d'une communication bi-partie (link key) ; KAD lors d'une communication du matre destine plusieurs D A destinataires (master key) ; toutes ces cls sont gnres par les algorithmes propritaires E0, E1, E3, E21, E22. Les transactions entre diffrentes entits Bluetooth se font via la "cl de lien" (link key ) partage. M KMB Aprs gnration de la cl de lien et authentification rciproque, une cl de cryptage est gnre (encryption B key) C Possibilit dutiliser une cl diffrente pour chaque paire dquipements communiquant. KMC KMD KMA

5. LAN scuriss Gnration et utilisation des cls PIN PIN User Input

(Initialization)

E2

E2

Authentication (possibly)

Link Key Storage

Link Key Permanent

E3

E3

Encryption Temporary Encryption Key Encryption Key Storage

E1, E2 : algorithmes propritaires

5. LAN scuriss dnergie limite.

Les vulnrabilits de Bluetooth

Dnis de services : Les lments d'un rseau sans fil sont nomades, et dpendent d'une source Attaque possible : surcharger de travail la machine attaquer pour consommer le plus rapidement possible son nergie. Travaux en cours contre cette faille. Confidentialit : N'importe qui peut couter les trames mises dans l'atmosphre il est facile de loguer les diffrentes connexions en identifiant les protagonistes l'aide du code PIN ou de l'adresse Bluetooth des dispositifs physiques. Vol d'identit : Link key base sur la unit key vol ais de l'identit d'un correspondant. Ex. : A et B communiquent en se basant sur la unit key de A, un troisime intervenant C peut venir communiquer avec A et obtenir cette cl C peut utiliser l'adresse Bluetooth de B pour se faire passer pour lui... Trous de scurit dans les algorithmes : Code PIN trop court (longueur standard en Bluetooth). algorithmes de scurit propritaires relativement inefficaces. Code facile retrouver si code PIN de 5 caractres

5. LAN scuriss Authentification et cryptage.

Scurit dans ZigBee

Utilisation du cryptage AES (Advanced Encryption Standard) 128 bits. Concept dun centre de confiance . Cls de liens et de rseaux. La scurit peut tre personnalise en fonction de lapplication. Les cls peuvent cbles dans lapplication.
" "

5. LAN scuriss couche scurit.

Scurit dans WiMax

Grer par le gestionnaire de cls PKM (Privacy Key Management) de la sousLe certificat de la station dabonn (Subscriber Station) est dfini partir dune chane de certification. La SS (Subscriber Station) envoie sont certificat contenant sa cl publique. La BS (Base Station) vrifie le certificat et gnre une cl dAuthentification (AK : Authentication Key). Le BS crypte AK avec la cl publique de la SS et la transmet (cryptage RSA). La SS dcrypte AK. La cl de cryptage de trafic TEK (Trafic Encryption Key) est gnre sur la BS et chiffr avec un cl drive de AK. La TEK sert pour le cryptage du trafic qui suit (cryptage DES-CBC).

Points faibles : Pas dauthentification la BS par la SS ; Algorithme DES peu sur ; Gestion de la PKI. Dfauts en partie corrig sur WiMax Mobile : authentification mutuelle RSA + EAP ; chiffrement AES.