Professional Documents
Culture Documents
Espions Le firewall ou pare-feux est charg de filtrer les accs entre lInternet et le rseau local
ou entre deux rseaux locaux.
Hackers
La localisation du firewall (avant ou aprs le routeur, avant ou aprs le NAT..) est
VPN
Cryptage stratgique.
Filtrage
Suivant la politique de scurit, le filtrage est appliqu diffremment sur les interfaces
Authentification
Identification dentre et de sortie (blocage des adresses IP prives entrantes).
Serveurs
Confidentialit
Filtrage daccs
Antivirus
Hackers
Information
Rseau interne Firewall
Intgrit
Disponibilit Redondance
Cryptage
Internet
Virus
Pannes Routeur
Filtrage
Intranet
Backup
Hackers
DMZ Serveurs
Authentification
Erreurs
accessibles
Nomades
depuis Internet
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 3 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 4
1. Architectures Filtrage de paquets 1. Architectures Filtrage sur les entres
Le filtrage de paquets sur Firewall permet de router les paquets entre les htes
internes et externes de manire slective.
Le firewall peut galement empcher les connexions entrantes en
oprant sur le bit ACK de len-tte TCP :
Le filtrage intervient diffrents niveaux dans la mesure o chaque paquet possde
un ensemble den-tte spcifiques : lors dune demande de connexion, le bit ACK du premier segment TCP est
adresse IP source ou destination ;
0, les bits ACK des segments suivants sont gnralement tous 1.
port TCP ou UDP source ou destination ; Il suffit donc de bloquer les segments entrants avec le bit ACK 0, les
Flags de len-tte TCP (SYN, ACK) ; segments suivants pour cette connexion ne seront pas pris en compte.
type de message ICMP ou HTTP (filtrage applicatif)
Demande douverture de connexion
Le filtrage peut galement intervenir au niveau des en-ttes de trame (filtrage des
adresses MAC source ou destination ). SYN=1 ACK=0
ACK=1 Data
ACK=1 Data
Phase dchange de donnes
ACK=1 Data
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 5 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 6
Elles sont bases sur les informations des segments ou des paquets. que si la connexion a t initie de lintrieur (rgle D).
Blocage de toute autre connexion (rgle E).
Les caractristiques de chaque paquet sont compars aux rgles, les
unes aprs les autres.
Si la rgle correspond aux caractristiques du paquets, alors celui-ci Rgle Direction @ source @ dest. Protocole Src Port Dst Port ACK=1 Action
est accept.
A Out 192.168.0.0 0.0.0.0 TCP >1023 80 Permit
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 7 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 8
1. Architectures Firewall : Stateless ou statefull 1. Architectures Firewall : les ACL Cisco
Le Firewall stateless
Filtrage simple de paquets ; Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les
Bas sur les adresses, les ports, les entres ou paquets entrants ou sortant en fonction des adresses IP source et destination.
des informations de la couche application. Il existe 2 types d'ACL
Standard : uniquement sur les IP sources ;
Etendue : sur quasiment tous les champs des en-ttes IP, TCP et UDP.
Le Firewall statefull : Le filtrage sur les paquets peut intervenir :
Ralise un suivi de connexion ; sur linterface dentre, avant le processus de routage ;
Diffrents tats pour une connexion : sur linterface de sortie, aprs le processus de routage.
NEW. La connexion est cre (par ex., un client envoie sa premire requte vers un
serveur web.
ESTABLISHED. Connexion dj initie, suit une connexion NEW dj passe.
RELATED. Peut tre une nouvelle connexion, mais prsente un rapport direct avec une
connexion dj connue.
INVALID. Pour tous les paquets suspects suivant des rgles pr-tablies.
Exemple de stratgie :
Toutes les connexions NEW qui viennent du LAN et qui vont sur le NET port 80 sont
acceptes. Tous les clients du LAN peuvent interroger tous les serveurs web du NET ;
Toutes les connexions RELATED et ESTABLISHED qui viennent du NET port 80 sont
autorises rentrer. Les serveurs peuvent rpondre ;
Toutes les connexions RELATED et ESTABLISHED qui sortent du LAN sont autorises.
Les connexions peuvent se poursuivre, mme si elles ouvrent de nouvelles connexions.
Toutes les connexions INVALID, d'o qu'elles viennent sont rejetes.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 9 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 10
1. Architectures Firewall : logique des ACL Cisco 1. Architectures Firewall : exemples dACL Cisco
Le paquet est vrifi par rapport au 1er critre dfini sur les informations contenues access-list 1 deny 172.16.3.10 0.0.0.0 (ou deny host 172.16.3.10)
dans les en-ttes IP, TCP ou UDP :
access-list 1 permit 0.0.0.0 255.255.255.255 (ou permit any)
S'il vrifie le critre, l'action dfinie est applique ;
Sinon le paquet est compar successivement aux ACL suivants ; Refuse les paquets d'IP source 172.16.3.10. Le masque (galement appel
wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs.
S'il ne satisfait aucun critre, l'action deny est applique.
La dernire rgle autorise toutes les autres adresses (le masque signifie
quaucun nest significatif)
Des masques sont utiliss pour pouvoir identifier une ou plusieurs adresses IP en une
seule dfinition. access-list 2 permit 172.16.3.0 0.0.0.255
Le masque dfini la portion de l'adresse IP qui doit tre examine :
Autorise tous les paquets d'IP source 172.16.3.0/24.
0.0.255.255 signifie que seuls les 2 premiers octets doivent tre examins ; Diffrence avec access-list 2 permit 172.16.3.0 0.0.0.0 ?
deny 10.1.3.0 avec 0.0.0.255 : refus de toutes les IP commenant par 10.1.3.
access-list 101 deny ip any host 10.1.1.1
Syntaxe d'une rgle standard : Refus des paquets IP destination de la machine 10.1.1.1 et provenant de
access-list number [deny|permit] source [source-wildcard] n'importe quelle source
number compris entre 1 et 99 ou entre 1300 et 1999 access-list 102 deny tcp any gt 1023 host 10.1.1.1 eq 23
Source-wildcard : masque pour la source Refus de paquet TCP provenant d'un port > 1023 et destination du port 23 de
Syntaxe d'une rgle tendue : la machine d'IP 10.1.1.1
access-list number [deny|permit] protocol source source-wildcard destination dest.- access-list 103 deny tcp any host 10.1.1.1 eq http
wildcard
Refus des paquets TCP destination du port 80 de la machine d'IP 10.1.1.1
number : compris entre 100 et 199 ou 2000 et 2699
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 11 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 12
1. Architectures Firewall : quizz ACL Cisco 1. Architectures Firewall sous Linux
Netfilter est le module qui fournit Linux les fonctions de pare-feu, de translation
dadresse (NAT) et d'historisation du trafic rseau.
Netfilter fonctionne en mode noyau.
Il intercepte et manipule les paquets IP entrant et sortant de votre machine.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 13 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 14
1. Architectures Firewall sous Linux : chanes 1. Architectures Firewall sous Linux : chanes (2)
Une autre table est utilise pour les translations dadresses : la table nat . Elle
Par dfaut, le programme iptables utilise la table filter qui contient trois listes de utilise 3 chanes :
rgles ;
PREROUTING, c'est la chane qui va tre utilise pour faire du DNAT (Destination NAT) :
Ces listes sont appeles chanes de firewall ou juste chanes.
translation sur adresse destination avant le processus de routage.
Les trois chanes sont nommes INPUT, OUTPUT et FORWARD : Ex : pour un paquet entrant vers un serveur web interne et masqu, le routeur va remplacer
La chane INPUT permet de dcider ce que lon fait dun paquet entrant. Il peut tre accept sa propre IP par lIP du serveur web.
(ACCEPT) ou rejet (DROP) ; POSTROUTING, la sortie du routeur et utilise pour faire du SNAT (Source NAT) :
La chane OUTPUT permet de la mme faon de fixer le sort des paquets sortants (ceux qui masquage d'adresse source aprs le processus de routage.
sont gnrs localement) ; Ex : un ordinateur local veut sortir sur le WAN, le routeur va remplacer l'IP du paquet mis en
La chane FORWARD permet de traiter un paquet entr aprs lavoir rout vers une autre local par sa propre IP.
interface rseau. OUTPUT, cette chane va traiter les rponses mises en local si le paquet avait pour
destination le routeur, comme dans le cas de la table filter.
FORWARD
Entre Dcision de ACCEPT
routage PREROUTING POSTROUTING
DROP
ACCEPT Dcision de ACCEPT
routage
Entre
DROP DROP Sortie
INPUT OUTPUT
OUTPUT
ACCEPT Processus ACCEPT
Processus
local
local ACCEPT
DROP DROP Sortie
DROP
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 15 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 16
1. Architectures Firewall sous Linux : rgles 1. Architectures DMZ : principe
Chaque chane est compose d'un ensemble de rgles. Une zone dmilitarise (DMZ DeMilitarised Zone) est une zone de rseau
Quand un paquet atteint une chane celle ci va examiner cet ensemble rgle par rgle
prive ne faisant partie ni du rseau interne ni de lInternet.
pour trouver celle qui lui correspond. la manire d'une zone franche au del de la frontire, la DMZ permet de
Si c'est le cas alors cette rgle lui sera applique. regrouper des ressources ncessitant un niveau de protection
Finalement s'il n'y a pas de rgle qui corresponde ce paquet, une politique par dfaut intermdiaire.
sera applique. Serveurs
d accs
La commande iptables permet de spcifier des rgles de slection des paquets IP dans
les trois chanes (INPUT, OUTPUT et FORWARD).
Les paquets sont slectionnes suivant la combinaison : Rseau interne Firewall
adresse source, adresse destination ;
protocole (tcp, udp, icmp, all) ; Internet
numro de port. Routeur
Pour chaque rgle de slection, on dfinit une politique : accepter (ACCEPT) ou rejeter
Intranet
(DROP) le paquet.
DMZ Serveurs
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 17 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 18
Un systme mandataire (proxy) repose sur un accs lInternet par une (ou plusieurs)
Un niveau supplmentaire de scurit peut tre introduit avec un 2me
machine ddi (le serveur mandataire ou Proxy server) qui joue le rle de mandataire
firewall. pour les autres machines locales et excutent les requtes de ces dernires.
Les rgles daccs sur le firewall du rseau Interne sont plus restrictives. Un serveur mandataire est configur pour un ou plusieurs protocoles de niveau
La DMZ est situe entre les deux firewalls (DMZ en sandwich ) avec des applicatif (HTTP, FTP, SMTP) et permet de centraliser , donc de scuriser, les
rgles moins restrictives introduites par le premier firewall. accs extrieurs (filtrage applicatif et masquage des adresses des clients).
Les serveurs mandataires configurs pour HTTP permettent galement le stockage de
pages Web dans un cache pour acclrer le transfert des informations frquemment
consultes vers les clients connects (Proxy cache).
Serveurs
d accs
DMZ
Intranet
Nomades
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 19 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 20
1. Architectures NAT : principe 1. Architectures NAT : translation dynamique
Initialement la table de translation est vide.
La translation dadresses est base sur lutilisation des adresses prives, non
Quand un paquet sort, l'adresse source est remplace par une adresse publique.
routables sur Internet :
Les adresses et ports source et destination internes et externes sont inscrits.
Classe A Classe B Classe C Quand une rponse un paquet arrive depuis Internet, la source interne qui correspond la
10.0.0.0 172.16. 0.0 172.31.0.0 192.168.0.0 192.168.255.0 destination du paquet est cherche dans la table.
Elle permet disoler le trafic local du trafic public de linternet et ncessite La destination est remplace par la source interne.
lutilisation dun translateur dadresse (NAT - Network Adress Translator).
Le NAT qui peut tre localis sur le routeur/firewall ou le proxy peut travailler
suivant 3 types de translation :
n @ prives vers 1 @ publique ;
n @ prives vers m @ publiques ;
1 @ prive vers 1 @ publique.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 21 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 22
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 25 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 26
Elments de base :
Protocole de VPN sur les routeurs ou les PCs (portables) ;
Encapsulation des paquets pour leur voyage travers Internet ;
Chiffrement des donnes pour garantir la confidentialit.
Pour accder distance un rseau non scuris, on se connecte un serveur Le protocole PPTP chiffre et encapsule (fait passer par un tunnel crypt) le
daccs distant ou Remote Access Server (RAS). datagramme IP dans le cadre dune connexion point point.
La mthode classique consiste se connecter au RAS directement par modem Le serveur VPN lentre du tunnel excute l'ensemble des contrles de la scurit et
(protocole PPP). des validations, et active le cryptage des donnes.
Dans le cas dun VPN, le serveur RAS devient une passerelle VPN laquelle on Une trame PPTP est donc constitue :
accde par le protocole PPTP. Du datagramme IP contenant les donnes utiles et les adresses IP de bout en bout ;
De len-tte PPP ncessaire pour toute connexion point point ;
La passerelle VPN doit galement tre connect Internet, par exemple par une
Dun en-tte GRE (Generic Routing Encapsulation) qui gre lencapsulation et permet disoler les
connexion PPP modem vers un ISP. flux IP priv et public ;
Dun nouvel en-tte IP contenant les adresses IP source et destination des passerelles VPN
(client et serveur VPN).
Passerelle VPN
Passerelle VPN Avant d'tablir le tunnel GRE, une connexion TCP (port 1723) est utilise :
logicielle
ngociation des paramtres ;
Rseau type VPN authentification de l'utilisateur ;
La ngociation se fait en clair.
La version courante utilise des cls de 128 bits alatoires.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 29 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 30
PPP
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 31 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 32
1. Architectures VPN : protocole IPSEC 1. Architectures VPN : paquet IPSEC
Protocole li IPV4 et IPV6 et assurant l'authentification et l'encryptage des IPSEC : Authentication Header (AH)
donnes au travers de l'internet.
Essentiellement employ dans les VPN. L'ajout d'un en-tte d'authentification permet de vrifier
Deux protocoles pour le chiffrement et l'authentification : ESP, AH. l'authenticit et l'intgrit des paquets.
Un protocole d'change de cl : IKE (Internet Key Exchange).
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 33 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 34
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 35 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 36
1. Architectures VPN : modes IPSEC 2. Cryptage Principes
2 types de VPN avec IPSec : Le but de la cryptographie est de garantir la confidentialit, l'authenticit et
L2TP sur IPSec en mode transport (mode Microsoft) : l'intgrit des donnes changes.
transporte n'importe quel protocole (IP, IPX, NetBeui) ; Il existe lheure actuelle deux grands principes de chiffrement ou cryptage :
Beaucoup d'en-ttes et d'encapsulations. le cryptage symtrique bas sur lutilisation dune cl prive (ou algorithme)
partage entre les deux parties communicantes.
IPSec en mode tunnel. La mme cl sert crypter et dcrypter les messages.
ne peut transporter que IP ; Il faut trouver un moyen scuris de communiquer la cl aux deux entits.
plus efficace.
Le cryptage asymtrique utilise deux cls diffrentes pour chaque utilisateur : Principe de lalgorithme de chiffrement RSA (Rivest, Shamir et Adelman MIT) :
une est prive et nest connue que de lutilisateur ;
lautre est publique et peut tre transmise sur Internet. M : message,
Les cls publique et prive sont mathmatiquement lies par lalgorithme de C : message chiffr.
cryptage (la cl publique est fabrique laide de la cl prive) de telle
manire quun message crypt avec une cl publique ne puisse tre Pour chiffrer on calcule :
dcrypt quavec la cl prive correspondante. C = Me mod n
Une cl est donc utilise pour le cryptage et lautre pour le dcryptage. (Rappel : x modulo n = y si x - y est un multiple de n. Ex : 33 mod 7 = 6)
Pour dchiffrer :
M = Cd mod n
Cl publique Cl prive
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 39 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 40
2. Cryptage Longueur des cls 2. Cryptage Hacher pour mieux chiffrer
Un algorithme de hachage est une fonction mathmatique qui convertit une
chane de caractres d'une longueur quelconque en une chane de caractres de
taille fixe appele empreinte ou hash ou encore digest .
Cette fonction est dite irrversible et rsistante aux collisions :
Pour les algorithmes symtriques : Il est impossible de trouver le message lorsqu'on connat le hash ;
40 bits (240 possibilits) 2 messages diffrents ne produiront "jamais" le mme hash.
56 bits Ce type de fonction cryptographique est donc conu de faon qu'une modification
64 bits (algorithme DES: Data Encryption Standard) mme infime du message initial entrane une modification du hash.
128 bits (algorithme AES: Advanced Encryption Standard) Si un message est transmis avec son hash, le destinataire peut vrifier son
intgrit en recalculant son hash et en le comparant avec le hash reu.
Exemples dalgorithme de hachage : SHA-1 (160 bits), MD5 (128 bits) Message
Pour RSA: Digest
il n'y a que les nombres premiers qui peuvent tre des candidats.
512 bits quivaut 56 bits (minimum en asymtrique).
1024 bits (taille courante).
2048 bits quivaut 128 bits.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 41 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 42
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 43 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 44
2. Cryptage Problme pour changer les cls 2. Cryptage Problme pour changer les cls
Pour pouvoir utiliser des algorithmes symtriques (chiffrement, MAC) il faut Echange Diffie-Hellman (utilis dans SSH)
d'abord changer une cl prive avec son partenaire. Permet de gnrer une cl symtrique sans avoir la transmettre.
Seules deux valeurs calcules partir dun nombre alatoire sont changes :
Echange de cl RSA : Alice et Bob ont choisi un groupe et une gnratrice g de ce groupe.
Alice choisit un nombre au hasard a, lve g la puissance a, et transmet ga. Bob ;
Alice choisit une cl symtrique.
Bob fait de mme avec le nombre b.
Alice chiffre la cl symtrique avec la cl publique (RSA) de Bob. Elle sera sre que
Alice, en levant le nombre reu de Bob la puissance a, obtient gba et la cl K.
seul Bob pourra dchiffrer cette cl symtrique.
Bob fait le calcul analogue et obtient gab, qui est le mme.
Alice transmet Bob cette cl symtrique crypte. Il est difficile d'inverser l'exponentiation dans un corps fini, cest--dire de calculer le
Une fois que Bob reoit le message, il le dchiffre et peut alors utiliser la cl logarithme discret. Man in the Middle ne peut pas dcouvrir a et b, donc ne peut pas
symtrique dfinie par Alice pour lui envoyer des messages chiffrs que seuls lui et calculer gab.
Alice pourront alors dchiffrer.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 45 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 46
Ce qui pourrait se
passer
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 47 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 48
2. Cryptage Intrt des certificats 2. Cryptage Exemple de certificat
Bob gnr par lintermdiaire dun tier (Trent) son couple de cls publique/prive.
Trent sign avec sa propre cl prive un certificat liant la cl publique de Bob son
Un certificat est un document qui sert prouver qu'une cl appartient bien nom.
qui de droit. Bob transmet non pas directement sa cl publique mais le certificat qui contient sa cl
publique et la signature de Trent.
Le certificat est sign par un tiers dont on connat la cl publique (notez la Si Alice est en possession de la cl publique de Trent, elle peut vrifier le certificat.
rcursion).
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 49 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 50
Le participant peut alors gnrer par son intermdiaire une paire de cls publique/prive.
La RA peut tre intgre la CA.
Autorit Envoi du
denregistrement certificat sign
La CA (Certification Authority) RA (2) Envoi de la (4)
(5)
(6)
cl priv
La CA cre et signe les certificats. Publication de
Elle cre un certificat avec l'identit du participant, sa cl publique, une date d'expiration et sa Collecte les demandes, certificat et de
signature. vrifie les identits, listes de
Elle fournit une copie de sa propre cl publique au participant. gnre les couples de rvocations (CRL)
cls. (1) Identit du
Muni de son certificat et de la cl publique de la CA, le nouveau participant peut communiquer avec client
tous les autres participants certifis par la mme CA.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 51 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 52
2. Cryptage Format dun certificat X509 2. Cryptage Exemple de certificat X509
Algo de cryptage
de la signature
Data:
identit de lautorit
Version: 3 (0x2) de certification
Serial Number: 2 (0x2)
Signature Algorithm: md5WithRSAEncryption
Issuer: OU=Certificate Authority /Email=
Validity
date de dbut
Not Before: Mar 26 13:53:26 2006 GMT de validit
Not After : Mar 26 13:53:26 2007 GMT
Subject: C=FR, ST=Paris, L=Paris, O=IUT, OU=serveur,
CN=www.serveur.iut.fr/Email=webmaistre@iut.fr
date de fin de
Subject Public Key Info: validit
Public Key Algorithm: rsaEncryption identit du
RSA Public Key: (1024 bit)
Modulus (1024 bit): demandeur
00:ac:45:e8:2a:6d:23:bc:2e:86:ee:d5:a0:e3:3b:
55:c0:b2:96:41:8e:d1:c2:17:c3:2c:8b:be:c0:a5:
d5:a2:ed:11:d9:e1:8c:8e:99:9c:05:59:28:23:8d:
8a:aa:a8:0d:de:47:ee:ac:b5:7f:73:4b:e0:15:c2:
Algo. de cryptage
ed:40:d0:0f:d4:c2:0a:b6:7e:80:a5:4c:a6:a5:15: de la cl
c5:b4:82:fc:53:18:c7:7c:3a:bd:48:ba:37:f6:99:
7c:57:fe:77:92:cf:ef:93:97:5e:2b:34:b1:aa:c3:
af:fd:ed:ef:df:e5:fc:c5:1b:b5:64:15:13:2d:42:
31:6c:0e:b0:e6:96:81:9c:83 Cl publique
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
email:tron_yoyo2000@yahoo.fr
Netscape Comment:
mod_ssl generated test server certificate
Netscape Cert Type: Algo de cryptage
SSL Server
Signature Algorithm: md5WithRSAEncryption
de la signature
86:c3:0c:0b:49:d1:29:93:03:de:51:f8:99:64:a7:25:3d:78:
a8:20:41:a7:32:8a:c3:02:6a:6b:66:c8:00:9d:49:18:54:11:
6d:5c:c1:c9:69:d8:42:e5:b7:2a:95:f3:ad:11:97:29:65:bc:
a2:83:e9:ff:5f:eb:9e:2d:28:82:69:13:67:0d:1d:20:80:82:
Signature du certificat
68:a6:f8:a7:8b:ec:02:0c:8c:a2:c9:56:13:87:ce:fb:58:3c:
e2:b6:44:35:37:55:0b:4b:e7:7a:13:cc:d6:f4:59:b5:ab:15:
05:a0:e4:2f:41:cd:53:db:85:5f:90:a3:2d:83:d7:1e:b4:1c:
35:17
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 53 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 54
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 55 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 56
2. Cryptage change SSL avec certificat 2. Cryptage Capture SSL
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 57 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 58
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 59 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 60
2. Cryptage HTTPS 2. Cryptage Certificats SSL/HTTPS
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 61 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 62
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 63 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 64
2. Cryptage Connexion scurise SSH 2. Cryptage Modle SSH
L'environnement SSH (Secure Shell) s'adresse aux utilisateurs qui souhaitent accder Le groupe de travail lIETF qui soccupe de Secure Shell a normalis en
de manire scurise des systmes Unix distants.
2006 le protocole SSH v2 sous forme de trois couches :
Ses composants remplacent des programmes peu scuriss comme :
1. SSH Transport Layer Protocol (SSH-TRANS)
ftp (file transfer protocol) ou rcp (remote copy) pour les changes de fichiers ;
2. SSH Authentification Protocol (SSH-AUTH)
telnet ou rlogin (remote login) pour tablir une session de travail ;
rsh (remote shell) ou rexec (remote exec) pour excuter une commande Unix sur un systme 3. SSH Connection Protocol (SSH-CONN)
distant.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 65 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 66
Ds que la connexion est tablie (TCP sur le port 22 du serveur), le client et le serveur
changent en clair le numro de version SSH.
Tous les messages changs sont alors encapsuls dans des paquets SSH :
TCP port 22
Packet length Padding length
Payload
Padding
Une fois le tunnel scurise tabli, le client doit s'identifier sur le serveur .
Trois mthodes dauthentification existent :
Par mot de passe (password)
Authentification classique : lutilisateur transmet son mot de passe, le serveur calcule le
hash et le compare avec celui stock dans sa base de donnes (algo. DES sous Linux).
Cette mthode permet aux utilisateurs Telnet de migrer vers SSH sans aucun changement
au niveau de leur mcanisme dauthentification sauf que le mot de passe qui transitait en
clair avec Telnet est maintenant encapsul dans une communication chiffre.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 69 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 70
En plus de fournir lquivalent des scuris des commandes rcp, rlogin et rsh, le SSH permet de rediriger nimporte quel flux TCP dans le tunnel de la session SSH : le
protocole SSH permettent la mise en uvre du tunneling. flux de nimporte quelle application circulant entre les ports client et serveur habituels,
Dans ce cas, le tunneling consiste encapsuler un autre service TCP/IP comme Telnet pourra tre encapsul lintrieur du tunnel SSH.
ou IMAP, dans une session scurise SSH. Cette fonctionnalit permet dtablir, entre deux points, un canal scuris par lequel
Lors de louverture dune sur un hte SSH, il est donc possible douvrir galement un peut transiter nimporte quel type de donne IP.
canal de communication scuris pour tous les autres protocoles. Exemple : mise en place dun tunnel IP afin de scuriser les connexions entre un client
et un serveur POP situ dans lintranet dune entreprise et derrire un serveur SSH.
tablissement dune connexion SSH entre le client et le serveur SSH ;
sur le client : faire pointer le client POP sur le systme SSH en local ;
sur le serveur : transmettre les donnes arrivant depuis la connexion SSH au serveur POP.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 71 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 72
2. Cryptage Diffrences SSL/SSH 2. Cryptage Autre technique de cryptage en rseau
Les deux protocoles sont utiliss dans un mme cadre et leurs domaines
d'utilisation se recouvrent.
Ils n'ont pas t particulirement conus pour travailler ensemble (mme si
c'est possible).
SSL/TLS ne requiert aucune authentification ct serveur : celle-ci est
optionnelle, et une connexion peut tre anonyme. Les connexions SSH
doivent tre authentifies.
SSL/TLS ne propose une authentification ct client que par change de
clefs publiques, tandis que SSH propose de nombreuses autres options.
SSH peut-tre utilis dans un cadre autre que le Web pur : FTP, POP3 /
IMAP / SMTP, telnet... SSL se limite aux protocoles HTTPS (HTTP scuris
par SSL) et FTPS.
SSL/TLS n'est utile qu'en cas d'change entre deux applications. SSH
permet de son ct de crer un "tunnel" entre ces deux applications, qui
reste ouvert et disponible mme s'il n'y pas d'change en cours.
En rsum, SSL/TLS permet de scuriser le transport d'informations via le
Web, et SSH est une vritable plate-forme de scurisation pour toutes
formes de communications.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 73 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 74
Lauthentification consiste apporter la preuve de lidentit dun utilisateur sur un Sous Linux comme pour les autres OS, les mots de passe ne sont jamais stocks en clair.
rseau informatique. Au lieu des mots de passe on stocke un hash.
Le nom sert l'identification, le mot de passe l'authentification. Le hash doit tre unique et irrversible.
Pour viter de s'authentifier pour chaque opration, on utilise des systmes En comparant le hash du mot de passe fourni avec le hash stock on sait si les deux hashs
d'authentification centraliss (systme d'exploitation, contrleur de domaine, ont t cres partir du mme mot de passe.
serveur d'authentification RADIUS). Sous Linux, le hash est cre en chiffrant (25 fois) une chane de caractres vide avec le mot
Une fois qu'il a authentifi l'utilisateur, le systme lui assigne des privilges qui lui de passe comme cl :
donnent accs certaines ressources. L'algorithme de chiffrement (DES) utilise une cl de 56 bits.
Les risques sont les plus levs au moment de lauthentification. 7 bits sont extraits par caractre du mot de passe (les caractres au-del du huitime sont ignors).
Un grain de sel (12 bits) est ajout pour que le mme mot de passe ne gnre pas toujours le mme
ESPIONNAGE hash (le sel est stock avec le hash).
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 75 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 76
3. Authentification Locale sous Linux 3. Authentification Locale sous Windows
Lors d'un login local le hash est gnr l'aide du mot de passe fourni et du grain Le protocole Kerberos est le protocole de scurit principal par dfaut pour les
de sel stock localement. Le hash est compar avec celui stock localement. authentifications dans un domaine Windows 2000/2003.
Lors d'un login rseau, le hash et le sel sont obtenus depuis un serveur central Il permet aux utilisateurs daccder aux ressources rseau partir de la mme
l'aide d'un communication chiffre. ouverture de session.
Initialement, le nom et le hash des mots de passe taient stocks dans le fichier
/etc/passwd avec accs libre en lecture ! Dans un domaine Windows, le service Kerberos sappelle le KDC (Key
Distribution Center) et se trouve dans chaque contrleur de domaine (DC).
Les clients Kerberos sont installs sur les ordinateurs clients.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 77 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 78
Key Distribution
Center (KDC) Une connexion par modem vers un FAI utilise un protocole en mode
point point :
Le PC commence par tablir une connexion un central compos dune
Authentication
Service (AS) batterie de modems connects vers Internet.
Ticket Granting
Service Service
Ce central, mis en uvre par le FAI, est souvent nomm POP (Point of
(TGS) Presence).
La connexion entre le modem et lun des modems du PoP repose sur un le
protocole PPP (Point-to-Point Protocol - RFC 1661).
((1)) Je suis Bob et
jai besoin dun TGT PPP dfinit notamment la mthode didentification par mot de
(2) Voil ton TGT, si tu passe choisie parmi 4 mthodes.
peux le dcrypter avec ton
hash de password
(3) Voil mon TGT, donne
moi un Ticket de Service
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 79 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 80
3. Authentification Par une liaison PPP : PAP et CHAP 3. Authentification Par une liaison PPP : CHAP
CHAP (Challenge Handshake Authentication Protocol) est dfini dans la RFC 1994 :
Le serveur commence par envoyer un dfi au client (16 octets alatoires), ainsi quun
compteur quil incrmente chaque dfi ;
Le client doit alors passer le compteur, son mot de passe et le dfi au travers dun algorithme
de hachage (MD5) ;
Le rsultat est une squence de bits pseudo-alatoires quon appelle le hash (16 octets
dans le cas de MD5) ;
Ce hash est envoy au serveur, qui peut alors effectuer le mme calcul et vrifier si son
rsultat concorde avec celui du client.
Cet algorithme permet dviter que le mot de passe ne soit transfr et vite galement
quun pirate ne rpte simplement une authentification russie quil aurait enregistre
auparavant, puisque le dfi change chaque authentification.
Il ne permet cependant pas au client de sassurer de lidentit du serveur.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 81 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 82
3. Authentification Par une liaison PPP : MS-CHAP 3. Authentification Par une liaison PPP : MS-CHAP-V2
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 83 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 84
3. Authentification Par une liaison PPP avec Windows 3. Authentification 802.1x et EAP
Standard 802.1x :
solution de scurisation, mise au point par l'IEEE en juin 2001;
permet d'authentifier un utilisateur souhaitant accder un rseau (filaire ou sans fil) grce
un serveur d'authentification ;
repose sur le protocole EAP (Extensible Authentication Protocol) dfini par lIETF.
Le rle dEAP est de transporter les informations dauthentification des utilisateurs.
EAP est un protocole de transport et non un protocole d'authentification.
Le mcanisme EAP est analogue celui dune simple authentification un FAI au
travers dune liaison PPP.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 85 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 86
EAP est bas sur l'utilisation d'un contrleur d'accs (Authenticator ou NAS: Network Access
Server) charg d'tablir ou non l'accs au rseau pour un client (Supplicant).
EAP peut tre utilis dans de multiples contextes, le WiFi nen est quun
Le contrleur d'accs est un simple garde-barrire servant d'intermdiaire entre l'utilisateur et parmi dautres.
un serveur d'authentification (AS : Authentication Server) ; Le fait que le contrleur daccs ne soit quun intermdiaire entre le client
Dans le cas d'un rseau sans fil, lAP joue le rle de contrleur d'accs (trs peu de et le serveur est lun des grands intrts de lEAP :
ressources ncessaires).
Il na pas besoin de comprendre lchange entre le client et lAS, lexception
LAS permet de valider l'identit de l'utilisateur, et de lui renvoyer les droits associs en
fonction des information d'identification fournies.
du rsultat final (le succs ou chec de lauthentification) qui le dcidera ouvrir
la porte du rseau ou la laisser ferme.
LAS est gnralement un serveur RADIUS (Remote Authentication Dial In User Service) :
serveur d'authentification standard dfini par les RFC 2865 et 2866. Pour une nouvelle mthode dauthentification, il ne sera pas ncessaire de
changer les contrleurs daccs.
Seuls les clients et le serveur dauthentification devront tre mis jour.
Les contrleurs daccs sont souvent de simples quipements sans grande
puissance de calcul ou difficiles mettre jour (AP WiFi).
Attention la terminologie :
Les protocoles EAP, 802.1x et RADIUS ont des mots diffrents pour dsigner
les mmes choses.
Le client sappelle respectivement peer, supplicant et user dans ces trois
protocoles.
Le contrleur daccs sappelle authenticator dans lEAP et le 802.1x, mais
Network Access Server (NAS) ou client dans le RADIUS.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 87 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 88
3. Authentification Paquets EAP 3. Authentification Format des paquets EAP
EAP dfinit quatre types de paquets pouvant tre changs entre le client et le serveur Le champ Code indique sil sagit dune requte, dune rponse, dun
dauthentification (par lintermdiaire du contrleur daccs) :
succs ou dun chec.
Paquet Requte
Le champ ID est un identifiant qui permet de savoir quelle requte
Envoy par le serveur dauthentification, demande au client de fournir une information
prcise : identit ou preuve de cette identit, selon une mthode dauthentification choisie correspond une rponse.
par le serveur (mot de passe, certificat lectronique). Le champ Longueur reprsente la longueur du paquet EAP.
Paquet Rponse
Dans les paquets de requtes et de rponses, un champ Type (un
Envoy par le client en rponse une requte. Le contenu dpend de la mthode
dauthentification requise par le serveur.
octet) situ juste avant le champ de donnes indique quel type de
Si le client ne gre pas la mthode dauthentification requise, il le signale et lui suggre mthode dauthentification est utilise.
une liste de mthodes quil est capable de grer.
Le serveur dauthentification peut alors choisir lune de ces mthodes et renvoyer une
nouvelle requte au client.
Paquet EAP :
Paquet Succs
Envoy par le serveur dauthentification pour indiquer au client quil a t correctement
identifi. Le contrleur daccs ouvre la porte du rseau.
Paquet chec
Envoy par le serveur dauthentification si le client na pas pu tre identifi.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 89 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 90
Supplicant NAS : Network Radius Server Le protocole 802.1x dfinit comment EAP peut tre utilis sur un LAN
Access Server ou un WLAN grce au protocole EAPoL (EAP over LAN).
EAPoL est utilise entre le client et le NAS. Les paquets EAPoL ou
EAP sont encapsuls dans des trames Ethernet ou WiFi.
Trafic Trafic
EAP sur WLAN EAP sur Radius Entre le NAS et le serveur RADIUS, les paquets EAP sont encapsuls
dans des requtes RADIUS.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 91 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 92
3. Authentification Paquets EAPoL 3. Authentification Architecture 802.1x / EAP
802.1x dfinit les types de messages EAPoL : Pour mettre en place une architecture 802.1x avec le WiFi, il faut :
EAPoL-Start : permet au client de prvenir le contrleur daccs quil souhaite Un serveur dauthentification, gnralement RADIUS ;
se connecter ; Des AP qui grent le 802.1x ;
EAPoL-Packet : type de paquet qui encapsule les paquets EAP ; Un logiciel de connexion compatible 802.1x sur les postes client :
EAPoL-Key : permet lchange de cls de cryptage ; fournit avec ladapateur WiFi
Intgr lOS (windows XP ou Vista et MAC OS).
EAPoL-Logoff : permet au client de demander la fermeture de sa session ;
EAPoL-Encapsulated-ASF-Alert : permet aux clients dont lauthentification a Une ou plusieurs mthodes dauthentification EAP.
chou de pouvoir tout de mme tre superviss distance (par exemple, par Un cryptage pendant la phase didentification entre le client et le NAS, WPA par
SNMP). exemple.
Paquet EAPol :
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 93 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 94
Le logiciel de connexion du client (appel le client EAP ) peut tre fourni avec Lorsque lon met en place une architecture 802.1x, le serveur
ladaptateur WiFi. dauthentification est gnralement un serveur de type RADIUS.
Il peut galement tre acheter ou fournit en Open Source (Xsupplicant pour Les critres de choix du serveur sont nombreux : cot, mthodes EAP
Linux). gres, stabilit, OS sur lesquels il peut tre install, ouverture, support
Le client EAP peut aussi tre intgr lOS : Windows et Mac Os possdent un fourni, performance, outils de configuration disponibles, intgration avec
client EAP capable de grer de multiples mthodes dauthentification. bases de donnes, etc.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 95 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 96
3. Authentification Architecture protocolaire 802.1x/EAP 3. Authentification Mthodes EAP
Sur un rseau WiFi reli en Ethernet au serveur RADIUS, les paquets EAP sont
encapsuls : EAP ne dcrit que quelques mthodes dauthentification entre le client
dans des trames 802.11 par lintermdiaire de 802.1x cte WLAN ; et le serveur, les autres mthodes sont dcrites par des RFC :
dans des trames 802.3 par lintermdiaire dUDP/IP et RADIUS. EAP/MD5 bases sur le protocole CHAP (Challenge Handshake protocol).
EAP MS-CHAP-v2 base sur la version MS-CHAP de Microsoft.
EAP/OTP (One Time Password) bas sur lutilisation unique dun mot de
passe non ncessairement crypt.
EAP/GTC (Generic Token Card), mthode simple avec envoie dun dfit
au client qui rpond en clair au serveur.
EAP/TLS base sur la version TLS (Transport Layer Security) de SSL
(Secure Socket Layer) qui scurise au niveau transport.
EAP/PEAP (Protected EAP) utilisant galement un tunnel TLS.
EAP/TTLS (Tuneled TLS) avec galement une authentification dans un
tunnel TLS.
EAP/SIM, permet un utilisateur de sidentifier grce la carte SIM de son
tlphone portable GSM.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 97 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 98
Le systme One Time Password (OTP) est dfini dans la RFC 2289. La RFC 3748 prvoit un type didentification appel GTC Generic Token Card
Lutilisation des OTP avec EAP est dfinie dans la RFC 3748. (carte jeton gnrique) :
Un OTP est un mot de passe conu pour ntre utilis quune seule fois. Ceci Le serveur envoie (optionnellement) un dfi au client et celui-ci doit y rpondre en tapant
permet de lchanger non crypt, sans craindre quil soit rutilis. sa rponse, qui est renvoye en clair.
Le serveur vrifie la validit de la rponse.
Le serveur commence par envoyer un dfi au client : quelques octets
Cette mthode trs simple a t conue pour les cartes jeton :
alatoires et un index qui change chaque nouveau dfi.
Le jeton est une cl assez longue qui nest connue que par le serveur dauthentification et
Le client doit alors utiliser un gnrateur logiciel afin de produire un OTP : est ncessaire lidentification du client.
Pour faire fonctionner le gnrateur, lutilisateur doit lui fournir le dfi (lindex et la Le plus souvent, un mot de passe est galement exig. On parle alors de scurit
squence alatoire) ainsi que son vrai mot de passe, appel la phrase double facteur : pour sidentifier, lutilisateur doit la fois connatre quelque chose (son
code PIN ou son mot de passe) et possder quelque chose (la carte jeton).
secrte ou passphrase.
La plupart des algorithmes utilisent le jeton, le mot de passe de lutilisateur et le dfi
Le gnrateur fonctionne en faisant passer plusieurs fois (en fonction de lindex) le
envoy par le serveur pour gnrer un hash qui est renvoy au serveur.
dfi et la phrase secrte au travers dune fonction de hash. Certaines cartes sont synchronises avec le serveur et affichent un code qui change
Le client doit renvoyer lOTP de 8 octets au serveur qui vrifie quil parvient toutes les 10 20 secondes environ. Pour sidentifier, lutilisateur doit taper ce code, ainsi
bien au mme rsultat. que son mot de passe (ou code PIN).
Les cartes basiques sinsrent dans un lecteur de carte, connect par exemple au port
Comme le CHAP, le MS-CHAP et le MS-CHAP-v2, la mthode OTP est USB de lordinateur
vulnrable aux attaques de dictionnaire hors-ligne. Dautres sont autonomes et possdent un mini clavier voire mme un petit cran
cristaux liquides.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 99 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 100
3. Authentification EAP / SIM 3. Authentification EAP/TLS
EAP ne prend en charge que lauthentification, EAP/TLS nutilise donc que la partie
Cette mthode dauthentification est dfinie dans la RFC 4186. authentification par certificat de TLS (la cl symtrique nest pas utilise).
Son but est de permettre un utilisateur de sidentifier grce la carte SIM Clients et serveurs possdent un certificat ce qui suppose lutilisation dune PKI.
de son tlphone portable GSM : Lors du dialogue EAP, les clients et le serveur schangent et vrifient leurs certificats
Celle-ci peut tre connecte lordinateur via une cl USB, par exemple, ou en suivant le protocole TLS.
directement intgre dans ladaptateur WiFi. Seuls les utilisateurs possdant un certificat valide sont autoriss se connecter.
Pour que lidentification puisse fonctionner, le serveur dauthentification doit Gestion des certificats peut tre lourde. C'est pour se passer du certificat client que les
tre reli loprateur mobile de lutilisateur : il ne sert alors que protocoles PEAP et EAP-TTLS ont t crs.
dintermdiaire entre le client et le serveur dauthentification de loprateur
mobile.
Cette solution a peu dintrt pour la plupart des entreprises dans le
contexte dun rseau WiFi.
Elle est intressante dans le cadre de la convergence entre la tlphonie
et les technologies de linformation (oprateurs mobiles qui dploient des
hotspots par ex.).
Dautres mthodes didentification lies la tlphonie existent :
EAP/SIM6 pour lidentification SIM passant par un rseau IPv6 et
EAP/AKA pour lidentification par un rseau UMTS.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 101 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 102
Certificat Certificat
Certificat Certificat client Serveur
client Serveur
1
Echange TLS
3
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 103 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 104
3. Authentification EAP/TLS : changes TLS 3. Authentification EAP/TLS : changes TLS
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 105 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 106
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 107 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 108
3. Authentification EAP/TTLS 3. Authentification Faiblesses dEAP
Comme PEAP, TTLS (Tunneled TLS) commence par tablir un tunnel EAP prsente 3 failles identifies :
TLS puis met en uvre une autre authentification dans ce tunnel. Attaque de la mthode dauthentification elle-mme ;
Attaque de dictionnaire hors-ligne possible avec EAP/MD5 (lecture du dfi et du hash
Le mcanisme est donc le mme, les diffrences sont :
et recherche du mot de passe produisant le mme hash);
TTLS a t conu par Funk Software pour sa solution de scurit WiFi :
Odyssey
Attaque de la session une fois que celle-ci est tablie :
TTLS nest pas intgr Windows
Une fois lutilisateur authentifi avec une mthode sure (EAP/TLS), lAP accepte tous
TTLS autorise tout type didentification interne, pas uniquement base dEAP les paquets en provenance de ladresse MAC de celui-ci ;
(PAP, CHAP, MS-CHAP) Le travail dEAP tant termin, le tunnel TLS est ferm et les paquets sont transmis
Possibilit de rajouter des AVP (Attribute-Value Pair) dans les paquets TTLS : en clair ;
Les AVP sont compose du type de lattribut et de sa valeur (par ex. [Prnom, Une simple falsification dadresse MAC permet daccder la session
Alice ]) et permet de transporter des informations supplmentaires
(authentification, rgles de filtrage). Attaque de type Man in the Middle entre le client et le contrleur daccs, le
RADIUS utilise galement les AVP. pirate sidentifie la place du client.
Peu probable dans une connexion PPP mais simple en WiFi (insertion dun AP
pirate).
PEAP et TTLS sont donc 2 mthodes concurrentes avec une meilleure La parade consiste mettre en place un cryptage pour la session dauthentification :
intgration pour la premire et une plus grande souplesse pour la sans les cls de cryptage, le pirate ne pourra ni envoyer ni recevoir
deuxime.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 109 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 110
Le client possde un logiciel de connexion compatible avec le 802.1x (donc avec lEAP)
et supporte deux mthodes dauthentification : PEAP/MS-CHAP-v2 et EAP/TLS.
LAP est compatible 802.1x :
Il na pas besoin de connatre PEAP/MS-CHAP-v2, EAP/TLS, TTLS/PAP ou toute autre
mthode dauthentification particulire.
Il est capable de relayer des requtes EAP vers le client (via la connexion WiFi) et vers le
Attaque MiM serveur dauthentification (via le rseau de lentreprise).
Le serveur RADIUS gre les mthodes dauthentification EAP/TLS et TTLS/PAP :
Le serveur demandera au client de sidentifier selon une mthode. Si le client ne la gre pas, le
serveur en suggrera une autre et ainsi de suite jusqu ce que le client en accepte une.
Dans lexemple, ils tomberont daccord sur la mthode didentification EAP/TLS.
Pour viter les failles EAP et bnficier de la meilleure scurit avec 802.1x :
Utiliser une mthode base de tunnel : EPA/TLS, EAP/TTLS ou PEAP ;
Sassurer que le certificat du serveur est toujours vrifi par les clients ;
Eventuellement mettre en place un certificat pour chaque client ;
Utiliser une mthode dauthentification interne robuste (carte jeton) ;
Sassurer quun cryptage puissant est utilis pendant lauthentification (WPA2 en WiFi).
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 111 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 112
3. Authentification RADIUS : principe 3. Authentification Connecteurs RADIUS
RADIUS pour Remote Authentication Dial In User Service est un protocole Les mthodes dauthentification pises en charge par les serveur RADIUS sont
d'authentification pour les connexions distance. varies : PAP, CHAP, MS-CHAP, MS-CHAP-v2, EAP/MD5, PEAP/MS-CHAP-v2
Il permet la centralisation des donnes dauthentification. Pour valider les identits, les serveurs RADIUS peuvent :
Il permet galement la gestion des connexions utilisateurs des services distants. Consulter un simple fichier local ;
Consulter une base de donnes type mySQL ou Oracle ;
Scnario de base RADIUS : Consulter un serveur LDAP, un serveur Kerberos ou un contrleur de Domaine Windows.
Lutilisateur se connecte son NAS (Network Acces Server) et fournit son identit ; Le serveur RADIUS peut faire appel un serveur dauthentification existant grce
Le NAS communique avec le serveur suivant le protocole RADIUS pour valider lidentit de un connecteur.
lutilisateur ;
Si lidentit est vrifie, le NAS autorise lutilisateur accder au rseau.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 113 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 114
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 115 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 116
3. Authentification Dialogue RADIUS 3. Authentification RADIUS : format des paquets
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 117 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 118
User-Password :
Le mot de passe est coup en blocs de 16 octets : p1, p2,
c1 = p1 XOR MD5(Secret + Request Authenticator)
c2 = p2 XOR MD5(Secret + c1)
Le mot de passe encod est la concatnation de : c(1)+c(2)+...
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 119 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 120
4. LAN scuriss WiFi et la scurit 4. LAN scuriss WiFi : chiffrement WEP
Problmes :
Empcher un intrus de se connecter au rseau sans fil (parking attack) ; IV
PRNG
Empcher lcoute clandestine des donnes changes ; ||
Cl partage (RC4)
CRC donnes I V E-T
1re solution : WEP (Wired Equivalent Privacy)
donnes
La cl secrte partage (40 ou 104 bits) est concatne (ajoute) avec un
||
vecteur dinitialisation (IV) sur 24 bits rinitialis chaque trame ; CRC 32
Le rsultat (64 ou 128 bits) est plac dans un PRNG (Pseudo Random ICV
Number Generator) qui gnr une squence alatoire ;
Chiffrement
Paralllement, un calcul dintgrit (CRC) ainsi quune concatnation (ll) est
ralis sur les donnes ;
Une opration ou exclusif entre la squence alatoire et les donnes
Cl partage
permet ensuite de chiffrer celles-ci ; PRNG
|| donnes
Les donnes chiffres sont transmises ainsi que le vecteur dinitialisation (RC4)
(en clair) ; CRC donnes I V E-T
Pour le dchiffrement, lopration inverse est ralise (la cl wep et le
vecteur dinitialisation sont connus la rception).
Dchiffrement Contrle
dintgrit
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 121 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 122
4. LAN scuriss WiFi : vulnrabilits du WEP 4. LAN scuriss WiFi : Cassage du WEP (1)
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 123 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 124
4. LAN scuriss WiFi : cassage du WEP (2) 4. LAN scuriss WiFi : cassage du WEP (3)
Trs rapide et performant (cassage de la cl < 10s avec un nombre de trames Les dernires versions (ng et ptw) permet l'injection de paquet aprs rejeu
suffisant) d'une trame arp-request gnrant des IV uniques au niveau de la borne.
Ncessite une mise jour des pilotes (HostAP, Atheros, Prism54, wlan-ng)
Implmente la nouvelle attaque statistique dveloppe par KoreK
Mthodes :
Ncessite un nombre d'IV unique pour pouvoir casser la cl
iwpriv <interface> mode 2
Version ng : Ncessite 300 000 IV uniques pour une cl de 64 bits et 700 000 iwconfig <inteface> mode Monitor channel <channel>
pour une cl de 128 bits ifconfig <iface> up
Version ptw : Ncessite 50 000 IV uniques pour une cl de 128 bits airodump-ng --write "NomFichierSortie" --channel "NumeroChannel" "Interface"
aireplay-ng -3 -e ESSID -b @_mac_AP -h @_mac_station interface
aircrack-ng -x fichier_capture
Trois composants :
airodump pour la capture de paquets (scanne les rseaux et conserve les paquets
qui serviront dcrypter la clef).
aireplay pour linjection de paquets dans le but de stimuler le rseau et augmenter le
nombre de captures.
aircrack pour trouver la cl partir des informations captures par d'airodump
(ncessite un nombre minimum de paquets)
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 125 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 126
4. LAN scuriss WiFi : autres solutions de scurit 4. LAN scuriss WiFi : le chiffrement WPA
WPA (Wi-Fi Protected Access) : recommandation de la Wi-Fi Alliance
fonde sur un sous ensemble de la norme 802.11i.
Cls WEP de 256 bits : plusieurs GO de donnes et plusieurs jours, voir
Depuis 2003 tous les produits certifis au label WiFi doivent supporter
plusieurs semaines pour rcuprer la cl ;
cette recommandation.
Modifier rgulirement la cl (les AP proposent gnralement 4 cls au choix
mais il faut alors changer galement la cl sur les stations ) ;
Cls de cryptage :
Limiter la porte des AP aux locaux de lentreprise pour viter les attaques
gnration et distribution par lAP de cls dynamiques avec TKIP (Temporal
de parking ;
Key Integrity Protocol) ;
Activer sur lAP un filtrage par adresses MAC ; TKIP gnre une cl par trame (WEP : mme cl pour toute la cellule et
Dsactiver sur le point daccs la diffusion du SSID ; toutes les trames) ;
Dsactiver sur le routeur Wifi le service DHCP ; vecteur dinitialisation de 48 bits (24 bits pour WEP) ;
Utiliser le protocole de cryptage WPA (Wi-Fi Protected Access) qui est une code MIC (Message Integrity Code) pour vrifier lintgrit de toute la trame.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 127 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 128
4. LAN scuriss WiFi : WPA et le mode PSK 4. LAN scuriss WiFi : WPA-PSK +TKIP ou AES
Le mode PSK (Pre-Shared Key) est conu pour les rseaux individuels qui ne peuvent se
permettre le cot et la complexit d'une solution utilisant un serveur d'identification 802.1x.
La PSK est une phrase secrte (passphrase) partage par le client et lAP pouvant contenir de
8 63 caractres ASCII ou 64 octets (256 bits).
La PSK permet de gnrer la PMK (Pairwise Master Key) de 256 bits grce une fonction de
hachage cryptographique :
PMK = PBKDF2(passphrase, ssid, ssidLength, 4096, 256)
La PMK peut tre gnre directement en entrant un mot de 64 octets la place de la
passphrase (mthode plus sur car elle vite les attaque par dictionnaire). WPA-PSK pour lauthentification
LA PMK est ensuite utilise pour une authentification en 4 tapes. TKIP ou AES pour le cryptage
La plupart des OS permettent l'utilisateur de stocker la passphrase sur l'ordinateur afin de ne
pas avoir la saisir nouveau mais cependant sous forme PMK, c'est--dire dj hache. WPA = PSK + TKIP
WPA2 = PSK + AES = 802.11i
Nommage Alliance
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 129 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 130
4. LAN scuriss WiFi : WPA et AES 4. LAN scuriss WiFi : WPA et 802.1x
Le standard de chiffrement avanc AES (Advanced Encryption Standard), aussi connu Authentification base du protocole 802.1x et centralise pour tous les utilisateurs
sous le nom de Rijndael, est un algorithme de chiffrement symtrique. partir dun serveur de type RADIUS.
AES a t choisi en 2000 pour remplacer DES (standard des annes 1970) qui utilisait Le client possde un logiciel de connexion compatible avec le 802.1x (donc avec lEAP)
des clefs de 56 bits, contre 128 256 pour AES. et supporte une mthode dauthentification (EAP/TLS par ex.)
Principe : LAP est compatible 802.1x :
L'algorithme prend en entre un bloc de 128 bits (16 octets), la cl fait 128, 192 ou 256 bits. Il na pas besoin de connatre EAP/TLS ou toute autre mthode dauthentification particulire.
Les 16 octets en entre sont permuts selon une table dfinie au pralable. Il est capable de relayer des requtes EAP vers le client (via la connexion WiFi) et vers le
Ces octets sont ensuite placs dans une matrice de 4x4 lments et ses lignes subissent une serveur dauthentification (via le rseau de lentreprise).
rotation vers la droite. L'incrment pour la rotation varie selon le numro de la ligne. Le serveur RADIUS gre la mthode dauthentification EAP/TLS :
Une transformation linaire est ensuite applique sur la matrice, elle consiste en la Le serveur demandera au client de sidentifier selon une mthode. Si le client ne la gre pas, le
multiplication binaire de chaque lment de la matrice avec des polynmes issus d'une matrice serveur en suggrera une autre et ainsi de suite jusqu ce que le client en accepte une.
auxiliaire.
Finalement, un XOR entre la matrice et une autre matrice permet d'obtenir une matrice
intermdiaire.
Ces diffrentes oprations sont rptes plusieurs fois et dfinissent un tour . Pour une cl
de 128, 192 ou 256, AES ncessite respectivement 10, 12 ou 14 tours.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 131 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 132
4. LAN scuriss WiFi : vulnrabilits de WPA 4. LAN scuriss WiFi : exemple de capture
Faiblesses du WPA :
attaque de type dni de service .
un envoi dau moins deux paquets chaque seconde utilisant une cl de
cryptage incorrecte provoque un blocage de lAP qui rinitialise toutes les
connexions utilisateurs pendant une minute.
mcanisme de dfense pour viter les accs non-autoriss un rseau
protg, mais pouvant bloquer tout un rseau sans fil.
Version aircrack pour WPA-PSK, base sur une attaque par dictionnaire.
Amliorations de WPA :
SSID (Service Set IDentifier) scuris ;
WPA2 : nouveau protocole CCMP (Counter-Mode/Cipher Block Chaining
Message Authentication Code Protocol) bas sur le chiffrement AES
(Advanced Encryption Standard ) et une meilleure protection au niveau
MAC.
Standard 802.11i : implmente les deux protocoles de niveau MAC (TKIP et Cryptage WPA2/CCMP
CCMP/AES) et supporte les architectures antrieures (WEP, PSK).
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 133 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 134
Donnes dcrypte
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 135 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 136
4. LAN scuriss Bluetooth : 3 modes de scurit 4. LAN scuriss Bluetooth : un gestionnaire de scurit
Mode de scurit n1 : le moins fiable. Avant l'tablissement d'une connexion, le gestionnaire de scurit
(Security Manager) choisit la politique de scurit partir :
Aucune fonction de scurit n'est active. Permet donc tous les autres
du type de service utilis ;
dispositif Bluetooth de se connecter.
du dispositif distant avec lequel la communication va s'effectuer (son type et
Mode de scurit n2 : garantit une scurit aprs la connexion. son niveau de scurit).
Les fonctions offertes agissent au niveau application. Le Security Manager dcide du niveau d'authentification utilis et du
type de cryptage.
Mode de scurit n3 : hrite des fonctionnalits du mode 2 + fonctions
d'authentification et de cryptage avant que la connexion ne soit tablie.
Les informations dont a besoin le gestionnaire sont stockes dans deux
bases de donnes :
En plus de ces trois modes de scurit : deux niveaux de scurit pour les
la base de donnes des dispositifs physiques stocke le type de dispositif,
dispositifs physiques (fiable ou non fiable) et trois pour les services (Autoris son niveau de fiabilit et la taille de ses cls de cryptage ;
et Authentifi, Authentifi, Accs libre). la base de donnes des services : informations relatives au niveau de
scurit service et au mode d'acheminement de l'information.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 137 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 138
4. LAN scuriss Bluetooth : mcanismes scuritaires propritaires 4. LAN scuriss Gnration et utilisation des cls
Diffrentes cl sont gnres partir du nombre alatoire de 128 bits et du code PIN PIN User Input
PIN. (Initialization)
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 139 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 140
4. LAN scuriss Les vulnrabilits de Bluetooth 4. LAN scuriss Scurit dans ZigBee
Dnis de services : Les lments d'un rseau sans fil sont nomades, et dpendent d'une
source dnergie limite.
Attaque possible : surcharger de travail la machine attaquer pour consommer le plus
rapidement possible son nergie. Travaux en cours contre cette faille. Authentification et cryptage.
Confidentialit : N'importe qui peut couter les trames mises dans l'atmosphre il est
Utilisation du cryptage AES (Advanced Encryption Standard)
facile de loguer les diffrentes connexions en identifiant les protagonistes l'aide du 128 bits.
code PIN ou de l'adresse Bluetooth des dispositifs physiques.
Concept dun centre de confiance .
Vol d'identit : Link key base sur la unit key vol ais de l'identit d'un correspondant. Cls de liens et de rseaux.
Ex. : A et B communiquent en se basant sur la unit key de A, un troisime intervenant C
peut venir communiquer avec A et obtenir cette cl C peut utiliser l'adresse Bluetooth La scurit peut tre personnalise en fonction de
de B pour se faire passer pour lui...
lapplication.
Trous de scurit dans les algorithmes : Code PIN trop court algorithmes de scurit Les cls peuvent cbles dans lapplication.
propritaires relativement inefficaces. Code facile retrouver si code PIN de 5
caractres (longueur standard en Bluetooth).
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 141 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 142
4. LAN scuriss Scurit dans WiMax 4. LAN scuriss Scurit dans WiMax
Grer par le gestionnaire de cls PKM (Privacy Key Management) de la sous- La SS (Subscriber Station) envoie sont certificat contenant sa cl publique.
couche scurit. La BS (Base Station) vrifie le certificat et gnre une cl dAuthentification
Le certificat de la station dabonn (Subscriber Station) est dfinie partir (AK : Autenthication Key).
dune chane de certification. Le BS crypte AK avec la cl publique de la SS et la transmet (cryptage
RSA).
La SS dcrypte AK.
La cl de cryptage de trafic TEK (Trafic Encryption Key) est gnre sur la
BS et chiffr avec un cl drive de AK.
La TEK sert pour le cryptage du trafic qui suit (cryptage DES-CBC).
Points faibles :
Pas dauthentification la BS par la SS ;
Algorithme DES peu sur ;
Gestion de la PKI.
Dfauts en partie corrig sur WiMax Mobile :
authentification mutuelle RSA + EAP ;
chiffrement AES.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 143 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 144
4. LAN scuriss Scurit dans WiMax