Cours Secu LAN Lohier

Objectifs de la scurit 4 objectifs
Scurit des LAN

La scurit informatique vise gnralement quatre objectifs principaux :
1. Architectures 3. Authentification
Firewall Locale sous Linux L'intgrit, consiste garantir que les donnes n'ont pas t altres sur la
machine ou durant la communication ;
DMZ Locale sous Windows
La confidentialit, consiste assurer que seules les personnes autorises
NAT Kerberos
aient accs aux ressources ;
Proxy CHAP et MS-CHAP
La disponibilit, consiste garantir l'accs un service ou des ressources ;
VPN (PPTP, L2TP, IPSec) 802.1x et EAP
La non rpudiation, permet de garantir qu'aucun des correspondants ne
RADIUS
pourra nier la transaction ;
2. Cryptage
Principes 4. LANs et WLANs scuriss
Hash Ethernet
L'authentification est un des moyen qui permet de garantir la confidentialit.
Signatures WiFi (WEP, WPA)
Elle consiste sassurer de l'identit d'un utilisateur, un contrle d'accs
Certificats et PKI Bluetooth (login et mot de passe crypt) permet de limiter l'accs certaines ressources
SSL ZigBee (lecture seule sur tel rpertoire).
SSH WiMax
HTTPS
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 1 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 2
Objectifs de la scurit Moyens pour les atteindre 1. Architectures Firewall : Principe
Espions Le firewall ou pare-feux est charg de filtrer les accs entre lInternet et le rseau local
ou entre deux rseaux locaux.
Hackers
La localisation du firewall (avant ou aprs le routeur, avant ou aprs le NAT..) est
VPN
Cryptage stratgique.
Filtrage
Suivant la politique de scurit, le filtrage est appliqu diffremment sur les interfaces
Authentification
Identification dentre et de sortie (blocage des adresses IP prives entrantes).
Serveurs
Confidentialit
Filtrage daccs
Antivirus
Hackers
Information
Rseau interne Firewall
Intgrit
Disponibilit Redondance
Cryptage
Internet
Virus
Pannes Routeur
Filtrage
Intranet
Backup
Hackers
DMZ Serveurs
Authentification
Erreurs
accessibles
Nomades
depuis Internet
1. Architectures Filtrage de paquets 1. Architectures Filtrage sur les entres
Le filtrage de paquets sur Firewall permet de router les paquets entre les htes
internes et externes de manire slective.
Le firewall peut galement empcher les connexions entrantes en
oprant sur le bit ACK de len-tte TCP :
Le filtrage intervient diffrents niveaux dans la mesure o chaque paquet possde
un ensemble den-tte spcifiques : lors dune demande de connexion, le bit ACK du premier segment TCP est
adresse IP source ou destination ;
0, les bits ACK des segments suivants sont gnralement tous 1.
port TCP ou UDP source ou destination ; Il suffit donc de bloquer les segments entrants avec le bit ACK 0, les
Flags de len-tte TCP (SYN, ACK) ; segments suivants pour cette connexion ne seront pas pris en compte.
type de message ICMP ou HTTP (filtrage applicatif)
Demande douverture de connexion
Le filtrage peut galement intervenir au niveau des en-ttes de trame (filtrage des
adresses MAC source ou destination ). SYN=1 ACK=0
Phase de connexion TCP

SYN=1 ACK=1
Agresseur SYN=0 ACK=1
ACK=1 Data
ACK=1 Data
Phase dchange de donnes
ACK=1 Data
1. Architectures Rgles dun Firewall 1. Architectures Exemple de rgles dun firewall
Les rgles A et B permettent aux machines locales (192.168.0.0) douvrir une

Les rgles dcrivent l'ensemble des services qui doivent tre accepts connexion sur un serveur web (port 80) externe.
par le firewall. mission (rgle C) ou rception (rgle D) de courrier SMTP (port 25) avec un
La stratgie applique est : tout ce qui n'est pas explicitement autoris serveur externe.
est interdit (et non le contraire). Les paquets entrants depuis des supposs serveurs SMTP ne peuvent passer
Elles sont bases sur les informations des segments ou des paquets. que si la connexion a t initie de lintrieur (rgle D).
Blocage de toute autre connexion (rgle E).
Les caractristiques de chaque paquet sont compars aux rgles, les
unes aprs les autres.
Si la rgle correspond aux caractristiques du paquets, alors celui-ci Rgle Direction @ source @ dest. Protocole Src Port Dst Port ACK=1 Action
est accept.
A Out 192.168.0.0 0.0.0.0 TCP >1023 80 Permit
B In 0.0.0.0 192.168.0.0 TCP 80 >1023 Permit
C Out 192.168.0.0 0.0.0.0 TCP >1023 25 Permit
D In 0.0.0.0 192.168.0.0 TCP 25 >1023 Yes Permit
E All All All All All All Deny
1. Architectures Firewall : Stateless ou statefull 1. Architectures Firewall : les ACL Cisco
Le Firewall stateless
Filtrage simple de paquets ; Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les
Bas sur les adresses, les ports, les entres ou paquets entrants ou sortant en fonction des adresses IP source et destination.
des informations de la couche application. Il existe 2 types d'ACL
Standard : uniquement sur les IP sources ;
Etendue : sur quasiment tous les champs des en-ttes IP, TCP et UDP.
Le Firewall statefull : Le filtrage sur les paquets peut intervenir :
Ralise un suivi de connexion ; sur linterface dentre, avant le processus de routage ;
Diffrents tats pour une connexion : sur linterface de sortie, aprs le processus de routage.
NEW. La connexion est cre (par ex., un client envoie sa premire requte vers un
serveur web.
ESTABLISHED. Connexion dj initie, suit une connexion NEW dj passe.
RELATED. Peut tre une nouvelle connexion, mais prsente un rapport direct avec une
connexion dj connue.
INVALID. Pour tous les paquets suspects suivant des rgles pr-tablies.
Exemple de stratgie :
Toutes les connexions NEW qui viennent du LAN et qui vont sur le NET port 80 sont
acceptes. Tous les clients du LAN peuvent interroger tous les serveurs web du NET ;
Toutes les connexions RELATED et ESTABLISHED qui viennent du NET port 80 sont
autorises rentrer. Les serveurs peuvent rpondre ;
Toutes les connexions RELATED et ESTABLISHED qui sortent du LAN sont autorises.
Les connexions peuvent se poursuivre, mme si elles ouvrent de nouvelles connexions.
Toutes les connexions INVALID, d'o qu'elles viennent sont rejetes.
1. Architectures Firewall : logique des ACL Cisco 1. Architectures Firewall : exemples dACL Cisco
Le paquet est vrifi par rapport au 1er critre dfini sur les informations contenues access-list 1 deny 172.16.3.10 0.0.0.0 (ou deny host 172.16.3.10)
dans les en-ttes IP, TCP ou UDP :
access-list 1 permit 0.0.0.0 255.255.255.255 (ou permit any)
S'il vrifie le critre, l'action dfinie est applique ;
Sinon le paquet est compar successivement aux ACL suivants ; Refuse les paquets d'IP source 172.16.3.10. Le masque (galement appel
wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs.
S'il ne satisfait aucun critre, l'action deny est applique.
La dernire rgle autorise toutes les autres adresses (le masque signifie
quaucun nest significatif)
Des masques sont utiliss pour pouvoir identifier une ou plusieurs adresses IP en une
seule dfinition. access-list 2 permit 172.16.3.0 0.0.0.255
Le masque dfini la portion de l'adresse IP qui doit tre examine :
Autorise tous les paquets d'IP source 172.16.3.0/24.
0.0.255.255 signifie que seuls les 2 premiers octets doivent tre examins ; Diffrence avec access-list 2 permit 172.16.3.0 0.0.0.0 ?
deny 10.1.3.0 avec 0.0.0.255 : refus de toutes les IP commenant par 10.1.3.
access-list 101 deny ip any host 10.1.1.1
Syntaxe d'une rgle standard : Refus des paquets IP destination de la machine 10.1.1.1 et provenant de
access-list number [deny|permit] source [source-wildcard] n'importe quelle source
number compris entre 1 et 99 ou entre 1300 et 1999 access-list 102 deny tcp any gt 1023 host 10.1.1.1 eq 23
Source-wildcard : masque pour la source Refus de paquet TCP provenant d'un port > 1023 et destination du port 23 de
Syntaxe d'une rgle tendue : la machine d'IP 10.1.1.1
access-list number [deny|permit] protocol source source-wildcard destination dest.- access-list 103 deny tcp any host 10.1.1.1 eq http
wildcard
Refus des paquets TCP destination du port 80 de la machine d'IP 10.1.1.1
number : compris entre 100 et 199 ou 2000 et 2699
1. Architectures Firewall : quizz ACL Cisco 1. Architectures Firewall sous Linux
Netfilter est le module qui fournit Linux les fonctions de pare-feu, de translation
dadresse (NAT) et d'historisation du trafic rseau.
Netfilter fonctionne en mode noyau.
Il intercepte et manipule les paquets IP entrant et sortant de votre machine.
iptables est le programme qui permet un administrateur de configurer Netfilter.

iptables est install par dfaut dans toutes les distributions Linux et est utilisable en
mode commande.
Des interfaces graphiques sont disponibles pour modifier plus aisment les rgles de
filtrage ou de translation.
1. Architectures Firewall sous Linux : chanes 1. Architectures Firewall sous Linux : chanes (2)
Une autre table est utilise pour les translations dadresses : la table nat . Elle
Par dfaut, le programme iptables utilise la table filter qui contient trois listes de utilise 3 chanes :
rgles ;
PREROUTING, c'est la chane qui va tre utilise pour faire du DNAT (Destination NAT) :
Ces listes sont appeles chanes de firewall ou juste chanes.
translation sur adresse destination avant le processus de routage.
Les trois chanes sont nommes INPUT, OUTPUT et FORWARD : Ex : pour un paquet entrant vers un serveur web interne et masqu, le routeur va remplacer
La chane INPUT permet de dcider ce que lon fait dun paquet entrant. Il peut tre accept sa propre IP par lIP du serveur web.
(ACCEPT) ou rejet (DROP) ; POSTROUTING, la sortie du routeur et utilise pour faire du SNAT (Source NAT) :
La chane OUTPUT permet de la mme faon de fixer le sort des paquets sortants (ceux qui masquage d'adresse source aprs le processus de routage.
sont gnrs localement) ; Ex : un ordinateur local veut sortir sur le WAN, le routeur va remplacer l'IP du paquet mis en
La chane FORWARD permet de traiter un paquet entr aprs lavoir rout vers une autre local par sa propre IP.
interface rseau. OUTPUT, cette chane va traiter les rponses mises en local si le paquet avait pour
destination le routeur, comme dans le cas de la table filter.
FORWARD
Entre Dcision de ACCEPT
routage PREROUTING POSTROUTING
DROP
ACCEPT Dcision de ACCEPT
routage
Entre
DROP DROP Sortie
INPUT OUTPUT
OUTPUT
ACCEPT Processus ACCEPT
Processus
local
local ACCEPT
DROP DROP Sortie
DROP
1. Architectures Firewall sous Linux : rgles 1. Architectures DMZ : principe
Chaque chane est compose d'un ensemble de rgles. Une zone dmilitarise (DMZ DeMilitarised Zone) est une zone de rseau
Quand un paquet atteint une chane celle ci va examiner cet ensemble rgle par rgle
prive ne faisant partie ni du rseau interne ni de lInternet.
pour trouver celle qui lui correspond. la manire d'une zone franche au del de la frontire, la DMZ permet de
Si c'est le cas alors cette rgle lui sera applique. regrouper des ressources ncessitant un niveau de protection
Finalement s'il n'y a pas de rgle qui corresponde ce paquet, une politique par dfaut intermdiaire.
sera applique. Serveurs
d accs
La commande iptables permet de spcifier des rgles de slection des paquets IP dans
les trois chanes (INPUT, OUTPUT et FORWARD).
Les paquets sont slectionnes suivant la combinaison : Rseau interne Firewall
adresse source, adresse destination ;
protocole (tcp, udp, icmp, all) ; Internet
numro de port. Routeur
Pour chaque rgle de slection, on dfinit une politique : accepter (ACCEPT) ou rejeter
Intranet
(DROP) le paquet.
DMZ Serveurs
Exemple : on rejette les pings entrants : accessibles

Nomades
# iptables -A INPUT -i eth0 -p icmp -j DROP depuis Internet
1. Architectures DMZ : 2 niveaux de Firewall 1. Architectures Proxy
Un systme mandataire (proxy) repose sur un accs lInternet par une (ou plusieurs)
Un niveau supplmentaire de scurit peut tre introduit avec un 2me
machine ddi (le serveur mandataire ou Proxy server) qui joue le rle de mandataire
firewall. pour les autres machines locales et excutent les requtes de ces dernires.
Les rgles daccs sur le firewall du rseau Interne sont plus restrictives. Un serveur mandataire est configur pour un ou plusieurs protocoles de niveau
La DMZ est situe entre les deux firewalls (DMZ en sandwich ) avec des applicatif (HTTP, FTP, SMTP) et permet de centraliser , donc de scuriser, les
rgles moins restrictives introduites par le premier firewall. accs extrieurs (filtrage applicatif et masquage des adresses des clients).
Les serveurs mandataires configurs pour HTTP permettent galement le stockage de
pages Web dans un cache pour acclrer le transfert des informations frquemment
consultes vers les clients connects (Proxy cache).
Serveurs
d accs
Rseau interne Firewall Firewall

Internet
DMZ
Intranet
Nomades
1. Architectures NAT : principe 1. Architectures NAT : translation dynamique
Initialement la table de translation est vide.
La translation dadresses est base sur lutilisation des adresses prives, non
Quand un paquet sort, l'adresse source est remplace par une adresse publique.
routables sur Internet :
Les adresses et ports source et destination internes et externes sont inscrits.
Classe A Classe B Classe C Quand une rponse un paquet arrive depuis Internet, la source interne qui correspond la
10.0.0.0 172.16. 0.0 172.31.0.0 192.168.0.0 192.168.255.0 destination du paquet est cherche dans la table.
Elle permet disoler le trafic local du trafic public de linternet et ncessite La destination est remplace par la source interne.
lutilisation dun translateur dadresse (NAT - Network Adress Translator).
Le NAT qui peut tre localis sur le routeur/firewall ou le proxy peut travailler
suivant 3 types de translation :
n @ prives vers 1 @ publique ;
n @ prives vers m @ publiques ;
1 @ prive vers 1 @ publique.
1. Architectures Exemple : NAT vu par Cisco 1. Architectures NAT et PAT

Quand deux connexions ne sont diffrentes que par l'adresse interne : collision
On peut utiliser un pool d'adresses publiques et utiliser des adresses sources externes
diffrentes.
On peut changer le port source externe (Port and Adress Translation : PAT).
Le NAT dynamique ne permet pas l'tablissement de connexions entrantes (bonne
protection par dfaut).
1. Le PC 10.1.1.1 envoie son premier paquet vers le serveur 170.1.1.1.

2. Le routeur NAT configur pour translater les adresses 10.1.1 ajoute une entre dans sa table
pour 10.1.1.1 en tant quadresse locale.
3. Le NAT alloue une adresse disponible prise dans sa liste dadresses globales (200.1.1.1) et
lajoute dans sa table de translation.
4. Le routeur/NAT translate ladresse IP source et relait le paquet.
1. Architectures VPN 1. Architectures Vue physique et vue virtuelle dun VPN
La scurit passe galement par lutilisation de rseaux privs virtuels (VPN : Virtual
Private Networks).
Un VPN est constitu dun ensemble de LAN privs relis travers Internet par un
tunnel scuris dans lequel les donnes sont cryptes.
Les postes distants faisant partie du mme VPN communiquent de manire scurise
comme si ils taient dans le mme espace priv.
La technique de tunneling utilise permet :
didentifier chaque extrmit ;
de transfrer les donnes aprs cryptage.
1. Architectures Exemple de VPN vu par Cisco 1. Architectures Protocoles VPN
Elments de base :
Protocole de VPN sur les routeurs ou les PCs (portables) ;
Encapsulation des paquets pour leur voyage travers Internet ;
Chiffrement des donnes pour garantir la confidentialit.
Diffrents niveaux de protocoles

Protocole de niveau 2
Microsoft : PPTP - Point to Point Tunneling Protocol
IETF : L2TP - Layer 2 Tunneling Protocol
1. PC1 (10.2.2.2) envoie un paquet vers le serveur web S1 (10.1.1.1) comme il le ferait Rsultat de la fusion du protocole L2F - Layer 2 forwarding de Cisco et de
si ce dernier tait sur le mme LAN. PPTP de Microsoft
2. Le routeur qui joue le rle de passerelle VPN encrypte le paquet, ajoute les en-ttes
VPN et un nouvel en-tte IP (avec les @ publiques) et relaie le paquet.
Protocole de niveau 3 (GRE, IPSEC, MPLS)
3. Le man in the middle peut intercepter le paquet mais ne peut lire ni son contenu Protocole de niveau 4 (SSL, TLS)
ni les adresses prives.
4. Le routeur/firewall ASA-1 reoit le paquet, confirme lidentit de lmetteur, confirme
que le paquet na pas t modifi, et dcrypte le paquet original.
5. Le serveur S1 reoit le paquet dcrypt.
1. Architectures VPN : protocole PPTP 1. Architectures VPN : encapsulation PPTP
Pour accder distance un rseau non scuris, on se connecte un serveur Le protocole PPTP chiffre et encapsule (fait passer par un tunnel crypt) le
daccs distant ou Remote Access Server (RAS). datagramme IP dans le cadre dune connexion point point.
La mthode classique consiste se connecter au RAS directement par modem Le serveur VPN lentre du tunnel excute l'ensemble des contrles de la scurit et
(protocole PPP). des validations, et active le cryptage des donnes.
Dans le cas dun VPN, le serveur RAS devient une passerelle VPN laquelle on Une trame PPTP est donc constitue :
accde par le protocole PPTP. Du datagramme IP contenant les donnes utiles et les adresses IP de bout en bout ;
De len-tte PPP ncessaire pour toute connexion point point ;
La passerelle VPN doit galement tre connect Internet, par exemple par une
Dun en-tte GRE (Generic Routing Encapsulation) qui gre lencapsulation et permet disoler les
connexion PPP modem vers un ISP. flux IP priv et public ;
Dun nouvel en-tte IP contenant les adresses IP source et destination des passerelles VPN
(client et serveur VPN).
Rseau non scuris
Passerelle VPN
Passerelle VPN Avant d'tablir le tunnel GRE, une connexion TCP (port 1723) est utilise :
logicielle
ngociation des paramtres ;
Rseau type VPN authentification de l'utilisateur ;
La ngociation se fait en clair.
La version courante utilise des cls de 128 bits alatoires.
1. Architectures VPN : protocole L2TP 1. Architectures VPN : encapsulation L2TP
L2TP offert par lISP :

L2TP (Layer 2 Tunneling Protocol) Le tunnel L2TP rallonge la connexion PPP du client jusqu'au serveur d'accs distance.
Protocole standardis par l'IETF (Internet Ingineering Task Force).
Extension de PPP qui permet de terminer une connexion non pas l'autre PPP
modem mais une adresse IP quelconque.
Les paquets PPP sont encapsuls dans des paquets UDP pour le transport
par Internet.
Remplace la solution propritaire PPTP.
N'a pas de chiffrement (ncessite IPSec).
L2TP ralis par le client :

Le client doit grer 2 connexions PPP : une vers l'ISP et une vers le serveur d'accs.
PPP
1. Architectures VPN : protocole IPSEC 1. Architectures VPN : paquet IPSEC
Protocole li IPV4 et IPV6 et assurant l'authentification et l'encryptage des IPSEC : Authentication Header (AH)
donnes au travers de l'internet.
Essentiellement employ dans les VPN. L'ajout d'un en-tte d'authentification permet de vrifier
Deux protocoles pour le chiffrement et l'authentification : ESP, AH. l'authenticit et l'intgrit des paquets.
Un protocole d'change de cl : IKE (Internet Key Exchange).
Il ny a pas de chiffrement des donnes.

Deux modes d'opration :
transport : ne protge que les donnes des paquets transmis ;
tunnel : le paquet entier est encapsul dans un nouveau paquet.
L'authentification est faite sur :
les donnes qui suivent l'en-tte AH ;
Pour chaque connexion TCP protge, la Security Association (SA) mmorise : sur l'en-tte AH ;
les algorithmes ; sur les champs importants de l'en-tte IP (source, destination,
les cls ; protocole, longueur, version).
la dure de validit des cls ;
les nde squence et l'identit des partenaires.
1. Architectures VPN : paquet IPSEC 1. Architectures VPN : modes IPSEC
IPSEC : Encapsulated security payload (ESP) IPSEC : Modes transport et tunnel

En mode transport, on chiffre ou on authentifie la partie data d'un paquet IP.
En mode tunnel on protge le paquet complet et on l'encapsule dans un nouveau paquet.
L'enveloppe ESP permet de chiffrer et d'authentifier les paquets ;
Lenveloppe ESP contient :
Len-tte (header) ;
Les donnes chiffres ;
Une queue (trailer) ; En mode transport la scurit est faite de bout en bout.
Des donnes supplmentaires d'authentification (optionnel).

Le chiffrement ne porte que sur les donnes encapsules et le trailer.
Il ne porte pas sur les champs de l'en-tte et les donnes
d'authentification.
L'authentification optionnelle porte sur l'en-tte ESP et tout ce qui suit, En mode tunnel elle peut tre faite par des routeurs intermdiaires.
mais pas sur l'en-tte IP.
1. Architectures VPN : modes IPSEC 2. Cryptage Principes
2 types de VPN avec IPSec : Le but de la cryptographie est de garantir la confidentialit, l'authenticit et
L2TP sur IPSec en mode transport (mode Microsoft) : l'intgrit des donnes changes.
transporte n'importe quel protocole (IP, IPX, NetBeui) ; Il existe lheure actuelle deux grands principes de chiffrement ou cryptage :
Beaucoup d'en-ttes et d'encapsulations. le cryptage symtrique bas sur lutilisation dune cl prive (ou algorithme)
partage entre les deux parties communicantes.
IPSec en mode tunnel. La mme cl sert crypter et dcrypter les messages.
ne peut transporter que IP ; Il faut trouver un moyen scuris de communiquer la cl aux deux entits.
plus efficace.
IPSEC : Internet Key Exchange (IKE) Cryptage Donnes Dcryptage

cryptes
Sert ngocier les paramtres pour les protocoles AH et ESP (algos, cls,
dure de validit,)
Bonjour Ga&buz Bonjour
Authentifie les partenaires par secrets partags, cl publiques ou
certificats.
Deux phases :
Cl prive Cl prive
Phase1 : ngocie une SA (Security Association : enregistrement contenant les
paramtres pour AH et ESP) pour protger les ngociations.
phase 2 : dfinit les SA ncessaires pour des flux ESP ou AH.
2. Cryptage Cryptage symtrique/asymtrique 2. Cryptage Exemple de chiffrement : RSA
Le cryptage asymtrique utilise deux cls diffrentes pour chaque utilisateur : Principe de lalgorithme de chiffrement RSA (Rivest, Shamir et Adelman MIT) :
une est prive et nest connue que de lutilisateur ;
lautre est publique et peut tre transmise sur Internet. M : message,
Les cls publique et prive sont mathmatiquement lies par lalgorithme de C : message chiffr.
cryptage (la cl publique est fabrique laide de la cl prive) de telle
manire quun message crypt avec une cl publique ne puisse tre Pour chiffrer on calcule :
dcrypt quavec la cl prive correspondante. C = Me mod n
Une cl est donc utilise pour le cryptage et lautre pour le dcryptage. (Rappel : x modulo n = y si x - y est un multiple de n. Ex : 33 mod 7 = 6)
Pour dchiffrer :
M = Cd mod n
Cryptage Donnes Dcryptage La cl publique est le couple (e,n).

cryptes
La cl prive est le couple (d,n).
n est le produit de deux nombres premiers p,q (environ 100 chiffres).
Bonjour Ye&zic Bonjour e et d sont drivs de p et q.
Il "suffit" de factoriser n pour cracker RSA.
Cl publique Cl prive
2. Cryptage Longueur des cls 2. Cryptage Hacher pour mieux chiffrer
Un algorithme de hachage est une fonction mathmatique qui convertit une
chane de caractres d'une longueur quelconque en une chane de caractres de
taille fixe appele empreinte ou hash ou encore digest .
Cette fonction est dite irrversible et rsistante aux collisions :
Pour les algorithmes symtriques : Il est impossible de trouver le message lorsqu'on connat le hash ;
40 bits (240 possibilits) 2 messages diffrents ne produiront "jamais" le mme hash.
56 bits Ce type de fonction cryptographique est donc conu de faon qu'une modification
64 bits (algorithme DES: Data Encryption Standard) mme infime du message initial entrane une modification du hash.
128 bits (algorithme AES: Advanced Encryption Standard) Si un message est transmis avec son hash, le destinataire peut vrifier son
intgrit en recalculant son hash et en le comparant avec le hash reu.
Exemples dalgorithme de hachage : SHA-1 (160 bits), MD5 (128 bits) Message
Pour RSA: Digest
il n'y a que les nombres premiers qui peuvent tre des candidats.
512 bits quivaut 56 bits (minimum en asymtrique).
1024 bits (taille courante).
2048 bits quivaut 128 bits.
2. Cryptage La signature 2. Cryptage Signature et authentification
Pour signer un message, on peut le chiffrer avec la cl prive.

Si on utilise un chiffrement symtrique pour chiffrer le hash on obtient une authentification, pas
Le dchiffrement avec la cl publique prouve que seul le dtenteur de la cl prive pu crer la
une signature.
signature.
Lobjectif final est le mme : sassurer de lidentit de lexpditeur.
La cl ncessaire pour vrifier le hash permet aussi de le crer.
Si la cl n'est connue que par les deux partenaires, alors elle permet d'authentifier l'expditeur
du message.
Exemples : HMAC-SHA, HMAC-MD5
Plutt que de chiffrer le hash, on fait intervenir la cl lors du calcul du hash.
Un hash ainsi gnr est appel un MAC (Message Authentication Code).
Il n'est pas ncessaire de chiffrer tout un document pour le signer, il suffit de chiffrer son hash.
La rsistance aux collisions de la fonction de hachage garantit que c'est bien ce document qui a t
sign.
2. Cryptage Problme pour changer les cls 2. Cryptage Problme pour changer les cls
Pour pouvoir utiliser des algorithmes symtriques (chiffrement, MAC) il faut Echange Diffie-Hellman (utilis dans SSH)
d'abord changer une cl prive avec son partenaire. Permet de gnrer une cl symtrique sans avoir la transmettre.
Seules deux valeurs calcules partir dun nombre alatoire sont changes :
Echange de cl RSA : Alice et Bob ont choisi un groupe et une gnratrice g de ce groupe.
Alice choisit un nombre au hasard a, lve g la puissance a, et transmet ga. Bob ;
Alice choisit une cl symtrique.
Bob fait de mme avec le nombre b.
Alice chiffre la cl symtrique avec la cl publique (RSA) de Bob. Elle sera sre que
Alice, en levant le nombre reu de Bob la puissance a, obtient gba et la cl K.
seul Bob pourra dchiffrer cette cl symtrique.
Bob fait le calcul analogue et obtient gab, qui est le mme.
Alice transmet Bob cette cl symtrique crypte. Il est difficile d'inverser l'exponentiation dans un corps fini, cest--dire de calculer le
Une fois que Bob reoit le message, il le dchiffre et peut alors utiliser la cl logarithme discret. Man in the Middle ne peut pas dcouvrir a et b, donc ne peut pas
symtrique dfinie par Alice pour lui envoyer des messages chiffrs que seuls lui et calculer gab.
Alice pourront alors dchiffrer.
2. Cryptage Asymtrique ou symtrique ? 2. Cryptage Les certificats
Le chiffrement asymtrique est plus utile. Intrt des certificats

Elimine le problme du transfert de la cl. La distribution de cls publiques est sujette l'attaque d'un intermdiaire
Permet de signer des messages. (Man in the Middle).
Le chiffrement symtrique est beaucoup plus performant.
Pour profiter de l'efficacit du chiffrement symtrique et des avantages de l'asymtrique :
On chiffre le message avec une cl symtrique.
On chiffre la cl symtrique avec la cl publique du destinataire. Ce qui devrait se passer
On joint la cl chiffre au message. lorsquAlice veut envoyer
un message Bob :
Ce qui pourrait se
passer
2. Cryptage Intrt des certificats 2. Cryptage Exemple de certificat
Bob gnr par lintermdiaire dun tier (Trent) son couple de cls publique/prive.
Trent sign avec sa propre cl prive un certificat liant la cl publique de Bob son
Un certificat est un document qui sert prouver qu'une cl appartient bien nom.
qui de droit. Bob transmet non pas directement sa cl publique mais le certificat qui contient sa cl
publique et la signature de Trent.
Le certificat est sign par un tiers dont on connat la cl publique (notez la Si Alice est en possession de la cl publique de Trent, elle peut vrifier le certificat.
rcursion).
Un certificat contient au moins les informations suivantes :

Trent
Identit (Nom et adresse e-mail de la personne).
Alice
Cl publique.
Bob
Date d'expiration.
Signature du certificat.
Il existe deux types de certificats prvalents :

PGP - Pretty Good Privacy (Open).
X.509.
2. Cryptage Certificats : PKI et CA 2. Cryptage Architecture dune PKI
Les PKIs Autorit de

Une PKI est un Infrastructure Cl Publique (Public Key Infrastructure). Remarque : l'utilisateur peut gnrer lui- certification Gnre et signe les
C'est le dispositif ncessaire pour grer la gnration et la distribution contrle de certificats. mme sa paire de cls et joindre sa cl certificats et les listes
publique sa demande de certificat au CA. CA de rvocation
Une PKI est faite des lments suivants :
Des autorits de certification (CA) ;
Des autorits d'enregistrement (RA) ;
(3) Demande de
Annuaire LDAP
Des annuaires de certificats. certificat
(Lightweight
(envoi la cl publique
Directory Access
pour la certification)
La RA (Register Authority) Protocol)
Chaque nouveau participant doit se prsenter.

La RA authentifie physiquement le participant . Internet
Le participant peut alors gnrer par son intermdiaire une paire de cls publique/prive.
La RA peut tre intgre la CA.
Autorit Envoi du
denregistrement certificat sign
La CA (Certification Authority) RA (2) Envoi de la (4)
(5)
(6)
cl priv
La CA cre et signe les certificats. Publication de
Elle cre un certificat avec l'identit du participant, sa cl publique, une date d'expiration et sa Collecte les demandes, certificat et de
signature. vrifie les identits, listes de
Elle fournit une copie de sa propre cl publique au participant. gnre les couples de rvocations (CRL)
cls. (1) Identit du
Muni de son certificat et de la cl publique de la CA, le nouveau participant peut communiquer avec client
tous les autres participants certifis par la mme CA.
2. Cryptage Format dun certificat X509 2. Cryptage Exemple de certificat X509
Algo de cryptage
de la signature
Data:
identit de lautorit
Version: 3 (0x2) de certification
Serial Number: 2 (0x2)
Signature Algorithm: md5WithRSAEncryption
Issuer: OU=Certificate Authority /Email=
Validity
date de dbut
Not Before: Mar 26 13:53:26 2006 GMT de validit
Not After : Mar 26 13:53:26 2007 GMT
Subject: C=FR, ST=Paris, L=Paris, O=IUT, OU=serveur,
CN=www.serveur.iut.fr/Email=webmaistre@iut.fr
date de fin de
Subject Public Key Info: validit
Public Key Algorithm: rsaEncryption identit du
RSA Public Key: (1024 bit)
Modulus (1024 bit): demandeur
00:ac:45:e8:2a:6d:23:bc:2e:86:ee:d5:a0:e3:3b:
55:c0:b2:96:41:8e:d1:c2:17:c3:2c:8b:be:c0:a5:
d5:a2:ed:11:d9:e1:8c:8e:99:9c:05:59:28:23:8d:
8a:aa:a8:0d:de:47:ee:ac:b5:7f:73:4b:e0:15:c2:
Algo. de cryptage
ed:40:d0:0f:d4:c2:0a:b6:7e:80:a5:4c:a6:a5:15: de la cl
c5:b4:82:fc:53:18:c7:7c:3a:bd:48:ba:37:f6:99:
7c:57:fe:77:92:cf:ef:93:97:5e:2b:34:b1:aa:c3:
af:fd:ed:ef:df:e5:fc:c5:1b:b5:64:15:13:2d:42:
31:6c:0e:b0:e6:96:81:9c:83 Cl publique
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
email:tron_yoyo2000@yahoo.fr
Netscape Comment:
mod_ssl generated test server certificate
Netscape Cert Type: Algo de cryptage
SSL Server
Signature Algorithm: md5WithRSAEncryption
de la signature
86:c3:0c:0b:49:d1:29:93:03:de:51:f8:99:64:a7:25:3d:78:
a8:20:41:a7:32:8a:c3:02:6a:6b:66:c8:00:9d:49:18:54:11:
6d:5c:c1:c9:69:d8:42:e5:b7:2a:95:f3:ad:11:97:29:65:bc:
a2:83:e9:ff:5f:eb:9e:2d:28:82:69:13:67:0d:1d:20:80:82:
Signature du certificat
68:a6:f8:a7:8b:ec:02:0c:8c:a2:c9:56:13:87:ce:fb:58:3c:
e2:b6:44:35:37:55:0b:4b:e7:7a:13:cc:d6:f4:59:b5:ab:15:
05:a0:e4:2f:41:cd:53:db:85:5f:90:a3:2d:83:d7:1e:b4:1c:
35:17
2. Cryptage Protocole SSL 2. Cryptage Protocole SSL
Le protocole SSL (Secure Socket Layer) a t propos au dpart par

Netscape et permet des connexions scurises sur des serveurs Web. Le protocole SSL utilise un cryptage asymtrique par cl publique/cl prive
Il intervient au dessus de la couche transport. pour changer la cl matresse.
niveau La cl matresse connue des deux extrmits permet un cryptage symtrique
HTTP FTP IMAP FTPS HTTPS efficace des donnes pendant toute la dure de la session.
application
niveau Secure Socket Layer
transport TCP Au moment de la connexion, le serveur envoie au client sa cl publique (PK)
niveau lintrieur dun certificat X509.
IP
rseau Le certificat contient donc la cl publique du serveur PK, valide ("signe")
par une autorit de certification (CA).
Il permet :
une authentification rciproque entre client et serveur laide de cls symtriques ;
des transaction encryptes entre client et serveur Le client vrifie le certificat, gnr une cl matresse MK et se sert de PK
pour crypter MK.
SSL intgre deux sous-couches :
SSL record protocol qui dfinit le format utilis pour transmettre les donnes ; Le serveur reoit la cl MK crypte (PMK) et la dcrypte avec sa cl prive.
SSL handshake protocol qui dfinit une srie de message pour tablir la connexion
entre le client et le serveur.
Pour scuriser davantage, un certificat peut aussi tre install sur le client.
2. Cryptage change SSL avec certificat 2. Cryptage Capture SSL
Les 4 premires trames correspondent au dialogue (handshake protocol) pour la

mise en place du tunnel SSL.
La connexion TCP est ouverte sur le port 443 pour un serveur HTTPS.
2. Cryptage Applications utilisant SSL 2. Cryptage HTTPS
Les donnes HTTP sont changes lintrieur dun tunnel SSL.

SSL peut tre utilis pour scuriser pratiquement n'importe quel protocole utilisant
TCP/IP.
Certains protocoles ont t spcialement modifis pour supporter SSL:
HTTPS: c'est HTTP+SSL. Ce protocole est inclus dans tous les navigateurs et permet par
exemple de consulter vos comptes bancaires par le web de faon scurise.
FTPS est une extension de FTP utilisant SSL.
Il est possible de scuriser des protocoles en crant des tunnels SSL.

Une fois le tunnel SSL cr, Il est donc possible de faire passer n'importe quel
protocole dedans (SMTP, POP3, HTTP, NNTP...).
Toutes les donnes changes sont automatiquement chiffres.
Ceci peut tre ralis avec des outils comme STunnel (http://www.stunnel.org) ou SSH.
SSL a t dvelopp lorigine par Netscape (jusqu la version 2.0).

La version 3.0 (actuellement la plus rpandue) est standardise par lIETF (Internet
Engineering Task Force).
TLS (Transport Layer Security) propos par lIETF est la version 3.1 de SSL.
TLS est clairement dfini dans le RFC 22456 et nimpose pas de mthodes de
chiffrement spcifiques.
2. Cryptage HTTPS 2. Cryptage Certificats SSL/HTTPS
HTTPS utilise le port 443

HTTPS garantit lintgrit et la confidentialit. Ct client, chaque navigateur contient une liste des CA de confiance.
La non-rpudiation n'est pas tablie dans HTTPS : Le client possde donc la cl publique du CA lui permettant de vrifier la
Seuls les changes lors de l'tablissement de la session SSL/TLS sont signs, le reste des signature du certificat envoy par le serveur.
donnes changes ne l'est pas.
Autre inconvnient de HTTPS :
les trames sont cryptes et lanalyse de l'intgrit des donnes (dtection de virus, backdoor,
vers) par les applications de scurit nest plus possible.
Une autorit de certification doit avoir au pralable install les certificats ct serveur
et les cls publiques ct client.
2. Cryptage Certificats SSL/HTTPS 2. Cryptage Certificats SSL/HTTPS
Lorsque la connexion SSL s'tablit, le navigateur vrifie que le certificat du serveur a

t mis par une CA digne de confiance. Pour que le serveur puisse aussi authentifier le client, celui-ci peut
Le certificat peut tre affich lors de la transaction. galement installer un certificat.
Cas des transactions ou la preuve de lidentit du client est indispensable.
Lors dun changement de machine, le certificat doit tre import.
2. Cryptage Connexion scurise SSH 2. Cryptage Modle SSH
L'environnement SSH (Secure Shell) s'adresse aux utilisateurs qui souhaitent accder Le groupe de travail lIETF qui soccupe de Secure Shell a normalis en
de manire scurise des systmes Unix distants.
2006 le protocole SSH v2 sous forme de trois couches :
Ses composants remplacent des programmes peu scuriss comme :
1. SSH Transport Layer Protocol (SSH-TRANS)
ftp (file transfer protocol) ou rcp (remote copy) pour les changes de fichiers ;
2. SSH Authentification Protocol (SSH-AUTH)
telnet ou rlogin (remote login) pour tablir une session de travail ;
rsh (remote shell) ou rexec (remote exec) pour excuter une commande Unix sur un systme 3. SSH Connection Protocol (SSH-CONN)
distant.
La scurit est garantie par une authentification l'tablissement de chaque connexion

et par l'encryptage des donnes (y compris les mots de passe).
SSH utilise une connexion TCP sur le port 22.
On peut utiliser une connexion SSH pour transporter un autre protocole, par exemple
SMTP (le modle en couche nest alors pas respect).
SSH utilise suivant la version les algorithmes de cryptage asymtriques RSA ou DSA.
SCP (Secure CoPy), utilis gnralement en mode commande, permet de tlcharger
des fichiers de manire scurise en passant par SSH.
Pour les transferts de fichiers, une version SSH de FTP : SFTP peut galement tre
utilis. SFTP ne ncessite pas de clients ou de serveur FTP puisque le transfert se fait
par le shell.
Une version OpenSSH est disponible gratuitement sur le site http://www.openssh.org.
2. Cryptage Initialisation SSH 2. Cryptage Initialisation SSH
Ds que la connexion est tablie (TCP sur le port 22 du serveur), le client et le serveur
changent en clair le numro de version SSH.
Tous les messages changs sont alors encapsuls dans des paquets SSH :
TCP port 22
Packet length Padding length
Payload
Padding
Suit la phase dinitialisation de SSH qui correspond la couche SSH-TRANS et consiste

mettre en place le tunnel scuris :
Le client et le serveur senvoient la liste des mthodes supportes pour le chiffrement et
lauthentification (message Key EXchange Init) ;
Le client demande un change de cl de type Diffie-Hellman (DH GEX Request pour Group
EXchange Request) ;
Le serveur choisit 2 nombres d et g et les transmet au client (DH KEX Reply).
Le client gnre un nombre alatoire a, calcule A=ga mod p et transmet A (DH GEX Init).
Le serveur gnre b, calcule B=gb mod p, calcule la cl de session K=Abmod p, transmet B et la
cl publique RSA (DH GEX Reply).
Le client vrifie la cl publique et calcule sont tour K=Bamod p.
Aprs confirmation du client (New Key), le reste des communications est chiffr grce un
algorithme de chiffrement symtrique utilisant la cl de session partage par le client et le
serveur.
2. Cryptage Initialisation SSH 2. Cryptage Authentification SSH
Phase dauthentification (couche SSH-AUTH)
Une fois le tunnel scurise tabli, le client doit s'identifier sur le serveur .
Trois mthodes dauthentification existent :
Par mot de passe (password)
Authentification classique : lutilisateur transmet son mot de passe, le serveur calcule le
hash et le compare avec celui stock dans sa base de donnes (algo. DES sous Linux).
Cette mthode permet aux utilisateurs Telnet de migrer vers SSH sans aucun changement
au niveau de leur mcanisme dauthentification sauf que le mot de passe qui transitait en
clair avec Telnet est maintenant encapsul dans une communication chiffre.
Par clef RSA ou DSA (publickey)

Bas sur le cryptage asymtrique type RSA ou DSA .
La clef publique de lutilisateur doit tout dabord tre stocke sur le serveur SSH (problme
dchange des cls) et sa clef prive doit tre stocke sur sa machine de faon scurise.
Par certificat X.509
2. Cryptage Tunneling SSH 2. Cryptage Redirection de port SSH
En plus de fournir lquivalent des scuris des commandes rcp, rlogin et rsh, le SSH permet de rediriger nimporte quel flux TCP dans le tunnel de la session SSH : le
protocole SSH permettent la mise en uvre du tunneling. flux de nimporte quelle application circulant entre les ports client et serveur habituels,
Dans ce cas, le tunneling consiste encapsuler un autre service TCP/IP comme Telnet pourra tre encapsul lintrieur du tunnel SSH.
ou IMAP, dans une session scurise SSH. Cette fonctionnalit permet dtablir, entre deux points, un canal scuris par lequel
Lors de louverture dune sur un hte SSH, il est donc possible douvrir galement un peut transiter nimporte quel type de donne IP.
canal de communication scuris pour tous les autres protocoles. Exemple : mise en place dun tunnel IP afin de scuriser les connexions entre un client
et un serveur POP situ dans lintranet dune entreprise et derrire un serveur SSH.
tablissement dune connexion SSH entre le client et le serveur SSH ;
sur le client : faire pointer le client POP sur le systme SSH en local ;
sur le serveur : transmettre les donnes arrivant depuis la connexion SSH au serveur POP.
2. Cryptage Diffrences SSL/SSH 2. Cryptage Autre technique de cryptage en rseau
Les deux protocoles sont utiliss dans un mme cadre et leurs domaines
d'utilisation se recouvrent.
Ils n'ont pas t particulirement conus pour travailler ensemble (mme si
c'est possible).
SSL/TLS ne requiert aucune authentification ct serveur : celle-ci est
optionnelle, et une connexion peut tre anonyme. Les connexions SSH
doivent tre authentifies.
SSL/TLS ne propose une authentification ct client que par change de
clefs publiques, tandis que SSH propose de nombreuses autres options.
SSH peut-tre utilis dans un cadre autre que le Web pur : FTP, POP3 /
IMAP / SMTP, telnet... SSL se limite aux protocoles HTTPS (HTTP scuris
par SSL) et FTPS.
SSL/TLS n'est utile qu'en cas d'change entre deux applications. SSH
permet de son ct de crer un "tunnel" entre ces deux applications, qui
reste ouvert et disponible mme s'il n'y pas d'change en cours.
En rsum, SSL/TLS permet de scuriser le transport d'informations via le
Web, et SSH est une vritable plate-forme de scurisation pour toutes
formes de communications.
3. Authentification Principe 3. Authentification Locale sous Linux
Lauthentification consiste apporter la preuve de lidentit dun utilisateur sur un Sous Linux comme pour les autres OS, les mots de passe ne sont jamais stocks en clair.
rseau informatique. Au lieu des mots de passe on stocke un hash.
Le nom sert l'identification, le mot de passe l'authentification. Le hash doit tre unique et irrversible.
Pour viter de s'authentifier pour chaque opration, on utilise des systmes En comparant le hash du mot de passe fourni avec le hash stock on sait si les deux hashs
d'authentification centraliss (systme d'exploitation, contrleur de domaine, ont t cres partir du mme mot de passe.
serveur d'authentification RADIUS). Sous Linux, le hash est cre en chiffrant (25 fois) une chane de caractres vide avec le mot
Une fois qu'il a authentifi l'utilisateur, le systme lui assigne des privilges qui lui de passe comme cl :
donnent accs certaines ressources. L'algorithme de chiffrement (DES) utilise une cl de 56 bits.
Les risques sont les plus levs au moment de lauthentification. 7 bits sont extraits par caractre du mot de passe (les caractres au-del du huitime sont ignors).
Un grain de sel (12 bits) est ajout pour que le mme mot de passe ne gnre pas toujours le mme
ESPIONNAGE hash (le sel est stock avec le hash).
3. Authentification Locale sous Linux 3. Authentification Locale sous Windows
Lors d'un login local le hash est gnr l'aide du mot de passe fourni et du grain Le protocole Kerberos est le protocole de scurit principal par dfaut pour les
de sel stock localement. Le hash est compar avec celui stock localement. authentifications dans un domaine Windows 2000/2003.
Lors d'un login rseau, le hash et le sel sont obtenus depuis un serveur central Il permet aux utilisateurs daccder aux ressources rseau partir de la mme
l'aide d'un communication chiffre. ouverture de session.
Initialement, le nom et le hash des mots de passe taient stocks dans le fichier
/etc/passwd avec accs libre en lecture ! Dans un domaine Windows, le service Kerberos sappelle le KDC (Key
Distribution Center) et se trouve dans chaque contrleur de domaine (DC).
Les clients Kerberos sont installs sur les ordinateurs clients.
Lorsquun utilisateur veut accder un contrleur de domaine, le KDC de ce

contrleur va vrifier lidentit du client.
Le client pourra confirmer son identit en demandant au service Kerberos du
rseau un ticket TGT (Ticket Granting Ticket).
Pour scuriser, les hashs se trouvent dsormais dans un fichier spar,
/etc/shadow qui ne peut tre lu que par l'administrateur.
Le TGT permet au systme client daccder au TGS (Ticket Granting Service) se
trouvant dans le contrleur de domaine.
Ce TGS permettra lmission dun ticket de service au client (Ticket Service).
Cest ce ticket de service que le client prsentera au service rseau demand
pour accder des ressources.
3. Authentification Kerberos 3.Authentification Distante : par une liaison PPP
Key Distribution
Center (KDC) Une connexion par modem vers un FAI utilise un protocole en mode
point point :
Le PC commence par tablir une connexion un central compos dune
Authentication
Service (AS) batterie de modems connects vers Internet.
Ticket Granting
Service Service
Ce central, mis en uvre par le FAI, est souvent nomm POP (Point of
(TGS) Presence).
La connexion entre le modem et lun des modems du PoP repose sur un le
protocole PPP (Point-to-Point Protocol - RFC 1661).
((1)) Je suis Bob et
jai besoin dun TGT PPP dfinit notamment la mthode didentification par mot de
(2) Voil ton TGT, si tu passe choisie parmi 4 mthodes.
peux le dcrypter avec ton
hash de password
(3) Voil mon TGT, donne
moi un Ticket de Service
(4) Voil ton TS
(5) Voil mon TS, tu Services rseau

peux mauthentifier
(6) OK, ta session est

ouverte, tu as accs aux
ressources rseau !
3. Authentification Par une liaison PPP : PAP et CHAP 3. Authentification Par une liaison PPP : CHAP
PAP (Password Authentication Protocol) est le plus simple des mcanismes

dauthentification :
le client envoie son mot de passe en clair ;
Le mot de passe est compar avec celui stock chez le FAI.
Dans la pratique, le PAP nest utilis que lorsquun autre mcanisme permet dassurer la
scurit de lchange.
CHAP (Challenge Handshake Authentication Protocol) est dfini dans la RFC 1994 :
Le serveur commence par envoyer un dfi au client (16 octets alatoires), ainsi quun
compteur quil incrmente chaque dfi ;
Le client doit alors passer le compteur, son mot de passe et le dfi au travers dun algorithme
de hachage (MD5) ;
Le rsultat est une squence de bits pseudo-alatoires quon appelle le hash (16 octets
dans le cas de MD5) ;
Ce hash est envoy au serveur, qui peut alors effectuer le mme calcul et vrifier si son
rsultat concorde avec celui du client.
Cet algorithme permet dviter que le mot de passe ne soit transfr et vite galement
quun pirate ne rpte simplement une authentification russie quil aurait enregistre
auparavant, puisque le dfi change chaque authentification.
Il ne permet cependant pas au client de sassurer de lidentit du serveur.
3. Authentification Par une liaison PPP : MS-CHAP 3. Authentification Par une liaison PPP : MS-CHAP-V2
MS-CHAP-v2 : Microsoft a conu la version 2 plus robuste, dfinie dans la RFC

MS-CHAP, souvent appel MS-CHAP-v1, a t dfini par Microsoft dans la 2759 :
RFC 2433 : Fournit notamment un mcanisme dauthentification mutuelle : le serveur sassure de
Variante de CHAP, destine en amliorer la scurit. lidentit du client et vice versa.
Lun des problmes de CHAP est le fait quil soit ncessaire de stocker le mot Largement utilis dans les rseaux Windows, depuis la version Windows 2000.
de passe en clair sur le serveur pour calculer le hash et vrifier lidentit du
client.
Toute personne ayant accs la base de donnes des utilisateurs peut donc
voir les mots de passe de tout le monde ! Les mthodes CHAP, MS-CHAP et MS-CHAP-v2 sont toutes vulnrables face
Pour viter cela, MSCHAP spcifie que le serveur doit stocker non pas le mot des attaques hors-ligne de type dictionnaire :
de passe, mais le rsultat dun hash sur ce mot de passe (selon un algorithme Le pirate peut enregistrer les changes lors de lauthentification dun utilisateur lgitime,
propritaire de Microsoft). puis, il peut essayer hors-ligne de reproduire le mme dialogue en essayant des milliers de
Lorsque lutilisateur saisit son mot de passe, celui-ci doit dabord tre pass au mots de passe.
travers du mme algorithme de hash avant de suivre la procdure habituelle de Il suffit quun seul utilisateur lgitime ait un mot de passe faible pour que le pirate puisse
entrer sur le rseau.
CHAP.
Besoin pour certains FAI didentifier les utilisateurs autrement que sur la base dun
Malheureusement, MS-CHAP comporte des failles de scurit (dues en
simple mot de passe : identification avec carte puce, certificats lectroniques
particulier au hash propritaire de Microsoft) qui lont rendu rapidement
obsolte : seuls quelques vieux systmes Windows 95/98 lutilisent encore. Cest de ce besoin quest n EAP.
3. Authentification Par une liaison PPP avec Windows 3. Authentification 802.1x et EAP
Standard 802.1x :
solution de scurisation, mise au point par l'IEEE en juin 2001;
permet d'authentifier un utilisateur souhaitant accder un rseau (filaire ou sans fil) grce
un serveur d'authentification ;
repose sur le protocole EAP (Extensible Authentication Protocol) dfini par lIETF.
Le rle dEAP est de transporter les informations dauthentification des utilisateurs.
EAP est un protocole de transport et non un protocole d'authentification.
Le mcanisme EAP est analogue celui dune simple authentification un FAI au
travers dune liaison PPP.
3. Authentification Fonctionnement dEAP 3. Authentification Intrt dEAP
EAP est bas sur l'utilisation d'un contrleur d'accs (Authenticator ou NAS: Network Access
Server) charg d'tablir ou non l'accs au rseau pour un client (Supplicant).
EAP peut tre utilis dans de multiples contextes, le WiFi nen est quun
Le contrleur d'accs est un simple garde-barrire servant d'intermdiaire entre l'utilisateur et parmi dautres.
un serveur d'authentification (AS : Authentication Server) ; Le fait que le contrleur daccs ne soit quun intermdiaire entre le client
Dans le cas d'un rseau sans fil, lAP joue le rle de contrleur d'accs (trs peu de et le serveur est lun des grands intrts de lEAP :
ressources ncessaires).
Il na pas besoin de comprendre lchange entre le client et lAS, lexception
LAS permet de valider l'identit de l'utilisateur, et de lui renvoyer les droits associs en
fonction des information d'identification fournies.
du rsultat final (le succs ou chec de lauthentification) qui le dcidera ouvrir
la porte du rseau ou la laisser ferme.
LAS est gnralement un serveur RADIUS (Remote Authentication Dial In User Service) :
serveur d'authentification standard dfini par les RFC 2865 et 2866. Pour une nouvelle mthode dauthentification, il ne sera pas ncessaire de
changer les contrleurs daccs.
Seuls les clients et le serveur dauthentification devront tre mis jour.
Les contrleurs daccs sont souvent de simples quipements sans grande
puissance de calcul ou difficiles mettre jour (AP WiFi).
Attention la terminologie :
Les protocoles EAP, 802.1x et RADIUS ont des mots diffrents pour dsigner
les mmes choses.
Le client sappelle respectivement peer, supplicant et user dans ces trois
protocoles.
Le contrleur daccs sappelle authenticator dans lEAP et le 802.1x, mais
Network Access Server (NAS) ou client dans le RADIUS.
3. Authentification Paquets EAP 3. Authentification Format des paquets EAP
EAP dfinit quatre types de paquets pouvant tre changs entre le client et le serveur Le champ Code indique sil sagit dune requte, dune rponse, dun
dauthentification (par lintermdiaire du contrleur daccs) :
succs ou dun chec.
Paquet Requte
Le champ ID est un identifiant qui permet de savoir quelle requte
Envoy par le serveur dauthentification, demande au client de fournir une information
prcise : identit ou preuve de cette identit, selon une mthode dauthentification choisie correspond une rponse.
par le serveur (mot de passe, certificat lectronique). Le champ Longueur reprsente la longueur du paquet EAP.
Paquet Rponse
Dans les paquets de requtes et de rponses, un champ Type (un
Envoy par le client en rponse une requte. Le contenu dpend de la mthode
dauthentification requise par le serveur.
octet) situ juste avant le champ de donnes indique quel type de
Si le client ne gre pas la mthode dauthentification requise, il le signale et lui suggre mthode dauthentification est utilise.
une liste de mthodes quil est capable de grer.
Le serveur dauthentification peut alors choisir lune de ces mthodes et renvoyer une
nouvelle requte au client.
Paquet EAP :
Paquet Succs
Envoy par le serveur dauthentification pour indiquer au client quil a t correctement
identifi. Le contrleur daccs ouvre la porte du rseau.
Paquet chec
Envoy par le serveur dauthentification si le client na pas pu tre identifi.
3. Authentification changes 802.1x/EAP (1) 3. Authentification changes 802.1x/EAP (2)
Supplicant NAS : Network Radius Server Le protocole 802.1x dfinit comment EAP peut tre utilis sur un LAN
Access Server ou un WLAN grce au protocole EAPoL (EAP over LAN).
EAPoL est utilise entre le client et le NAS. Les paquets EAPoL ou
EAP sont encapsuls dans des trames Ethernet ou WiFi.
Trafic Trafic
EAP sur WLAN EAP sur Radius Entre le NAS et le serveur RADIUS, les paquets EAP sont encapsuls
dans des requtes RADIUS.
Lauthentification se droule en 4 tapes :

1. Le NAS, ayant pralablement reu une demande de connexion de la part
du client (EAPoL-Start) envoie une requte d'identification ;
2. Le client envoie une rponse au NAS, qui la fait suivre lAS ;
3. LAS envoie un challenge au contrleur d'accs, qui le transmet au
client. Le challenge est une proposition de mthode dauthentification (par
exemple OTP). Si le client ne gre pas la mthode, le serveur en propose
une autre et ainsi de suite ;
4. Le client rpond au challenge. Si lauthentification russie, lAS envoie un
accord au NAS, qui ouvrira un port 802.1x sur le rseau ou une partie du
rseau, selon ses droits.
3. Authentification Paquets EAPoL 3. Authentification Architecture 802.1x / EAP
802.1x dfinit les types de messages EAPoL : Pour mettre en place une architecture 802.1x avec le WiFi, il faut :
EAPoL-Start : permet au client de prvenir le contrleur daccs quil souhaite Un serveur dauthentification, gnralement RADIUS ;
se connecter ; Des AP qui grent le 802.1x ;
EAPoL-Packet : type de paquet qui encapsule les paquets EAP ; Un logiciel de connexion compatible 802.1x sur les postes client :
EAPoL-Key : permet lchange de cls de cryptage ; fournit avec ladapateur WiFi
Intgr lOS (windows XP ou Vista et MAC OS).
EAPoL-Logoff : permet au client de demander la fermeture de sa session ;
EAPoL-Encapsulated-ASF-Alert : permet aux clients dont lauthentification a Une ou plusieurs mthodes dauthentification EAP.
chou de pouvoir tout de mme tre superviss distance (par exemple, par Un cryptage pendant la phase didentification entre le client et le NAS, WPA par
SNMP). exemple.
Paquet EAPol :
Le champ Version la version du protocole EAPoL utilis.

Le champ Type indique sil sagit dun paquet EAPoL-Start, EAPoL-Key, etc.
Le champ Longueur indique la longueur du message qui suit.
3.Authentification 802.1x / EAP : logiciel client 3. Authentification 802.1xEAP : serveur dauthentification
Le logiciel de connexion du client (appel le client EAP ) peut tre fourni avec Lorsque lon met en place une architecture 802.1x, le serveur
ladaptateur WiFi. dauthentification est gnralement un serveur de type RADIUS.
Il peut galement tre acheter ou fournit en Open Source (Xsupplicant pour Les critres de choix du serveur sont nombreux : cot, mthodes EAP
Linux). gres, stabilit, OS sur lesquels il peut tre install, ouverture, support
Le client EAP peut aussi tre intgr lOS : Windows et Mac Os possdent un fourni, performance, outils de configuration disponibles, intgration avec
client EAP capable de grer de multiples mthodes dauthentification. bases de donnes, etc.
3. Authentification Architecture protocolaire 802.1x/EAP 3. Authentification Mthodes EAP
Sur un rseau WiFi reli en Ethernet au serveur RADIUS, les paquets EAP sont
encapsuls : EAP ne dcrit que quelques mthodes dauthentification entre le client
dans des trames 802.11 par lintermdiaire de 802.1x cte WLAN ; et le serveur, les autres mthodes sont dcrites par des RFC :
dans des trames 802.3 par lintermdiaire dUDP/IP et RADIUS. EAP/MD5 bases sur le protocole CHAP (Challenge Handshake protocol).
EAP MS-CHAP-v2 base sur la version MS-CHAP de Microsoft.
EAP/OTP (One Time Password) bas sur lutilisation unique dun mot de
passe non ncessairement crypt.
EAP/GTC (Generic Token Card), mthode simple avec envoie dun dfit
au client qui rpond en clair au serveur.
EAP/TLS base sur la version TLS (Transport Layer Security) de SSL
(Secure Socket Layer) qui scurise au niveau transport.
EAP/PEAP (Protected EAP) utilisant galement un tunnel TLS.
EAP/TTLS (Tuneled TLS) avec galement une authentification dans un
tunnel TLS.
EAP/SIM, permet un utilisateur de sidentifier grce la carte SIM de son
tlphone portable GSM.
Lors de la phase dauthentification, suivant la mthode dauthentification

utilise, des changes de paquets EAP spcifiques sont ncessaires
(change de cls de cryptage, de certificats).
3. Authentification EAP / OTP 3. Authentification EAP / GTC
Le systme One Time Password (OTP) est dfini dans la RFC 2289. La RFC 3748 prvoit un type didentification appel GTC Generic Token Card
Lutilisation des OTP avec EAP est dfinie dans la RFC 3748. (carte jeton gnrique) :
Un OTP est un mot de passe conu pour ntre utilis quune seule fois. Ceci Le serveur envoie (optionnellement) un dfi au client et celui-ci doit y rpondre en tapant
permet de lchanger non crypt, sans craindre quil soit rutilis. sa rponse, qui est renvoye en clair.
Le serveur vrifie la validit de la rponse.
Le serveur commence par envoyer un dfi au client : quelques octets
Cette mthode trs simple a t conue pour les cartes jeton :
alatoires et un index qui change chaque nouveau dfi.
Le jeton est une cl assez longue qui nest connue que par le serveur dauthentification et
Le client doit alors utiliser un gnrateur logiciel afin de produire un OTP : est ncessaire lidentification du client.
Pour faire fonctionner le gnrateur, lutilisateur doit lui fournir le dfi (lindex et la Le plus souvent, un mot de passe est galement exig. On parle alors de scurit
squence alatoire) ainsi que son vrai mot de passe, appel la phrase double facteur : pour sidentifier, lutilisateur doit la fois connatre quelque chose (son
code PIN ou son mot de passe) et possder quelque chose (la carte jeton).
secrte ou passphrase.
La plupart des algorithmes utilisent le jeton, le mot de passe de lutilisateur et le dfi
Le gnrateur fonctionne en faisant passer plusieurs fois (en fonction de lindex) le
envoy par le serveur pour gnrer un hash qui est renvoy au serveur.
dfi et la phrase secrte au travers dune fonction de hash. Certaines cartes sont synchronises avec le serveur et affichent un code qui change
Le client doit renvoyer lOTP de 8 octets au serveur qui vrifie quil parvient toutes les 10 20 secondes environ. Pour sidentifier, lutilisateur doit taper ce code, ainsi
bien au mme rsultat. que son mot de passe (ou code PIN).
Les cartes basiques sinsrent dans un lecteur de carte, connect par exemple au port
Comme le CHAP, le MS-CHAP et le MS-CHAP-v2, la mthode OTP est USB de lordinateur
vulnrable aux attaques de dictionnaire hors-ligne. Dautres sont autonomes et possdent un mini clavier voire mme un petit cran
cristaux liquides.
3. Authentification EAP / SIM 3. Authentification EAP/TLS
EAP ne prend en charge que lauthentification, EAP/TLS nutilise donc que la partie
Cette mthode dauthentification est dfinie dans la RFC 4186. authentification par certificat de TLS (la cl symtrique nest pas utilise).
Son but est de permettre un utilisateur de sidentifier grce la carte SIM Clients et serveurs possdent un certificat ce qui suppose lutilisation dune PKI.
de son tlphone portable GSM : Lors du dialogue EAP, les clients et le serveur schangent et vrifient leurs certificats
Celle-ci peut tre connecte lordinateur via une cl USB, par exemple, ou en suivant le protocole TLS.
directement intgre dans ladaptateur WiFi. Seuls les utilisateurs possdant un certificat valide sont autoriss se connecter.
Pour que lidentification puisse fonctionner, le serveur dauthentification doit Gestion des certificats peut tre lourde. C'est pour se passer du certificat client que les
tre reli loprateur mobile de lutilisateur : il ne sert alors que protocoles PEAP et EAP-TTLS ont t crs.
dintermdiaire entre le client et le serveur dauthentification de loprateur
mobile.
Cette solution a peu dintrt pour la plupart des entreprises dans le
contexte dun rseau WiFi.
Elle est intressante dans le cadre de la convergence entre la tlphonie
et les technologies de linformation (oprateurs mobiles qui dploient des
hotspots par ex.).
Dautres mthodes didentification lies la tlphonie existent :
EAP/SIM6 pour lidentification SIM passant par un rseau IPv6 et
EAP/AKA pour lidentification par un rseau UMTS.
3. Authentification EAP/TLS : changes EAP 3. Authentification EAP/TLS : changes TLS
Certificat Certificat
Certificat Certificat client Serveur
client Serveur
1
Echange TLS
3
3. Authentification EAP/TLS : changes TLS 3. Authentification EAP/TLS : changes TLS
1. Le serveur Radius initie le processus d'authentification TLS par le message

TLS start. 4. Le client vrifie le certificat du serveur et rpond avec son propre certificat et
sa cl publique.
2. Le client rpond avec un message client_hello, qui contient :
des spcifications de chiffrement vides en attendant qu'elles soient ngocies entre
le client et le serveur ; 5. Le serveur vrifie le certificat du client.
la version TLS du client ;
un nombre alatoire (dfi ou challenge) ; Le serveur et le client, chacun de son ct, dfinissent une cl de
un identifiant de session ;
chiffrement principale (MK) utilise pour la session. Cette cl est drive des
les types d'algorithmes de chiffrement supports par le client.
valeurs alatoires que se sont changes le client et le serveur.
3. Le serveur renvoie une requte contenant un message server_hello suivi :
de son certificat (x509) et de sa cl publique ;
Les messages change_cipher_spec indiquent la prise en compte du
de la demande du certificat du client ; changement de cl.
d'un nombre alatoire (dfi ou challenge) ;
d'un identifiant de session (en fonction de celui propos par le client). Le message TLS_finished termine la phase d'authentification TLS (TLS
Le serveur choisit un algorithme de chiffrement parmi ceux qui lui ont t handshake), dans le cas d'EAP-TLS la cl de session ne sert pas chiffrer
proposs par le client. les changes suivants.
3. Authentification EAP/PEAP 3. Authentification Dialogue EAP/PEAP
EPA/PEAP (Protected EAP) a t dvelopp par Cisco et Microsoft.

Un tunnel TLS est dabord mis en place entre le client et le serveur puis une
nouvelle ngociation EAP (par ex. EAP/MS-CHAP-v2 ou EAP/GTC) est effectue
lintrieur du tunnel (EAP protg)
Le dialogue est proche de celui dEAP/TLS mais avec quelques diffrences
importantes :
Au cours de la ngociation EAP/PEAP, lorsque le serveur demande son identit au client,
celui-ci n'est pas oblig de rvler sa vritable identit ( anonyme , par exemple).
Le client n'est pas oblig de fournir un certificat. Seul le serveur doit en fournir un pour
prouver son identit au client.
Plutt que de s'arrter la fin de la ngociation TLS, EAP/PEAP va jusqu' tablir
compltement le tunnel TLS.
Dans ce tunnel, une ngociation EAP complte a lieu: c'est ici que le client fournit son
identit et la preuve de cette identit. La mthode utilise peut tre n'importe quelle
mthode EAP.
Une fois que l'identification EAP interne est termine par un paquet de succs ou
d'chec, le tunnel TLS est ferm et le serveur renvoie un nouveau paquet de succs ou
d'chec au client en clair (le contrleur d'accs doit savoir quil faut laisser passer le
client).
Lintrt principal de PEAP est dutiliser une mthode dauthentification lintrieur
dun tunnel TLS.
3. Authentification EAP/TTLS 3. Authentification Faiblesses dEAP
Comme PEAP, TTLS (Tunneled TLS) commence par tablir un tunnel EAP prsente 3 failles identifies :
TLS puis met en uvre une autre authentification dans ce tunnel. Attaque de la mthode dauthentification elle-mme ;
Attaque de dictionnaire hors-ligne possible avec EAP/MD5 (lecture du dfi et du hash
Le mcanisme est donc le mme, les diffrences sont :
et recherche du mot de passe produisant le mme hash);
TTLS a t conu par Funk Software pour sa solution de scurit WiFi :
Odyssey
Attaque de la session une fois que celle-ci est tablie :
TTLS nest pas intgr Windows
Une fois lutilisateur authentifi avec une mthode sure (EAP/TLS), lAP accepte tous
TTLS autorise tout type didentification interne, pas uniquement base dEAP les paquets en provenance de ladresse MAC de celui-ci ;
(PAP, CHAP, MS-CHAP) Le travail dEAP tant termin, le tunnel TLS est ferm et les paquets sont transmis
Possibilit de rajouter des AVP (Attribute-Value Pair) dans les paquets TTLS : en clair ;
Les AVP sont compose du type de lattribut et de sa valeur (par ex. [Prnom, Une simple falsification dadresse MAC permet daccder la session
Alice ]) et permet de transporter des informations supplmentaires
(authentification, rgles de filtrage). Attaque de type Man in the Middle entre le client et le contrleur daccs, le
RADIUS utilise galement les AVP. pirate sidentifie la place du client.
Peu probable dans une connexion PPP mais simple en WiFi (insertion dun AP
pirate).
PEAP et TTLS sont donc 2 mthodes concurrentes avec une meilleure La parade consiste mettre en place un cryptage pour la session dauthentification :
intgration pour la premire et une plus grande souplesse pour la sans les cls de cryptage, le pirate ne pourra ni envoyer ni recevoir
deuxime.
3. Authentification Optimiser EAP/802.1x 3. Authentification EAP : Exemple en WiFi
Le client possde un logiciel de connexion compatible avec le 802.1x (donc avec lEAP)
et supporte deux mthodes dauthentification : PEAP/MS-CHAP-v2 et EAP/TLS.
LAP est compatible 802.1x :
Il na pas besoin de connatre PEAP/MS-CHAP-v2, EAP/TLS, TTLS/PAP ou toute autre
mthode dauthentification particulire.
Il est capable de relayer des requtes EAP vers le client (via la connexion WiFi) et vers le
Attaque MiM serveur dauthentification (via le rseau de lentreprise).
Le serveur RADIUS gre les mthodes dauthentification EAP/TLS et TTLS/PAP :
Le serveur demandera au client de sidentifier selon une mthode. Si le client ne la gre pas, le
serveur en suggrera une autre et ainsi de suite jusqu ce que le client en accepte une.
Dans lexemple, ils tomberont daccord sur la mthode didentification EAP/TLS.
Pour viter les failles EAP et bnficier de la meilleure scurit avec 802.1x :
Utiliser une mthode base de tunnel : EPA/TLS, EAP/TTLS ou PEAP ;
Sassurer que le certificat du serveur est toujours vrifi par les clients ;
Eventuellement mettre en place un certificat pour chaque client ;
Utiliser une mthode dauthentification interne robuste (carte jeton) ;
Sassurer quun cryptage puissant est utilis pendant lauthentification (WPA2 en WiFi).
3. Authentification RADIUS : principe 3. Authentification Connecteurs RADIUS
RADIUS pour Remote Authentication Dial In User Service est un protocole Les mthodes dauthentification pises en charge par les serveur RADIUS sont
d'authentification pour les connexions distance. varies : PAP, CHAP, MS-CHAP, MS-CHAP-v2, EAP/MD5, PEAP/MS-CHAP-v2
Il permet la centralisation des donnes dauthentification. Pour valider les identits, les serveurs RADIUS peuvent :
Il permet galement la gestion des connexions utilisateurs des services distants. Consulter un simple fichier local ;
Consulter une base de donnes type mySQL ou Oracle ;
Scnario de base RADIUS : Consulter un serveur LDAP, un serveur Kerberos ou un contrleur de Domaine Windows.
Lutilisateur se connecte son NAS (Network Acces Server) et fournit son identit ; Le serveur RADIUS peut faire appel un serveur dauthentification existant grce
Le NAS communique avec le serveur suivant le protocole RADIUS pour valider lidentit de un connecteur.
lutilisateur ;
Si lidentit est vrifie, le NAS autorise lutilisateur accder au rseau.
3. Authentification Attributs RADIUS 3. Authentification Paquets RADIUS
RADIUS utilise UDP pour le transport :

Aprs la phase dauthentification, le protocole RADIUS peut fournir au NAS RADIUS est un protocole sans tat ;
des information supplmentaires sous forme dAVP (Attribute-Value Pair) . Permet la rmission dune demande dauthentification un serveur secondaire si le
serveur primaire ne rpond pas ;
Les AVP sont compose du type de lattribut et de sa valeur (par ex.
RADIUS nexige pas une dtection "sensible" de la perte de donnes.
[Prnom, Alice ]) .
Exemples dAVP :
6 types de paquets pour effectuer une authentification RADIUS :
Session-Timeout : entier de 32 bits qui dfinit en seconde la dure de la session,. Access-Request
Au-del, le NAT dconnecte lutilisateur ; Envoy par le NAS, contient les informations sur le client qui souhaite se connecter
Idle-Timeout : indique au NS au bout de combien de seconde lutilisateur doit tre (login/mot de passe, adresse MAC)
dconnect Access-Challenge
Envoy par le serveur pour demander la rmission dun access-request ou des
informations complmentaires.
Le serveur RADIUS est capable de comptabiliser diffrentes informations Access-Accept
sur les connexions : Envoy par le serveur pour autoris la connexion si la vrification des informations est
correcte (peut contenir un AVT du type Session-Timeout).
Nombre de connexions des utilisateurs ; Access-Reject
dure des connexions des utilisateurs ; Envoy par le serveur pour refuser une connexion en cas dchec de lauthentification ou
pour mettre fin une connexion.
Volume des donnes changes ;
Accounting-Request
Cause de la fin de session (dconnexion volontaire, timeout, perte de signal). Envoy par le NAS pour indiquer le dbut (Start) ou la fin (Stop) dune session.
Accounting-Response
Envoy par le serveur pour acquitter le prcdent.
3. Authentification Dialogue RADIUS 3. Authentification RADIUS : format des paquets
Code (1 octet): Length (2 octets):

1 : access-request Taille total du message (de 20
2 : access-accept 4096 octets)
3 : access-reject
4 : accounting-request
Request Authenticator (16 octets):
5 : accounting-response
11 : access-challenge Un nombre alatoire unique
Identifier (1 octet) : Response Authenticator (16 octets):

- Unique pour chaque authentification
MD5 (Code + ID + Length +
- Identique pour une retransmission
RequestAuth + Attributes + Secret)
3. Authentification RADIUS : format des attributs 3. Authentification Scurit RADIUS

Le protocole RADIUS utilise 2 lments de scurit :
Le secret RADIUS qui correspond un long mot de passe connu du serveur et du contrleur
daccs (cl symtrique).
Le secret est utilis pour crypter certains attributs et pour calculer le code de contrle dintgrit
utilis par le rcepteur pour sassurer que le paquet RADIUS na pas t modifi.
La signature (authenticator) RADIUS est un champ de 16 octets prsent dans chaque paquet
Type (1 octet): Length (1 octet): Value (1-253 octets): RADIUS.
1 : User-Name Taille total du message text 1-253 octets Pour un paquet Access-Request, lauthenticator est un nombre alatoire ;
2 : User-Password (max 254 octets) string 1-253 octets Pour un paquet de rponse (Access-Accept, Access-Challenge, Acces-Reject) , lauthenticator
3 : CHAP-Password address 32 bit est calcul en utilisant lalgorithme de hachage MD5 appliqu au paquet de rponse, au nombre
4 : NAS-IP-Address integer 32 bit alatoire et au secret.
5 : NAS-Port time 32 bit Lauthenticator et le secret servent aussi crypter les mots de passe pour les authentifications
6 : Service-Type simples PAP et CHAP.
User-Password :
Le mot de passe est coup en blocs de 16 octets : p1, p2,
c1 = p1 XOR MD5(Secret + Request Authenticator)
c2 = p2 XOR MD5(Secret + c1)

Le mot de passe encod est la concatnation de : c(1)+c(2)+...
4. LAN scuriss WiFi et la scurit 4. LAN scuriss WiFi : chiffrement WEP
Problmes :
Empcher un intrus de se connecter au rseau sans fil (parking attack) ; IV
PRNG
Empcher lcoute clandestine des donnes changes ; ||
Cl partage (RC4)
CRC donnes I V E-T
1re solution : WEP (Wired Equivalent Privacy)
donnes
La cl secrte partage (40 ou 104 bits) est concatne (ajoute) avec un
||
vecteur dinitialisation (IV) sur 24 bits rinitialis chaque trame ; CRC 32
Le rsultat (64 ou 128 bits) est plac dans un PRNG (Pseudo Random ICV
Number Generator) qui gnr une squence alatoire ;
Chiffrement
Paralllement, un calcul dintgrit (CRC) ainsi quune concatnation (ll) est
ralis sur les donnes ;
Une opration ou exclusif entre la squence alatoire et les donnes
Cl partage
permet ensuite de chiffrer celles-ci ; PRNG
|| donnes
Les donnes chiffres sont transmises ainsi que le vecteur dinitialisation (RC4)
(en clair) ; CRC donnes I V E-T
Pour le dchiffrement, lopration inverse est ralise (la cl wep et le
vecteur dinitialisation sont connus la rception).
Dchiffrement Contrle
dintgrit
4. LAN scuriss WiFi : vulnrabilits du WEP 4. LAN scuriss WiFi : Cassage du WEP (1)
Contre la confidentialit : Attaque statistique

Principale faiblesse du chiffrement WEP : utilisation de la mme cl partage pour
un grand nombre dchanges (keystream reuse).
Attaque dcouverte par un hacker nomm KoreK
Possibilit de dchiffrer la cl ds que lon connat un couple texte en clair, texte
chiffr de mme IV. http://www.netstumbler.org/showpost.php?p=89036
Mme si lIV change chaque transmission, une coute du rseau pendant un
temps suffisant permettra de trouver cette cl. Ne ncessite plus la capture de millions d'IV mais se base juste sur le nombre
Faiblesse exploite par certains programmes (aircrack) capables, suivant la taille d'IV uniques capturs.
de la cl et la charge du rseau, de trouver la cl en quelques minutes ou quelques
jours
L'injection de trafic permet d'acclrer grandement la capture des trames :
Faiblesse de RC4 (key scheduling algorithm weakness)
1. Tronque le message chiffr d'un caractre (1 octet) => message invalide
Attaque exhaustive (cl drive d'une passphrase)
2. Suppose une valeur V pour le dernier octet (0 =< V =< 255), corrige le message et
Attaque statistique
rinjecte la trame vers l'AP
Contre l'intgrit :
3. L'AP rejette toute les trames sauf celle ayant le dernier octet valide (rpter 1 - 3)
Modification de paquets (bit flipping)
Injection de faux paquets
Contre l'authentification auprs de l'AP Dcryptage des paquets ARP/IP
http://www.netstumbler.org/showthread.php?t=12489
Fausse authentification (authentication spoofing)
4. LAN scuriss WiFi : cassage du WEP (2) 4. LAN scuriss WiFi : cassage du WEP (3)
Aircrack dernires versions : ng et ptw (Unix & Windows) Aircrack
Trs rapide et performant (cassage de la cl < 10s avec un nombre de trames Les dernires versions (ng et ptw) permet l'injection de paquet aprs rejeu
suffisant) d'une trame arp-request gnrant des IV uniques au niveau de la borne.
Ncessite une mise jour des pilotes (HostAP, Atheros, Prism54, wlan-ng)
Implmente la nouvelle attaque statistique dveloppe par KoreK
Mthodes :
Ncessite un nombre d'IV unique pour pouvoir casser la cl
iwpriv <interface> mode 2
Version ng : Ncessite 300 000 IV uniques pour une cl de 64 bits et 700 000 iwconfig <inteface> mode Monitor channel <channel>
pour une cl de 128 bits ifconfig <iface> up
Version ptw : Ncessite 50 000 IV uniques pour une cl de 128 bits airodump-ng --write "NomFichierSortie" --channel "NumeroChannel" "Interface"
aireplay-ng -3 -e ESSID -b @_mac_AP -h @_mac_station interface
aircrack-ng -x fichier_capture
Trois composants :
airodump pour la capture de paquets (scanne les rseaux et conserve les paquets
qui serviront dcrypter la clef).
aireplay pour linjection de paquets dans le but de stimuler le rseau et augmenter le
nombre de captures.
aircrack pour trouver la cl partir des informations captures par d'airodump
(ncessite un nombre minimum de paquets)
4. LAN scuriss WiFi : autres solutions de scurit 4. LAN scuriss WiFi : le chiffrement WPA
WPA (Wi-Fi Protected Access) : recommandation de la Wi-Fi Alliance
fonde sur un sous ensemble de la norme 802.11i.
Cls WEP de 256 bits : plusieurs GO de donnes et plusieurs jours, voir
Depuis 2003 tous les produits certifis au label WiFi doivent supporter
plusieurs semaines pour rcuprer la cl ;
cette recommandation.
Modifier rgulirement la cl (les AP proposent gnralement 4 cls au choix
mais il faut alors changer galement la cl sur les stations ) ;
Cls de cryptage :
Limiter la porte des AP aux locaux de lentreprise pour viter les attaques
gnration et distribution par lAP de cls dynamiques avec TKIP (Temporal
de parking ;
Key Integrity Protocol) ;
Activer sur lAP un filtrage par adresses MAC ; TKIP gnre une cl par trame (WEP : mme cl pour toute la cellule et
Dsactiver sur le point daccs la diffusion du SSID ; toutes les trames) ;
Dsactiver sur le routeur Wifi le service DHCP ; vecteur dinitialisation de 48 bits (24 bits pour WEP) ;
Utiliser le protocole de cryptage WPA (Wi-Fi Protected Access) qui est une code MIC (Message Integrity Code) pour vrifier lintgrit de toute la trame.
amlioration de WEP et fait appel l'algorithme TKIP (Temporal Key Integrity

Protocol) pour changer la cl dynamiquement plusieurs fois par seconde ; Mode dauthentification :
Utiliser un algorithme plus robuste comme AES (Advanced Encryption mode personnel ou mode PSK (Pre-Shared Key) : saisie dun mot de passe
Standard) propos dans la nouvelle norme sans fil 802.11i. alphanumrique ( passphrase ) ;
mode entreprise : base du protocole 802.1x, avec une authentification
centralise des utilisateurs partir dun serveur de type RADIUS.
4. LAN scuriss WiFi : WPA et le mode PSK 4. LAN scuriss WiFi : WPA-PSK +TKIP ou AES
Le mode PSK (Pre-Shared Key) est conu pour les rseaux individuels qui ne peuvent se
permettre le cot et la complexit d'une solution utilisant un serveur d'identification 802.1x.
La PSK est une phrase secrte (passphrase) partage par le client et lAP pouvant contenir de
8 63 caractres ASCII ou 64 octets (256 bits).
La PSK permet de gnrer la PMK (Pairwise Master Key) de 256 bits grce une fonction de
hachage cryptographique :
PMK = PBKDF2(passphrase, ssid, ssidLength, 4096, 256)
La PMK peut tre gnre directement en entrant un mot de 64 octets la place de la
passphrase (mthode plus sur car elle vite les attaque par dictionnaire). WPA-PSK pour lauthentification
LA PMK est ensuite utilise pour une authentification en 4 tapes. TKIP ou AES pour le cryptage
La plupart des OS permettent l'utilisateur de stocker la passphrase sur l'ordinateur afin de ne
pas avoir la saisir nouveau mais cependant sous forme PMK, c'est--dire dj hache. WPA = PSK + TKIP
WPA2 = PSK + AES = 802.11i
Nommage Alliance
4. LAN scuriss WiFi : WPA et AES 4. LAN scuriss WiFi : WPA et 802.1x
Le standard de chiffrement avanc AES (Advanced Encryption Standard), aussi connu Authentification base du protocole 802.1x et centralise pour tous les utilisateurs
sous le nom de Rijndael, est un algorithme de chiffrement symtrique. partir dun serveur de type RADIUS.
AES a t choisi en 2000 pour remplacer DES (standard des annes 1970) qui utilisait Le client possde un logiciel de connexion compatible avec le 802.1x (donc avec lEAP)
des clefs de 56 bits, contre 128 256 pour AES. et supporte une mthode dauthentification (EAP/TLS par ex.)
Principe : LAP est compatible 802.1x :
L'algorithme prend en entre un bloc de 128 bits (16 octets), la cl fait 128, 192 ou 256 bits. Il na pas besoin de connatre EAP/TLS ou toute autre mthode dauthentification particulire.
Les 16 octets en entre sont permuts selon une table dfinie au pralable. Il est capable de relayer des requtes EAP vers le client (via la connexion WiFi) et vers le
Ces octets sont ensuite placs dans une matrice de 4x4 lments et ses lignes subissent une serveur dauthentification (via le rseau de lentreprise).
rotation vers la droite. L'incrment pour la rotation varie selon le numro de la ligne. Le serveur RADIUS gre la mthode dauthentification EAP/TLS :
Une transformation linaire est ensuite applique sur la matrice, elle consiste en la Le serveur demandera au client de sidentifier selon une mthode. Si le client ne la gre pas, le
multiplication binaire de chaque lment de la matrice avec des polynmes issus d'une matrice serveur en suggrera une autre et ainsi de suite jusqu ce que le client en accepte une.
auxiliaire.
Finalement, un XOR entre la matrice et une autre matrice permet d'obtenir une matrice
intermdiaire.
Ces diffrentes oprations sont rptes plusieurs fois et dfinissent un tour . Pour une cl
de 128, 192 ou 256, AES ncessite respectivement 10, 12 ou 14 tours.
4. LAN scuriss WiFi : vulnrabilits de WPA 4. LAN scuriss WiFi : exemple de capture
Faiblesses du WPA :
attaque de type dni de service .
un envoi dau moins deux paquets chaque seconde utilisant une cl de
cryptage incorrecte provoque un blocage de lAP qui rinitialise toutes les
connexions utilisateurs pendant une minute.
mcanisme de dfense pour viter les accs non-autoriss un rseau
protg, mais pouvant bloquer tout un rseau sans fil.
Version aircrack pour WPA-PSK, base sur une attaque par dictionnaire.
Amliorations de WPA :
SSID (Service Set IDentifier) scuris ;
WPA2 : nouveau protocole CCMP (Counter-Mode/Cipher Block Chaining
Message Authentication Code Protocol) bas sur le chiffrement AES
(Advanced Encryption Standard ) et une meilleure protection au niveau
MAC.
Standard 802.11i : implmente les deux protocoles de niveau MAC (TKIP et Cryptage WPA2/CCMP
CCMP/AES) et supporte les architectures antrieures (WEP, PSK).
4. LAN scuriss WiFi : exemple de capture 4. LAN scuriss Bluetooth
Scurit base sur l'exploitation des trois notions suivantes :

une adresse dpendante du dispositif physique :
1 carte Bluetooth 1 adresse permanente de 48 bits.
@ rgies par l'IEEE, quivalent de l'adresse MAC pour les cartes rseau
Ethernet.
un code personnel d'identification : code personnel attribu l'utilisateur qui
permet de l'identifier.
Code PIN stock sur 1 16 octets.
un dispositif de gnration de nombre alatoire sur 128 bits.
Ces trois lments primaires permettent de gnrer des cls

d'authentification et de cryptage pour de scuriser les transferts.
Donnes dcrypte
4. LAN scuriss Bluetooth : 3 modes de scurit 4. LAN scuriss Bluetooth : un gestionnaire de scurit
Mode de scurit n1 : le moins fiable. Avant l'tablissement d'une connexion, le gestionnaire de scurit
(Security Manager) choisit la politique de scurit partir :
Aucune fonction de scurit n'est active. Permet donc tous les autres
du type de service utilis ;
dispositif Bluetooth de se connecter.
du dispositif distant avec lequel la communication va s'effectuer (son type et
Mode de scurit n2 : garantit une scurit aprs la connexion. son niveau de scurit).
Les fonctions offertes agissent au niveau application. Le Security Manager dcide du niveau d'authentification utilis et du
type de cryptage.
Mode de scurit n3 : hrite des fonctionnalits du mode 2 + fonctions
d'authentification et de cryptage avant que la connexion ne soit tablie.
Les informations dont a besoin le gestionnaire sont stockes dans deux
bases de donnes :
En plus de ces trois modes de scurit : deux niveaux de scurit pour les
la base de donnes des dispositifs physiques stocke le type de dispositif,
dispositifs physiques (fiable ou non fiable) et trois pour les services (Autoris son niveau de fiabilit et la taille de ses cls de cryptage ;
et Authentifi, Authentifi, Accs libre). la base de donnes des services : informations relatives au niveau de
scurit service et au mode d'acheminement de l'information.
4. LAN scuriss Bluetooth : mcanismes scuritaires propritaires 4. LAN scuriss Gnration et utilisation des cls
Diffrentes cl sont gnres partir du nombre alatoire de 128 bits et du code PIN PIN User Input
PIN. (Initialization)
Suivant linstant et la localisation, ces cls ont diffrents

rles : E2 E2
lors de l'initialisation du composant (unit key) ;
lors d'une communication initie par un seul dispositif (init
key) ; Authentication (possibly)
lors de l'amorce d'une communication bi-partie (link key) ; Link Key Link Key Permanent
KAD
lors d'une communication du matre destine plusieurs D Storage
A
destinataires (master key) ;
toutes ces cls sont gnres par les algorithmes
propritaires E0, E1, E3, E21, E22.
KMD KMA E3 E3
Les transactions entre diffrentes entits Bluetooth se
font via la "cl de lien" (link key ) partage. M KMB
Aprs gnration de la cl de lien et authentification
rciproque, une cl de cryptage est gnre (encryption KMC Encryption
B Temporary
key) Encryption Key Encryption Key Storage
Possibilit dutiliser une cl diffrente pour chaque paire C
dquipements communiquant.
E1, E2 : algorithmes propritaires
4. LAN scuriss Les vulnrabilits de Bluetooth 4. LAN scuriss Scurit dans ZigBee
Dnis de services : Les lments d'un rseau sans fil sont nomades, et dpendent d'une
source dnergie limite.
Attaque possible : surcharger de travail la machine attaquer pour consommer le plus
rapidement possible son nergie. Travaux en cours contre cette faille. Authentification et cryptage.
Confidentialit : N'importe qui peut couter les trames mises dans l'atmosphre il est
Utilisation du cryptage AES (Advanced Encryption Standard)
facile de loguer les diffrentes connexions en identifiant les protagonistes l'aide du 128 bits.
code PIN ou de l'adresse Bluetooth des dispositifs physiques.
Concept dun centre de confiance .
Vol d'identit : Link key base sur la unit key vol ais de l'identit d'un correspondant. Cls de liens et de rseaux.
Ex. : A et B communiquent en se basant sur la unit key de A, un troisime intervenant C
peut venir communiquer avec A et obtenir cette cl C peut utiliser l'adresse Bluetooth La scurit peut tre personnalise en fonction de
de B pour se faire passer pour lui...
lapplication.
Trous de scurit dans les algorithmes : Code PIN trop court algorithmes de scurit Les cls peuvent cbles dans lapplication.
propritaires relativement inefficaces. Code facile retrouver si code PIN de 5
caractres (longueur standard en Bluetooth).
4. LAN scuriss Scurit dans WiMax 4. LAN scuriss Scurit dans WiMax
Grer par le gestionnaire de cls PKM (Privacy Key Management) de la sous- La SS (Subscriber Station) envoie sont certificat contenant sa cl publique.
couche scurit. La BS (Base Station) vrifie le certificat et gnre une cl dAuthentification
Le certificat de la station dabonn (Subscriber Station) est dfinie partir (AK : Autenthication Key).
dune chane de certification. Le BS crypte AK avec la cl publique de la SS et la transmet (cryptage
RSA).
La SS dcrypte AK.
La cl de cryptage de trafic TEK (Trafic Encryption Key) est gnre sur la
BS et chiffr avec un cl drive de AK.
La TEK sert pour le cryptage du trafic qui suit (cryptage DES-CBC).
Points faibles :
Pas dauthentification la BS par la SS ;
Algorithme DES peu sur ;
Gestion de la PKI.
Dfauts en partie corrig sur WiMax Mobile :
authentification mutuelle RSA + EAP ;
chiffrement AES.
4. LAN scuriss Scurit dans WiMax
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 145

Cours Secu LAN Lohier

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cours Secu LAN Lohier

Uploaded by

Copyright:

Available Formats

Objectifs de la scurit 4 objectifs

Scurit des LAN

Objectifs de la scurit Moyens pour les atteindre 1. Architectures Firewall : Principe

Phase de connexion TCP

Agresseur SYN=0 ACK=1

1. Architectures Rgles dun Firewall 1. Architectures Exemple de rgles dun firewall

Les rgles A et B permettent aux machines locales (192.168.0.0) douvrir une

B In 0.0.0.0 192.168.0.0 TCP 80 >1023 Permit

C Out 192.168.0.0 0.0.0.0 TCP >1023 25 Permit

D In 0.0.0.0 192.168.0.0 TCP 25 >1023 Yes Permit

E All All All All All All Deny

iptables est le programme qui permet un administrateur de configurer Netfilter.

Exemple : on rejette les pings entrants : accessibles

1. Architectures DMZ : 2 niveaux de Firewall 1. Architectures Proxy

Rseau interne Firewall Firewall

1. Architectures Exemple : NAT vu par Cisco 1. Architectures NAT et PAT

1. Le PC 10.1.1.1 envoie son premier paquet vers le serveur 170.1.1.1.

1. Architectures Exemple de VPN vu par Cisco 1. Architectures Protocoles VPN

Diffrents niveaux de protocoles

Rseau non scuris

1. Architectures VPN : protocole L2TP 1. Architectures VPN : encapsulation L2TP

L2TP offert par lISP :

L2TP ralis par le client :

Il ny a pas de chiffrement des donnes.

1. Architectures VPN : paquet IPSEC 1. Architectures VPN : modes IPSEC

IPSEC : Encapsulated security payload (ESP) IPSEC : Modes transport et tunnel

Des donnes supplmentaires d'authentification (optionnel).

IPSEC : Internet Key Exchange (IKE) Cryptage Donnes Dcryptage

2. Cryptage Cryptage symtrique/asymtrique 2. Cryptage Exemple de chiffrement : RSA

Cryptage Donnes Dcryptage La cl publique est le couple (e,n).

Il "suffit" de factoriser n pour cracker RSA.

2. Cryptage La signature 2. Cryptage Signature et authentification

Pour signer un message, on peut le chiffrer avec la cl prive.

2. Cryptage Asymtrique ou symtrique ? 2. Cryptage Les certificats

Le chiffrement asymtrique est plus utile. Intrt des certificats

Un certificat contient au moins les informations suivantes :

Il existe deux types de certificats prvalents :

2. Cryptage Certificats : PKI et CA 2. Cryptage Architecture dune PKI

Les PKIs Autorit de

Chaque nouveau participant doit se prsenter.

2. Cryptage Protocole SSL 2. Cryptage Protocole SSL

Le protocole SSL (Secure Socket Layer) a t propos au dpart par

Les 4 premires trames correspondent au dialogue (handshake protocol) pour la

2. Cryptage Applications utilisant SSL 2. Cryptage HTTPS

Les donnes HTTP sont changes lintrieur dun tunnel SSL.

Il est possible de scuriser des protocoles en crant des tunnels SSL.

SSL a t dvelopp lorigine par Netscape (jusqu la version 2.0).

HTTPS utilise le port 443

2. Cryptage Certificats SSL/HTTPS 2. Cryptage Certificats SSL/HTTPS

Lorsque la connexion SSL s'tablit, le navigateur vrifie que le certificat du serveur a

La scurit est garantie par une authentification l'tablissement de chaque connexion

2. Cryptage Initialisation SSH 2. Cryptage Initialisation SSH

Suit la phase dinitialisation de SSH qui correspond la couche SSH-TRANS et consiste

Phase dauthentification (couche SSH-AUTH)

Par clef RSA ou DSA (publickey)

Par certificat X.509

2. Cryptage Tunneling SSH 2. Cryptage Redirection de port SSH

3. Authentification Principe 3. Authentification Locale sous Linux

Lorsquun utilisateur veut accder un contrleur de domaine, le KDC de ce

3. Authentification Kerberos 3.Authentification Distante : par une liaison PPP

(4) Voil ton TS

(5) Voil mon TS, tu Services rseau

(6) OK, ta session est

PAP (Password Authentication Protocol) est le plus simple des mcanismes