Mécanismes de sécurité

3,900 views
3,724 views

Published on

- Confidentialité
- Intégrité
- Disponibilité(Contrôle d ’accès)
- Authentification & Non-répudiation
- Autorisation

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,900
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
103
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Mécanismes de sécurité

  1. 1. <ul><li>Sophistication </li></ul>+ de Succès GENERALISATION RESEAUX PRIVES INTRANETs /Extranets Monopole Technologique TCP/IP (Uniformité) <ul><li>Vide Juridique (Internet)/«Immatérialisme » des Intrusions </li></ul><ul><li>Impunité </li></ul><ul><li>Hackers(Challenge) </li></ul><ul><li>Criminalité (Métier) </li></ul>« S.M.Intrus » <ul><li>Terrorisme (Warefare) </li></ul><ul><li>Espionnage </li></ul>SUCCES D’INTERNET INTERNET SMI <ul><li>ENJEUX CONSIDERABLES : </li></ul><ul><li>Economiques(Commerce electronique (132 Milliards de $ en 2000) ) </li></ul><ul><li>Scientifiques/Culturels </li></ul><ul><li>Sociaux/Politiques </li></ul>=Centre névralgique de l’émergente SMI : <ul><li>Convoitise </li></ul>INTRUS COLLABORATION «ANONYME » ENRICHISSEMENT « Abusif » DES SERVICES TCP/IP -SECURITE +COMPLEXITE Essai S + Failles + INTRUS 311 N.Intrusions(CERT) +48% Virus
  2. 2. RADIOSCOPIE D ’ UNE INTRUSION : 2 PHASES INTERNET PASSIVES Attaques <ul><li>Comptes/Ports dangereux </li></ul><ul><li>Fichiers de mots clés... </li></ul><ul><li>Erreurs de CONFIG </li></ul><ul><li>Versions à PBs </li></ul>SONDAGE Automatiques Ciblés INTERNET Sniffeurs ESPIONNAGE «ABUS» <ul><li>Analyse des Flux </li></ul><ul><li>Récolte de Passwords </li></ul><ul><li>Récolte de séquences à </li></ul><ul><li>rejouer </li></ul>
  3. 3. NOC I VES ATTAQUES « ACTIVES » confidentialité, Corruption Intégrité Disponibilité du réseau <ul><li>ABUS des INTERLOCUTEURS (Masquerade) </li></ul><ul><ul><li>IP-Spoofing, TCP-Spoofing </li></ul></ul><ul><ul><li>Sites Web « Fantômes » </li></ul></ul><ul><ul><li>… </li></ul></ul>Canaux Cachés ,…. <ul><li>Implantation de Chevaux de Troie ( Effacer les traces...), Sniffeurs, </li></ul>Compte ROOT ….. <ul><li>IMMOBILISATION sélective ou GLOBALE (DENI DE SERVICE ) </li></ul><ul><li>Corruption de Comptes UTILISATEUR </li></ul><ul><li>Implantation de Codes Malicieux (Virus, Vers ...) </li></ul>. . .
  4. 4. EXEMPLES D ’ ATTAQUES SIMPLES - «Land » : SYN avec SOURCE (@IP, Port)= DESTINATION((@IP, Port) - «TearDrop » ….. « PING of DEATH » Taille (Paquet IP)> 65536 « SYN ATTACK » Séquence de Paquets SYN «SMURF Attack» PING DIFFUSE avec @IP(retour) dans Intranet Attaqué
  5. 5. MECANISMES DE SECURITE <ul><li>Confidentialité </li></ul><ul><li>Intégrité </li></ul><ul><li>Disponibilité(Contrôle d ’accès) </li></ul><ul><li>Authentification & Non-répudiation </li></ul><ul><li>Autorisation </li></ul>
  6. 6. 1- CONFIDENTIALITE CHIFFREMENT I- SYMETRIQUES 1 Clé SECRETE II- ASYMETRIQUES (Clé PUBLIQUE , Clé PRIVEE)  Secrète Publique Message Clair1 Message Clair1 Message Clair S  S Message Clair P  + Authentification P Publiée sans risque (Répertoires PUBLICS)
  7. 7. Algos Symétriques : PLUSRapides (~1000xAsym) <ul><li>Algos ASYMETRIQUES </li></ul><ul><li>PLUS PRATIQUES: </li></ul><ul><li>Conviennent à des Env MULTI-UT « Anonymes » (Publication des clés) </li></ul>INTERNET : UT ALGOS HYBRIDES(SYM+ASYM) CHIFFREMENT SUR INTERNET S Clé de session(aléatoire) S Message Clair S INTERNET  S Message Clair P S P S (Enveloppe Digitale)
  8. 8. FORCE SYSTEME CRYPTOGRAPHIQUE QUALITES CONCEPTUELLES <ul><li>Attaques « Expertes » (chosen plaintext,known plaintext, ciphertext-only, Timing </li></ul><ul><li>RETROUVER la CLE (SYM) </li></ul>// DERIVER CLE PRIVEE(ASYM) RESISTANCE A LA CRYPTOANALYSE <ul><li>Failles fonctionnelles </li></ul><ul><li>(Algos+Protcoles Cryptographiques </li></ul><ul><li>PAS DE PREUVE FORMELLE ABSOLUE </li></ul><ul><li>(PREUVES RELATIVES A Failles CONNUES et puissance de traitement) </li></ul>? N bits <ul><li>Attaque (Non Experte) par Recherche EXHAUSTIVE </li></ul>2 N clés EXPORT 40 bits -DES 56 bits -IDEA,CAST 128 bits Efficacité -AES(2001) 256 bits Taille-clé Skipjack 160bits SOL(Taille clé): Chiffrement Multiple DES(56bits) DES(56bits) DES(56bits) :3x56= 168 bits (ou 112) 3 DES QUALITE DE L ’ IMPLEMENTATION FAITE +
  9. 9. QUALITE DE L ’ IMPLEMENTATION FORCE SYSTEME CRYPTOGRAPHIQUE - DISRIBUTION et AUTHENTIFICATION DES CLES : -Mode d ‘ Utilisation, Stockage … <ul><li>? Compression des données(Avant) </li></ul><ul><li>GESTION DES CLES : </li></ul><ul><li>Détails d ’Implémentation : </li></ul><ul><li>Mode de Chiffrement (ECB, CBC ,CFB, OFB) . . . </li></ul><ul><li>Génération des clés </li></ul>Pass-phrase Générateur de Nombres Purement aléatoires Pub CERTIFICATS -Révocation, Terminaison... CA S Gérés et délivrés sur INTERNET par des AUTORITE(s) DE CERTIFICATION(CA) (Hiérarchie de CAs) CONFIDENTIALITE CHIFFREMENT
  10. 10. 2- CONTROLE I NTEGR I TE FONCTIONS DE HASHAGE IMPOSSIBLE MD5, SHA-1 Taille QUELCONQUE Taille FIXE (128 /160 bits) MESSAGE SCELLE FONCTION DE HASHAGE FONCTION DE HASHAGE SCELLE MESSAGE + MESSAGE INTEGRE SI IDENTIQUES
  11. 11. 3- AUTHENT I C I TE SIGNATURE DIGITALE MESSAGE SIGNATURE D O N N E E S Algos ASYM : DSA, DH, RSA FONCTION DE HASHAGE SCELLE Chiffrement ASYM S Clé Privée + SIGNATURE MESSAGE + P CA CERTIFICATs Chiffrement Hybride
  12. 12. 4- NON REPUD I AT I ON SIGNATURE DIGITALE et Notaires Electroniques MESSAGE SIGNATURE SET MESSAGE FONCTION DE HASHAGE SCELLE Chiffrement S HORDOTAGE + Autres Infos (selon Notaire) NOTAIRE SIGNATURE SIGNATURE MESSAGE + RECEPTEUR INTERNET P
  13. 13. 5- AUTOR I SAT I ON MOTS CLES DE SESSION(One Time Passwords) <ul><li>Radius </li></ul><ul><li>Tacacs+ </li></ul><ul><li>(Kerberos) </li></ul>INTERNET Challenge Challenge CRYPTE(clé de session) COMPARAISON OK Challenge S S S <ul><li>Soft : OTP (S/Key) </li></ul><ul><li>Harde (Token/cartes): </li></ul><ul><li>SecID, Activcard, Fortezza,... </li></ul>DES
  14. 14. 6-CONTROLE D ’ ACCES I - APPROCHE « PESSIMISTE » : FIREWALL <ul><li>VPN: Encapsulation, Chiffrement et Authentification </li></ul><ul><li>des Communications entre EXTRANETs </li></ul>Audit des Communications + (Frontiére=>)Fonctions Additionnelles: <ul><li>Contrôle du CONTENU : Virus, </li></ul><ul><li>Mail ( @ ,mots-clés), Web ( @ ,mots-clés,labels),FTP,Telnet,Chat,... </li></ul><ul><li>NAT , Load-balancing, (SIR)... </li></ul>IPSec, S/WAN, (IPv6) F Internet Serveurs Web Mail... Zone Démilitarisée (DMZ) Système FIREWALL
  15. 15. CONTROLE D ’ ACCES II - APPROCHE « OPTIMISTE » : Analyseurs de Sécurité <ul><li>Contrôle AUSSI les Intrusions Internes </li></ul><ul><li>Contrôle SOUPLE des services INTERRACTIFS </li></ul><ul><li>(Web, Chat..) </li></ul>Analyseurs de Sécurité Internet Analyseurs de Sécurité Internet F APPROCHE COMBINEE: I+II Intranet SANS LES RETARDER
  16. 16. ASPECTS GESTION POLITIQUE DE SECURITE SECURITE = UN TOUT {1-Plan/Organisation + 2-Décisions/Régles +3-Mécanismes} 1 ° Etablissement METHODIQUE d’une POLITIQUE DE SECURITE CIBLEE et EVOLUTIVE : Analyse des RISQUES ( Quoi Protéger, Contre QUOI, RISQUES) Etablissement SHEMA DIRECTEUR SECURITE <ul><li>Schéma organisationnel </li></ul><ul><li>Réglementation d ’UT d ’Internet </li></ul><ul><li>Règles de réaction Si Intrusion </li></ul><ul><li>Procédures d ’Audit </li></ul>Mesures Organisationnelles {Guides} Mesures TECHNIQUES <ul><li>Mesures Physiques </li></ul><ul><li>Mécanismes de Protection </li></ul><ul><li>Mécanismes d ’Audit </li></ul>
  17. 17. OUTILS d’AUDIT AUDIT PREVENTIF DETECTION D ’INTRUSIONS <ul><li>Audit STATIQUE du système Contre </li></ul><ul><li>LES FAILLES CONNUES( Avis CERT ) </li></ul><ul><li>Failles de Configuration, Versions à Failles…. </li></ul>AUDIT des ESSAIS D ’INTRUSIONS <ul><li>ISS,SATAN,COPS, TIGER… </li></ul><ul><li>Mscan (intrus) </li></ul>RealSecure(2), RECH: famille IDES(1+2), Outils de cryptage des fichiers d’audit 2-Approche PAR SCENARIOS (Intrusions CONNUES) 1-Approche COMPORTEMENTALE (Intrusions INCONNUES)

×