La citadelle électronique Systèmes d’authentifications Sylvain Maret (sylvain.maret@e-xpertsolutions.com) Novembre 2002 Version 1.12

Agenda Introduction Elements d’un système d’authentification Les attaques Facteurs d’authentifications Que sécuriser ? Quelle technologie d’authentification ?

Introduction

Elements d’un système d’authentification

Les attaques

Facteurs d’authentifications

Que sécuriser ?

Quelle technologie d’authentification ?

Agenda Les « Tokens » Challenge Response Authentification indirecte Kerberos Biométrie

Les « Tokens »

Challenge Response

Authentification indirecte

Kerberos

Biométrie

Introduction

Introduction Tour d’horizon des technologies d’authentification Clé de voute pour la construction de la citadelle électronique 1er besoin pour la sécurité du système d’information

Tour d’horizon des technologies d’authentification

Clé de voute pour la construction de la citadelle électronique

1er besoin pour la sécurité du système d’information

Authentification… L’identification et l’authentification sont la base des services de sécurité Autorisation Auditing Non répudiation Confidentialité

L’identification et l’authentification sont la base des services de sécurité

Autorisation

Auditing

Non répudiation

Confidentialité

Identification et authentification ? Identification Qui êtes vous ? Authentification Prouvez le !

Identification

Qui êtes vous ?

Authentification

Prouvez le !

Elements d’un système d’authentification

Les 6 élements d’un système d’authentification Entité ou personne Charactéristique Unique Propriétaire du système Mécanisme d’authentification Mécanisme de contrôle d’accès Mécanisme d’archivage

Entité ou personne

Charactéristique Unique

Propriétaire du système

Mécanisme d’authentification

Mécanisme de contrôle d’accès

Mécanisme d’archivage

Exemple avec Ali Baba … Entité La personne qui connait le mot de passe Caractéristique Unique Le mot de passe: « Sésame, ouvre toi ! » Le propriétaire de la caverne Ali Baba et Les 40 voleurs

Entité

La personne qui connait le mot de passe

Caractéristique Unique

Le mot de passe: « Sésame, ouvre toi ! »

Le propriétaire de la caverne

Ali Baba et Les 40 voleurs

Exemple avec Ali Baba Mécanisme d’authentification Elément magique qui répond au mot de passe Mécanisme de contrôle d’accès Mécanisme pour rouler la pierre ou les pierres Mécanisme d’archivage Journal des évenements

Mécanisme d’authentification

Elément magique qui répond au mot de passe

Mécanisme de contrôle d’accès

Mécanisme pour rouler la pierre ou les pierres

Mécanisme d’archivage

Journal des évenements

Login par mot de passe Mécanisme d’authentification Login Process Mécanisme de contrôle D’accès Propriétaire La personne Caractéristique unique Mot de passe Computer Ressources Mécanisme D’archivage

Les attaques

Les attaques courantes… Brute force - Password Guessing Network Sniffing ARP spoofing Environement « Switché » Cheval de Troie, Back Door (Virus) Social Engineering

Brute force - Password Guessing

Network Sniffing

ARP spoofing

Environement « Switché »

Cheval de Troie, Back Door (Virus)

Social Engineering

Facteurs d’authentifications

Les facteurs d’authentification Quelque chose que l’on connait PIN, Mot de passe, etc. Quelque chose que l’on possède Tokens, Carte à puce, badge, etc. Quelque chose que l’on est Biométrie

Quelque chose que l’on connait

PIN, Mot de passe, etc.

Quelque chose que l’on possède

Tokens, Carte à puce, badge, etc.

Quelque chose que l’on est

Biométrie

Authentification forte Un minimum de deux facteurs Smartcard + PIN Token + PIN Biométrie avec Smartcard Etc.

Un minimum de deux facteurs

Smartcard + PIN

Token + PIN

Biométrie avec Smartcard

Etc.

Que sécuriser ?

Que sécuriser ? Equipements réseaux Routeurs, Switchs, etc. Systèmes d’accès aux réseaux Remote access Firewall Serveurs du système d’information Unix, NT, Main Frame, AS400, etc. Postes de travail Windows (NT, 2000, XP, etc.) Applications Web, ERP, Back office, etc.

Equipements réseaux

Routeurs, Switchs, etc.

Systèmes d’accès aux réseaux

Remote access

Firewall

Serveurs du système d’information

Unix, NT, Main Frame, AS400, etc.

Postes de travail

Windows (NT, 2000, XP, etc.)

Applications

Web, ERP, Back office, etc.

Quelle technologie d’authentification ?

Quelle technologie d’authentification ? Password standard Tokens Challenge Response Authentification indirecte Radius, Tacacs+ Kerberos Biométrie PKI (Smartcard, Tokens USB) Etc.

Password standard

Tokens

Challenge Response

Authentification indirecte

Radius, Tacacs+

Kerberos

Biométrie

PKI (Smartcard, Tokens USB)

Etc.

Les « tokens »

Les « Tokens » Quelque chose que vous possédez Généralement authentification forte (PIN+Token) Deux grande familles Passive Tokens Active Tokens

Quelque chose que vous possédez

Généralement authentification forte (PIN+Token)

Deux grande familles

Passive Tokens

Active Tokens

Passive Tokens Contient un secret unique (Base Secret) Secret unique partagé Type de Tokens Badge de proximité Carte magnétique Etc. Généralement authentification « faible » Pas de deuxième facteur

Contient un secret unique (Base Secret)

Secret unique partagé

Type de Tokens

Badge de proximité

Carte magnétique

Etc.

Généralement authentification « faible »

Pas de deuxième facteur

Mode de fontionement Token + (PIN) = Base Secret Base Secret

Active Tokens Contient un secret unique (Base Secret) Secret unique partagé Facteur commun changeant Résultat: One Time Password (OTP) Mode de fonctionnement dit synchrone Counter Based Clock Based Hybride

Contient un secret unique (Base Secret)

Secret unique partagé

Facteur commun changeant

Résultat: One Time Password (OTP)

Mode de fonctionnement dit synchrone

Counter Based

Clock Based

Hybride

Mode de fontionement Token + (PIN) Facteur commun changeant Facteur commun changeant = = Base Secret Base Secret

Counter Based Tokens Hash Counter +1 OTP Facteur commun Secret unique partagé Base Secret

Clock Based Tokens Hash OTP Secret unique partagé Base Secret

Protection des tokens Deuxième facteur par PIN Personal Identifier Number Deux solutions PIN externe PIN interne

Deuxième facteur par PIN

Personal Identifier Number

Deux solutions

PIN externe

PIN interne

PIN Code interne Hash Clock or Counter PIN unlock Base Secret OTP Base Secret

PIN Code externe Hash Clock or Counter + PIN * OTP * Shoud use encryption (SSL, IPSEC, SSH Base Secret

RSA SecurID De facto standard Grandes banques, industries, gouvernements Système basé sur le temps Très portable Grand nombre d’agents (env. 300) Facilité d’utilisation

De facto standard

Grandes banques, industries, gouvernements

Système basé sur le temps

Très portable

Grand nombre d’agents (env. 300)

Facilité d’utilisation

RSA SecurID Seed Time 482392 ACE/Server Token Algorithm Seed Time 482392 Algorithm Same Seed Same Time

RSA ACE/Server (Primary) RSA ACE/Agents NT/ Unix Novell Intranet Firewall RSA ACE/Server (Replica) VPN RSA ACE/Agents Web Server RSA ACE/Agent Firewall RAS DMZ Internet

Challenge Response

Challenge Response Basé sur un challenge ( nonce) Basé sur un secret unique Calcul du challenge avec une fonction de hachage Mode de fonctionnement dit asynchrone

Basé sur un challenge ( nonce)

Basé sur un secret unique

Calcul du challenge avec une fonction de hachage

Mode de fonctionnement dit asynchrone

Mode de fontionement nonce ( adf341gf) dupont nonce = adf341gf response = ff747dgd4 = Base Secret Base Secret

Norme X9.9 Standard ouvert pour Challenge Response US Gouvernement American Bankers Association Utilisation de « DES » comme Hash Problème de « Password Guessing » Migration vers « AES »

Standard ouvert pour Challenge Response

US Gouvernement

American Bankers Association

Utilisation de « DES » comme Hash

Problème de « Password Guessing »

Migration vers « AES »

Norme X9.9 Hash (DES encrypt) Random Challenge Nonce OTP Response Base Secret

S/Key OTP dévellopé par Bellcore 1990, pour Login Unix Basé sur un secret unique Basé sur un pseudo challenge Challenge pas aléatoire Calcul du « challenge » par « Token Soft » Ou liste à barrer Utilisation de Hachage MD4, MD5, etc.

OTP dévellopé par Bellcore

1990, pour Login Unix

Basé sur un secret unique

Basé sur un pseudo challenge

Challenge pas aléatoire

Calcul du « challenge » par « Token Soft »

Ou liste à barrer

Utilisation de Hachage

MD4, MD5, etc.

S/Key Hash Seed S/Key Response Counter (99, 98, 97, etc.) digest Table S/Key Human Readable Base Secret

Démo S/Key Counter Seed OTP Base Secret

Microsoft NT Lan Manager Windows NT 4.0 Stockage des password dans la SAM Security Accounts Manager Utilisation d’un challenge Response DES et maintenant MD4 Problème de password « Guessing » Dump SAM (pwdump) Sniffer réseau (SMB sniffer)

Windows NT 4.0

Stockage des password dans la SAM

Security Accounts Manager

Utilisation d’un challenge Response

DES et maintenant MD4

Problème de password « Guessing »

Dump SAM (pwdump)

Sniffer réseau (SMB sniffer)

Protection SAM Microsoft Utilitaire « Sytem Key » Encryption SAM PIN Code Boot PIN dans la registry PIN sur une disquette

Utilitaire « Sytem Key »

Encryption SAM

PIN Code

Boot

PIN dans la registry

PIN sur une disquette

Authentification indirecte

Authentification indirecte Sécurisation des accès réseaux et systèmes Gestion centralisée des utilisateurs Facilité de gestion des mot de passe Autorisation Archivage des évenements Utilisation d’un serveur d’authentification tier Protocole standard comme Radius

Sécurisation des accès réseaux et systèmes

Gestion centralisée des utilisateurs

Facilité de gestion des mot de passe

Autorisation

Archivage des évenements

Utilisation d’un serveur d’authentification tier

Protocole standard comme Radius

Authentification indirecte Authentication Server Resource Server or NAS Client Logon Request Logon Response Authentication Request Authentication Response Applications

Contrôle d’accès aux réseaux Remote Access Point 2 Point Protocol (PPP) Point 2 Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP) IPSEC Firewall Equipements réseaux Router, Switch, etc.

Remote Access

Point 2 Point Protocol (PPP)

Point 2 Point Tunneling Protocol (PPTP)

Layer 2 Tunneling Protocol (L2TP)

IPSEC

Firewall

Equipements réseaux

Router, Switch, etc.

Serveurs d’authentification OTP tier Interface entre le serveur OTP et serveur d’authentification Authentification forte (RAS, Firewall, etc.) Utilisation du mode proxy (Radius, etc.) SecurID Activcard Etc.

Interface entre le serveur OTP et serveur d’authentification

Authentification forte (RAS, Firewall, etc.)

Utilisation du mode proxy (Radius, etc.)

SecurID

Activcard

Etc.

Serveurs d’authentification OTP Authentication Server Radius Router with Agent radius Client Server OTP

Radius RADIUS R emote A ccess D ial- I n U ser S ervice Standart ouvert Fournit les 3 services (AAA) Authentification Autorisation Accounting Utilisé par de nombreux ISP Protocol standard (rfc 2138 et 2139)

RADIUS

R emote A ccess D ial- I n U ser S ervice

Standart ouvert

Fournit les 3 services (AAA)

Authentification

Autorisation

Accounting

Utilisé par de nombreux ISP

Protocol standard (rfc 2138 et 2139)

Radius: authentification Authentification des utilisateurs Base de données utilisateur en local ou en mode proxy SAM, NDS, SecurID, etc. Radius SAM Ace Server

Authentification des utilisateurs

Base de données utilisateur en local ou en mode proxy

SAM, NDS, SecurID, etc.

Radius: autorisation Contrôle d’accès aux applications (filtrage) Attributs granulaires Utilisateurs Groupes Protocoles et services (applications) Destination IP Autres attributs Le temps Nb de sessions Etc.

Contrôle d’accès aux applications (filtrage)

Attributs granulaires

Utilisateurs

Groupes

Protocoles et services (applications)

Destination IP

Autres attributs

Le temps

Nb de sessions

Etc.

Radius: accounting Collecte des informations des connexions Temp de la session Nb de bytes Identité de l’utilisateur Utiliser pour Statistiques Facturation Auditing

Collecte des informations des connexions

Temp de la session

Nb de bytes

Identité de l’utilisateur

Utiliser pour

Statistiques

Facturation

Auditing

Démonstration sécurisation des routeurs Cisco Authentication Server Radius AAA Router with Agent radius Client Ace Server

Tacacs+ Alternative à Radius 3 x AAA Protocole dévellopé par Cisco Problème de sécurité Peu d’implémentations « Open Source »

Alternative à Radius

3 x AAA

Protocole dévellopé par Cisco

Problème de sécurité

Peu d’implémentations « Open Source »

Kerberos

Kerberos Protocole de sécurité pour l’authentification Architecture Single Sign-On Dévellopé par le MIT en 1985 Version 4.0 Version 5.0 (IETF) rfc 1510 et 1964 Open Software pour environement Unix

Protocole de sécurité pour l’authentification

Architecture Single Sign-On

Dévellopé par le MIT en 1985

Version 4.0

Version 5.0 (IETF) rfc 1510 et 1964

Open Software pour environement Unix

Kerberos Fournit du chiffrement de session Secure Single Sign-On Fournit l’authentification mutuelle Entre clients et serveurs Utilisation du protocole par Windows 2000 Nouvelle vie pour Kerberos

Fournit du chiffrement de session

Secure Single Sign-On

Fournit l’authentification mutuelle

Entre clients et serveurs

Utilisation du protocole par Windows 2000

Nouvelle vie pour Kerberos

Kerberos: concept de base Utilisation de secret partagé Chiffrement symétrique Utilisation d’un tier de confiance pour le partage des secret partagés (clés) K ey D istribution C enter Utilisation de ticket distribué par le KDC Credential ou ticket de session Validité des tickets dans le temps

Utilisation de secret partagé

Chiffrement symétrique

Utilisation d’un tier de confiance pour le partage des secret partagés (clés)

K ey D istribution C enter

Utilisation de ticket distribué par le KDC

Credential ou ticket de session

Validité des tickets dans le temps

Key Distribution Center Master Key Database Unix Server « Kerberized » Software Logon Request TGT TGT Unix Server Ticket Unix Server Request With Ticket Unix Server Response Ka Ka Kb Kb

Kerberos et Win 2000 Protocole d’authentification de Windows 2000 Remplacement de NTLM Utilisation de Active Directory pour le stockage des clés Kerberos Architecture Single Sign-On Kerberos Version 5.0

Protocole d’authentification de Windows 2000

Remplacement de NTLM

Utilisation de Active Directory pour le stockage des clés Kerberos

Architecture Single Sign-On

Kerberos Version 5.0

Extension du protocol Kerberos Logon initial remplacé par la technologie PKI PKINIT (IETF) Utilisation des smartcards Authentification basé sur un certificat X509 KDC vérifie le certificat « Trust » et les « Path » Validation du certificat (CRL)

Logon initial remplacé par la technologie PKI

PKINIT (IETF)

Utilisation des smartcards

Authentification basé sur un certificat X509

KDC vérifie le certificat

« Trust » et les « Path »

Validation du certificat (CRL)

Biométrie

Biométrie Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc. Deux familles Mesure des traits physiques uniques Mesure d’un comportement unique

Système « ancien »

1930 - carte d’identité avec photo

Reconnaissance de la voix

Etc.

Deux familles

Mesure des traits physiques uniques

Mesure d’un comportement unique

Mesure des traits physiques Empruntes digitales Géométrie de la main Les yeux Iris Rétine Reconnaissance du visage Nouvelles voies ADN, odeurs, oreille et « thermogram »

Empruntes digitales

Géométrie de la main

Les yeux

Iris

Rétine

Reconnaissance du visage

Nouvelles voies

ADN, odeurs, oreille et « thermogram »

Mesure d’un comportement Reconnaissance vocal Signature manuscrite Dynamique de frappe Clavier

Reconnaissance vocal

Signature manuscrite

Dynamique de frappe

Clavier

Promesses et réalité Problème de « false rejection » Problème de « false acceptance » « Replay Attacks » et « Spoofing » Ajout d’un PIN Code ou Smartcard Prix ? Bon capteur sont très chers (600 CHF/poste)

Problème de « false rejection »

Problème de « false acceptance »

« Replay Attacks » et « Spoofing »

Ajout d’un PIN Code ou Smartcard

Prix ?

Bon capteur sont très chers (600 CHF/poste)

Personal trait Biometric Reader Feature Extraction 1=127 2=126 3=456 4=987 Biometric Signature dupont: 1=127,2= deraud: 1=878,2= marcus: 1=656,2= Biometric Matching Biometric Pattern ?

Mécanisme de contrôle Par serveur d’authentification Requêtes par réseau Problème de sécurité Problème de confidentialité Problème de disponibilité Sur une smartcard Meilleure sécurité Mode « offline » Prix plus élevé MOC = Match On card

Par serveur d’authentification

Requêtes par réseau

Problème de sécurité

Problème de confidentialité

Problème de disponibilité

Sur une smartcard

Meilleure sécurité

Mode « offline »

Prix plus élevé

MOC = Match On card

Précision Biométrique False Acceptance FAR (False Acceptance Rate) in % Lecteur sale, mauvaise position, etc False Rejection FRR (False Rejection Rate) in % Usurpation, falsification

False Acceptance

FAR (False Acceptance Rate) in %

Lecteur sale, mauvaise position, etc

False Rejection

FRR (False Rejection Rate) in %

Usurpation, falsification

Equal Error Rate (EER)

Authentification forte Deux facteurs Une carte à puce Un PIN code

Deux facteurs

Une carte à puce

Un PIN code

Quelques Liens http://www.rsasecurity.com http://www.cesg.gov.uk/technology/biometrics/index.htm http://www.microsoft.com/technet/default.asp http://web.mit.edu/kerberos/www/

http://www.rsasecurity.com

http://www.cesg.gov.uk/technology/biometrics/index.htm

http://www.microsoft.com/technet/default.asp

http://web.mit.edu/kerberos/www/

Questions?

e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité d e périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix , Microsoft et des postes clients (firewall personnel).

Pour plus d’informations e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 [email_address]