Authentification Forte Cours UNI 2002
Upcoming SlideShare
Loading in...5
×
 

Authentification Forte Cours UNI 2002

on

  • 2,145 views

Cours Uni Genève 2002

Cours Uni Genève 2002

Statistics

Views

Total Views
2,145
Views on SlideShare
2,145
Embed Views
0

Actions

Likes
0
Downloads
112
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Authentification Forte Cours UNI 2002 Authentification Forte Cours UNI 2002 Presentation Transcript

  • La citadelle électronique Systèmes d’authentifications Sylvain Maret (sylvain.maret@e-xpertsolutions.com) Novembre 2002 Version 1.12
  • Agenda
    • Introduction
    • Elements d’un système d’authentification
    • Les attaques
    • Facteurs d’authentifications
    • Que sécuriser ?
    • Quelle technologie d’authentification ?
  • Agenda
    • Les « Tokens »
    • Challenge Response
    • Authentification indirecte
    • Kerberos
    • Biométrie
  • Introduction
  • Introduction
    • Tour d’horizon des technologies d’authentification
    • Clé de voute pour la construction de la citadelle électronique
      • 1er besoin pour la sécurité du système d’information
  • Authentification…
    • L’identification et l’authentification sont la base des services de sécurité
      • Autorisation
      • Auditing
      • Non répudiation
      • Confidentialité
  • Identification et authentification ?
    • Identification
      • Qui êtes vous ?
    • Authentification
      • Prouvez le !
  • Elements d’un système d’authentification
  • Les 6 élements d’un système d’authentification
    • Entité ou personne
    • Charactéristique Unique
    • Propriétaire du système
    • Mécanisme d’authentification
    • Mécanisme de contrôle d’accès
    • Mécanisme d’archivage
  • Exemple avec Ali Baba …
    • Entité
      • La personne qui connait le mot de passe
    • Caractéristique Unique
      • Le mot de passe: « Sésame, ouvre toi ! »
    • Le propriétaire de la caverne
      • Ali Baba et Les 40 voleurs
  • Exemple avec Ali Baba
    • Mécanisme d’authentification
      • Elément magique qui répond au mot de passe
    • Mécanisme de contrôle d’accès
      • Mécanisme pour rouler la pierre ou les pierres
    • Mécanisme d’archivage
      • Journal des évenements
  • Login par mot de passe Mécanisme d’authentification Login Process Mécanisme de contrôle D’accès Propriétaire La personne Caractéristique unique Mot de passe Computer Ressources Mécanisme D’archivage
  • Les attaques
  • Les attaques courantes…
    • Brute force - Password Guessing
    • Network Sniffing
      • ARP spoofing
      • Environement « Switché »
    • Cheval de Troie, Back Door (Virus)
    • Social Engineering
  • Facteurs d’authentifications
  • Les facteurs d’authentification
    • Quelque chose que l’on connait
      • PIN, Mot de passe, etc.
    • Quelque chose que l’on possède
      • Tokens, Carte à puce, badge, etc.
    • Quelque chose que l’on est
      • Biométrie
  • Authentification forte
    • Un minimum de deux facteurs
      • Smartcard + PIN
      • Token + PIN
      • Biométrie avec Smartcard
      • Etc.
  • Que sécuriser ?
  • Que sécuriser ?
    • Equipements réseaux
      • Routeurs, Switchs, etc.
    • Systèmes d’accès aux réseaux
      • Remote access
      • Firewall
    • Serveurs du système d’information
      • Unix, NT, Main Frame, AS400, etc.
    • Postes de travail
      • Windows (NT, 2000, XP, etc.)
    • Applications
      • Web, ERP, Back office, etc.
  • Quelle technologie d’authentification ?
  • Quelle technologie d’authentification ?
    • Password standard
    • Tokens
    • Challenge Response
    • Authentification indirecte
      • Radius, Tacacs+
    • Kerberos
    • Biométrie
    • PKI (Smartcard, Tokens USB)
    • Etc.
  • Les « tokens »
  • Les « Tokens »
    • Quelque chose que vous possédez
      • Généralement authentification forte (PIN+Token)
    • Deux grande familles
      • Passive Tokens
      • Active Tokens
  • Passive Tokens
    • Contient un secret unique (Base Secret)
      • Secret unique partagé
    • Type de Tokens
      • Badge de proximité
      • Carte magnétique
      • Etc.
    • Généralement authentification « faible »
      • Pas de deuxième facteur
  • Mode de fontionement Token + (PIN) = Base Secret Base Secret
  • Active Tokens
    • Contient un secret unique (Base Secret)
      • Secret unique partagé
      • Facteur commun changeant
    • Résultat: One Time Password (OTP)
    • Mode de fonctionnement dit synchrone
      • Counter Based
      • Clock Based
      • Hybride
  • Mode de fontionement Token + (PIN) Facteur commun changeant Facteur commun changeant = = Base Secret Base Secret
  • Counter Based Tokens Hash Counter +1 OTP Facteur commun Secret unique partagé Base Secret
  • Clock Based Tokens Hash OTP Secret unique partagé Base Secret
  • Protection des tokens
    • Deuxième facteur par PIN
      • Personal Identifier Number
    • Deux solutions
      • PIN externe
      • PIN interne
  • PIN Code interne Hash Clock or Counter PIN unlock Base Secret OTP Base Secret
  • PIN Code externe Hash Clock or Counter + PIN * OTP * Shoud use encryption (SSL, IPSEC, SSH Base Secret
  • RSA SecurID
    • De facto standard
      • Grandes banques, industries, gouvernements
    • Système basé sur le temps
    • Très portable
    • Grand nombre d’agents (env. 300)
    • Facilité d’utilisation
  • RSA SecurID Seed Time 482392 ACE/Server Token Algorithm Seed Time 482392 Algorithm Same Seed Same Time
  • RSA ACE/Server (Primary) RSA ACE/Agents NT/ Unix Novell Intranet Firewall RSA ACE/Server (Replica) VPN RSA ACE/Agents Web Server RSA ACE/Agent Firewall RAS DMZ Internet
  • Challenge Response
  • Challenge Response
    • Basé sur un challenge ( nonce)
    • Basé sur un secret unique
    • Calcul du challenge avec une fonction de hachage
    • Mode de fonctionnement dit asynchrone
  • Mode de fontionement nonce ( adf341gf) dupont nonce = adf341gf response = ff747dgd4 = Base Secret Base Secret
  • Norme X9.9
    • Standard ouvert pour Challenge Response
      • US Gouvernement
      • American Bankers Association
    • Utilisation de « DES » comme Hash
      • Problème de « Password Guessing »
    • Migration vers « AES »
  • Norme X9.9 Hash (DES encrypt) Random Challenge Nonce OTP Response Base Secret
  • S/Key
    • OTP dévellopé par Bellcore
      • 1990, pour Login Unix
    • Basé sur un secret unique
    • Basé sur un pseudo challenge
      • Challenge pas aléatoire
    • Calcul du « challenge » par « Token Soft »
      • Ou liste à barrer
    • Utilisation de Hachage
      • MD4, MD5, etc.
  • S/Key Hash Seed S/Key Response Counter (99, 98, 97, etc.) digest Table S/Key Human Readable Base Secret
  • Démo S/Key Counter Seed OTP Base Secret
  • Microsoft NT Lan Manager
    • Windows NT 4.0
    • Stockage des password dans la SAM
      • Security Accounts Manager
    • Utilisation d’un challenge Response
      • DES et maintenant MD4
    • Problème de password « Guessing »
      • Dump SAM (pwdump)
      • Sniffer réseau (SMB sniffer)
  • Protection SAM Microsoft
    • Utilitaire « Sytem Key »
      • Encryption SAM
      • PIN Code
        • Boot
        • PIN dans la registry
        • PIN sur une disquette
  • Authentification indirecte
  • Authentification indirecte
    • Sécurisation des accès réseaux et systèmes
      • Gestion centralisée des utilisateurs
      • Facilité de gestion des mot de passe
      • Autorisation
      • Archivage des évenements
    • Utilisation d’un serveur d’authentification tier
    • Protocole standard comme Radius
  • Authentification indirecte Authentication Server Resource Server or NAS Client Logon Request Logon Response Authentication Request Authentication Response Applications
  • Contrôle d’accès aux réseaux
    • Remote Access
      • Point 2 Point Protocol (PPP)
      • Point 2 Point Tunneling Protocol (PPTP)
      • Layer 2 Tunneling Protocol (L2TP)
      • IPSEC
    • Firewall
    • Equipements réseaux
      • Router, Switch, etc.
  • Serveurs d’authentification OTP tier
    • Interface entre le serveur OTP et serveur d’authentification
    • Authentification forte (RAS, Firewall, etc.)
    • Utilisation du mode proxy (Radius, etc.)
      • SecurID
      • Activcard
      • Etc.
  • Serveurs d’authentification OTP Authentication Server Radius Router with Agent radius Client Server OTP
  • Radius
    • RADIUS
      • R emote A ccess D ial- I n U ser S ervice
    • Standart ouvert
    • Fournit les 3 services (AAA)
      • Authentification
      • Autorisation
      • Accounting
    • Utilisé par de nombreux ISP
    • Protocol standard (rfc 2138 et 2139)
  • Radius: authentification
    • Authentification des utilisateurs
    • Base de données utilisateur en local ou en mode proxy
      • SAM, NDS, SecurID, etc.
    Radius SAM Ace Server
  • Radius: autorisation
    • Contrôle d’accès aux applications (filtrage)
    • Attributs granulaires
      • Utilisateurs
      • Groupes
      • Protocoles et services (applications)
      • Destination IP
    • Autres attributs
      • Le temps
      • Nb de sessions
      • Etc.
  • Radius: accounting
    • Collecte des informations des connexions
      • Temp de la session
      • Nb de bytes
      • Identité de l’utilisateur
    • Utiliser pour
      • Statistiques
      • Facturation
      • Auditing
  • Démonstration sécurisation des routeurs Cisco Authentication Server Radius AAA Router with Agent radius Client Ace Server
  • Tacacs+
    • Alternative à Radius
      • 3 x AAA
    • Protocole dévellopé par Cisco
    • Problème de sécurité
    • Peu d’implémentations « Open Source  »
  • Kerberos
  • Kerberos
    • Protocole de sécurité pour l’authentification
    • Architecture Single Sign-On
    • Dévellopé par le MIT en 1985
      • Version 4.0
      • Version 5.0 (IETF) rfc 1510 et 1964
      • Open Software pour environement Unix
  • Kerberos
    • Fournit du chiffrement de session
      • Secure Single Sign-On
    • Fournit l’authentification mutuelle
      • Entre clients et serveurs
    • Utilisation du protocole par Windows 2000
      • Nouvelle vie pour Kerberos
  • Kerberos: concept de base
    • Utilisation de secret partagé
      • Chiffrement symétrique
    • Utilisation d’un tier de confiance pour le partage des secret partagés (clés)
      • K ey D istribution C enter
    • Utilisation de ticket distribué par le KDC
      • Credential ou ticket de session
      • Validité des tickets dans le temps
  • Key Distribution Center Master Key Database Unix Server « Kerberized » Software Logon Request TGT TGT Unix Server Ticket Unix Server Request With Ticket Unix Server Response Ka Ka Kb Kb
  • Kerberos et Win 2000
    • Protocole d’authentification de Windows 2000
      • Remplacement de NTLM
    • Utilisation de Active Directory pour le stockage des clés Kerberos
    • Architecture Single Sign-On
    • Kerberos Version 5.0
  • Extension du protocol Kerberos
    • Logon initial remplacé par la technologie PKI
      • PKINIT (IETF)
      • Utilisation des smartcards
      • Authentification basé sur un certificat X509
    • KDC vérifie le certificat
      • « Trust » et les « Path »
      • Validation du certificat (CRL)
  • Biométrie
  • Biométrie
    • Système « ancien »
      • 1930 - carte d’identité avec photo
      • Reconnaissance de la voix
      • Etc.
    • Deux familles
      • Mesure des traits physiques uniques
      • Mesure d’un comportement unique
  • Mesure des traits physiques
    • Empruntes digitales
    • Géométrie de la main
    • Les yeux
      • Iris
      • Rétine
    • Reconnaissance du visage
    • Nouvelles voies
      • ADN, odeurs, oreille et « thermogram »
  • Mesure d’un comportement
    • Reconnaissance vocal
    • Signature manuscrite
    • Dynamique de frappe
      • Clavier
  • Promesses et réalité
    • Problème de « false rejection »
    • Problème de « false acceptance »
    • « Replay Attacks » et « Spoofing »
      • Ajout d’un PIN Code ou Smartcard
    • Prix ?
      • Bon capteur sont très chers (600 CHF/poste)
  • Personal trait Biometric Reader Feature Extraction 1=127 2=126 3=456 4=987 Biometric Signature dupont: 1=127,2= deraud: 1=878,2= marcus: 1=656,2= Biometric Matching Biometric Pattern ?
  • Mécanisme de contrôle
    • Par serveur d’authentification
      • Requêtes par réseau
      • Problème de sécurité
      • Problème de confidentialité
      • Problème de disponibilité
    • Sur une smartcard
      • Meilleure sécurité
      • Mode « offline »
      • Prix plus élevé
      • MOC = Match On card
  • Précision Biométrique
    • False Acceptance
      • FAR (False Acceptance Rate) in %
      • Lecteur sale, mauvaise position, etc
    • False Rejection
      • FRR (False Rejection Rate) in %
      • Usurpation, falsification
  • Equal Error Rate (EER)
  • Authentification forte
    • Deux facteurs
      • Une carte à puce
      • Un PIN code
  • Quelques Liens
    • http://www.rsasecurity.com
    • http://www.cesg.gov.uk/technology/biometrics/index.htm
    • http://www.microsoft.com/technet/default.asp
    • http://web.mit.edu/kerberos/www/
  • Questions?
  • e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité d e périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix , Microsoft et des postes clients (firewall personnel).
  • Pour plus d’informations e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 [email_address]