Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Mécanismes de sécurité

4,589 views

Published on

- Confidentialité
- Intégrité
- Disponibilité(Contrôle d ’accès)
- Authentification & Non-répudiation
- Autorisation

  • Be the first to comment

  • Be the first to like this

Mécanismes de sécurité

  1. 1. <ul><li>Sophistication </li></ul>+ de Succès GENERALISATION RESEAUX PRIVES INTRANETs /Extranets Monopole Technologique TCP/IP (Uniformité) <ul><li>Vide Juridique (Internet)/«Immatérialisme » des Intrusions </li></ul><ul><li>Impunité </li></ul><ul><li>Hackers(Challenge) </li></ul><ul><li>Criminalité (Métier) </li></ul>« S.M.Intrus » <ul><li>Terrorisme (Warefare) </li></ul><ul><li>Espionnage </li></ul>SUCCES D’INTERNET INTERNET SMI <ul><li>ENJEUX CONSIDERABLES : </li></ul><ul><li>Economiques(Commerce electronique (132 Milliards de $ en 2000) ) </li></ul><ul><li>Scientifiques/Culturels </li></ul><ul><li>Sociaux/Politiques </li></ul>=Centre névralgique de l’émergente SMI : <ul><li>Convoitise </li></ul>INTRUS COLLABORATION «ANONYME » ENRICHISSEMENT « Abusif » DES SERVICES TCP/IP -SECURITE +COMPLEXITE Essai S + Failles + INTRUS 311 N.Intrusions(CERT) +48% Virus
  2. 2. RADIOSCOPIE D ’ UNE INTRUSION : 2 PHASES INTERNET PASSIVES Attaques <ul><li>Comptes/Ports dangereux </li></ul><ul><li>Fichiers de mots clés... </li></ul><ul><li>Erreurs de CONFIG </li></ul><ul><li>Versions à PBs </li></ul>SONDAGE Automatiques Ciblés INTERNET Sniffeurs ESPIONNAGE «ABUS» <ul><li>Analyse des Flux </li></ul><ul><li>Récolte de Passwords </li></ul><ul><li>Récolte de séquences à </li></ul><ul><li>rejouer </li></ul>
  3. 3. NOC I VES ATTAQUES « ACTIVES » confidentialité, Corruption Intégrité Disponibilité du réseau <ul><li>ABUS des INTERLOCUTEURS (Masquerade) </li></ul><ul><ul><li>IP-Spoofing, TCP-Spoofing </li></ul></ul><ul><ul><li>Sites Web « Fantômes » </li></ul></ul><ul><ul><li>… </li></ul></ul>Canaux Cachés ,…. <ul><li>Implantation de Chevaux de Troie ( Effacer les traces...), Sniffeurs, </li></ul>Compte ROOT ….. <ul><li>IMMOBILISATION sélective ou GLOBALE (DENI DE SERVICE ) </li></ul><ul><li>Corruption de Comptes UTILISATEUR </li></ul><ul><li>Implantation de Codes Malicieux (Virus, Vers ...) </li></ul>. . .
  4. 4. EXEMPLES D ’ ATTAQUES SIMPLES - «Land » : SYN avec SOURCE (@IP, Port)= DESTINATION((@IP, Port) - «TearDrop » ….. « PING of DEATH » Taille (Paquet IP)> 65536 « SYN ATTACK » Séquence de Paquets SYN «SMURF Attack» PING DIFFUSE avec @IP(retour) dans Intranet Attaqué
  5. 5. MECANISMES DE SECURITE <ul><li>Confidentialité </li></ul><ul><li>Intégrité </li></ul><ul><li>Disponibilité(Contrôle d ’accès) </li></ul><ul><li>Authentification & Non-répudiation </li></ul><ul><li>Autorisation </li></ul>
  6. 6. 1- CONFIDENTIALITE CHIFFREMENT I- SYMETRIQUES 1 Clé SECRETE II- ASYMETRIQUES (Clé PUBLIQUE , Clé PRIVEE)  Secrète Publique Message Clair1 Message Clair1 Message Clair S  S Message Clair P  + Authentification P Publiée sans risque (Répertoires PUBLICS)
  7. 7. Algos Symétriques : PLUSRapides (~1000xAsym) <ul><li>Algos ASYMETRIQUES </li></ul><ul><li>PLUS PRATIQUES: </li></ul><ul><li>Conviennent à des Env MULTI-UT « Anonymes » (Publication des clés) </li></ul>INTERNET : UT ALGOS HYBRIDES(SYM+ASYM) CHIFFREMENT SUR INTERNET S Clé de session(aléatoire) S Message Clair S INTERNET  S Message Clair P S P S (Enveloppe Digitale)
  8. 8. FORCE SYSTEME CRYPTOGRAPHIQUE QUALITES CONCEPTUELLES <ul><li>Attaques « Expertes » (chosen plaintext,known plaintext, ciphertext-only, Timing </li></ul><ul><li>RETROUVER la CLE (SYM) </li></ul>// DERIVER CLE PRIVEE(ASYM) RESISTANCE A LA CRYPTOANALYSE <ul><li>Failles fonctionnelles </li></ul><ul><li>(Algos+Protcoles Cryptographiques </li></ul><ul><li>PAS DE PREUVE FORMELLE ABSOLUE </li></ul><ul><li>(PREUVES RELATIVES A Failles CONNUES et puissance de traitement) </li></ul>? N bits <ul><li>Attaque (Non Experte) par Recherche EXHAUSTIVE </li></ul>2 N clés EXPORT 40 bits -DES 56 bits -IDEA,CAST 128 bits Efficacité -AES(2001) 256 bits Taille-clé Skipjack 160bits SOL(Taille clé): Chiffrement Multiple DES(56bits) DES(56bits) DES(56bits) :3x56= 168 bits (ou 112) 3 DES QUALITE DE L ’ IMPLEMENTATION FAITE +
  9. 9. QUALITE DE L ’ IMPLEMENTATION FORCE SYSTEME CRYPTOGRAPHIQUE - DISRIBUTION et AUTHENTIFICATION DES CLES : -Mode d ‘ Utilisation, Stockage … <ul><li>? Compression des données(Avant) </li></ul><ul><li>GESTION DES CLES : </li></ul><ul><li>Détails d ’Implémentation : </li></ul><ul><li>Mode de Chiffrement (ECB, CBC ,CFB, OFB) . . . </li></ul><ul><li>Génération des clés </li></ul>Pass-phrase Générateur de Nombres Purement aléatoires Pub CERTIFICATS -Révocation, Terminaison... CA S Gérés et délivrés sur INTERNET par des AUTORITE(s) DE CERTIFICATION(CA) (Hiérarchie de CAs) CONFIDENTIALITE CHIFFREMENT
  10. 10. 2- CONTROLE I NTEGR I TE FONCTIONS DE HASHAGE IMPOSSIBLE MD5, SHA-1 Taille QUELCONQUE Taille FIXE (128 /160 bits) MESSAGE SCELLE FONCTION DE HASHAGE FONCTION DE HASHAGE SCELLE MESSAGE + MESSAGE INTEGRE SI IDENTIQUES
  11. 11. 3- AUTHENT I C I TE SIGNATURE DIGITALE MESSAGE SIGNATURE D O N N E E S Algos ASYM : DSA, DH, RSA FONCTION DE HASHAGE SCELLE Chiffrement ASYM S Clé Privée + SIGNATURE MESSAGE + P CA CERTIFICATs Chiffrement Hybride
  12. 12. 4- NON REPUD I AT I ON SIGNATURE DIGITALE et Notaires Electroniques MESSAGE SIGNATURE SET MESSAGE FONCTION DE HASHAGE SCELLE Chiffrement S HORDOTAGE + Autres Infos (selon Notaire) NOTAIRE SIGNATURE SIGNATURE MESSAGE + RECEPTEUR INTERNET P
  13. 13. 5- AUTOR I SAT I ON MOTS CLES DE SESSION(One Time Passwords) <ul><li>Radius </li></ul><ul><li>Tacacs+ </li></ul><ul><li>(Kerberos) </li></ul>INTERNET Challenge Challenge CRYPTE(clé de session) COMPARAISON OK Challenge S S S <ul><li>Soft : OTP (S/Key) </li></ul><ul><li>Harde (Token/cartes): </li></ul><ul><li>SecID, Activcard, Fortezza,... </li></ul>DES
  14. 14. 6-CONTROLE D ’ ACCES I - APPROCHE « PESSIMISTE » : FIREWALL <ul><li>VPN: Encapsulation, Chiffrement et Authentification </li></ul><ul><li>des Communications entre EXTRANETs </li></ul>Audit des Communications + (Frontiére=>)Fonctions Additionnelles: <ul><li>Contrôle du CONTENU : Virus, </li></ul><ul><li>Mail ( @ ,mots-clés), Web ( @ ,mots-clés,labels),FTP,Telnet,Chat,... </li></ul><ul><li>NAT , Load-balancing, (SIR)... </li></ul>IPSec, S/WAN, (IPv6) F Internet Serveurs Web Mail... Zone Démilitarisée (DMZ) Système FIREWALL
  15. 15. CONTROLE D ’ ACCES II - APPROCHE « OPTIMISTE » : Analyseurs de Sécurité <ul><li>Contrôle AUSSI les Intrusions Internes </li></ul><ul><li>Contrôle SOUPLE des services INTERRACTIFS </li></ul><ul><li>(Web, Chat..) </li></ul>Analyseurs de Sécurité Internet Analyseurs de Sécurité Internet F APPROCHE COMBINEE: I+II Intranet SANS LES RETARDER
  16. 16. ASPECTS GESTION POLITIQUE DE SECURITE SECURITE = UN TOUT {1-Plan/Organisation + 2-Décisions/Régles +3-Mécanismes} 1 ° Etablissement METHODIQUE d’une POLITIQUE DE SECURITE CIBLEE et EVOLUTIVE : Analyse des RISQUES ( Quoi Protéger, Contre QUOI, RISQUES) Etablissement SHEMA DIRECTEUR SECURITE <ul><li>Schéma organisationnel </li></ul><ul><li>Réglementation d ’UT d ’Internet </li></ul><ul><li>Règles de réaction Si Intrusion </li></ul><ul><li>Procédures d ’Audit </li></ul>Mesures Organisationnelles {Guides} Mesures TECHNIQUES <ul><li>Mesures Physiques </li></ul><ul><li>Mécanismes de Protection </li></ul><ul><li>Mécanismes d ’Audit </li></ul>
  17. 17. OUTILS d’AUDIT AUDIT PREVENTIF DETECTION D ’INTRUSIONS <ul><li>Audit STATIQUE du système Contre </li></ul><ul><li>LES FAILLES CONNUES( Avis CERT ) </li></ul><ul><li>Failles de Configuration, Versions à Failles…. </li></ul>AUDIT des ESSAIS D ’INTRUSIONS <ul><li>ISS,SATAN,COPS, TIGER… </li></ul><ul><li>Mscan (intrus) </li></ul>RealSecure(2), RECH: famille IDES(1+2), Outils de cryptage des fichiers d’audit 2-Approche PAR SCENARIOS (Intrusions CONNUES) 1-Approche COMPORTEMENTALE (Intrusions INCONNUES)

×