Les protocoles de gestion des clés dans IPsec. ISAKMP en détails
|
|
- Marin Bergeron
- il y a 8 ans
- Total affichages :
Transcription
1 Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Les protocoles de gestion des clés dans IPsec. ISAKMP en détails Tous droits réservés à INEOVATION. INEOVATION est une marque protégée.
2 Plan 2 Rappel : Services de Sécurité Couches et protocoles de sécurité Protocoles de gestion des clés à l IETF et autours de IPSEC Protocole de gestion des clés dans IPSEC Avant ISAKMP et IKEv1(Diffie-Hellman, Photuris, Oakley, SKEME) ISAKMP et IKEv1 Après ISAKMP et IKEv1 (SIGMA, JFK, IKEv2) Résumé: IPSEC ISAKMP/IKE Choix d implémentation
3 Rappel : Services de Sécurité Confidentialité : Protection de l information d un adversaire espionnant les communications. L authentification peut être assurer avec des algorithmes de chiffrements (DES, 3DES, AES, etc.) Authentification : L authentification de l origine des données garantit que les données reçues proviennent de l expéditeur déclaré. L authentification peut être assurée avec des fonctions HMAC (hachage+ chiffrement), certificat (PGP, X509, etc.), Non-Répudiation : comme l authentification mais avec garantie que l expéditeur ne pourra pas nier être à l origine de la transaction. La non répudiation est assurée par les standards de signature (PKCS #7, CMS, XML-DSIG, etc.) 3
4 Rappel : Services de Sécurité Intégrité : L intégrité garantit que les données n ont pas été modifiées durant leur transfert. L intégrité est assuré par des algorithmes de hachages. (SHA-1, MD5, MD2, etc.) Contrôle d accès : Assure que seulement des personnes autorisées peuvent obtenir l accès à des ressources protégées (Autorisations ou non d accès à des objets) 4
5 Couches et protocoles de sécurité Les couches selon l architecture OSI Protocoles de Internet 7 Application SMTP, POP, IMAP, HTTP(S), FTP(S) SET PKI ISAKMP, IKE, etc. XML-DSIG 6 Présentation MIME, HTML, XML, Base64, SMIME, Signature XML X509, PKCS8, PKCS10, PKCS12 CMS (Cryptographique Message Syntax) / PKCS7 5 Session TLS SSH 4 Transport TCP UDP 3 Réseau IP, ICMP, RIP, OSPF, IPSEC 2 Liaison PAP, CHAP, RADIUS Encapsulation IP ou PPP 1 Physique Pratiquement tout support de transmission en particulier les réseaux locaux, les réseaux téléphonique (commuté ou liaison spécialisée) 5
6 Protocoles de gestion des clés (IETF) Avant ISAKMP Après ISAKMP SIGMA 2002 JFK 2002 IKEv TLS Ext Oakley 1998 ISAKMP 1998 IKEv TLSv STS 1992 SKIP 1994 Photuris 1995 SKEME Diffie-Helman
7 Protocoles de gestion des clés autours de IPSEC SKEME Oakley Photuris Etc. Modèles de gestion de clés, Plusieurs développements Notions sous-jacentes Hachage Chiffrement Symétrique Chiffrement Asymétrique DH Certificat X509 Etc. ISAKMP IKEv1 IKEv2 DOI Cadre générique à la négociation des SA: Création, suppression, etc. Domain of Interpretation Définit les paramètres selon le contexte IPSEC: listes des algos, modes, IKE Utilisation particulière de ISAKMP avec le protocole IPSEC 7
8 Protocole de gestion des clés Avant ISAKMP 8
9 Diffie-Hellman (DH) (1/2) Inventé en 1976 par Whitfield DIFFIE et Martin HELLMAN. Le but est de permettre à deux tiers (Alice et Bob) de générer un secret partagé sans avoir aucune information préalable l un sur l autre. 9
10 Diffie-Hellman (DH) (2/2) Alice A et B se mettent d accord sur 2 nombres g et n très grands Bob Alice choisit un grand nombre a (privé) et calcule la valeur publique A. A = g^a mod n Bob choisit un grand nombre b (privé) et calcule la valeur publique B. B = g^b mod n Alice calcule K(A,B) = B^a mod n ; Bob Calcule K(B,A) = A^b mod n K(A,B) = K(B,A) = g^ab mod n est le secret partagé par Alice et Bob 10
11 Photuris (1/3) 11 Photuris Développé par Phil Karn de chez Qualcomm et William Simpson de chez DayDreamer (Basé sur STS, Station-To-Station) Protocol Basé sur la génération de secret partagé Diffie-Hellman puis authentification avec les clés publiques Protocol Orienté connexion, basé sur UDP port 468. Etat Actuel: Depuis 1995, fait l'objet d un draft à l IETF.
12 Photuris (2/3) Protocole en trois phases : Echange de cookies, pour garantir une faible authentification contre les attaques de type DOS(Denial of Service). Echange de valeurs publiques pour l établissement d une clé partagée. Echange d'identités pour une authentification mutuelle 12
13 Photuris (3/3) Les cookies sont basés sur: Adresses IP et port. Une secret local Cookie = hash (adresse IP source 1 et destination et port + secret local) 2 Client Client cookie Chosen Schemes Server cookie Offered Schemes Diffie-Hellman key generation Server 3 Client identity Authentication for previous data Server identity Authentication for previous data Les 3 phases dans Photuris 13
14 SKEME (1/2) SKEME (Secure Key Exchange) Développé en 1996 par Hugo Krawszyk de L IBM comme une extension de Photuris. SKEME est basé sur un échange DH mais propose aussi des méthodes additionnelles comme la distribution manuelle des clés ou par un system KDC (Key Distribution Center) 14
15 SKEME (2/2) SKEME fournit quatre modes d échange de clés: Un échange basé sur les clés publiques de Diffie- Hellman. Un échange basé sur l utilisation des clés publiques mais sans Diffie-Hellman. Un échange basé sur l utilisations d une secret partagée et sur Diffie-Hellman. Un échange rapide basé uniquement sur des algorithmes symétriques. 15
16 Oakley (1/3) Proposé par Hillarie Orman de l université d Arizona. Oakley est un protocole de la couche applicative basé sur Diffie-Hellman avec des fonctionnalités additionnelles contre certaines attaques cryptographiques. Etat actuel: Fait l objet d un draft dans le cadre du groupe IPSEC à l IETF. 16
17 Oakley (2/3) L utilisation actuelle de Oakley est avec le protocole ISAKMP pour la négociation des clés dans IPsec Oakley peut être utilisé avec ISAKMP (port 500) ou directement sur IP. Caractéristiques de Oakley: Oakley utilise les cookies contre les attaques de type DOS Oakley utilise un NONCE (des numéros aléatoires) contre les attaques de re-jeu des paquets. Assure une authentification des deux communicants contre les attaques de type «man-in-the-middle». Permet au deux entités de négocier des groupes DH. 17
18 Oakley (3/3) Trois méthodes d authentification: Signatures Digitales. Les deux entités signent les informations partagées entre eux. Encryptage avec les clés publiques. Les deux entités utilisent leurs clés privées pour chiffrer les données échangées entre elles. Clés partagés. 18
19 Les protocoles ISAKMP et IKEv1 ISAKMP, IKEv1, DOI 19
20 ISAKMP ( Internet Security Association and Key Management Protocol) ISAKMP développé par «National Security Agency» pour établir les paramètres de sécurité début du travaille en RFC 2408 en 1998 Ce protocole Sert à L établissement La modification La suppression Des associations de Sécurité (SA) ISAKMP ne définit pas les attributs nécessaires pour établir une association de sécurité. Cette tâche est laissée pour d autre documents; par exemple le RFC 2407 définit tous les domaines d interprétation (DOI) nécessaires pour ISAKMP, IKE,. ISAKMP est un protocole couche applicative basé sur UDP et utilise le port
21 Architecture d ISAKMP Architecture RFC 2407 RFC 2412 RFC 2408 RFC 2246 RFC 2406/
22 ISAKMP ( Internet Security Association and Key Management Protocol) ISAKMP gère les associations de sécurité (SA) entre les hôtes ISAKMP opère en deux phases: SA pour ISAKMP SA pour IPSEC (AH ou ESP) Il dispose de 13 «Payload ou blocs» pour gérer les SA. Il dispose de 5 scénarios d échanges de messages entre hôtes. 22
23 Deux Phases ISAKMP ISAKMP phase 1 : l établissement d une SA ISAKMP - Établissement d un canal sécurisé entre 2 entités. - Génération et échange des cookies, négociation des algorithmes de chiffrements et de hachages, échange des certificats, authentifications,..) - Duré de vie: longue (négociable) - Une SA ISAKMP est bidirectionnelle 23 ISAKMP phase 2 : établie un SA pour un protocole de sécurité (IPSec AH, TLS,..) - Tous les échanges sont sécurisés grâce aux paramètres négociées. - Duré de vie: courte, - Plusieurs phases 2 pour une seule phase 1
24 Les blocs d ISAKMP Les types de Payload: Il y a 13 différents types de payload dans ISAKMP (figure suivante), tous commencent avec un en-tête ISAKMP Le type du payload suivant le courant est mis dans le champ «next payload» 24
25 Les messages et les blocs de ISAKMP (1/2) Les messages ISAKMP sont constitués d un en-tête (Header) suivi d un nombre variable de blocs ( ou payload en anglais) Bit: Initiator Cookie Responder Cookie Next Payload MjVer MnVer ExchangeType Flags L entête ISAKMP contient : Message ID - Initiator et Responder Cookie: concaténation Length des adresses IP, UDP et les ports UDP source et destination avec une secret local. Entête ISAKMP - Next Payload: indique le type du bloc suivant (ex. SA, KE,..). - Version: divisé entre MajVer et MinVer qui prennent les valeurs 1 et 0 respectivement - ExchangeType: indique le type d échange étant utilisé (par ex. Identity Protection, ) - Flags: indique des options spécifiques comme l encryptage, la synchronisation des échanges,..) - Message ID: identificateur du message (reste 0 dans la phase 1) - Length: c est la longueur du message (entête + payload) 25
26 Les messages et les blocs de ISAKMP (2/2) L entête de chaque bloc s appelle «Generic Payload Header» Une trame ISAKMP peut contenir plusieurs blocs (payload) ISAKMP Next Payload RESERVED Payload Length Generic Payload Header Octet: Entête Entête Entête Entête Bloc Bloc Bloc Ethernet IP UDP ISAKMP Une trame ISAKMP #1 #2. #n 26
27 Les blocs d ISAKMP Type Security Association (SA) Proposal (P) Transform (T) Paramètres -Domain of Interpretation (DOI) par ex. IPSEC(1) -Situation: (ex. SIT_SECRECY) Proposal #, Protocol-ID, SPI Size, # of Transforms, SPI Transform #, Transform-ID, SA Attributes (Encryption Algorithm, Group-Desciption, Authentication-Method, Life-Type, Life Duration) Description ce bloc contient des champs qui indiquent le contexte de la négociation Paramètre DOI: 0 pour ISAKMP 1 pour IPSEC utilisé pendant la négociation du SA ; indique le protocole à utiliser (AH, ESP) et le nombre de transform. Ce bloc indique une transformation (algorithme de chiffrement, fonction de hachage, etc.) Key Exchange (KE) Key Exchange Data supporte une variété de techniques d'échange des clés (par ex, clés publiques) Identification (ID) ID type, ID data Utilisé pour échanger les informations d identifications (ex. Common name CN des certificats) Certificate (CERT) Cert Encoding, Certificate Data Utilisé pour transporter les certificats et autre informations reliés au certificat. 27
28 Les blocs de ISAKMP Type Certificate Request (CR) Paramètres # Cert Types, Certificate Types, # Cert Auths, Certificate Authorities. Description Utilisé pour demander des certificats ; indique les types des certificats demandés et des autorités acceptables de certification. Hash (HASH) Hash Data Contient des données hachées Signature (SIG) Signature Data Contient des données génères par une fonction de signature digitale Nonce (NONCE) Nonce Data Contient un nonce Notification (N) Delete (D) DOI, Protocol-ID, SPI Size, Notify Message Type, SPI, Notification Data DOI, Protocol-ID, SPI Size, Size, # of SPIs, SPI Utilisé pour transmettre des notifications comme les erreurs indique qu un SA n'est plus valide Vendor ID Vendor ID Utilisé pour faciliter au programmeur des infrastructures de reconnaître leur différentes implémentations. 28
29 Les blocs de ISAKMP Après un bloc SA Après un bloc P 1 ou plusieurs blocs P (Proposal) 1 ou plusieurs blocs T (Transform) SA P 1 T 11 T 12 P 2 T 21 T 22 T 23 P1 SPI T 11 algo 1 T 12 algo 2 T 11 algo 1 29
30 Un Exemple ISAKMP Bit: Initiator Cookie Responder Cookie «KE» MnVer MjVer ExchangeType Flags Message ID Length «NONCE» 0 KE payload Length KE payload data 0 0 Nonce payload Length Nonce payload data 30
31 ISAKMP ( Internet Security Association and Key Management Protocol) Caractéristiques des scénarios d échanges: Base Exchange: 4 messages Identity Protection Exchange : 6 messages Authentication Only Exchange : 3 messages Agressive Exchange : 3 messages Informational Exchange : 1 message Autres types d échanges peuvent être envisagés 31
32 L échange de Protection d identité Initiator HDR, SA HDR - Cookie-I = Cookie-a (8 oct.) - Cookie-R = 0 - Message-ID = 0 - SPI = 0 (Cookie-a, Cookie-b) SA: - DOI = IPSEC - Proposal = ex. ISAKMP, IPSec ESP, (plusieurs) - Transform (plusieurs) - méthode d authentification, signature digitale - pseudo-random functions HMAC-MD5 - algorithmes d encryptage DES-CBC (ex, RSA_WITH_RC4_128_SHA) Responder Sélection des attributs de SA 32
33 L échange de Protection d identité Initiator Attributs négociés HDR, SA HDR - Cookie-R = Cookie-b - Cookie-I = Cookie-a - Message-ID = 0 - SPI = 0 (Cookie-a, Cookie-b) SA - DOI = IPSEC - Proposal = PROTO_ISAKMP - Transform - méthode d authentification, signature digitale - pseudo-random functions HMAC-MD5 - algorithmes d encryptage DES-CBC Responder 33
34 L échange de Protection d identité Initiator HDR, KE, NONCE HDR - Cookie-I = Cookie-a - Cookie-R = Cookie-b - Message-ID = 0 (Message-ID reste zero dans toute la phase 1 de ISAKMP) - SPI = (Cookie-a, Cookie-b) KE - valeur public g^x en Diffie Helman de l initiateur ou x est la clé privé de l initiateur NONCE - Ni, un nombre aléatoire choisit à partir de formules mathématique très strictes Responder Calcul de la clé 34
35 L échange de Protection d identité Initiator Calcul de la clé HDR, KE, NONCE HDR - Cookie-I = Cookie-a - Cookie-R = Cookie-b - Message-ID = 0 - SPI = (Cookie-a, Cookie-b) KE - valeur public g^y en Diffie Helman de l initiateur où x est la clé privée du répondeur NONCE - Nr, un nombre aléatoire choisit à partir de formules mathématique très strictes Responder 35 Génération de la clé secret SKEYID a partir de Cookie-a, Cookie-b, Ni, Nr, g^xy
36 L échange de Protection d identité Initiator Responder HDR, IDinit, AUTH HDR (en Clair) - Cookie-I = Cookie-a - Cookie-R = Cookie-b - Message-ID = 0 - SPI = (Cookie-a, Cookie-b) IDii: (chiffré) - identité de l émetteur Auth : (chiffré) Vérification de l'authenticité - un message chiffré et signé pour qu il soit identifié au répondeur 36
37 L échange de Protection d identité Initiator Vérification de l'authenticité HDR, IDresp, AUTH HDR : (en Clair) - Cookie-R = Cookie-b - Cookie-I = Cookie-a - Message-ID = 0 - SPI = (Cookie-a, Cookie-b) IDir: (chiffré) - identité du récepteur Auth : (chiffré) - un message crypté et signé pour qu il soit identifié a l émetteur Responder 37
38 Les autres échanges ISAKMP Échange (1) I R: SA, NONCE (2) R I: SA; NONCE (3) I R: KE; IDI; AUTH (4) R I : KE; IDR; AUTH (1) I R: SA; NONCE (2) R I: SA; NONCE ; IDR ; AUTH (3) I R: IDI; AUTH Notation: HDR: entête du paquet ISAKMP SA = blocs SA + P + T Note Base Exchange Commence la négociation d'isakmp SA Acceptation du SA par le récepteur. Génération des clefs; vérification de l identité de l initiateur par le récepteur. Génération des clés; Vérification de l identité du récepteur par l initiateur; établissement du SA Authentication Only Exchange Commence la négociation d'isakmp SA Acceptation du SA par le récepteur; Vérification de l identité du récepteur par l initiateur; vérification de l identité de l initiateur par le récepteur; établissement du SA Description C est un type d échange basique ou les communiquant génèrent des clés et s authentifient, l identité passe en clair Dans cet échange, les deux communiquant échangent leur identité en clair et s authentifie sans génération de clés, ceci pour économiser le temps de calcul relatif à la génération des clefs 38
39 Échange Les autres échanges ISAKMP Note Description (1) I R: SA; KE; NONCE; ID(I) (2) R I: SA; KE; NONCE; ID(R); AUTH (3)* I R: AUTH Aggressive Exchange Commencez la négociation d'isakmp SA et échange des clefs. vérification de l identité d initiateur par le récepteur; génération des clefs; Acceptation du SA négocier. Vérification de l identité du récepteur par l initiateur; établissement du SA Informational Exchange (1) I R: N/D Notification d'erreur, ou suppression des SA Dans cette échange on regroupe en un seul message la négociation du SA, l échange des clefs et l authentification afin de réduire au maximum le nombre des messages échanges. On utilise ici soit un bloc Notification, soit un bloc Delete 39
40 Authentification dans ISAKMP Méthodes d authentification: 1. Signature numérique (RSA ou DSS) [AUTH]: <CERT> [SIG_R] 2. L utilisation d un secret partagé. [AUTH]: [HASH] = prf(skeyid, gxi gxr cookie-i cookie-r SA IDI). 3. Chiffrement à clé publique [AUTH]:[<IDii_b>PubKey_r][<Ni_b>PubKey_r] 4. Chiffrement à clé publique révisé [AUTH]: [<Ni_b>PubKey_r][<Ke_b>Ke_i] [<IDii_b>Ke_i]<<Cert-I_b>Ke_i>] 40
41 Domain Of Interpretation (DOI) (1/2) Domaine d'interprétation pour IPSec Ce document définit les paramètres négociés et les conventions pour l'utilisation du protocole ISAKMP dans le cadre d'ipsec. Exemple : Bloc P - définition du protocole de sécurité Dans le cadre de l'ipsec DOI, ce bloc peut prendre 4 valeurs :» ISAKMP» AH» ESP» IPCOMP (compression des données au niveau IP) 41
42 Domain Of Interpretation (DOI) (2/2) Phase 1 Phase 2 DOI Protocole Transformation Attributs Ø[0] IPsec[1] ISAKMP[1] AH [2] ESP [3] IPCOMP [4] KEY_OAKLEY [1] AH_MD5[2] AH_SHA[3] AH_DES[4] ESP_DES[2] ESP_3DES[3] ESP_RC5[4] Classe Cipher Algorithm Life Type Algo. Auth. Mode valeur DES-CBS IDEA-CBC Seconds Kbits HMAC_MD5 Tunnel Transport IPCOMP_OUI[1] IPCOMP_DEFLATE[2] IPCOMP_LZS[3] Bloc SA Bloc Proposal Bloc Transform 42
43 IKEv1 ( Internet Key Exchange) Dans le cadre de la standardisation de IPsec, ISAKMP est associé à une partie des protocoles SKEME et Oakley pour donner un protocole final du nom de Internet Key Exchange, IKE (IETF - RFC 2409). IKEv1 (Internet Key Exchange) est le protocole de gestion des clés et des ASs retenu par l IETF : IKEv1 = ISAKMP + Oakley + DOI. 43
44 IKEv1 ( Internet Key Exchange) IKE comprend quatre modes : mode principal (Main Mode) mode agressif (Aggressive Mode) mode rapide (Quick Mode) mode nouveau groupe (New Group Mode) 44
45 Les échanges d IKE IKE définit 3 types d échanges basée sur ISAKMP Secret Partagé Certificat Phase 1 Main Mode Négociation des SA IKE Agressive Mode Phase 2 Négociation des SA pour AH et ESP Quick Mode Phase Opérationnelle AH ESP 45
46 IKE main mode (phase 1) Main Mode est une instance de l'échange ISAKMP Identity Protection Exchange. Messages 1 et 2 négocient les paramètre des Association de Sécurité Message 3 et 4 vont établir une clé secrète (SKEYID) Message 5 et 6 échangent des signatures digitales, et optionnellement des certificats. Initiateur Répondeur Négociation des paramètres IKE Génération des valeurs DH et des aléas *Authentification mutuelle 46
47 IKE aggressive mode (phase 1) Aggressive Mode est une instance de l'échange ISAKMP Aggressive Exchange. Le mode aggressive mode ne contient que trois messages. 47
48 IKE quick mode (phase 2) Les échanges de cette phase sont protégés en confidentialité et en authenticité grâce à la SA ISAKMP établie lors de la phase 1. La phase 2 a pour but de mettre en oeuvre les SA (ou les paquets de SA) pour IPSec. Chaque négociation donne lieu à deux SA (les SA IPSec étant unidirectionnelles). Initiateur HDR, HASH SA, NONCE, [KE], [IDinit, IDresp] HDR, HASH, SA, NONCE, [KE], [IDinit, IDresp], AUTH Répondeur *HDR, HASH 48
49 Génération des clés (1/2) A partir de la clé secrète DH (gxy) et des Nonces (Ni, Nr), nous obtenons la clé session : SKEYID La génération de cette clé diffère suivant le méthode d authentification: Cas d'utilisation d une clé partagée: SKEYID = prf(preshared-key, NONCEI NONCER) Cas d'utilisation de la signature avec les clés publiques : SKEYID = prf(noncei NONCER, gxy) Cas d utilisation d un chiffrement avec les clés publiques: SKEYID = prf(hash(noncei NONCER), cookie-i cookie-r) 49
50 Génération des clés (2/2) A partir de la clé SKEYID, et après la terminaison de phase 1 de IKE, trois nouvelles clés sont générées: SKEYIDd utilisé pour dériver des nouveaux clés dans IKE phase 1 et 2 SKEYIDd = prf(skeyid, gxy cookie-i cookie-r 0). SKEYIDa utilisé pour authentifier les messages phase 2 de IKE SKEYIDa = prf(skeyid, SKEYIDd gxy cookie-i cookie-r 1). SKEYIDe utilisé pour chiffrer les messages 5 et 6 de ILE main mode et tous les messages de IKE phase 2 SKEYIDe = prf(skeyid, SKEYIDa gxy cookie-i cookie-r 2). 50
51 Attaques sur ISAKMP et IKEv1 Dénie de service en mode «Aggressive» Absence des Cookies Dénie de service en mode «Quick» Utilisation de l option «PFS» L attaque «Cookie Crumb Attack» L attaque «Cookie Race» L attaque «Cookie Jar» 51
52 Après ISAKMP/IKEv1 Les successeurs de IKEv1 52
53 Les successeurs de IKEv1: SIGMA Pourquoi un successeur? Support de fonctions de IKEv1 Simplification et clarification Faciliter l évaluation des implémentations IKEv1 Support du NAT, paramètres d accès distants Trois propositions: JFK, SIGMA, IKEv2 Le WINNER : IKEv2 53
54 Les successeurs de IKEv1: SIGMA La signification originale de SIGMA était «SIGN-and-MAC» qui a été conçu en 1994 par Hugo Krawczyk pour l inclusion dans Photuris et qui est devenu plus tard, la base pour la mode de signature de IKEv1 En novembre 2000, proposé par à l IETF comme successeur de IKEv1 54
55 Les successeurs de IKEv1: SIGMA Fonctionnement: Basé sur les clés publiques DH authentifies: Signature et Mac pour lier les identités aux valeurs publique DH Cryptographiquement sécurisé. Mécanisme optionnel contre les DOS Initiateur HDR, SA, KE, Ni, OIDii Initiateur Initiateur Répondeur HDR, RC HDR, SA, KE, Ni, OIDii HDR, SA, KE, Ni, OIDii, RC HDR, SA, KE, Nr, Idir*, CERT*, SIGi* HDR, SA, KE, Nr, IDir*, CERT*, SIGr* HDR, IDii*, CERT*, SIGi* HDR, IDii*, CERT*, SIGi* 55
56 Les successeurs de IKEv1: JFK Just Fast Keying ou JFK est un protocole de négociation de clés développé par le laboratoire de recherche AT&T. Son but est de simplifier le mécanisme de négociation des clés de IPSEC et de résister contre les attaques de dénie de services. Incorpore l approche de protection d identité du répondeur. 56 Les messages JFK ne sont pas basés sur
57 Les successeurs de IKEv1: IKEv2 But: Regroupe les informations précédemment réparties dans les RFC 2407 (domaine d'interprétation), 2408 (ISAKMP) et 2409 (IKE). Simplifie le protocole IKEv1. Enlever les conditions inutiles de ISAKMP et IKEv1. Neutraliser les ambiguïtés (Commit_bit, signification du majeur et du mineur de versions). Corriger les bugs. Préserver l'anonymat des deux parties Autoriser les cookies stateless. Incorporer de nouvelles fonctionnalités dans le protocole IPsec. La constitution d'une SA pour le protocole hébergé peut se faire en 4 messages Un rafraîchissement peut se faire en 2 messages. Utilisation au-dessus de UDP avec les portes 500 et KEv2 = ISAKMP + DOI +IKEv1
58 Les successeurs de IKEv1: IKEv2 L échange de IKEv2 In itia te u r In itia te u r 1 H D R, S A i1, K E, N i 2 H D R, S A r1, K E, N r, [C E R T R E Q ] 3 H D R, S K { ID i, [C E R T,] [C E R T R E Q,] [ID r,] A U T H, S A i2, T S i, T S r} H D R, S K {ID r, [C E R T,] A U T H, S A r2, T S r} Child-SA 4 58
59 Les successeurs de IKEv1: IKEv2 Comparaison entre IKEv1 et IKEv2 IKEv1 # méthodes d authentification 8 2 IKEv2 # modes Phase1 Main et agressive 1 :anonymat Sélection de trafic Plages d adresses + protocoles et ports Duré de vie négociée Choix en local Clés Phase1 Mêmes dans les deux sens ; Dépendent du mode authentification Clé Phase2 Proposition d une plage d adresses Groupe clés par protocole et par SPI Si la plage ne convient pas, rejet de la proposition Différentes pour chaque sens ; ne dépendent pas du mode authentification. Utilisation de la chaîne pseudo aléatoire pour le tirage de clés Possibilité de proposer une sous plage 59
60 Bibliographie Toutes les RFC sont consultables sur le site de l'ietf : SKIP (A. Aziz, T. Markson & H. Prafullchandra) SKEME : A Versatile Secure Key Exchange Mechanism for Internet (Hugo Krawczyk) RFC 2412 : The OAKLEY Key Determination Protocol (H. Orman) RFC 2408 : Internet Security Association and Key Management Protocol (D. Maughan, M. Schertler, M. Schneider & J. Turner) RFC 2407 : The Internet IP Security Domain of Interpretation for ISAKMP (D. Piper) 60
61 Nous contacter Pour plus d'informations, consultez le site
Sécurité des réseaux IPSec
Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique
Plus en détailIPSEC : PRÉSENTATION TECHNIQUE
IPSEC : PRÉSENTATION TECHNIQUE Ghislaine Labouret Hervé Schauer Consultants (HSC) 142, rue de Rivoli 75001 Paris FRANCE http://www.hsc.fr/ IPsec : présentation technique Par Ghislaine LABOURET (Ghislaine.Labouret@hsc.fr)
Plus en détailSSL ET IPSEC. Licence Pro ATC Amel Guetat
SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique
Plus en détailLe protocole SSH (Secure Shell)
Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction
Plus en détailTunnels et VPN. 22/01/2009 Formation Permanente Paris6 86
Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement
Plus en détailWindows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.
2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation
Plus en détailTunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs.
Tunnels ESIL INFO 2005/2006 Sophie Nicoud Sophie.Nicoud@urec.cnrs.fr Plan Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs 2 Tunnels, pourquoi? Relier deux réseaux locaux à travers
Plus en détailDevoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
Plus en détailLe protocole sécurisé SSL
Chapitre 4 Le protocole sécurisé SSL Les trois systèmes de sécurisation SSL, SSH et IPSec présentés dans un chapitre précédent reposent toutes sur le même principe théorique : cryptage des données et transmission
Plus en détailComplémentarité de DNSsec et d IPsec
Complémentarité de DNSsec et d IPsec Gilles GUETTE IRISA/INRIA, Campus de beaulieu, 35042 Rennes Cedex, France gilles.guette@irisa.fr Olivier COURTAY ENST-Bretagne, 2 rue de la Châtaigneraie, 35512 Cesson
Plus en détailUniversité de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin
2007 2008 Université de Reims Champagne Ardenne Sécurité dans TCP/IP HTTPS, SSL, SSH, IPSEC et SOCKS Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin 1 Protocole HTTPS HTTPS signifie Hypertext Transfer
Plus en détailNote technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau
P R E M I E R M I N I S T R E Secrétariat général Paris, le 31 août 2012 de la défense et de la sécurité nationale N o DAT-NT-003/ANSSI/SDE/ Agence nationale de la sécurité Nombre de pages du document
Plus en détailSécurité GNU/Linux. Virtual Private Network
Sécurité GNU/Linux Virtual Private Network By ShareVB Sommaire I.Le concept de réseau privé virtuel...1 a)introduction...1 b)un peu plus sur le fonctionnement du VPN...2 c)les fonctionnalités du VPN en
Plus en détailLa sécurité des réseaux. 9e cours 2014 Louis Salvail
La sécurité des réseaux 9e cours 2014 Louis Salvail Échanges de clés authentifiés Supposons qu Obélix et Astérix, qui possèdent des clés publiques certifiées PK O et PK A, veulent établir une communication
Plus en détailCryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI
Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures
Plus en détailLes Réseaux Privés Virtuels (VPN) Définition d'un VPN
Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent
Plus en détailProtocole industriels de sécurité. S. Natkin Décembre 2000
Protocole industriels de sécurité S. Natkin Décembre 2000 1 Standards cryptographiques 2 PKCS11 (Cryptographic Token Interface Standard) API de cryptographie développée par RSA labs, interface C Définit
Plus en détailChapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux
Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours
Plus en détailLe protocole RADIUS Remote Authentication Dial-In User Service
Remote Authentication Dial-In User Service CNAM SMB 214-215 Claude Duvallet Université du Havre UFR des Sciences et Techniques Courriel : Claude.Duvallet@gmail.com Claude Duvallet 1/26 Objectifs du cours
Plus en détailArchitectures PKI. Sébastien VARRETTE
Université du Luxembourg - Laboratoire LACS, LUXEMBOURG CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG Sebastien.Varrette@imag.fr http://www-id.imag.fr/~svarrett/ Cours Cryptographie & Securité Réseau Master
Plus en détailApprofondissement Technique. Exia A5 VPN
Approfondissement Technique Exia A5 VPN Amandine Muller & Mathieu Schmitt 12 décembre 2011 Introduction Toute entreprise qui veut progresser et s implanter durablement sur le marché actuel nécessite une
Plus en détailFORMATIONS 2010. www.ineovation.fr
Infrastructures à clefs publiques/pki X.509 Sécurité de la Voix sur IP Technologie IPSec VPN Introduction à la cryptographie Sécuriser un système Unix ou Linux Version 1.0: 17 MAI 2010 1 1 Infrastructures
Plus en détailCours 14. Crypto. 2004, Marc-André Léger
Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)
Plus en détailEric DENIZOT José PEREIRA Anthony BERGER
Eric DENIZOT José PEREIRA Anthony BERGER M1 aménagé Projet Biblio 1/33 Introduction :... 4 Présentation : rôle et fonctionnement des VPN :... 5 I. Clés, chiffrement, sécurité :... 7 1. Les éléments du
Plus en détailSommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références
Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20
Plus en détailTECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.
TECHNICAL NOTE TECHNICAL NOTE Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée Version 7.0 1 TECHNICAL NOTE : SOMMAIRE SOMMAIRE SOMMAIRE 2
Plus en détailD31: Protocoles Cryptographiques
D31: Protocoles Cryptographiques Certificats et échange de clés Nicolas Méloni Master 2: 1er semestre (2014/2015) Nicolas Méloni D31: Protocoles Cryptographiques 1/21 Introduction Protocole Diffie Hellman:
Plus en détailProtocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos
Sécurisation des systèmes Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Tarik BOUDJEMAA Sadek YAHIAOUI 2007 2008 Master 2 Professionnel STIC Informatique Sécurisation
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification
Plus en détailIPsec: Présentation et Configuration
IPsec: Présentation et Configuration version 1.7-22 avril 2003 Olivier Courtay ======================================================================== Ce document est la propriété des partenaires du projet
Plus en détailFORMATION SUR «CRYPTOGRAPHIE APPLIQUEE
FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES : STANDARDS, ALGORITHMES DE HACHAGE ET PKI» DU 22 AU 26 JUIN 2015 TUNIS (TUNISIE) CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES
Plus en détailIntroduction. Adresses
Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom
Plus en détailRéseaux Privés Virtuels
Réseaux Privés Virtuels Introduction Théorie Standards VPN basés sur des standards VPN non standards Nouvelles technologies, WiFi, MPLS Gestion d'un VPN, Gestion d'une PKI Introduction Organisation du
Plus en détailFigure 1a. Réseau intranet avec pare feu et NAT.
TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L
Plus en détailIPSec VPN. JTO Rennes 27 Mars. Bertrand Wallrich
IPSec VPN JTO Rennes 27 Mars Bertrand Wallrich Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP Plan 1. Généralités 2. Rappels
Plus en détailDu 03 au 07 Février 2014 Tunis (Tunisie)
FORMATION SUR LA «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES» POUR LES OPERATEURS ET REGULATEURS DE TELECOMMUNICATION Du 03 au 07 Février 2014 Tunis (Tunisie) CRYPTOGRAPHIE ET SECURITE
Plus en détailVPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005
VPN TLS avec Matthieu Herrb 14 Mars 2005 Coordinateurs Sécurité CNRS - 14/3/2005 Pour en finir avec IPSec IPSec : sécurisation au niveau réseau. développé avec IPv6, protocoles spécifiques AH & ESP, modes
Plus en détailCertificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS
Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS Nicole Dausque CNRS/UREC CNRS/UREC IN2P3 Cargèse 23-27/07/2001 http://www.urec.cnrs.fr/securite/articles/certificats.kezako.pdf http://www.urec.cnrs.fr/securite/articles/pc.cnrs.pdf
Plus en détailPrésentation sur les VPN
Rapport d'exposé Présentation sur les VPN Étudiants : Denis de REYNAL Jehan-Guillaume de RORTHAIS Sun Seng TAN Informatique et Réseaux 3éme année Février 2004 UFR Ingénieurs2000 13 / 02 / 2004 Table des
Plus en détailAction Spécifique Sécurité du CNRS 15 mai 2002
Action Spécifique Sécurité du CNRS 15 mai 2002 Sécurité du transport Ahmed Serhrouchni ENST-PARIS Plan. Typologie des solutions Protocole SSL/TLS Introduction Architecture Ports et applications Services
Plus en détailPACK SKeeper Multi = 1 SKeeper et des SKubes
PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack
Plus en détailProtocoles d authentification
Sécurité des Réseaux, Master CSI 2 J.Bétréma, LaBRI, Université Bordeaux 1 Protocoles d authentification 1. Authentification simple 2. Authentification mutuelle 3. Clé de session 4. KDC Source 1. Authentification
Plus en détailGestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader
Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:
Plus en détailRichard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple
Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises La banque en ligne et le protocole TLS : exemple 1 Introduction Définition du protocole TLS Transport Layer Security
Plus en détailEMV, S.E.T et 3D Secure
Sécurité des transactionsti A Carte Bancaire EMV, S.E.T et 3D Secure Dr. Nabil EL KADHI nelkadhi@club-internet.fr; Directeur du Laboratoire L.E.R.I.A. www.leria.eu Professeur permanant A EPITECH www.epitech.net
Plus en détailSkype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN http://www.oklabs.net
Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN http://www.oklabs.net : Champ Encodé SKWRITTEN() : Champ Variable défini Précédemment & définissant l état des champs à suivre ECT
Plus en détailLes Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05
Les Protocoles de sécurité dans les réseaux WiFi Ihsane MOUTAIB & Lamia ELOFIR FM05 PLAN Introduction Notions de sécurité Types d attaques Les solutions standards Les solutions temporaires La solution
Plus en détailLa sécurité dans les grilles
La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailIPFIX (Internet Protocol Information export)
IPFIX (Internet Protocol Information export) gt-metro, réunion du 20/11/06 Lionel.David@rap.prd.fr 20-11-2006 gt-metro: IPFIX 1 Plan Définition d IPFIX Le groupe de travail IPFIX Les protocoles candidats
Plus en détailI.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.
DTIC@Alg 2012 16 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de
Plus en détailSSL/TLS: Secure Socket Layer/Transport Layer Secure Quelques éléments d analyse. GRES 2006 Bordeaux 12 Mai 2006. Ahmed Serhrouchni ENST-PARIS CNRS
SSL/TLS: Secure Socket Layer/Transport Layer Secure Quelques éléments d analyse GRES 2006 Bordeaux 12 Mai 2006 Ahmed Serhrouchni ENST-PARIS CNRS Plan Introduction (10 minutes) Les services de sécurité
Plus en détailCryptographie. Cours 3/8 - Chiffrement asymétrique
Cryptographie Cours 3/8 - Chiffrement asymétrique Plan du cours Différents types de cryptographie Cryptographie à clé publique Motivation Applications, caractéristiques Exemples: ElGamal, RSA Faiblesses,
Plus en détailProtocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009
Janvier 2009 1 2 Etablissement des clés de session Protection des données échangées 3 Identification par mot de passe Identification par clé publique Identification par hôte 4 Utilisations de Secure Shell
Plus en détailGestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe
Génération des clés Gestion des clés Espaces de clés réduits Codage restreint, caractères choisis, clés faibles, Mauvais choix de clés Lettre, mnémotechnique, attaque par dictionnaire Clefs aléatoires
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détailII/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)
II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de
Plus en détailRéseaux et protocoles Damien Nouvel
Réseaux et protocoles Plan Les couches du réseau Suite de protocoles TCP/IP Protocoles applicatifs pour les sites web Requêtes HTTP 2 / 35 Plan Les couches du réseau Suite de protocoles TCP/IP Protocoles
Plus en détailRappels réseaux TCP/IP
Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle
Plus en détailSSL. Secure Socket Layer. R. Kobylanski romain.kobylanski@inpg.fr. janvier 2005 - version 1.1 FC INPG. Protocole SSL Application avec stunnel
SSL Secure Socket Layer R. Kobylanski romain.kobylanski@inpg.fr FC INPG janvier 2005 - version 1.1 1 Protocole SSL 2 SSL/TLS Encapsule des protocoles non sécurisés (HTTP IMAP...) dans une couche chiffrée
Plus en détailVPN IP security Protocol
VPN IP security Protocol Architectures VPN Communication layers Security protocols Application layer Transport layer Network layer ssh, S/MIME, PGP SSL, TLS, WTLS IPsec Data Link layer PPTP, L2TP MPLS
Plus en détailRapport de stage. ETUDE IPSec ET INTEGRATION DE L EXTENSION MODE CONFIG DANS LE MODULE IPSec DES UTMs NETASQ. Jigar SOLANKI. Avril-Septembre 2008
Rapport de stage ETUDE IPSec ET INTEGRATION DE L EXTENSION MODE CONFIG DANS LE MODULE IPSec DES UTMs NETASQ Jigar SOLANKI Avril-Septembre 2008 Master 2 Cryptologie et Sécurité Informatique Responsables
Plus en détail2. DIFFÉRENTS TYPES DE RÉSEAUX
TABLE DES MATIÈRES 1. INTRODUCTION 1 2. GÉNÉRALITÉS 5 1. RÔLES DES RÉSEAUX 5 1.1. Objectifs techniques 5 1.2. Objectifs utilisateurs 6 2. DIFFÉRENTS TYPES DE RÉSEAUX 7 2.1. Les réseaux locaux 7 2.2. Les
Plus en détailDomain Name System Extensions Sécurité
Domain Name System Extensions Sécurité 2 juin 2006 France Telecom R&D Daniel Migault, Bogdan Marinoiu mglt.biz@gmail.com, bogdan.marinoiu@polytechnique.org Introduction Extentions de Sécurité DNS Problématique
Plus en détailPrésentation du modèle OSI(Open Systems Interconnection)
Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:
Plus en détailFTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières
FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE Table des matières Principes de FTPS... 2 Généralités... 2 FTPS en mode implicite... 2 FTPS en mode explicite... 3 Certificats SSL / TLS... 3 Atelier de tests
Plus en détailINSTALLATION D'OPENVPN:
INSTALLATION D'OPENVPN: http://openmaniak.com/fr/openvpn_tutorial.php Suivez le tutorial d'installation d'openvpn. ARCHITECTURE /SERVER: Parmi les deux boitiers OpenVPN, il est nécessaire d'en déclarer
Plus en détailPare-feu VPN sans fil N Cisco RV120W
Pare-feu VPN sans fil N Cisco RV120W Élevez la connectivité de base à un rang supérieur Le pare-feu VPN sans fil N Cisco RV120W combine une connectivité hautement sécurisée (à Internet et depuis d'autres
Plus en détailPolitique d utilisation par AC. Certification et protocoles. Contenu d un certificat (X.509)
Politique d utilisation par AC et protocoles runo MARTIN, Université Nice Sophia Antipolis AC spécifie les champs obligatoires et optionnels. impose évent. cond. de validité sur des champs Exemple Vérif.
Plus en détailIntérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT
Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière
Plus en détailCisco Certified Network Associate
Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un
Plus en détailECOLE NATIONALE SUPERIEURE DES TELECOMMUNICATIONS PARIS MEMOIRE. Par. Ibrahim HAJJEH. Soutenue le 7 décembre 2004 devant le jury composé de
ECOLE NATIONALE SUPERIEURE DES TELECOMMUNICATIONS PARIS MEMOIRE Présenté en vue d obtenir le grade de docteur de l Ecole Nationale Supérieure des Télécommunications Spécialité informatique et réseaux Par
Plus en détailLa sécurisation du flux média pour la VoIP. Duc-Anh NGUYEN Florian MERCERON Cedric L OLLIVIER Institut National des Télécommunications Evry
La sécurisation du flux média pour la VoIP Duc-Anh NGUYEN Florian MERCERON Cedric L OLLIVIER Institut National des Télécommunications Evry 18 mai 2005 Sécurité des Systèmes et des Réseaux Table des matières
Plus en détailSécurité des réseaux wi fi
Sécurité des réseaux wi fi, drocourt@iut-amiens.fr IUT Amiens, Département Informatique 1 Mode Ad Hoc 2 Mode Infrastructure AP (Access Point) 3 Mode Infrastructure AP (Access Point) 4 Mode Infrastructure
Plus en détailLa citadelle électronique séminaire du 14 mars 2002
e-xpert Solutions SA 29, route de Pré-Marais CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La citadelle électronique séminaire du 14 mars 2002 4 info@e-xpertsolutions.com www.e-xpertsolutions.com
Plus en détailSSH, le shell sécurisé
, le shell sécurisé Objectifs : 1. Présenter le protocole et les outils associés Sébastien JEAN Pourquoi 1/2? Les services standards ne supportent que peu de propriétés de sécurité souvent l identification,
Plus en détailIPv6. IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a IPv6 Théorie et Pratique & Microsoft IPsec 1
IPv6 IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a IPv6 Théorie et Pratique & Microsoft IPsec 1 IPsec Toutes les implémentations conformes IPv6 doivent intégrer IPsec Services Authentification
Plus en détail«La Sécurité des Transactions et des Echanges Electroniques»
Séminaire «Journées d Informatique Pratique JIP 2005» Département Informatique, ISET Rades 31 Mars, 1et 2 Avril 2005 «La Sécurité des Transactions et des Echanges Electroniques» Présenté par: Mme Lamia
Plus en détailLes fonctions de hachage, un domaine à la mode
Les fonctions de hachage, un domaine à la mode JSSI 2009 Thomas Peyrin (Ingenico) 17 mars 2009 - Paris Outline Qu est-ce qu une fonction de hachage Comment construire une fonction de hachage? Les attaques
Plus en détailConfiguration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq
Configuration d un Client Mobile IPSec «TheGreenBow» avec un Firewall Netasq Le but de ce document est de proposer un mode opératoire pour permettre à un utilisateur nomade de se connecter à son réseau
Plus en détailSécurité des RO. Partie 6. Sécurisation des échanges. SSL : Introduction. Rappel: Utilités la sécurité à tous les niveaux SSL SSH.
Sécurité des RO Rappel: Utilités la sécurité à tous les niveaux Partie 6 Sécurisation des échanges SSH Application : S-MIME, PGP, Sbox, OTP Présentation Session : SHTTP Transport : SSL, TLS Réseau : authentification
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailSécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien
Sécurité des réseaux wifi Sécurité des réseaux wifi CREIX Kevin GIOVARESCO Julien Sécurité des réseaux wifi Introduction Introduction Wi-Fi = Wireless Fidelity (gage d'intéropérabilité) 1997 -> norme 802.11
Plus en détailTP réseaux Translation d adresse, firewalls, zonage
TP réseaux Translation d adresse, firewalls, zonage Martin Heusse, Pascal Sicard 1 Avant-propos Les questions auxquelles il vous est demandé de répondre sont indiquées de cette manière. Il sera tenu compte
Plus en détailLe rôle Serveur NPS et Protection d accès réseau
Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailMise en route d'un Routeur/Pare-Feu
Mise en route d'un Routeur/Pare-Feu Auteur : Mohamed DAOUES Classification : T.P Numéro de Version : 1.0 Date de la création : 30.05.2011 2 Suivi des Versions Version : Date : Nature des modifications
Plus en détailSECURIDAY 2013 Cyber War
Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS IPsec VPN Présente Formateurs: 1. soumaya
Plus en détail1. Présentation de WPA et 802.1X
Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition
Plus en détailSécurisation du réseau
Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités
Plus en détailDISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)
DISTANT ACESS Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3) TABLE DES MATIERES I. PRESENTATION DE L ATELIER...2 1. PRESENTATION GENERALE...2
Plus en détailPlan. Programmation Internet Cours 3. Organismes de standardisation
Plan Programmation Internet Cours 3 Kim Nguy ên http://www.lri.fr/~kn 1. Système d exploitation 2. Réseau et Internet 2.1 Principes des réseaux 2.2 TCP/IP 2.3 Adresses, routage, DNS 30 septembre 2013 1
Plus en détailLP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Avril 2013
LP ASUR - Sécurité Introduction à la Sécurité des Systèmes d'information Florent Autréau - florent@mataru.com 28 Avril 2013 Firewall Communication Security Virtual Private Networks (ipsec, ssh, ssl) Firewall
Plus en détailCRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie
CRYPTOGRAPHIE Chiffrement par flot E. Bresson SGDN/DCSSI Laboratoire de cryptographie Emmanuel.Bresson@sgdn.gouv.fr CHIFFREMENT PAR FLOT Chiffrement par flot Chiffrement RC4 Sécurité du Wi-fi Chiffrement
Plus en détailIntroduction aux Technologies de l Internet
Introduction aux Technologies de l Internet Antoine Vernois Université Blaise Pascal Cours 2006/2007 Introduction aux Technologies de l Internet 1 Au programme... Généralités & Histoire Derrière Internet
Plus en détailCertificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC
Certificats X509 & Infrastructure de Gestion de Clés Claude Gross CNRS/UREC 1 Confiance et Internet Comment établir une relation de confiance indispensable à la réalisation de transaction à distance entre
Plus en détail