Cours 10. Mise en place des mesures de protection Proxy et Firewall. 2004, Marc-André Léger

Transcription

1 Cours 10 Mise en place des mesures de protection Proxy et Firewall

2 Choix (rappel du cours 9) Ségrégation des réseaux Définition de rôles Firewalls IDS NVAS Honeypots HP Openview et outils de gestion Filtres et proxy

3 Firewall Système d exploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage Simple PC, matériel dédié, circuit intégré spécialisé (ASIC) Ex de firewall non matériel Source:

4 Différences firewall logiciel/matériel Peuvent offrir fonctions et services identiques Différences: SAV: 1 seul constructeur fournit la solution complète Résistance: conçu pour être un produit de sécurité Distribution de la fonction firewall dans les points stratégiques du réseau Source:

5 Catégories de firewalls matériels Routeurs: filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags TCP Stateless ou Stateful Moins d applications complexes/multimédia supportées que firewall spécialisés (NAT) Routeurs conçus initialement pour commuter paquets -> attention Filtres des tables de routage Performances: de qques kb/s -> plusieurs Mb/s Perte de performances de 15 à 20% en Stateful Performances dépendent du nombre de fonctions utilisées (IPSec, détection d intrusion, codecs pour voix sur IP, QOS) Routeur stateful idéaux pour relier bureaux via internet: site a protéger rarement important Source:

6 Catégories de firewalls matériels Firewalls spécialisés Conçus uniquement pour faire du filtrage Très performant: > 1Gbit/s connexions Plusieurs dizaines de milliers de nouvelles connexions par seconde Supportent rarement les interfaces WAN nécessité d être associés à des routeurs pour la connectivité Disponibles également pour le grand public Pour accès toujours connectés (DSL, câble) Ouverts en sortie Certains permettent le filtrage dans les deux sens adaptés à l hébergement de services Performances: 1à 2 Mb/s (vitesse d accès) Limitations au niveau du nombre de sessions supportées et nombre de nouvelles connexions par seconde. Meilleur choix pour protéger l accès principal à Internet ou serveurs publics Source:

7 Catégories de firewalls matériels Modules firewall pour commutateurs Sous forme de carte Firewall stateful Intégrés aux commutateurs pour fournir protection entre différents VLAN Support de contextes virtuels services de filtrages a des réseaux distincts Performances: jusqu à 5 Gb/s de connexions nouvelles connexions par seconde Jusqu à 100 interfaces virtuelles Possibilité d utiliser plusieurs cartes débit de 30 Gb/s Utilisés pour cloisonner le réseau interne Source:

8 Firewalls logiciels professionnels Source:

9 Firewalls logiciels professionnels Plan Deux firewalls stateful : Firewall libre : Netfilter / iptables Firewall commercial : CheckPoint Firewall-1 Ce que les firewalls laissent passer Source:

10 Firewalls logiciels en passerelle libre : Netfilter Intégré au noyau 2.4 de linux Interface utilisateur séparée : iptables Stateless : iptables -A INPUT -s p tcp -- destination-port telnet -j DROP Stateful : iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT INVALID / ESTABLISHED / NEW / RELATED Source:

11 Firewall logiciels en passerelle libre : Netfilter Spécificités Ajout de plugins au système de suivi de connections FTP / H323 / IRC / Plugins divers : modification du comportement de la pile IP Front ends de configuration graphiques Avantage décisif sur les autres firewalls libres Source:

12 Firewall logiciels en passerelle commercial : CP Firewall-1 Disponible sur plusieurs plateformes Windows Server Linux Red Hat HP-UX - Solaris Prix 50$ par utilisateur (100 machines) Au nombre de plugins fournis + Formations Source:

13 Firewall logiciels en passerelle commercial : CP Firewall-1 Spécificités Décomposable en plusieurs modules serveurs antivirus, serveur d authentification, reporting Authentification des utilisateurs Avec LDAP, RADIUS, TACACS Pour filtrer les URL, Pour la limitation du temps, Permissions au niveau de l utilisateur plutôt qu au niveau d un adresse IP Source:

14 Firewall logiciels en passerelle ce qu ils laissent passer Les attaques d application web Vulnérables si elles ne filtrent pas assez les données entrées par l utilisateur. Insertion de code sur les Forums Insertion de requêtes SQL dans un champ de formulaire Source:

15 Firewall logiciels en passerelle ce qu ils laissent passer Injection de requête SQL : SELECT * FROM table_clients WHERE champ_nom=name l'utilisateur entre son nom : toto ; INSERT INTO table_users VALUES('Mon_login', 'Mon_password') La requête finale est : SELECT * FROM table_clients WHERE champ_nom=toto ; INSERT INTO table_users VALUES('Mon_login', 'Mon_password') Source:

16 Firewall logiciels en passerelle ce qu ils laissent passer Solution : «Reverse Proxy» Rôle de l administrateur réseau? Source:

17 Firewalls personnels Source:

18 Firewalls personnels - Plan Cible et besoins Principe Limites Firewalls personnels sous Windows et Linux Source:

19 Cible et besoins Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet Postes principalement «client» principale menace: réception de chevaux de Troie logiciels espions / backdoors empêcher connexion de programmes non autorisés Source:

20 Cible et besoins Filtrage simple de paquets: la plage de ports doit être autorisée pour que les applis puissent fonctionner dans les deux sens filtrage de paquets problématique Source:

21 Principe Contrôle des applications pour accéder ou non au réseau liste applications autorisées à initier flux réseau ou a écouter Pour chaque appli: Localisation de l exécutable Protocole de niveau 4 utilisé (TCP, UDP, ICMP) Jeux de ports utilisés Sens de flux associé Source:

22 Principe La configuration doit être aisée pour correspondre à la cible de marché configuration par apprentissage Permet également de faire de la remontée d alertes Dans le modèle OSI: Entre couches IP et liaison: règles indépendantes d une application / flux déjà autorisés Entre couches réseau et applicative: intercepter les demandes d ouverture de socket Source:

23 Limites Certaines prises de décision nécessitent connaissances Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse Beaucoup d appli accèdent au réseau par différents protocoles nombre d entrées important, difficile à maintenir Source:

24 Limites Lacunes courantes: Impossibilité de spécifier des règles indépendamment d une appli Impossibilité de restreindre les jeux de ports utilisable par une appli autorisée Impossibilité de spécifier des règles pour autres protocoles que TCP, UDP ou ICMP Absence de filtrage à état ou absence des modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4) Source:

25 Limites Absence de sécurité de certains OS: pas de contrôle d accès ou comptes utilisateurs non utilisés Application pouvant se lancer en superutilisateur --> écraser exécutables concernés par configuration du firewall, tuer d autres applis (anti-virus, firewall), annuler les protections Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur) Ne travaille qu à partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) n est pas vu du firewall Source:

26 Firewalls personnels sous Windows et Linux Windows: Kerio, Zone Alarm, Linux: module «owner» de Netfilter + patch «owner-cmd» Critères de filtrages relatifs aux processus: UID, GID propriétaire PID/SID du process Nom du process iptables A OUTPUT m owner cmd-owner ping j ACCEPT Attention, ne vérifie pas la localisation de l exécutable, limiter les packets iptables A OUTPUT m owner cmd-owner ping p icmp icmp-type echo-request j ACCEPT Source:

27 Serveurs mandataires et relais inverses (Proxys et Reverse Proxys) La notion de proxy: Un intermédiaire entre le réseau local et internet. La plupart du temps, pour le protocole HTTP. Principe: C est un serveur mandaté par une application pour effectuer une requête sur Internet à sa place. Manip pour chercher le script proxy. Source:

28 Les fonctionnalités Conversion de protocole, si le LAN n utilise pas TCP/IP Fonction de cache accélère la navigation, réduit l occupation de la bande passante, Le filtrage, par instauration de listes blanches/noires et suivis sur logs L authentification, pour refuser la ressource web à certains utilisateurs (logs) Source:

29 Le reverse-proxy (relais inverse) Permet aux utilisateurs Internet d accéder directement à certains serveurs internes. Permet une protection du serveur Web. La fonction cache soulage la charge du serveur («accélérateur») Certains reverse-proxys permettent une répartition de charge sur différents serveurs. Source:

30 Quelques noms: Squid (windows, linux, gratuit) Wingate (windows, payant) Windows 2000 intègre un proxy (MSP, complété par Microsoft Proxy Client) Source:

31 Modèles de contrôle d accès Un Modèle de contrôle d accès inclut: Des sujets Des objets Des actions Un règlement de sécurité Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

32 Modèles de contrôle d accès Les sujets: entités actives Utilisateurs - Ordinateurs - Processus Les objets: entités passives Données Programmes Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

33 Modèles de contrôle d accès Les actions Lecture - Ecriture - Exécution - Création - Suppression Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

34 Modèles de contrôle d accès Le règlement de sécurité Ensemble de Permissions Ex: Le sujet s a la permission (droit, privilège) d effectuer l action a sur l objet o Un système est sûr si et seulement si le règlement ne peut être violé Toute opération effectuée doit être permise Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

35 Modèles de contrôle d accès Implantation Le plus souvent au moyen d un noyau de sécurité Le noyau de sécurité contrôle les accès Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

36 Modèles Discrétionnaires Les plus anciens Règlement défini de façon discrétionnaire pour chaque utilisateur Le règlement de sécurité s exprime sous la forme d une matrice A. A(s,o) correspond à l ensemble des actions que s a la permission de réaliser sur l objet o Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

37 Modèles Discrétionnaires Notion de droit propriétaire Chaque objet a un propriétaire qui décide quels sont les autres sujets qui ont accès à cet objet. Sujets peuvent être structurés en groupe La structuration des sujets en groupes simplifie l expression de la politique de sécurité. Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

38 Avantages Modèles Discrétionnaires Modèles simples Souvent implantés (UNIX, SQL92 ) Inconvénients Adaptés à des règlements de sécurité simples Vulnérables aux chevaux de Troie Problème de la fuite des droits Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

39 Modèles Obligatoires Appelés aussi modèles de sécurité multiniveaux (sécurité militaire) Chaque sujet reçoit un niveau d habilitation Chaque objet reçoit un niveau de classification Règlement de sécurité obligatoire Si l habilitation d un sujet est supérieure ou égale à la classification de l objet alors ce sujet a la permission de prendre connaissance de l information véhiculée par l objet. Objectif de confidentialité Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

40 Modèles Obligatoires Bell & LaPadula ont montré que les 2 règles suivantes étaient nécessaires pour garantir le règlement de sécurité: No Read Up: Si l habilitation d un sujet est supérieure ou égale à la classification de l objet alors ce sujet a la permission de lire l information contenue dans l objet. No Write Down: Si l habilitation d un sujet est inférieure ou égale à la classification de l objet alors ce sujet a la permission de modifier l information contenue dans l objet. Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

41 Modèles Obligatoires S P Read Write Process S Read S P Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

42 Modèles Obligatoires Les 2 règles du modèle de Bell & LaPadula sont mises en œuvre par des contrôles d accès Ces 2 règles ne sont pas suffisantes pour garantir le règlement de sécurité multi-niveaux Un utilisateur peut accéder à de l information sensible par le biais d autres moyens que de simples opérations de lecture/écriture: canaux cachés Ex: Canaux d inférence Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

43 Avantages Modèles Obligatoires Procurent un niveau de sécurité supérieur aux modèles discrétionnaires Inconvénients Assez rigides Limités à des usages militaires Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

44 Modèles à base de rôles Un rôle est une collection de droits Les droits sont assignés aux rôles Les rôles sont assignés aux utilisateurs Un utilisateur peut recevoir plusieurs rôles L utilisateur choisit dans ses rôles celui (ou ceux) qu il veut jouer Les privilèges de l utilisateurs sont les privilèges du (des) rôle(s) qu il a activé(s) Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

45 Modèles à base de rôles Les rôles sont organisés hiérarchiquement Les rôles offrent une grande souplesse dans l expression du règlement de sécurité Bien adaptés aux applications commerciales 1 fonction professionnelle => 1 rôle Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

46 Avantages Modèles à base de rôles Plus puissants que les modèles discrétionnaires Plus polyvalents que les modèles multi-niveaux A la mode et de plus en plus implantés (SQL-ORACLE) Inconvénients Niveau de sécurité des modèles discrétionnaires Nécessité de mettre en place une procédure d administration des rôles Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt

47 VPN Les réseaux privés virtuels Définition : Réseau de communication privé qui peut se servir de l'infrastructure d'un réseau public pour transmettre des données qui sont protégées grâce à l'utilisation de techniques de chiffrement ou d'encapsulation. Sous-entrée(s) : synonyme(s) réseau virtuel n. m. abréviation(s) RPV n. m. Note(s) : Des tunnels virtuels s'établissent dans le réseau public entre les appelants et les appelés. Les communications privées sont sécurisées. Source:

48 Pourquoi avoir besoin de réseaux privés virtuels? L utilisation du protocole Internet (Internet Protocol, IP) comme base des réseaux informatiques est devenue très importante. Le but de ce protocole n a jamais été d assurer des communications sécurisées, d où l absence de fonctionnalités dans ce domaine.

49 Problématique courante Nous ne souhaitons pas : que l univers puisse accéder par exemple à la comptabilité et aux documents de travail de la société. la visite des pirates Nous souhaitons cependant que les employés puissent accéder aux ressources de la société. Les dispositifs anti-intrusions s ils empêchent aux indésirables de «rentrer» doivent permettrent aux personnes autorisées d accéder aux ressources du réseau local, mais comment faire?

50 Solution Le réseau privé virtuel est la solution apportée à cette problématique. Il permet : d authentifier l utilisateur qui souhaite établir le tunnel de réaliser le routage des paquets une fois le tunnel établi de crypter les données qui circulent sur le réseau public d authentifier l émetteur de chaque paquet d assurer que le message reçu est conforme à celui envoyé Des protocoles de VPN voient le jour

51 L2F 1996 le protocole L2F (Layer 2 Forwarding) est né sous l impulsion conjointe de CISCO, Northern Telecom et Shiva.

52 PPTP Microsoft réplique avec la création du PPTP (Point to Point Tunneling Protocol) en collaboration avec 3-COM, Ascend, US Robotics et ECI Telematics.

53 IPSec En novembre 1998 l IPSec en tant que standard normalisé fait son apparition sous l égide de l IETF (RFC 2401) alors qu il est développé depuis 1992.

54 L2TP Enfin en août 1999 le L2TP (Layer 2 Tunneling Protocol) est un protocole supposé regrouper en un seul le meilleur du PPTP et du L2F.

55 Quelques protocoles «exotiques» Certains protocoles rangés dans les technologies VPN ne sont pas listés ici. par exemple le SSL qui ne réponds que partiellement à la définition d un réseau privé virtuel car la communication privée n est maintenue que pendant le temps d une session http.

56 Définition VPN Les réseaux privés virtuels permettent à l utilisateur de créer un chemin virtuel sécurisé entre une source et une destination Source Réseau privé virtuel Destination

57 Plutôt vague Cette définition relativement vague démontre bien la difficulté d appréhender une solution qui laisse de telles possibilités. Généralement nous réduisons la notion de VPN à une liaison d un point A vers un point B en traversant les réseaux (non sécurisés) de l internet.

58 Stricto sensu Cependant stricto sensu une connexion VPN n a pas besoin d être établie à travers un large réseau. Une simple liaison locale entre 2 hôtes sur un même réseau (local) peut recourir aux services d un lien VPN.

59 Notion de tunnel Lorsqu un réseau privé virtuel est initialisé, on dit que l on «monte un tunnel». Le site distant à la sortie du tunnel sera joignable tel n importe quel hôte local alors qu auparavant il ne l était pas.

60 Vie et mort du tunnel Le tunnel est établi selon des règles précises et sa vie est régie par des protocoles normalisés, normes publiées dans des RFC (Request For Comments) Le tunnel n est pas éternel il a une durée de vie limitée : soit dans le temps, soit dans le volume de données échangées. Le plus souvent les limites de temps et de volume de trafic sont concurremment établies.

61 PWR OK WIC0 ACT/CH0 ACT/CH1 WIC0 ACT/CH0 ACT/CH1 ETH ACT COL Réseaux privés virtuels : Principe de base Un client établi un tunnel entre lui et un serveur distant à travers un réseau externe et échange du trafic avec ce site distant. La communication est sécurisée. Site principal Site distant Serveurs Serveurs Routeur Routeur client VPN Réseau externe (public ou privé) Pare-feu avec serveur VPN Hôtes divers s/ réseau local Hôtes divers sur site distant Pare-feu ex : INTERNET Hôtes divers s/ réseau local Hôtes divers s/ réseau local Clients mobiles Avec cette architecture type les hôtes sur le site distant, ainsi que les clients mobiles peuvent accéder aux ressources disponibles sur le réseau local du site principal. Ordinateurs portables avec client VPN Les données circulent sur le réseau externe de façon sécurisée (contrôle et cryptage).

62 PWR OK WIC0 ACT/CH0 ACT/CH1 WIC0 ACT/CH0 ACT/CH1 ETH ACT COL Réseaux privés virtuels : Plusieurs tunnels Un client du site distant établi un tunnel entre lui et le firewall du site principal. Il peut maintenant établir une connexion par un second tunnel vers le serveur sécurisé. Site principal Site distant Serveurs Serveurs Routeur Routeur client VPN Réseau externe (public ou privé) Pare-feu avec serveur VPN Hôtes divers s/ réseau local Hôtes divers sur site distant Pare-feu ex : INTERNET Hôtes divers s/ réseau local Hôtes divers s/ réseau local Vu du côté du client la communication qui utilise 2 tunnels : Hôte A Pare-feu avec serveur VPN Serveur B

63 Hôtes finaux Les hôtes finaux sont des machines situées à l extrémité d une communication, de part et d autre du tunnel. Ce terme englobe en particulier les serveurs applicatifs ou de données et les postes utilisateurs (station de travail, ordinateur portable...).

64 Introduction à la notion d encapsulation Lorsque l adresse de destination de la communication est une adresse située de l autre côté du tunnel, le paquet n est pas transmit selon les informations de la table de routage initiale mais «emballé» dans un autre container qui empruntera le tunnel.

65 Encapsulation des paquets A l image du ferroutage en Suisse où les camions sont embarqués sur des trains, le conducteur ne voit rien de la Suisse et des villes ou villages traversés, mais uniquement une gare d embarquement et une gare de débarquement. Le paquet initial ne croit avoir fait qu un saut (hop) entre l entrée et la sortie du tunnel, son compteur TTL* n est décrémenté que d une unité.

66 Schéma de l encapsulation Le paquet de départ est encapsulé dans un autre paquet (plus long). Paquet de départ IP DONNEES Paquet encapsulé dans un autre IP IP DONNEES

67 Authentification des utilisateurs distants Les réseaux privés virtuels doivent pour autoriser l établissement du lien VPN authentifier les utilisateurs qui souhaitent se connecter. Il existe deux grandes familles de méthodologie d authentification : Les annuaires les certificats.

68 Les annuaires Les annuaires sont des listes d utilisateurs et de mots de passe. A chaque utilisateur ou groupe d utilisateurs est associé des droits d accès (privilèges).

69 Talon d Achile La faiblesse est que d une façon ou d une autre, en clair ou crypté plus ou moins bien, circule sur le réseau (non sûr à priori) le couple identifiant et mot de passe. Des outils spécialisés (sniffer) permettent de rechercher ces informations et de tenter de les décrypter.

70 Les certificats Les certificats sont des fichiers binaires contenant une clef identifiant de façon unique l utilisateur (X509 par exemple). Les clefs sont signées numériquement par une autorité de certification. Tous les clients et serveurs d authentification connaissent de façon sûre et irréfutable les clefs publiques des autorités et des clients (annuaires possibles) La sécurité se base sur un algorithme mathématique qui permet de d authentifier de façon «quasi» certaine les utilisateurs.

71 Confidentialité par cryptage Le cryptage est l application d algorithmes mathématiques visant à rendre inintelligible les informations cryptées pour quiconque n ayant pas à en prendre connaissance. Le cryptage est très ancien, César lui-même cryptait ses communications (ROT 13)

72 Confidentialité par cryptage Le cryptage a connu une seconde naissance lors de la seconde guerre mondiale avec la machine Allemande (Enigma). Un bon algorithme de cryptage doit pouvoir résister suffisamment longtemps à la cryptanalyse et ne laisser que la méthode dite «brute force» pour être décrypté sans la clef.

73 Les équipements VPN Il existe 2 grande famille d équipements permettant d établir des VPN : Boîtiers dédiés Logiciels

74 Les produits pour monter des VPN Certaines solutions logicielles de sécurité sont fournies avec le système d exploitation (pptp, ssh), d autres sont des produits commerciaux à installer sur un environnement donné. Les boîtes noires dédiées, dites «appliances», sont plus efficaces grâce à la spécialisation extrême de l environnement interne du boîtier (routeurs firewall par exemple).

75 Les principaux acteurs du marché Les principaux fabricants et éditeurs sont : Alcatel Check Point Cisco Comet Labs Enterasys Lucent Netasq Netgear Netscreen Nortel Networks Sonicwall Symantec Watchguard Symantec (ex Axent)

76 Présentation des protocoles (à faire par Dominique)

77 IPSec : où intervient-il? IPsec s insère, dans la pile de protocoles TCP/IP, au niveau d IP. Cela signifie qu il agit sur chaque paquet IP reçu ou émis et peut soit le laisser passer sans traitement particulier, soit le rejeter, soit lui appliquer un mécanisme de sécurisation. IPSec sécurise les données au niveau des paquets eux-mêmes.

78 IP v4 - IP v6 Toutes les implémentations d une pile de protocoles TCP/IP conformes à la version six d IP doivent intégrer IPsec. En revanche, IPsec est optionnel pour la version actuelle d IP, IPv4

79 Insertion dans la couche réseau IPsec au niveau IP présente l avantage de le rendre exploitable par les niveaux supérieurs d offrir un moyen de protection unique pour toutes les applications.

80 Services fournis IPsec vise à prévenir les diverses attaques rendues possibles par le protocole IP empêcher un adversaire d espionner les données circulant sur le réseau de se faire passer pour autrui afin d accéder à des ressources ou données protégées. Là sont les deux principales fonctionnalités de l IPSec : l authentification et le cryptage.

81 services de sécurité fournis Sont fournis, suivant les options sélectionnées : - Confidentialité - Authentification - Protection contre le rejeu

82 services de sécurité fournis : confidentialité Les données transportées sont cryptées. Il est possible de chiffrer les en-têtes des paquets IP et ainsi masquer les adresses source et destination réelles. On parle alors de protection contre l analyse du trafic.

83 services de sécurité fournis : authentification Est composée de deux services, fournis conjointement par un même mécanisme : L authentification de l origine des données garantit que les données reçues proviennent de l expéditeur déclaré. L intégrité garantit qu elles n ont pas été modifiées durant leur transfert.

84 services de sécurité fournis : Protection contre le rejeu La protection contre le rejeu permet de détecter une tentative d attaque consistant à envoyer de nouveau un paquet valide intercepté précédemment sur le réseau grâce à un mécanisme cryptographique.

85 AH et ESP Les services de sécurité mentionnés cidessus sont fournis au moyen de deux extensions du protocole IP appelées AH (Authentication Header RFC 2402) ESP (Encapsulating Security Payload RFC 2406)

86 Authentification Header AH est conçu pour assurer l authenticité des datagrammes IP sans chiffrement des données (i.e. sans confidentialité). Le principe d AH est d adjoindre au datagramme IP classique un champ supplémentaire permettant à la réception de vérifier l authenticité des données incluses dans le datagramme. Un numéro de séquence permet de détecter les tentatives de rejeu.

87 Authentification Header IP V4 IP DONNEES IP V4 + IPSec ou IP V6 IP AH DONNEES

88 Encapsulating Security Payload ESP a pour rôle premier d assurer la confidentialité mais peut aussi assurer l authenticité des données. Le principe d ESP est de générer, à partir d un datagramme IP classique, un nouveau datagramme dans lequel les données et éventuellement l en-tête original, sont chiffrés. ESP peut également assurer l authenticité des données par ajout d un bloc d authentification et la protection contre le rejeu par le biais d un numéro de séquence.

89 Encapsulating Security Payload Authentification seule : IP V4 IP DONNEES IP V4 + IPSec ou IP V6 IP ESP DONNEES Auth

90 AH et ESP Ces deux extensions peuvent être utilisées séparément ou combinées pour obtenir les services de sécurité requis. AH et ESP sont basés sur l utilisation d algorithmes cryptographiques et ne sont pas restreints à un algorithme particulier. Ils sont utilisables avec de nombreux algorithmes.

91 Quelques algorithmes NULL (pas de chiffrement), CAST-128 (clef de 40 à 128 bits), Blowfish ( bits), RC5 ( bits), DES (56 bits) 3DES ou triple DES (clef de 168 bits mais de force équivalente à 112bits) AES

92 Service minimum Pour garantir l interopérabilité entre les équipements, la norme IPsec sont obligatoires dans toute implémentation conforme d IPsec : DES-CBC et 3DES-CBC pour le chiffrement. HMAC-MD5 et HMAC-SHA-1 pour l authentification

93 Mode transport et mode tunnel Le mode transport protège uniquement le contenu du paquet IP sans toucher à l en-tête Dans ce mode les hôtes de la communication sont au départ déjà accessibles. L intérêt de ce mode est uniquement la protection des flux.

94 Mode transport et mode tunnel Le mode tunnel permet la création de tunnels par encapsulation de chaque paquet IP dans un nouveau paquet. La protection porte sur tous les champs des paquets IP y compris sur les champs des entêtes (adresses source et destination par exemple). Ce mode est généralement utilisé par les équipements réseau (routeurs, gardesbarrières...).

95 Mode transport et mode tunnel

96 se mettre d accord sur les paramètres à utiliser Afin d échanger des données de façon sécurisée, il est nécessaire, dans un premier temps, de se mettre d accord sur les paramètres à utiliser, et notamment d échanger des clefs de façon sûre.

97 La bonne vieille méthode : manuellement la gestion manuelle, consiste à laisser l administrateur configurer manuellement chaque équipement utilisant IPsec avec les paramètres appropriés. Inadapté aux gros réseaux requiert une définition statique des paramètres non renouvellement des clefs. La première version d IPsec, parue en 1995, se basait sur cette méthode manuelle pour la configuration des équipements.

98 La méthode automatique La seconde approche est la gestion automatique au moyen d un protocole approprié. Les développements dans ce domaine ont abouti à un protocole de gestion des paramètres relatifs à IPsec connu sous le nom de IKE (Internet Key Exchange RFC 2409). IKE se charge de la gestion de tous les paramètres relatifs à la sécurisation des échanges : - négociation des clefs et paramètres - mise à jour des clefs et paramètres - suppression des anciennes clefs

99 Secret partagé ou clefs publiques IKE inclut, au début de la négociation, une authentification mutuelle des tiers communicants qui peut se baser : sur un secret partagé préalable (shared secret) sur des clefs publiques.

100 Clefs publiques L échange des clefs publiques utilisées par IKE peut se faire soit manuellement, soit par un échange de certificats en ligne, soit par le biais d une infrastructure à clefs publiques (Public Key Infrastructure, PKI) extérieure. Il ne faut pas confondre le protocole d échange de clefs qu est IKE avec le protocole d échange de paramètres de sécurité qu est ISAKMP. (RFC 2407 et 2408)

101 Internet Security Association and Key Management Protocol ISAKMP a pour rôle la négociation, l établissement, la modification et la suppression des associations de sécurité et de leurs attributs. ISAKMP est un cadre générique indépendant des mécanismes en faveur desquels la négociation a lieu. ISAKMP peut être implémenté directement au dessus d IP ou au dessus de tout protocole de la couche transport. Le port UDP 500 lui est attribué par l IANA.