SSL ET IPSEC. Licence Pro ATC Amel Guetat

Transcription

1 SSL ET IPSEC Licence Pro ATC Amel Guetat

2 LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol)

3 SSL - SECURE SOCKET LAYER Historique Le protocole SSL fut créé par Netscape SSL Version Netscape SSL Version Netscape SSL Version Netscape TLS Version IETF

4 SSL V3 - SECURE SOCKET LAYER Objectifs Sécurisation transparente de protocoles existants (HTTP, etc) Fournir des services de sécurité (moyens cryptographiques) Authentification via des certificats X.509 du serveur authentification unidirectionnelle du serveur et du client authentification bidirectionnelle Confidentialité des sessions par chiffrement Intégrité via empreintes (MAC - Message Authentification Code) Rapidité Utilisation de clés de sessions secrètes (algorithme symétrique) Extensibilité et interopérabilité Négociation des algorithmes cryptographiques Robustesse (résistance aux attaques)

5 ARCHITECTURE

6 SSL V3 - SECURE SOCKET LAYER Sous-protocoles SSL est constitué de 4 sous-protocoles Client Application Server Application Server Application SSL Handshake SSL SSL SSL Alert* SSL Change Cipher Spec* TCP/IP Client TCP/IP Serveur SSL Record TCP/IP * Inexistant dans SSL v2

7 SOUS-PROTOCOLE HANDSHAKE Objectifs Authentification du serveur et/ou du client Échange et vérification de certificats Négociation des spécifications de chiffrement (Cipher Spec) Algorithme pour l échange de clés Algorithme pour le chiffrement Algorithme pour le calcul des empreintes (MAC) Génère une clé de session maître (symétrique) définissant Une clé de chiffrement pour le serveur Une clé de chiffrement pour le client Des clés pour sécuriser les empreintes (MAC)

8 SOUS-PROTOCOLE HANDSHAKE Messages échangés Phase 1 : Établissement des paramètres de sécurité ClientHello Client Phase 2 : Authentification du serveur et échange de clés ServerHello Certificate* CertificateRequest* ServerKeyExchange* Serveur ServerHelloDone Certificate* ClientKeyExchange CertificateVerify* Phase 3 : Authentification du client et échange de clés Change_Cipher_Spec Finished Phase 4 : Fin Change_Cipher_Spec (*) Champs optionnels ou fonction de la situation Finished

9 SOUS-PROTOCOLE HANDSHAKE Composition d un message 1 octet 3 octets Type Longueur Données Acheminement par le sous-protocole Record Certains messages sont optionnels Authentification du client, si le serveur ne le demande pas Échange de clé, si le client et le serveur ont dans leur cache les informations

10 SOUS-PROTOCOLE HANDSHAKE Algorithmes d échange de clés (Server_Key_Exchange) RSA Diffie-Hellman Différentes suites cryptographies utilisant RSA Suite cryptographique la plus forte Triple DES (168 bits) + SHA (autorisé uniquement aux USA) Suites cryptographiques fortes RC4 (128 bits) + MD5 (seuls 40 bits sont vraiment secrets) DES (56 bits) + SHA Suites cryptographiques exportables RC4 (40 bits) + MD5 RC2 (40 bits) + MD5 Suite cryptographique la plus faible Pas de chiffrement + MD5

11 SOUS-PROTOCOLE CHANGE CIPHER SPEC 1 octet 1 Permet de signaler des transitions dans les stratégies de chiffrement Envoi réciproque d un message simple pour indiquer que les messages suivants utilisent les nouveaux paramètres négociés.

12 SOUS-PROTOCOLE ALERT 1 octet Level 1 octet Alert Il définit plusieurs niveaux d alerte avec plusieurs alertes possibles (Très riche dans TLS 1.0) Certaines alertes sont définies pour entraîner l arrêt immédiat de la session

13 SOUS-PROTOCOLE RECORD Réceptionne les données des couches supérieures Traite les paquets de données: ❶ Fragmentation en unités de 16Ko qui sont compressées ❷ Calcul d une empreinte (MAC) qui est ajoutée au fragment ❸ Chiffrement symétrique du résultat suivant l algo spécifié ❹ Ajout d une en-tête SSL

14 ATTAQUES SUR SSL Attaque par l homme du milieu Le pirate tente d usurper l identité du serveur vis-àvis du client Solution: Utiliser des certificats signés par des autorités de certification de confiance

15 SSL V3 - SECURE SOCKET LAYER Conclusions Largement utilisé pour mettre en œuvre des VPN (Virtual Private Network) de niveau applicatif Ports des applications qui utilisent SSL FTPS : 990 HTTPS : 443 SSMTP : 465 SNNTP : 563 SPOP3 : 995 Maturité SSL sécurise les échanges, pas les applications

16 LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol)

17 SERVICE FOURNIS PAR IPSEC Confidentialité des données : cryptage à clé symétrique (DES, 3DES, AES, etc). Intégrité et authentification : signature de l en-tête (MD5 ou SHA). Protection contre la retransmission : utilisation d un numéro de séquence. Authentification de l utilisateur : clé partagée ou certificats Création de VPN

18 UTILISATION D IPSEC (1) Privé Privé Virtual Private Network Internet Réseaux privés distants Privé 1 VPN Poste de travail Internet Serveur Accès sécurisé

19 UTILISATION D IPSEC (2) Tunnel Réseau privé Passerelle Internet Ordinateur portable Extranet Utilisateurs mobiles / distants Tunnel accès au réseau privé

20 VPN Les réseaux privés virtuels (VPN : Virtual Private Network) permettent à l'utilisateur de créer un chemin virtuel sécurisé entre une source et une destination. Principe : Tunnelling Services : cryptage des données, authentification des deux extrémités communicantes et intégrité des données. VPN est une collection de technologies appliquées au réseau public, Internet, pour fournir les besoins d un réseau privé Analogie : VPN fournit des services comme s il y avait une ligne de télécommunications privée et propre à l entreprise

21 COMPOSANTS D IPSEC Protocoles de sécurité : AH (Authentication Header) Authentifie et protège l intégrité des datagrammes IP Protection contre le re-jeu par numérotation des paquets ESP (Encapsulating Security Payload) Assure la confidentialité, l authentification et protège l intégrité des datagrammes IP Protection contre le re-jeu par numérotation des paquets Protocole d'échange de clefs : IKE (Internet Key Exchange): Assure la négociation de la SA (Security Association) pour chaque lien qu établit un ordinateur avec un autre ordinateur

22 IPSEC - IP SECURITY PROTOCOL AH - Authentication Header Assure l intégrité des données transférées. Chaque paquet est numéroté dans l en-tête AH Mode transport : transport ou tunnel Transport : l en-tête du paquet sécurisé est l en-tête initiale Tunnel : nouvelle en-tête IP pour chaque paquet sécurisé En-tête IP En-tête TCP/UDP Données Authentifié En-tête IP En-tête AH En-tête TCP/UDP Données

23 IPSEC - IP SECURITY PROTOCOL ESP - Encapsulating Security Payload Chiffrement Authentification Chaque paquet est numéroté dans l en-tête ESP Mode transport : transport ou tunnel Transport : l en-tête du paquet sécurisé est l en-tête initiale Tunnel : nouvelle en-tête IP pour chaque paquet sécurisé En-tête IP En-tête TCP/UDP Données Authentifié Chiffré En-tête IP En-tête ESP En-tête TCP/UDP Données ESPt ESPa

24 BIBLIOGRAPHIE Halte aux hackers (2 nde édition) McClure/Scambray/Kurtz - Osman Eyrolles Multimédia ISBN : L internet sécurisé Larchet - Eyrolles ISBN : Sécurité optimale : Pour protéger vos sites Web et votre réseau Anonyme - Campus Press ISBN : Le Grand Livre de SecuriteInfo.com