SSL ET IPSEC Licence Pro ATC Amel Guetat
LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol)
SSL - SECURE SOCKET LAYER Historique Le protocole SSL fut créé par Netscape SSL Version 1.0 1994 - Netscape SSL Version 2.0 1995 Netscape SSL Version 3.0 1996 - Netscape TLS Version 1.0-1999 - IETF
SSL V3 - SECURE SOCKET LAYER Objectifs Sécurisation transparente de protocoles existants (HTTP, etc) Fournir des services de sécurité (moyens cryptographiques) Authentification via des certificats X.509 du serveur authentification unidirectionnelle du serveur et du client authentification bidirectionnelle Confidentialité des sessions par chiffrement Intégrité via empreintes (MAC - Message Authentification Code) Rapidité Utilisation de clés de sessions secrètes (algorithme symétrique) Extensibilité et interopérabilité Négociation des algorithmes cryptographiques Robustesse (résistance aux attaques)
ARCHITECTURE
SSL V3 - SECURE SOCKET LAYER Sous-protocoles SSL est constitué de 4 sous-protocoles Client Application Server Application Server Application SSL Handshake SSL SSL SSL Alert* SSL Change Cipher Spec* TCP/IP Client TCP/IP Serveur SSL Record TCP/IP * Inexistant dans SSL v2
SOUS-PROTOCOLE HANDSHAKE Objectifs Authentification du serveur et/ou du client Échange et vérification de certificats Négociation des spécifications de chiffrement (Cipher Spec) Algorithme pour l échange de clés Algorithme pour le chiffrement Algorithme pour le calcul des empreintes (MAC) Génère une clé de session maître (symétrique) définissant Une clé de chiffrement pour le serveur Une clé de chiffrement pour le client Des clés pour sécuriser les empreintes (MAC)
SOUS-PROTOCOLE HANDSHAKE Messages échangés Phase 1 : Établissement des paramètres de sécurité ClientHello Client Phase 2 : Authentification du serveur et échange de clés ServerHello Certificate* CertificateRequest* ServerKeyExchange* Serveur ServerHelloDone Certificate* ClientKeyExchange CertificateVerify* Phase 3 : Authentification du client et échange de clés Change_Cipher_Spec Finished Phase 4 : Fin Change_Cipher_Spec (*) Champs optionnels ou fonction de la situation Finished
SOUS-PROTOCOLE HANDSHAKE Composition d un message 1 octet 3 octets Type Longueur Données Acheminement par le sous-protocole Record Certains messages sont optionnels Authentification du client, si le serveur ne le demande pas Échange de clé, si le client et le serveur ont dans leur cache les informations
SOUS-PROTOCOLE HANDSHAKE Algorithmes d échange de clés (Server_Key_Exchange) RSA Diffie-Hellman Différentes suites cryptographies utilisant RSA Suite cryptographique la plus forte Triple DES (168 bits) + SHA (autorisé uniquement aux USA) Suites cryptographiques fortes RC4 (128 bits) + MD5 (seuls 40 bits sont vraiment secrets) DES (56 bits) + SHA Suites cryptographiques exportables RC4 (40 bits) + MD5 RC2 (40 bits) + MD5 Suite cryptographique la plus faible Pas de chiffrement + MD5
SOUS-PROTOCOLE CHANGE CIPHER SPEC 1 octet 1 Permet de signaler des transitions dans les stratégies de chiffrement Envoi réciproque d un message simple pour indiquer que les messages suivants utilisent les nouveaux paramètres négociés.
SOUS-PROTOCOLE ALERT 1 octet Level 1 octet Alert Il définit plusieurs niveaux d alerte avec plusieurs alertes possibles (Très riche dans TLS 1.0) Certaines alertes sont définies pour entraîner l arrêt immédiat de la session
SOUS-PROTOCOLE RECORD Réceptionne les données des couches supérieures Traite les paquets de données: ❶ Fragmentation en unités de 16Ko qui sont compressées ❷ Calcul d une empreinte (MAC) qui est ajoutée au fragment ❸ Chiffrement symétrique du résultat suivant l algo spécifié ❹ Ajout d une en-tête SSL
ATTAQUES SUR SSL Attaque par l homme du milieu Le pirate tente d usurper l identité du serveur vis-àvis du client Solution: Utiliser des certificats signés par des autorités de certification de confiance
SSL V3 - SECURE SOCKET LAYER Conclusions Largement utilisé pour mettre en œuvre des VPN (Virtual Private Network) de niveau applicatif Ports des applications qui utilisent SSL FTPS : 990 HTTPS : 443 SSMTP : 465 SNNTP : 563 SPOP3 : 995 Maturité SSL sécurise les échanges, pas les applications
LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol)
SERVICE FOURNIS PAR IPSEC Confidentialité des données : cryptage à clé symétrique (DES, 3DES, AES, etc). Intégrité et authentification : signature de l en-tête (MD5 ou SHA). Protection contre la retransmission : utilisation d un numéro de séquence. Authentification de l utilisateur : clé partagée ou certificats Création de VPN
UTILISATION D IPSEC (1) Privé Privé Virtual Private Network Internet Réseaux privés distants Privé 1 VPN Poste de travail Internet Serveur Accès sécurisé
UTILISATION D IPSEC (2) Tunnel Réseau privé Passerelle Internet Ordinateur portable Extranet Utilisateurs mobiles / distants Tunnel accès au réseau privé
VPN Les réseaux privés virtuels (VPN : Virtual Private Network) permettent à l'utilisateur de créer un chemin virtuel sécurisé entre une source et une destination. Principe : Tunnelling Services : cryptage des données, authentification des deux extrémités communicantes et intégrité des données. VPN est une collection de technologies appliquées au réseau public, Internet, pour fournir les besoins d un réseau privé Analogie : VPN fournit des services comme s il y avait une ligne de télécommunications privée et propre à l entreprise
COMPOSANTS D IPSEC Protocoles de sécurité : AH (Authentication Header) Authentifie et protège l intégrité des datagrammes IP Protection contre le re-jeu par numérotation des paquets ESP (Encapsulating Security Payload) Assure la confidentialité, l authentification et protège l intégrité des datagrammes IP Protection contre le re-jeu par numérotation des paquets Protocole d'échange de clefs : IKE (Internet Key Exchange): Assure la négociation de la SA (Security Association) pour chaque lien qu établit un ordinateur avec un autre ordinateur
IPSEC - IP SECURITY PROTOCOL AH - Authentication Header Assure l intégrité des données transférées. Chaque paquet est numéroté dans l en-tête AH Mode transport : transport ou tunnel Transport : l en-tête du paquet sécurisé est l en-tête initiale Tunnel : nouvelle en-tête IP pour chaque paquet sécurisé En-tête IP En-tête TCP/UDP Données Authentifié En-tête IP En-tête AH En-tête TCP/UDP Données
IPSEC - IP SECURITY PROTOCOL ESP - Encapsulating Security Payload Chiffrement Authentification Chaque paquet est numéroté dans l en-tête ESP Mode transport : transport ou tunnel Transport : l en-tête du paquet sécurisé est l en-tête initiale Tunnel : nouvelle en-tête IP pour chaque paquet sécurisé En-tête IP En-tête TCP/UDP Données Authentifié Chiffré En-tête IP En-tête ESP En-tête TCP/UDP Données ESPt ESPa
BIBLIOGRAPHIE Halte aux hackers (2 nde édition) McClure/Scambray/Kurtz - Osman Eyrolles Multimédia ISBN : 2746402920 L internet sécurisé Larchet - Eyrolles ISBN : 2212091370 Sécurité optimale : Pour protéger vos sites Web et votre réseau Anonyme - Campus Press ISBN : 2744012343 Le Grand Livre de SecuriteInfo.com http://www.securiteinfo.com