Architecture des plates-formes informatiques sécurisées Plan Rappel



Yüklə 445 b.
tarix26.10.2017
ölçüsü445 b.
#14545


Architecture des plates-formes informatiques sécurisées


Plan

  • Rappel

  • Comparaison SSL & IPsec

    • SSL
    • IPsec
  • Architectures de plate-formes sécurisées

    • Pare-feu
    • Quelques architectures
    • NAT & PAT
    • IDS - IPS


Terminologie

  • Plate-forme

    • Syn. : Environnement
  • Pare-feu

    • Syn. : Coupe-feu
  • IDS, IPS

    • Intrusion Detection System
    • Intrusion Prevention System


Rappel : Briques techniques

  • Chiffrement

    • Symétrique ou asymétrique
  • Condensé

  • Signature

  • MAC (Message Authentication Code)

  • Certificat



Rappel : Processus Envoi



Complément: Nonce & Rejeu

  • Attaque du rejeu

    • Envoyer une seconde fois les mêmes paquets
    • Exemple d’attaque :
      • Rejouer une transaction de versement de salaire (pour le toucher DEUX fois)
  • Nonce

    • Une des parties génère un nombre aléatoire (nonce) qui identifiera la session
    • Cette partie refusera tout paquet à venir qui ne contienne pas le nonce (chiffré).


SSL

  • Phase

    • Tâches Handshake phase
      • Authentification du serveur
      • Agrément sur les algo utilisés
      • Echange de clé
      • En option : Authentification du client
    • Tâches Data transfer
      • Echange de fragments (protégé)


SSL - principe



Echange SSL



Couche et type de fragments

  • Handshake types :

    • ClientHello
    • ServerHello, Certificate, ServerHelloDone
    • ClientKeyExchange
    • Finished


SSL sniff (1/3)



SSL sniff (2/3)



SSL sniff (3/3)



Détail du fragment ServeurHello



Détail du fragment Certificate



Détail frag. ClientKeyExchange

  • ClientKeyExchange

    • EncryptedPreMasterSecret[64] =
    • 17 4d 00 32 bc b2 af 95 09 0a 45 24


Détail du fragment Finished

  • Description ASN.1

    • TLS
      • struct {
        • opaque verify_data[12]
        • }


Fragmentation SSL



Structure d’un Fragment



IPsec : plan

  • Les RFC associées

  • SA

    • Security Association
    • Rappel DH
    • ISAKMP & IKE
  • Format

    • AH, ESP
  • Modes

    • Transport, Tunnel


IPsec : panachage technique

  • RFC2408 : ISAKMP

    • Internet Security Association and Key Management Protocol
  • RFC2409 : IKE

    • Internet Key Exchange
  • RFC2402 : AH

    • Authentication Header
  • RFC2406 : ESP

    • Encapsulated Security Payload


IPsec : Security Association

  • Unidirectionnelle

    • Pour un échange, il faut DEUX Sas
  • Identifié de manière unique par

    • SPI : Security Parameter Index
    • @IP SRC
    • Format : AH ou ESP


IPsec :Etablissement SA

  • Deux méthodes possibles

    • Manuel
      • Les clés publiques sont échangées une fois pour toutes, manuellement.
    • Automatique
      • ISAKMP & IKE


IPsec :ISAKMP & IKE



Formats IPsec

    • AH
      • Message authentifié
      • Anti-rejeu
    • ESP
      • Chiffrement
      • En option: Anti-rejeu
      • En option: Message authentifié


Format AH



Format ESP



SSL vs Ipsec

  • SSL

    • Authentification one-way
  • IPsec

    • Gestion des clés et chiffrement sont séparés
    • Mis en œuvre nativement dans IPv6


SSL, IPsec en couche



Synthèse : et les VPN, y sont où ?

  • Couche 5

    • SSL, SSH
  • Couche 3

    • IPsec, IP over IP, GRE
  • Couche 2

    • L2TP, PPTP


Pare-Feu principe



Pare-feu : définition

  • Pare-feu : composant ou ensemble de composants par lequel transite tout le trafic entre Internet et le réseau protégé

  • Objectif : Concentrer sur des machines dédiés les aspects sécurité

  • Différentes architectures

      • Routeur-filtreur
      • Bastion
      • Hôte à double-réseaux


Pare-feu: avantages

  • Concentre les aspects sécurité en un seul point

  • Permet la génération d ’alarmes et le suivi (monitoring)

  • Point unique en cas de panne (pas d ’influence sur le réseau interne)

  • Endroit idéal pour déployer un traducteur d ’adresses, un serveur HTTP, etc ...



Base de règles

  • L ’ensemble des pare-feu est basé sur des règles

  • Distinguer deux politiques

    • Tout ce qui n ’est pas autorisé est interdit
    • Tout ce qui n ’est pas interdit est autorisé
  • Traitement des paquets interdit



IP Masquerading : RFC 1631

    • Une implémentation d ’un mécanisme de pare-feu
    • Applications
      • Intérêt pour la sécurité
      • Réponse aux limites d ’adresses
    • Deux techniques
      • PAT: Port Address Translation (1:many)
        • Une unique adresse externe
      • NAT: Network Address Translation (many:many)
        • Ensemble d’adresses externes


IP Mascarade : Contexte



IP Mascarade : Technique NAT



IP Mascarade : Technique PAT



Port Forwarding

  • Limitation de NAT et PAT:

    • Le routeur ne sait vers quel machine locale rediriger un paquet entrant (généré par une machine ‘publique’) qui arrive sur un port non affecté (par une requête sortante).
  • Port forwarding permet d’initier des connexions depuis l’extérieur:

    • Attache une adresse IP particulière à un port particulier.
    • ie : toutes les requêtes sur le port 27015 (Serveur Counter Strike) vont vers la machine 192.168.0.4


Exemple : ipchains



IDS / IPS

  • IDS (Intrusion Detection System)

    • Fonctions
      • Rejette les paquets
      • Avertit l’administrateur des paquets suspects
    • Typologie
      • IDS Statique (Stateless)
      • IDS Dynamique (Statefull)
  • IPS (Intrusion Prevention System)

    • Fonctions
      • Cf IDS
      • Prend des décisions (arrêt d’un service, …)


IDS / IPS : schéma



Règles pour détection d’intrusion

  • Syntaxe SNORT pour détecter des signatures d’attaques

    • FORCE BRUTE
      • alert tcp any any -> 192.168.1.0/24 21 (content: "user root"; \ msg: "FTP root login";)
    • Fragmentation IP
      • alert tcp any any -> any any (minfrag: 256; msg: "Tiny fragments detected, possible hostile activity";)
    • SYN –FIN Scan
      • alert any any -> 192.168.1.0/24 any (flags: SF; msg: "Possible SYN FIN scan";)


Routeur-filtreur de paquets

  • Exemple d ’adresses à refuser systématiquement

    • Adresse locale
    • Adresses privées
      • de classe A: 10.0.0.0 à 10.255.255.255
      • de classe B: 172.16.0.0 à 172.31.255.255
      • de classe C: 192.168.0.0 à 192.168.255.255
    • Adresse multicast


Hôte à double-réseaux

  • 2 interfaces (interface externe, interface interne)



Bastion



Sous-réseau filtré



2 bastions/2 DMZ



Variantes d’architectures

  • Bastions multiples dans la DMZ

  • Fusion du routeur interne/externe

  • Fusion du routeur externe/bastion

  • Les faux réseaux (honey-pot)

  • Evitez la fusion du routeur interne/bastion



Annexe : outils Linux

  • Pare-feu

    • Ipchains/ipfilter (Linux 2.4, 2.6)
    • Ipchains (Linux 2.2)
    • Ipfwadm (Linux 2.0)
  • Configurateur de pare-feu

    • Bastille-linux
  • IDS dynamique

    • SNORT


Bibliographie

  • [RESCORLA'01]

    • E. RESCORLA
    • SSL and TLS : designing and building secure systems
    • Addison-Wesley
  • [MISC#10]

    • Magazine MISC
    • Dossier VPN
    • Nov-Déc 2003 - Diamond Editions


Format : AH + ESP






Yüklə 445 b.

Dostları ilə paylaş:




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2022
rəhbərliyinə müraciət

    Ana səhifə