Architecture des plates-formes informatiques sécurisées Plan Rappel
tarix 26.10.2017 ölçüsü 445 b. #14545
Architecture des plates-formes informatiques sécurisées
Plan Rappel Comparaison SSL & IPsec Architectures de plate-formes sécurisées Pare-feu Quelques architectures NAT & PAT IDS - IPS Terminologie Plate-forme Pare-feu IDS, IPS Intrusion Detection System Intrusion Prevention System Rappel : Briques techniques Chiffrement Symétrique ou asymétrique Condensé Signature Certificat Rappel : Processus Envoi
Complément: Nonce & Rejeu Attaque du rejeu Envoyer une seconde fois les mêmes paquets Exemple d’attaque : Rejouer une transaction de versement de salaire (pour le toucher DEUX fois) Nonce Une des parties génère un nombre aléatoire (nonce ) qui identifiera la session Cette partie refusera tout paquet à venir qui ne contienne pas le nonce (chiffré). SSL Phase Tâches Handshake phase Authentification du serveur Agrément sur les algo utilisés Echange de clé En option : Authentification du client Tâches Data transfer Echange de fragments (protégé) Echange SSL
Couche et type de fragments Handshake types : ClientHello ServerHello, Certificate, ServerHelloDone ClientKeyExchange Finished … SSL sniff (1/3)
SSL sniff (2/3)
SSL sniff (3/3)
Détail du fragment ServeurHello
Détail du fragment Certificate
Détail frag. ClientKeyExchange ClientKeyExchange EncryptedPreMasterSecret[64] = 17 4d 00 32 bc b2 af 95 09 0a 45 24 … Détail du fragment Finished
Fragmentation SSL
IPsec : plan Les RFC associées SA Security Association Rappel DH ISAKMP & IKE Format Modes IPsec : panachage technique RFC2408 : ISAKMP Internet Security Association and Key Management Protocol RFC2409 : IKE RFC2402 : AH RFC2406 : ESP Encapsulated Security Payload IPsec : Security Association Unidirectionnelle Pour un échange, il faut DEUX Sa s Identifié de manière unique par SPI : Security Parameter Index @IP SRC Format : AH ou ESP IPsec :Etablissement SA Deux méthodes possibles Manuel Les clés publiques sont échangées une fois pour toutes, manuellement . Automatique IPsec :ISAKMP & IKE
Formats IPsec AH Message authentifié Anti-rejeu ESP Chiffrement En option: Anti-rejeu En option: Message authentifié Format AH
Format ESP
SSL vs Ipsec SSL IPsec Gestion des clés et chiffrement sont séparés Mis en œuvre nativement dans IPv6 SSL, IPsec en couche
Synthèse : et les VPN , y sont où ? Couche 5 Couche 3 Couche 2 Pare-Feu principe
Pare-feu : définition Pare-feu : composant ou ensemble de composants par lequel transite tout le trafic entre Internet et le réseau protégé Objectif : Concentrer sur des machines dédiés les aspects sécurité Différentes architectures Routeur-filtreur Bastion Hôte à double-réseaux Pare-feu: avantages Concentre les aspects sécurité en un seul point Permet la génération d ’alarmes et le suivi (monitoring ) Point unique en cas de panne (pas d ’influence sur le réseau interne) Endroit idéal pour déployer un traducteur d ’adresses, un serveur HTTP, etc ... Base de règles L ’ensemble des pare-feu est basé sur des règles Distinguer deux politiques Tout ce qui n ’est pas autorisé est interdit Tout ce qui n ’est pas interdit est autorisé Traitement des paquets interdit Rejeter : envoyer un paquet ICMP Refuser: mettre de côté sans avertir l ’expéditeur IP Masquerading : RFC 1631 Une implémentation d ’un mécanisme de pare-feu Applications Intérêt pour la sécurité Réponse aux limites d ’adresses Deux techniques PAT: Port Address Translation (1:many) Une unique adresse externe NAT: Network Address Translation (many:many) Ensemble d’adresses externes IP Mascarade : Contexte
IP Mascarade : Technique PAT
Port Forwarding Limitation de NAT et PAT: Le routeur ne sait vers quel machine locale rediriger un paquet entrant (généré par une machine ‘publique’) qui arrive sur un port non affecté (par une requête sortante). Port forwarding permet d’initier des connexions depuis l’extérieur: Attache une adresse IP particulière à un port particulier. ie : toutes les requêtes sur le port 27015 (Serveur Counter Strike) vont vers la machine 192.168.0.4 Exemple : ipchains
IDS / IPS IDS (Intrusion Detection System) Fonctions Rejette les paquets Avertit l’administrateur des paquets suspects Typologie IDS Statique (Stateless) IDS Dynamique (Statefull) IPS (Intrusion Prevention System) Fonctions Cf IDS Prend des décisions (arrêt d’un service, …) IDS / IPS : schéma
Règles pour détection d’intrusion Syntaxe SNORT pour détecter des signatures d’attaques FORCE BRUTE alert tcp any any -> 192.168.1.0/24 21 (content: "user root"; \ msg: "FTP root login";) Fragmentation IP alert tcp any any -> any any (minfrag: 256; msg: "Tiny fragments detected, possible hostile activity";) SYN –FIN Scan alert any any -> 192.168.1.0/24 any (flags: SF; msg: "Possible SYN FIN scan";) Routeur-filtreur de paquets Exemple d ’adresses à refuser systématiquement Adresse locale Adresses privées de classe A: 10.0.0.0 à 10.255.255.255 de classe B: 172.16.0.0 à 172.31.255.255 de classe C: 192.168.0.0 à 192.168.255.255 Adresse multicast Hôte à double-réseaux 2 interfaces (interface externe, interface interne) Passerelle de niveau application : transfert Serveur proxy : filtrage applicatif Bastion
Sous-réseau filtré
2 bastions/2 DMZ
Variantes d’architectures Bastions multiples dans la DMZ Fusion du routeur interne/externe Fusion du routeur externe/bastion Les faux réseaux (honey-pot) Evitez la fusion du routeur interne/bastion Annexe : outils Linux Pare-feu Ipchains/ipfilter (Linux 2.4, 2.6) Ipchains (Linux 2.2) Ipfwadm (Linux 2.0) Configurateur de pare-feu IDS dynamique Bibliographie [RESCORLA'01] [MISC#10] Magazine MISC Dossier VPN Nov-Déc 2003 - Diamond Editions Format : AH + ESP
Dostları ilə paylaş:
