1. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique
séminaire du 14 mars 2002
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
2. 4 Agenda
La citadelle électronique
Contrôle d’intégrité (FIA)
Windows 2000 (smartcard)
Sécurité Unix (SSH)
Portail Web (SSL)
Messagerie (S/Mime)
Signature documents électroniques
Validation des certificats (OCSP)
4 Solutions à la clef
3. 4 Quel risque est-on prêts à accepter ?
Risque = Coûts * Menaces * Vulnérabilités
Risque
Coûts
4 Solutions à la clef
4. 4 Les coûts d’une attaque ?
Déni de services (perte de productivité)
Perte ou altération des données
Vol d’informations sensibles
Perte de confiance dans les systèmes
Reconfiguration des systèmes
Atteinte à l’image de l’entreprise
Etc.
4 Solutions à la clef
5. 4 Les nouvelles menaces
Les « intruders » sont préparés et organisés
Sites Web, News, Mailing List, Centre de formation
Conférences (DefCon, etc.)
Outils d’intrusion sont très évolués et faciles
d’accès
Attaques sur Internet sont faciles et
difficilement tracables
4 Solutions à la clef
6. 4 Augmentation des « intruders »
4 Solutions à la clef
7. 4 Les vulnérabilités
Augmentation significative des vulnérabilités
Pas de « design » pensé sécurité
Mauvaise programmation
Complexité du système d’information
Besoins Marketing (Software)
Evolution très (trop) rapide des technologies
Etc.
4 Solutions à la clef
8. 4 Comment diminuer le risque ?
$
Risque = Coûts * Menaces * Vulnérabilités
4 Solutions à la clef
9. 4 Modèle de sécurité réseaux
Approche « produit »
Des solutions spécifiques, des cellules isolées
Firewall
Systèmes de détection d’intrusion
Antivirus
Authentification périphérique
Contrôle de contenue (mail, http, etc.)
Etc.
4 Solutions à la clef
10. 4 Les inconvénients du modèle de sécurité réseaux
Un manque de cohérence et de cohésion
L’approche en coquille d’oeuf
Des remparts
Les systèmes sont vulnérables (OS)
Des applications (le noyau) vulnérables
4 Solutions à la clef
11. 4 Schématiquement…
Firewall, IDS, etc.
Ressources internes
4 Solutions à la clef
12. 4 Les enjeux pour le futur
Fortifier le cœur des infrastructures
Améliorer la cohérence
Amener la confiance dans les transactions
électroniques
Simplicité d’utilisation
Définir une norme suivie par les constructeurs &
éditeurs
4 Solutions à la clef
13. 4 La citadelle électronique
Modèle de sécurité émergent
Sécurisation plus globale
Approche en couches ou en strates
Chaque couche hérite du niveau inférieur
Les applications et les biens gravitent autour
d’un noyau de sécurité
4 Solutions à la clef
14. 4 Approche en couche
1) Architecture
2) Protocoles réseaux
3) Systèmes d’exploitations
4) Applications
4 Solutions à la clef
15. 4 Architecture
Sécurisation des accès bâtiments
Segmentation & Cloisonnement IP
Segmentation & Cloisonnement physique
Choix d’environnement (Switch, hub, etc)
Mise en place de Firewall
Configuration de routeur (ACL)
Etc.
4 Solutions à la clef
16. 4 Protocoles réseaux
TCP/IP, IPSec, L2TP, PPTP, etc.
Anti SYNFlooding
Anti spoofing
« Kernel » réseau à sécuriser (DoS)
Etc.
4 Solutions à la clef
17. 4 Systèmes d’exploitation
Sécurisation des OS
Restriction des services
Mise en place de FIA
Détection d’intrusion sur les OS
Authentification forte
Sécurisation de l’administration
Logging & Monitoring
Sauvegarde régulière
4 Solutions à la clef
18. 4 Applications
Chaque application est sécurisée
Cryptage des données sensibles
Cartes de crédits
Base d’utilisateurs
Cloisonnement des bases de données
Authentification forte des accès
Cryptage des communications (SSL)
Signature électronique
4 Solutions à la clef
19. 4 Schématiquement…
Architecture
O.S.
Applications
Protocoles réseaux
4 Solutions à la clef
20. 4 Pour répondre à ce challenge ?
Une démarche
La politique de sécurité
Des services de sécurité
Authentification
Confidentialité
Intégrité
Non répudiation
Disponibilité
Autorisation
4 Solutions à la clef
21. 4 Et des technologies…
Firewall
IDS
Analyse de contenu
FIA
AntiVirus
VPN
PKI…
4 Solutions à la clef
22. 4 PKI…
Au cœur de la citadelle
Offre les mécanismes de sécurité aux
applications
Mécanismes & Outils exploités dans plusieurs
strates
Permet de construire des relations de confiance
4 Solutions à la clef
23. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique:
sécurité des O.S.
Contrôle d’intégrité des systèmes
Technologie FIA
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
24. 4 Etes vous sûrs de l’intégrité de vos systèmes ?
Quelle sont les attaques possibles ?
Compromission du système
Root Kit
Sniffer
Base d’attaque
Virus - Back door
Etc.
« Defacement » (changement des pages Web)
Modification des configurations
Etc.
4 Solutions à la clef
25. 4 Technologie FIA (File Integrity Assesment)
Outil très puissant pour détecter les altérations
Contrôle de manière régulière l’intégrité des
systèmes
OS (Windows, Unix, etc.)
Applications (Messagerie, Firewall, DNS, etc.)
Equipements réseaux (Routeurs IOS)
Web Serveurs (Apache, IIS, etc.)
4 Solutions à la clef
26. 4 Technologie FIA
Prend une « photo » du système lors de sa mise
en production
Utilise des mécanismes de cryptographie
Fonction de hashage (md5, sha1, etc.)
Fonction de signature (RSA, DSA)
Création d’une image de référence
Prise de nouvelles « photos » de manière
régulière et comparaison avec l’image de
référence
4 Solutions à la clef
27. 4 Technologie FIA: Tripwire
Cisco
Unix
Solaris, Aix, HP, Linux
Microsoft Web Serveur
NT 4.0, Win2K IIS, Apache
4 Solutions à la clef
28. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Technologie FIA
démonstration avec Tripwire
(Microsoft et Linux)
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
29. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique:
sécurité des O.S.
Authentification forte Windows 2000
Smartcard et clé USB
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
30. 4 Etes vous sûrs de l’identité de vos utilisateurs ?
Les attaques possibles:
Network Sniffing
Ecoutes des mots de passe sur le réseau
Attaque du poste client
Back door
Key logger
Etc.
Brute force attack
Mot de passe faible
4 Solutions à la clef
31. 4 Authentification forte Windows 2000
Windows 2000 utilise la technologie Kerberos
Système d’authentification mutuelle
Système de SSO avec l’utilisation de ticket
Support des smartcards avec une extension de
kerberos
PKINIT (IETF)
Utilisation des certificats numériques
4 Solutions à la clef
32. 4
Key Distribution
Center Logon Request Ka
TGT
Ka TGT
Kb Win2k Server
Ticket
Master Key win2K Server
Request
Database Win2k Server
With Ticket
Response
Win2k Server
« Kerberized »
Software Kb
4 Solutions à la clef
33. 4 Authentification forte Windows 2000
Deux scénarios possibles:
Utilisation native du Smartcard Logon Win2k
Intégration avec la technologie PKI
Utilisation d’une CA interne ou tiers
Utilisation d’un produit tiers
Changement de la GINA
Stockage des accréditations sur la smartcard
Approche plus légère
4 Solutions à la clef
34. 4 Authentification forte Windows 2000: PKINIT
KDC
Active
Directory
2
CRL
Certs
TGT
CA Microsoft
ou
Tiers
1
4 Solutions à la clef
35. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Authentification forte Windows 2000
Démonstration avec Microsoft Smartcard logon et Aladdin
et
RSA Security Passage
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
36. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique:
sécurité applicative
Administration sécurisée des systèmes Unix
SSH, SecurID et PKI
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
37. 4 Etes vous les seuls à administrer vos systèmes Unix ?
Quelle sont les attaques possibles ?
Network Sniffing
Ecoutes des mots de passe sur le réseau
Fonctionne dans un environement switché
ARP Poisoning ou spoofing ARP
Pratiquement indédectable
Attaque du poste de l’administrateur
Back door
Key logger
Etc.
4 Solutions à la clef
38. 4 SSH (Secure Shell)
Solution de remplacement de Telnet, FTP, des
commandes R (rlogin, etc.)
Defacto Standard
5 millions d’utilisateurs
Fournit du chiffrement
3des, AES, Blowfish, etc,
Assure l’intégrité des communications
Solution simple à mettre en oeuvre
4 Solutions à la clef
39. 4 SSH: système d’authentification
Supporte plusieurs systèmes d’authentication
Authentification « Classique »
SecurID
Public Key
Pam
Kerberos
Etc.
Authentification PKI
Utilisation d’un certificat X509
Smartcard ou clé USB
Validation des certificats (OCSP ou CRL)
Offre une solution très robuste
4 Solutions à la clef
40. 4 SSH (Secure Shell): Authentification forte
VA
SSH
Serveur
2) PKI / OCSP
1) SecurID SSH V3
AES 256
Ace Serveur
4 Solutions à la clef
41. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
SSH - Secure Shell
Démonstration avec SSH.COM, Aladdin, Linux, Solaris
et
RSA Security (SecurID, Keon Certificate Authority)
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
42. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique:
sécurité applicative
Sécurisation des portails Web
Technologie PKI et SSL
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
43. 4 Vos applications Web sont elles vulnérables ?
Quelle sont les attaques possibles ?
Problème de confidentialité des communications
Network Sniffing
Compromission de la clé privée du serveur (SSL)
Usurpation d’identité
Identité du client
Back Door
Keyloger, etc
Identité du serveur
Attaques DNS, etc.
4 Solutions à la clef
44. 4 Sécurisation des portails Web: technologie PKI et SSL
Utilisation de la technologie SSL / TLS
Technologie PKI par excellence
Authentification du serveur
Certificat X509 publique (Verisign, Thawte, Certplus, etc.)
Authentification possible du client
Certificat X509 personnel
Services de sécurité
L’authentification
La confidentialité
L’intégrité
La non répudiation
4 Solutions à la clef
45. 4 Sécurisation des portails Web: authentification des clients
PKCS#12
Smartcard
Challenge Response
SSL / TLS
Web Server SSL
Token USB
4 Solutions à la clef
46. 4 Sécurisation des portails Web: Module HSM
Smartcards
HSM
SSL Acceleration
SSL or TLS
Web Server SSL
4 Solutions à la clef
47. 4 Sécurisation des portails Web: Autorisation
Mécanisme de gestion des privilèges sur le portail Web
Droits d’accès
Lecture
Ecriture
Etc.
Heures de connections
Gestion sur le web serveur de manière native
Apache, IIS, Netscape, etc
Gestion avec produits tiers
Clear Trust (RSA Security)
Site Minder (Netegrity)
Etc.
4 Solutions à la clef
48. 4 Sécurisation des portails Web: Autorisation
Utilisation des certificats numériques
Certificats X509 (Issuer DN (o=e-xpertsolutions, ou=InfoSec,
cn=sysadm c=CH)
Certificats X509 avec attributs dans les extensions
Sales, Marketing, etc.
La tendance: les PAC !
Certificat temporaire contenant les privilèges
Solution de Single Sign On
Même idée que les tickets Kerberos
4 Solutions à la clef
49. 4 Sécurisation des portails Web: PAC
Certificat X509
personnel
PAC
Dn: cn=Alice
Lien par le DN
Alice
Attributs:
Sales: rwm
Marketing: r
Global: r
Signature
4 Solutions à la clef
50. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Sécurisation d’un portail Web
Démonstration avec RSA Security, Valicert et Apache
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
51. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique:
sécurité applicative
Sécurisation de la messagerie
Technologie S/Mime et PKI
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
52. 4 Etes vous sûrs de l’intégrité de vos mails ?
Quelle sont les attaques possibles ?
Changement du contenu des messages
Détournement des messages (DNS Attacks)
Compromission du serveur de messagerie
Back Door, etc.
Lecture des messages
Network Sniffing
Accès au serveur de messagerie (administrateur, compromission,
Etc.)
Usurpation de l’émeteur
Spoofing
Pas d’authentification
4 Solutions à la clef
53. 4 Sécurisation de la messagerie: S/Mime et PKI
Secure Mime
Solution de sécurisation de la messagerie
Standard IETF
Microsoft, Lotus, Laboratoires RSA, etc.
Services de sécurité
L’authentification
La confidentialité
L’intégrité
La non répudation
4 Solutions à la clef
54. 4 Sécurisation de la messagerie: S/Mime et PKI
Utilise la technologie PKI
Certificats personnels X509
Autorité de certification publique ou privée
Support des algorithmes symétriques
DES, 3DES, RC2, etc.
Application très simple à utiliser
Support natif dans Outlook, Lotus, Netscape, etc.
4 Solutions à la clef
55. 4 Sécurisation de la messagerie: S/Mime et PKI
Autorité Bob
de certification
Certificat
public ou privée
Personnel
Certificat
Alice Personnel
S/Mime
3DES / RSA Signature
4 Solutions à la clef
56. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Sécurisation de la messagerie
Démonstration avec RSA Security et Microsoft
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
57. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique:
sécurité applicative
Signature de documents électroniques
Technologie PKI
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
58. 4 Etes vous sûrs de l’origine de vos documents électroniques ?
Les attaques possibles:
Usurpation d’identité de l’auteur
Substitution de l’origine
Altération du contenu
Document Word, Excel, PDF, etc.
Répudiation de l’auteur
Nier avoir écrit le document
4 Solutions à la clef
59. 4 Signature de documents électroniques
Utilisation de la technologie PKI pour lier une
signature numérique à un document
Services de sécurité
L’authentification
Auteur, Révision, etc.
Non Répudiation
L’intégrité
Option: chiffrement possible avec outils
complémentaires
4 Solutions à la clef
60. 4 Signature de documents électroniques
Document Document signé
Clé privée
Signature
4 Solutions à la clef
61. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Signature de documents électronique
Démonstration avec RSA Security, Microsoft Office et Lexign
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
63. 4 Validation des certificats X509
Révocation d’un certificat X509
Vol ou perte du container des clés
Quitter l’entreprise
Etc.
Plusieurs solutions
CRL, Delta CRL, etc.
Problèmes de délais
Online Check
OCSP (rfc 2560)
4 Solutions à la clef
64. 4 Validation des certificats X509: OCSP
Validation
Authority
OCSP request
Valide
Pas valide
Inconu
Alice
Web Server Solutions à la clef
4
65. e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Validation des certificats X509: OCSP
Démonstration avec RSA Security, Valicert et Apache
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com