la citadelle electronique

4

4 Solutions à la clef

Agenda

La citadelle électroniqueContrôle d’intégrité (FIA)Windows 2000 (smartcard)Sécurité Unix (SSH)Portail Web (SSL)Messagerie (S/Mime)Signature documents électroniquesValidation des certificats (OCSP)

4


Quel risque est-on prêts à accepter ?

Risque = Coûts * Menaces * Vulnérabilités

Risque

Coûts

4


Les coûts d’une attaque ?

Déni de services (perte de productivité)

Perte ou altération des données

Vol d’informations sensibles

Perte de confiance dans les systèmesReconfiguration des systèmes

Atteinte à l’image de l’entreprise

Etc.

4


Les nouvelles menaces

Les « intruders » sont préparés et organisésSites Web, News, Mailing List, Centre de formation

Conférences (DefCon, etc.)

Outils d’intrusion sont très évolués et faciles d’accès

Attaques sur Internet sont faciles et difficilement tracables

4


Augmentation des « intruders »

4


Les vulnérabilités

Augmentation significative des vulnérabilitésPas de « design » pensé sécurité

Mauvaise programmation

Complexité du système d’information

Besoins Marketing (Software)

Evolution très (trop) rapide des technologies

Etc.

4


Comment diminuer le risque ?

Risque = Coûts * Menaces * Vulnérabilités

$

4


Modèle de sécurité réseaux

Approche « produit »

Des solutions spécifiques, des cellules isoléesFirewall

Systèmes de détection d’intrusion

Antivirus

Authentification périphérique

Contrôle de contenue (mail, http, etc.)

Etc.

4


Les inconvénients du modèle de sécurité réseaux

Un manque de cohérence et de cohésion

L’approche en coquille d’oeufDes remparts

Les systèmes sont vulnérables (OS)

Des applications (le noyau) vulnérables

4


Schématiquement…

Firewall, IDS, etc.

Ressources internes

4


Les enjeux pour le futur

Fortifier le cœur des infrastructures

Améliorer la cohérence

Amener la confiance dans les transactions électroniques

Simplicité d’utilisation

Définir une norme suivie par les constructeurs & éditeurs

4


La citadelle électronique

Modèle de sécurité émergentSécurisation plus globale

Approche en couches ou en strates

Chaque couche hérite du niveau inférieur

Les applications et les biens gravitent autour d’un noyau de sécurité

4


Approche en couche

1) Architecture

2) Protocoles réseaux

3) Systèmes d’exploitations

4) Applications

4


Architecture

Sécurisation des accès bâtiments

Segmentation & Cloisonnement IP

Segmentation & Cloisonnement physique

Choix d’environnement (Switch, hub, etc)

Mise en place de Firewall

Configuration de routeur (ACL)

Etc.

4


Protocoles réseaux

TCP/IP, IPSec, L2TP, PPTP, etc.

Anti SYNFlooding

Anti spoofing

« Kernel » réseau à sécuriser (DoS)

Etc.

4


Systèmes d’exploitation

Sécurisation des OSRestriction des services Mise en place de FIADétection d’intrusion sur les OSAuthentification forte

Sécurisation de l’administration

Logging & MonitoringSauvegarde régulière

4


Applications

Chaque application est sécurisée

Cryptage des données sensiblesCartes de crédits

Base d’utilisateurs

Cloisonnement des bases de données

Authentification forte des accès

Cryptage des communications (SSL)

Signature électronique

4


Schématiquement…

Architecture

Protocoles réseaux

O.S.

Applications

4


Pour répondre à ce challenge ?

Une démarcheLa politique de sécurité

Des services de sécuritéAuthentificationConfidentialitéIntégritéNon répudiationDisponibilitéAutorisation

4


Et des technologies…

Firewall

IDS

Analyse de contenu

FIA

AntiVirus

VPN

PKI…

4


PKI…

Au cœur de la citadelle

Offre les mécanismes de sécurité aux applications

Mécanismes & Outils exploités dans plusieurs strates

Permet de construire des relations de confiance



La citadelle électronique:sécurité des O.S.

Contrôle d’intégrité des systèmesTechnologie FIA

4


Etes vous sûrs de l’intégrité de vos systèmes ?

Quelle sont les attaques possibles ?Compromission du système

Root KitSnifferBase d’attaqueVirus - Back doorEtc.

« Defacement » (changement des pages Web)Modification des configurationsEtc.

4


Technologie FIA (File Integrity Assesment)

Outil très puissant pour détecter les altérations

Contrôle de manière régulière l’intégrité des systèmes

OS (Windows, Unix, etc.)

Applications (Messagerie, Firewall, DNS, etc.)

Equipements réseaux (Routeurs IOS)

Web Serveurs (Apache, IIS, etc.)

4


Technologie FIA

Prend une « photo » du système lors de sa mise en production

Utilise des mécanismes de cryptographieFonction de hashage (md5, sha1, etc.)

Fonction de signature (RSA, DSA)

Création d’une image de référence

Prise de nouvelles « photos » de manière régulière et comparaison avec l’image de référence

4


Technologie FIA: Tripwire

MicrosoftNT 4.0, Win2K

UnixSolaris, Aix, HP, Linux

Cisco

Web ServeurIIS, Apache



Technologie FIAdémonstration avec Tripwire

(Microsoft et Linux)



La citadelle électronique:sécurité des O.S.

Authentification forte Windows 2000Smartcard et clé USB

4


Etes vous sûrs de l’identité de vos utilisateurs ?

Les attaques possibles:Network Sniffing

Ecoutes des mots de passe sur le réseau

Attaque du poste clientBack door

Key logger

Etc.

Brute force attackMot de passe faible

4


Authentification forte Windows 2000

Windows 2000 utilise la technologie KerberosSystème d’authentification mutuelle

Système de SSO avec l’utilisation de ticket

Support des smartcards avec une extension de kerberos

PKINIT (IETF)

Utilisation des certificats numériques

4


Key DistributionCenter

Master KeyDatabase

Win2k Server« Kerberized »

Software

Logon Request

TGT

TGT

Win2k ServerTicket

win2K ServerRequest

With Ticket Win2k ServerResponse

Ka

Ka

Kb

Kb

4


Authentification forte Windows 2000

Deux scénarios possibles:Utilisation native du Smartcard Logon Win2k

Intégration avec la technologie PKI

Utilisation d’une CA interne ou tiers

Utilisation d’un produit tiersChangement de la GINA

Stockage des accréditations sur la smartcard

Approche plus légère

4


Authentification forte Windows 2000: PKINIT

KDC

Active Directory

CA Microsoft ou

Tiers

1

CRLCerts

2

TGT



Authentification forte Windows 2000 Démonstration avec Microsoft Smartcard logon et Aladdin

et

RSA Security Passage



La citadelle électronique:sécurité applicative

Administration sécurisée des systèmes UnixSSH, SecurID et PKI

4


Etes vous les seuls à administrer vos systèmes Unix ?

Quelle sont les attaques possibles ?Network Sniffing

Ecoutes des mots de passe sur le réseau

Fonctionne dans un environement switchéARP Poisoning ou spoofing ARP

Pratiquement indédectable

Attaque du poste de l’administrateurBack door

Key logger

Etc.

4


SSH (Secure Shell)

Solution de remplacement de Telnet, FTP, des commandes R (rlogin, etc.)

Defacto Standard5 millions d’utilisateurs

Fournit du chiffrement3des, AES, Blowfish, etc,

Assure l’intégrité des communications

Solution simple à mettre en oeuvre

4


SSH: système d’authentification

Supporte plusieurs systèmes d’authenticationAuthentification « Classique »

SecurIDPublic KeyPamKerberosEtc.

Authentification PKIUtilisation d’un certificat X509

Smartcard ou clé USB

Validation des certificats (OCSP ou CRL)

Offre une solution très robuste

4


SSH (Secure Shell): Authentification forte

SSH Serveur

Ace Serveur

VA

1) SecurID

2) PKI / OCSP

SSH V3AES 256



SSH - Secure ShellDémonstration avec SSH.COM, Aladdin, Linux, Solaris

et

RSA Security (SecurID, Keon Certificate Authority)




Sécurisation des portails WebTechnologie PKI et SSL

4


Vos applications Web sont elles vulnérables ?

Quelle sont les attaques possibles ?Problème de confidentialité des communications

Network Sniffing

Compromission de la clé privée du serveur (SSL)

Usurpation d’identitéIdentité du client

Back Door

Keyloger, etc

Identité du serveurAttaques DNS, etc.

4


Sécurisation des portails Web: technologie PKI et SSL

Utilisation de la technologie SSL / TLSTechnologie PKI par excellenceAuthentification du serveur

Certificat X509 publique (Verisign, Thawte, Certplus, etc.)

Authentification possible du clientCertificat X509 personnel

Services de sécuritéL’authentificationLa confidentialitéL’intégritéLa non répudiation

4


Sécurisation des portails Web: authentification des clients

Web Server SSL

Challenge ResponseSSL / TLS

PKCS#12

Smartcard

Token USB

4


Sécurisation des portails Web: Module HSM

HSM

Web Server SSL

Smartcards

SSL Acceleration

SSL or TLS

4


Sécurisation des portails Web: Autorisation

Mécanisme de gestion des privilèges sur le portail WebDroits d’accès

LectureEcritureEtc.

Heures de connections

Gestion sur le web serveur de manière nativeApache, IIS, Netscape, etc

Gestion avec produits tiersClear Trust (RSA Security)Site Minder (Netegrity)Etc.

4


Sécurisation des portails Web: Autorisation

Utilisation des certificats numériquesCertificats X509 (Issuer DN (o=e-xpertsolutions, ou=InfoSec, cn=sysadm c=CH)

Certificats X509 avec attributs dans les extensionsSales, Marketing, etc.

La tendance: les PAC !Certificat temporaire contenant les privilèges

Solution de Single Sign OnMême idée que les tickets Kerberos

4


Sécurisation des portails Web: PAC

Alice

Certificat X509personnel

Dn: cn=Alice

Attributs:Sales: rwmMarketing: rGlobal: r

PAC

Lien par le DN

Signature



Sécurisation d’un portail Web

Démonstration avec RSA Security, Valicert et Apache




Sécurisation de la messagerieTechnologie S/Mime et PKI

4


Etes vous sûrs de l’intégrité de vos mails ?

Quelle sont les attaques possibles ?Changement du contenu des messages

Détournement des messages (DNS Attacks)Compromission du serveur de messagerie

Back Door, etc.

Lecture des messagesNetwork SniffingAccès au serveur de messagerie (administrateur, compromission, Etc.)

Usurpation de l’émeteurSpoofing

Pas d’authentification

4


Sécurisation de la messagerie: S/Mime et PKI

Secure MimeSolution de sécurisation de la messagerie

Standard IETFMicrosoft, Lotus, Laboratoires RSA, etc.

Services de sécuritéL’authentificationLa confidentialitéL’intégritéLa non répudation

4



Utilise la technologie PKICertificats personnels X509

Autorité de certification publique ou privée

Support des algorithmes symétriquesDES, 3DES, RC2, etc.

Application très simple à utiliserSupport natif dans Outlook, Lotus, Netscape, etc.

4



Alice

Bob

S/Mime3DES / RSA Signature

CertificatPersonnel

CertificatPersonnel

Autoritéde certificationpublic ou privée



Sécurisation de la messagerie

Démonstration avec RSA Security et Microsoft




Signature de documents électroniquesTechnologie PKI

4


Etes vous sûrs de l’origine de vos documents électroniques ?

Les attaques possibles:Usurpation d’identité de l’auteur

Substitution de l’origine

Altération du contenuDocument Word, Excel, PDF, etc.

Répudiation de l’auteurNier avoir écrit le document

4


Signature de documents électroniques

Utilisation de la technologie PKI pour lier une signature numérique à un documentServices de sécurité

L’authentificationAuteur, Révision, etc.

Non RépudiationL’intégrité

Option: chiffrement possible avec outils complémentaires

4


Signature de documents électroniques

Document

Signature

Document signé

Clé privée



Signature de documents électroniqueDémonstration avec RSA Security, Microsoft Office et Lexign




Validation des certificats X509VA-OCSP

4


Validation des certificats X509

Révocation d’un certificat X509Vol ou perte du container des clés

Quitter l’entreprise

Etc.

Plusieurs solutionsCRL, Delta CRL, etc.

Problèmes de délais

Online Check OCSP (rfc 2560)

4


Validation des certificats X509: OCSP

Web ServerAlice

ValidationAuthority

ValidePas valideInconu

OCSP request



Validation des certificats X509: OCSP

Démonstration avec RSA Security, Valicert et Apache



Questions?



Pour plus d’informations

e-Xpert Solutions SASylvain Maret

Route de Pré-Marais 29CH-1233 Bernex / Genève

+41 22 727 05 [email protected]

la citadelle electronique

Technology