réseaux : architecture, sécurité, internet et messagerie
TRANSCRIPT
© 2019 - Ddéveloppé par M. A. RACHEDI – droits réservés – reproduction interdite
Réseaux : Architecture, Sécurité, Internet et messageriePartie III : Messagerie et travail collaboratifM. Abderrezak RACHEDIProfesseur des Universités Université Paris-Est Marne-la-Vallée (UPEM)Laboratoire d’Informatique Gaspard Monge (UMR8049)
Février 2019
1
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Plan
n Messagerie électronique n Sécurité de la messagerie
¨ les systèmes anti-SPAM
n Travail collaboratif ¨ Gestion partagée du temps ¨ Agenda électronique ¨ Suivi d’activités
n Serveurs applicatifs¨ Serveurs d’applications¨ Serveurs de fichiers
2
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
3
Messagerie électronique
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Messagerie Internet - Histoire 1/3n Envoie de messages entre différents utilisateurs des mainframes à
la fin des années 60 (MAILBOX)
n Premier envoi d'un message entre deux machines du réseau ARPANET courant 1972 (1ère utilisation du caractère @)
n En 1973, les mails représentent 3/4 du trafic ARPANET
n Nombreux problèmes d'interropérabilité (RFC 680, 724, 733, etc.)
n Eric Allman développe delivermail (utilisation de FTP over NCP (Network Control Protocol) pour transmettre les messages)
4
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Messagerie Internet - Histoire 2/3
L’arrivé du TCP/IP
n Avant la naissance du protocole SMTP (Simple Mail Transfer Protocol), la transmission des mails se fait au moyen de : FTP, UUCP (Unix to Unix Copy), etc.
n Eric Allman développe sendmail
n La RFC 821 donne les premières spécifications du protocole SMTP en 1982
n La RFC 822 spécifie le format des messages
5
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Messagerie Internet - Histoire 3/3
Actuellement ... n L’évolution vers la messagerie actuelle :
¨ Encapsulation de contenus multimédias (MIME) ¨ Interconnexion avec les annuaires LDAP, Active Directory
n Les besoins émergents en terme de sécurité : ¨ Authentification, confidentialité, etc. ¨ Filtrage applicatif : spam, antivirus, etc.
n Les objectifs d’un serveur Mail sont : ¨ Accepter les mails issus des processus locaux (programmes et/ou utilisateurs)¨ Accepter les mails provenant d'autres serveurs ¨ Transmettre les mails aux processus locaux ¨ Transmettre les mails aux autres serveurs
6
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Protocoles et standard n SMTP (Simple Mail Transfer Protocol)
¨ Définit la manière de communiquer entre deux MTA en utilisant une connexion TCP
n POP3 (Post Office Protocol)¨ Permet de récupérer localement les courriers électroniques situés sur un serveur
de messagerie
n IMAP (Interactive Message Access Protocol) ¨ Permet d'accéder aux courrier directement sur le serveur de messagerie
n MIME (Multipurpose Internet Mail Extensions) ¨ Standard qui étend le format de données des courrier pour supporter des textes en
différents codage des caractères autres que d’ASCII
7
Ports du service de messagerie
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Composants d’un serveur de messagerie
n MUA (Mail User Agent)
¨ Programme permettant à l'utilisateur de lire et d'envoyer des messages n Dialogue avec le MTA via le protocole SMTP (client uniquement) et avec le serveur de
boîtes aux lettres via POP ou IMAP
n MTA (Mail Transfer Agent) ¨ Programme responsable de l'acheminement des messages
n MSA (Mail Submission Agent) ¨ Interface utilisée par le MUA pour soumettre les messages sortants au MUA. ¨ Fonctionnalité intégrée au MTA.
n MDA (Mail Delivery Agent) ¨ Interface entre le MTA et la boite aux lettres de l'utilisateur
8
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
MUA et MDA n Les MUA sont les programmes utilisés par les utilisateurs pour gérer leur
messagerie. - Exemples : Microsoft Outlook, Evolution, Thunderbird, Mutt, Pine, mailx, etc.
n Un MDA est directement exécuté par le MTA afin d'ajouter le message à la BAL (Boite Aux Lettres) de l'utilisateur destinataire. - Exemples : procmail, maildrop, etc.
9
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Architecture d’un système de messagerie Internet
10
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Quelques exemples de MTA
n Sendmail (le serveur mail historique d’Unix)
¨ Multiples failles de sécurité, configuration complexe, etc.
n qmail ¨ Architecture modulaire conçue de façon très sécurisée ¨ Configuration aisée, très performant
n Postfix ¨ Architecture similaire à qmail¨ Plus moderne (plus d'évolutions possibles)
n Exim (EXperimental Internet Mailer)¨ Délivrer les messages de manière instantanée, sans les mettre en file d'attente¨ Mauvaise performances de gestion de la file (cas des sites à haut débit)
11
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Accès aux boîtes aux lettres : POP3 n POP3 = Post Office Protocol version 3
¨ RFC 1939 ¨ Protocole permettant à un programme local de récupérer les mails
stockés dans une BAL distante (ie. présente sur un serveur distant)
n Utilise le port TCP/110
n Encore majoritairement utilisé par les ISP :¨ Le protocole est très simple, et il est compatible avec la plus part des
programmes clients ¨ Le fonctionnement par défaut favorise le contrôle de la taille des boites
aux lettres ¨ Convient parfaitement à un accès à Internet non-permanent
12
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
IMAP- Internet Message Access Protocol
n Permet d’accéder directement aux emails sur le serveur de messagerie sans les rapatriés localement
n Plusieurs évolution pour le protocole IMAP : la version 4 - RFC 3501
n Caractéristiques ¨ TCP/143 (ou TCP/993 pour imap over SSL)¨ Les messages restent sur le serveur, l'utilisation est en mode connecté¨ Boîtes aux lettres partagées, accès concurrentiels, etc. ¨ Plusieurs connexions IMAP peuvent être ouvertes simultanément lors de
l'accès à une BAL ¨ Création de dossiers IMAP résidant sur le serveur
n Quelques exemples de serveurs IMAP : ¨ UW Imap, Courier IMAP, Cyrus IMAP Server, Microsoft Exchange Server, Dovecot
13
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
MIME (Multi-purpose Internet Mail Extensions)
n RFC 2045..2049 (1996), 2183 (1997)n MIME permet de transporter des contenus quelconquesn En-tête :
– MIME-Version : 1.0– Content-Type :– Content-Transfer-Encoding :
n MIME - types de messages ¨ Content-Type : définit comment afficher le message à la réception.
Exemples : text/plain, text/html, text/enriched, image/gif, video/mpeg, application/pdf
¨ Messages composites : multipart définit un séparateur. Entre chaque séparateur structure MIME avec Content-Type : et Content-Encoding
n multipart/mixed : plusieurs éléments à la suiten multipart/alternative : plusieurs versions du même élémentn multipart/parallel : plusieurs éléments à montrer en même temps (vidéo/audio)n multipart/signed : Un élément et sa signature numérique
14
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
MIME - exempleMime-Version: 1.0 Content-Type: multipart/mixed; boundary="3Pql8miugIZX0722”
--3Pql8miugIZX0722 Content-Type: text/plain; charset=iso-8859-1 Content-Disposition: inline Content-Transfer-Encoding: 8bit Bonjour,blah blah, ci-joint un document pdf, blah blah --3Pql8miugIZX0722 Content-Type: application/pdf Content-Disposition: attachement; filename="figure.pdf" Content-Transfer-Encoding: base64 JVBERi0xLjMKJcfsj6IKNiAwIG9iago8PC9MZW5ndGggNyAwIFIvRmlsdGVyIC9GbGF0ZURlY29kZT4+CnN0cmVhbQp4nN1aS4/cxhG+81fw6BhQp9+Po4wYRoAIiLRr5BxM1paCoRzJkvP3
--3Pql8miugIZX0722--
15
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Le format des adressesn Une adresse mail est une chaîne de caractère contenant le symbole "@"
n Partie gauche (utilisateur) : ¨ Définie et interprétée localement par le site de destination
n Partie droite ¨ Adresse de messagerie du site. Utilise le DNS pour résoudre cette adresse
n un enregistrement de type MX (Mail eXanger) : pointe vers un enregistrement de type A.
n un enregistrement de type A (adresse IP)n un enregistrement de type « alias »
n Adresses particulières ¨ [email protected] (RFC 822)¨ [email protected]¨ ...
16
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
DNS (Domain Name System) 1/3 17
n DNS introduit une convention de nommage hiérarchique des domainesn Le domaine racine appelé “.”n Les domaines du premier niveau représentent la localisation géographique
(fr, be, eu, de ...) ou le type de service (museum, info, org, gov, mail, ...)¨ Ils sont gérés par ICANN (Internet Corporation for Assigned Names and Numbers)
n Les domaines de second niveau sont disponibles pour les entreprises/particuliers.¨ Ils sont gérés par l'InterNIC (une filiale de l'ICANN) ou bien l'AFNIC (Association
Française pour le Nommage Internet en Coopération) qui gère le domaine « fr »
n Plusieurs sous domaines peuvent être crée à l'intérieur d'un domaine de second niveau.
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
DNS (Domain Name System) 2/3 n Les noms de machine utilisant le système DNS sont appelés noms
d'hôtes¨ Un nom d'hôte peut contenir jusqu'à 255 caractères alphanumériques et le trait
d'union "-". ¨ L'utilisation du "." est interdite car il est réservé
n Deux types de noms avec le système DNS : ¨ le nom d'hôte qui représente le nom d'une machine (un ordinateur, une
imprimante ou bien encore un routeur) ¨ le nom de domaine pleinement qualifié ou FQDN (Fully Qualified Domain
Name).
n Le FQDN est composé de deux parties : le noms d'hôte et le nom de domaine
n Par exemple, une machine avec le noms d'hôte TEST-1 située dans le domaine students.u-pem.fr alors le nom de domaine pleinement qualifié (FQDN) de la machine TEST-1 est : TEST-1.students.u-pem.fr
18
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
DNS: Les types d’enregistrement 3/3
n Un enregistrement DNS peut être sous différentes formes :¨ A : Retourne une adresse IPv4 pour un nom de host donné¨ AAA : Retourne une adresse IPv6 pour un nom de host donné¨ NS : Délègue la gestion d’une zone à un serveur de nom faisant autorité¨ CNAME (Canonical NAME) : Permet de réaliser un alias (un raccourci)
d’un host vers un autre¨ SOA : Définit le Serveur Maitre du domaine¨ PTR : Réalise l’inverse de l’enregistrement A ou AAAA, donne un nom
de host (FQDN: Fully Qualified Domain) pour une adresse IP.Sous Linux/Unix: FQDN est disponible dans le fichier /etc/hosts
¨ MX : Définit le nom du serveur de courrier du domaine¨ TXT : Une chaîne de caractères libres
19
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Format des adresses
n Le format et l'interprétation des en-têtes sont spécifiés dans la RFC 822 (1982) ¨ « 822 allows much more flexibility than a typical mail- reading program
can actually handle; meanwhile it imposes restrictions that millions of users violate every day »
n Les en-têtes sont de la forme « Nom: valeur » ¨ Date: Sat, 2 Fab 2019 12:27:41 +0200
X-Spam-Flag: YES From: Bob Marley <[email protected]> To: Abderrezak Rachedi <[email protected]> Subject: CoucouMessage... ?!
21
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Le routage des mails et le DNS
n Question : à quel serveur doit-on s'adresser pour envoyer un mail destiné à "[email protected]" ¨ Le MTA effectue une requête DNS afin de connaître l'enregistrement
MX de "domaine.com"
bash$ host -t mx rstack.orgrstack.org mail is handled by 10 spool.mail.gandi.net.rstack.org mail is handled by 50 fb.mail.gandi.net.
¨ En cas d'échec de la requête DNS, cela ne veut pas dire qu'il n'y a pas d'enregistrement MX pour le domaine concerné : le client doit réessayer un peu plus tard...
¨ Si la requête DNS ne renvoie aucun enregistrement MX, alors le MTA doit prendre comme MX l'hôte lui-même
22
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Le routage des mails et le DNS
n Le serveur prend ensuite la liste des serveurs destinataires par ordre croissant de préférence et se connecte ensuite sur le port TCP/25 pour envoyer le message par SMTP ¨ En cas d'échec permanent, le client retourne un message d'erreur à
l'expéditeur (bounce message) ¨ En cas d'échec temporaire, le client réessaye d'envoyer le message en
utilisant les serveurs de mails ayant une priorité inférieure. S'il ne restent plus de serveurs dans la liste, le message est alors mis en attente
n L'utilisation des MX est spécifiée dans la RFC 974
23
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Protocole SMTP
n Définit la manière de communiquer entre deux MTA en utilisant une connexion TCP ¨ Protocole de type « PUSH »
n Utilise un alphabet ASCII 7 bits (en TCP, transmission de 8 bits avec le bit de poids fort à 0)
n Le nombre de commandes utilisées est relativement faible (< à 12)
n Le protocole est défini dans la RFC 821 (1982)
n La commande HELO permet à la machine source de s'identifier auprès du serveur SMTP
24
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Protocole SMTP
n Lorsqu'un serveur de mail accepte un message, il ajoute un en-tête "Received:" au début du message
n Le protocole TCP n'est utilisé qu'en half-duplex n Le client envoie une requête, attend la réponse, etc.n Importance de la rapidité de réponse pour les serveurs
n Les serveurs SMTP ne parsent pas les headers d'un message, excepté pour compter le nombre de saut (nb. de "Received: ")
25
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Les principales commandes SMTP n HELO : pour identifier l'émetteur du mail
¨ Synopsis : HELO <espace> <domaine> <CRLF>
n MAIL : pour débuter un transfert de l’email¨ Synopsis : MAIL <espace> FROM: <chemin inverse> <CRLF>¨ Exemple : MAIL FROM:<@mailhub.ici:@mailhost.labas:[email protected]>
n RCPT : permet de cibler le destinataire¨ Synopsis : RCPT <espace> TO: <destinataire> <CRLF>¨ RCPT TO:[email protected]
n DATA : permet de définir le corp de l’email qui se termine par <CRLF>.<CRLF>
¨ Synopsis : DATA <CRLF>
n QUIT : Marque la fin de la session et permet la fermeture de la connexion
26
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Les principales commandes SMTP
n VRFY: permet de vérifier la validité d'une adresse ¨ Problème de confidentialité vis à vis du Spam ¨ La RFC 1123 définit un nouveau code d'erreur (252) permettant de traiter la
commande VRFY
n EXPN : permet de développer une adresse générique représentant “une liste de diffusion” ou les alias d’une adresse
n Certains serveurs SMTP désactive (ne supportent pas ces deux commandes)
27
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Les évolutions du protocole SMTP 28
n Extended SMTP (ESMTP)
¨ Ces extensions (définies dans la RFC 1425) maintiennent néanmoins une compatibilité́ ascendante
¨ Utilisation de EHLO à la place de HELO, puis code réponse 250
bash$ nc mxa.relay.renater.fr 25 220 mxb1-1.relay.renater.fr ESMTP asmEHLO marley.com 250-mxb1-1.relay.renater.fr250-PIPELINING250-SIZE 31457280250-ETRN250-STARTTLS250-ENHANCEDSTATUSCODES250-8BITMIME250 DSN
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Outils et commandesn L’outil “nc” (netcat) : outil polyvalent (couteau suisse). Il permet :
¨ d’ouvrir des connexions TCP, envoyer des paquets UDP,¨ écouter des ports TCP et UDP, effectuer un scan des ports (IPv4 et IPv6).¨ Tester le serveur SMTP: nc nom_du_serveur 25
¨ Tester la disponibilité du serveur POP3 : nc pop.laposte.net 110
n L’outil « dig » : permet d’interroger des serveurs DNS et de diagnostiquer les dysfonctionnements dans la résolution de nom. Ex. dig gmail.com¨ Pour trouver le nom du serveur du domaine :
dig +noall +answer -t mx gmail.comn L’outil « nslookup » : permet de connaitre les adresses IP de tous
les serveurs d’un domaine n L’outil « Whois » : permet d’interroger l’annuaire pour obtenir des
informations sur le propriétaire d’un domaine n L’outil « TraceRoute » : permet de visualiser les routeurs traversés
par les paquets IP lors d'un échange entre deux machines distantes
29
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
30
Sécurité de la messagerie électronique
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Sécurité: Vulnérabilités, Menaces, Attaques n Vulnérabilités :
¨ pas d’authentification ni d’intégrité ni de confidentialité, ¨ relayage SMTP,¨ transport de contenus exécutables,¨ abus de privilèges, ¨ failles des logiciels, ¨ ..
n Menaces :¨ diffusion de SPAM ¨ propagation de virus ¨ dénis de service ¨ abus de privilèges¨ atteinte à la vie privée des utilisateurs, – etc.
31
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Absence de services de sécurité
n Le protocole SMTP ne fournit pas les services de sécurité de base : authentification, intégrité et confidentialité ¨ les messages ainsi que leurs entête sont transportés sans aucune
vérification¨ les contrôles sur l’enveloppe sont limités aux règles anti-relayage¨ l’enveloppe peut contenir n’importe quoi pourvu qu’elle passe l’anti-
relais ¨ un relais SMTP peut modifier un message sans violer le protocole ¨ les échanges se font en clair
32
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Relayage SMTP
n Vulnérabilité du protocole SMTP : ¨ Le protocole SMTP ne restreint pas les connexions acceptées. Historiquement
un relais SMTP acceptait de relayer n’importe quel message¨ Utilisé pour diffuser du SPAM en masquant le plus possible l’identité de
l’expéditeur : connexion à un relais SMTP aléatoire entre l’expéditeur et le destinataire
n Règle : ¨ Un serveur SMTP accepte de relayer un message seulement si l’expéditeur ou le
destinataire est local
n Mise en œuvre : ¨ Utilise les champs de l’enveloppe (EHLO, MAIL FROM : et RCPT TO :)¨ Vérifications dans le DNS¨ Comparaison avec la liste des sites locaux
33
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Vulnérabilités : contenu exécutable, DoS
n Contenu exécutable ¨ MIME permet de transporter des fichiers exécutables (code machine,
scripts, plug-ins,...) ¨ Les MUA ouvrent automatiquement les documents attachés
n Pour un document exécutable, l’action par défaut est (était) de l’exécutern Convaincre les utilisateurs d’ouvrir (exécuter) les documents attachés
n Dénis de Services (DoS)¨ Un serveur de messagerie se met en général hors-ligne lorsque sa charge
devient trop importante
34
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Vulnérabilités : confidentialité, abus de privilège
n Problèmes lié à l’absence de confidentialité mais en plus : ¨ commandes SMTP expn et vrfy donnent accès à la liste des comptes
connus, ¨ informations contenues dans les entêtes permettent de tracer
géographiquement (et temporellement ) l’émetteur d’un message ¨ systèmes de répondeurs automatiques qui donnent souvent trop
d’information
n Abus de privilège ¨ MTA et MDA exécutés avec les droits du super-utilisateur augmentent
l’impact des vulnérabilités ¨ Compte de messagerie = compte Unix avec shell et exécution de code
sur le serveur POP/IMAP¨ L’outil local de messagerie a l’accès complet à la machine de
l’utilisateur, alors qu’il traite des contenus potentiellement dangereux.
35
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Outils de sécurité: la redondancen La redondance pour éviter le Déni de service (DoS)
n Serveur DNS secondaire hors siten Serveur MX secondaire
¨ sur site : le plus simple à mettre en œuvre. Duplication de la configuration du serveur principal si fonction relais seul
¨ hors site : sur un serveur d’un domaine existant. Accepter le courrier pour son site, relais vers le serveur principal
n Redondance matérielle : système RAID pour BAL / Queue : ¨ pas d’arrêt en cas de panne¨ pas de perte de données en cas de panne¨ mais ne peut rien contre les erreurs humaines
36
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Recommandation pour la sécurité37
n Gestion des utilisateurs ¨ annuaire : correspondance compte messagerie / personnes physiques,¨ fermer les comptes non utilisés,¨ mettre en place de quotas sur les boîtes aux lettres,¨ avoir des moyens pour informer les utilisateurs,
n Architecture réseau
¨ R1 : laisse passer le port 25 de l’internet vers le relais SMTP bloque SMTP vers le réseau internebloque SMTP du réseau interne vers l’internet
¨ R2 : Routeur ou commutateur/routeur interne n Peut faire du filtrage entre réseaux internes
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Recommandation pour la sécurité
n Analyse de logs MTA¨ erreurs de connexion SMTP¨ erreurs de résolution DNS¨ connexions trop fréquentes¨ taille de la file d’attente¨ tentatives de connexions sur des machines autre que le serveur
n Parmi les outils d’analyse de log¨ Logcheck : scrute par défaut les fichiers de logs toutes les heures et
envoie par courrier électronique à root¨ isoqlog :analyseur des logs MTA . Il est conçu pour analyser les logs
de qmail, postfix, sendmail et exim logfile
38
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Filtres anti-virus / anti-spam
Où installer les filtres ?
n Niveau MUA indispensable mais :¨ garantir la mise à jour ¨ être exhaustif (un seul poste non protégé peut bloquer/contaminer tout un réseau)
n Au niveau MTA :¨ protection globale¨ plus facile de garantir la mise à jour et l’utilisation systématique¨ problèmes de charge serveurs¨ problèmes de politique de sécurité globale
39
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Anti-virus Approches :
n par signature : ce que font les anti-virus traditionnels n Limites :
¨ « fenêtre de vulnérabilité » entre apparition d’un nouveau virus et la mise à jour des anti-virus.
¨ fausses alertes de plus en plus nombreuses (statistiquement inévitable).¨ Coût des solutions les plus performantes
n plus simple : bloquer l’exécution des contenus potentiellement dangereux. ¨ Capable de bloquer de nouveaux vers/virus.¨ Pas de faux positifs (par définition).
n Limites : ¨ liste exhaustive des types MIME exécutables ? ¨ comment échanger des exécutables légitimes ?
40
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Spam (Pourriel)- Courriers indésirables
n Les “Spam” désignent les emails indésirables, envoyés massivement à de nombreux destinataires (sans qu’il aient accepté)
n Souvent, la collecte des adresses électroniques figurant dans la base de données des spammeurs s’effectue illégalement
n Le spam est un courrier non sollicité que les destinataires ne s’attendent pas à recevoir
n Représente environ 70% à 90% du trafic mail sur Internet
n Deux questions se posent, comment le caractériser et surtout comment l'éviter.
41
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Comment reconnaître un spam ?
n Un contenu commercial (ou financier)n Une importante liste de destinatairesn En-tête du message truquée n Un grand nombre d'exemplaires du même message envoyé dans un
court laps de tempsn Utilisation de l'adresse d'un destinataire sans son consentement
expliciten Usage des sites de relais comme “open mail relay” pour l'émissionn Champs To et From de l'en-tête invalides
42
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Filtrage des Spamn Politiques de filtrage des Spam
¨ Définir : 1) ce qui est du trafic légitime, 2) ce qui sera bloqué (mis en quarantaine).
n Masquer les adresses email ¨ [email protected] pour [email protected].¨ Jean chez exemple point fr pour [email protected]¨ Jean[at]exemple.fr pour [email protected]¨ Communiquer l’adresse email par une image ¨ Coder l’adresse email
n Les techniques de filtrage ¨ Filtrage d’enveloppe : s’applique uniquement sur l’enveloppe du message¨ Filtrage de contenu : s’applique sur le contenu du message
n Filtrage Bayésien : basé sur l’apprentissage et la classification automatiquen Filtrage par mots-clés ou adresse : type « money », « viagra », « sexe », etcn Filtrage par expression régulière n Filtrage par heuristique n Filtrage par analyse de virus des pièces jointesn Filtrage par analyse du contenu des images
43
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Ex.: Outil général de filtrage pour sendmailn Mimedefang : Programme de filtrage de mails, utilisant l’API milter
de Sendmail¨ destruction, modification ou mise en quarantaine de fichiers attachés
«dangereux»¨ interface avec Anti-virus existants, avec SpamAssassin
¨ ajout de notices aux messages¨ actions configurables en fonction du domaine, de l’utilisateur, du relais
utilisé, etc. ¨ Permet d’opérer comme anti-virus et anti-spam en même temps
44
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Interaction sendmail/mimedefang
45
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Filtrage sur le contenu : principen Classer les messages en fonction du texte complet du message
¨ Par mots clés / patterns : SpamAssassin¨ Par analyse statistique : Classification Bayesienne (bogofilter, bmf, etc. ) ¨ Base de donnée de spams : Vipul’s Razor
n Exemple : SpamAssassin ¨ Ensemble de tests sur le contenu ¨ Chaque test attribue des points ¨ Somme des points → score ¨ Marque les messages qui dépassent un seuil. ¨ Ecrit en Perl. ¨ Plusieurs modes de fonctionnement :
n filtre simple (utilisation avec procmail)n filtre client d’un démon (meilleurs performances) (spamc) n au travers de l’API milter (sendmail) → filtrage global
46
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Sécurité du transport
n SSL - protocole au dessus de TCP (Entre TCP et l’application)
n IPsec - protocole au niveau transport
n VPN - Virtual Private Networks
47
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
n IPSec est un protocole lié à IPv4 et IPv6. Il assure l’authentification et le chiffrement des données via Internet
n IPSec encapsule des paquets IP complets et les protège jusqu'à leur destination, où les paquets IP sont "décapsulés" et restitués.
n Il regroupe les protocoles suivants :¨ Pour le chiffrement et l’authentification : ESP et AH ¨ Pour l’échange de clés IKE (Internet Key Exchange)
n IPSEC a deux modes d’opérations:¨ Tunnel : le paquet entier est encapsulé dans un nouveau paquet¨ Transport : ne protège que les données des paquets transmis
n Pour chaque connexion TCP protégée, la SA (Security Association) mémorise :¨ Les algorithmes utilisés ¨ Les clés et la durée de validité des clés ¨ Les numéros de séquence et l’identité des partenaires
48
IPSec
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
IPSec : Authentification Header (AH)
n L’ajout de l’entête d’authentification permet de vérifier l’authenticité et l’intégrité des paquets
n Il n’y a pas de chiffrement des données
n L’authentification est faite sur : ¨ Les données qui suivent l’en-tête AH¨ Sur l’en-tête AH¨ Sur les champs important de l’en-tête IP ( source, destination, protocole,
longueur, version)
49
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
IPSec : Encapsulated Security Payload
n L’enveloppe ESP permet de chiffrer et d’authentifier les paquets n L’enveloppe ESP contient :
¨ L’en-tête (Header)¨ Les données chiffrées¨ Une queue (Trailer) ¨ Des données supplémentaires d’authentification
n Le chiffrement ne porte que sur les données encapsulées et le trailer
n L’authentification optionnelle porte sur l’en-tête ESP et tout ce qui suit, mais pas sur l’en-tête IP
50
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
IPSec : mode transport et tunneln En mode transport, on chiffre ou on authentifier la partie data d’un paquet IPn En mode tunnel, on protège le paquet complet et on l’encapsule dans un
nouveau paquet
n En mode transport la sécurité est faite de bout en bout
n En mode tunnel la sécurité est faite par des routeurs intermédiaires
51
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
IPSec
n 2 types de VPN avec IPSec
n L2TP sur IPSec en mode transport (mode Microsoft) : ¨ transporte n'importe quel protocole (IP, IPX, NetBeui) ; ¨ Beaucoup d'en-têtes et d'encapsulations.
n IPSec en mode tunnel.¨ ne peut transporter que IP ;¨ plus efficace.
52
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
IPSec: Internet Key Exchange (IKE)
n IKE sert à négocier les paramètres pour les protocoles AH et ESP (algos, clés, durée de validité,...)
n Authentifie les partenaires par secrets partagés, clé publiques ou certificats.
n Deux phases : ¨ Phase1 : négocie une SA (Security Association : enregistrement
contenant les paramètres pour AH et ESP) pour protéger les négociations.
¨ phase 2 : définit les SA nécessaires pour des flux ESP ou AH.
53
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
n Services fournis par IPSec
¨ Confidentialité et protection contre l’analyse du réseau
¨ Authentification des données et de leur origine¨ Intégrité des données (en mode non connecté)¨ Protection contre le rejeu¨ Contrôle d’accès
n Exemple d’utilisation : les réseaux virtuels privés
54
IPSec
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
n Avantages :¨ Modèles de sécurité flexible (toolkit modulaire)¨ Différents niveaux de sécurité : chiffrement fort ou faible et/ou
authentification¨ Totalement transparent pour les applications
n Inconvénients :¨ Système très complexe (nombreux protocoles)¨ Interaction IKE & PKI possible mais pas normalisée¨ IPSec est limité à l’instauration de VPN entre réseaux
(passerelles/serveurs)¨ Pas d’authentification de personnes ¨ pas de transaction sécurisée & non concurrence à SSL
55
IPSec
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
SSL (Secure Socket Layer)n Le protocole SSL (Secure Socket Layer) a été proposé au départ
Netscape et permet des connexions sécurisées sur des serveurs Web. n Il intervient au dessus de la couche transport.
n Il permet :¨ une authentification réciproque entre client et serveur à l’aide de clés symétriques ; ¨ des transaction encryptées entre client et serveur
n SSL intègre deux sous-couches : ¨ SSL record protocol qui définit le format utilisé pour transmettre les
données ; ¨ SSL handshake protocol qui définit une série de message pour établir la
connexion entre le client et le serveur.
56
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Echange SSL57
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Protocole SSL avec certificat n Pour palier les lacunes, le cryptage est souvent associé à un certificat.
n Le navigateur qui accède à un serveur doit récupérer la clé publique de ce serveur ; celle-ci lui est transmise à l’intérieur d’un certificat X509.
n Le certificat est un fichier constitué de la clef publique et sa signature, le nom de l’autorité et quelques extensions.
n Ce certificat contient donc la clé publique du serveur, validée ("signée") par un organisme reconnu, appelé autorité de certification (CA).
n Pour sécuriser davantage, un certificat peut aussi être installé sur chaque client.
58
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Protocole SSL avec certificat
59
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
SSL : Capture
60
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
SSL: Applications utilisant SSLn SSL peut être utilisé pour sécuriser n'importe quel protocole utilisant
TCP/IPn Certains protocoles ont été spécialement modifiés pour supporter SSL:
¨ HTTPS: c'est HTTP+SSL. Ce protocole est inclus dans tous les navigateurs¨ FTPS est une extension de FTP utilisant SSL.
n Une fois le tunnel SSL créé, Il est donc possible de faire passer n'importe quel protocole dedans (SMTP, POP3, HTTP, NNTP...).
n Ceci peut être réalisé avec des outils comme STunnel (http://www.stunnel.org) ou SSH.
n La version 3.0 (actuellement la plus répandue) est standardisée par l’IETF (Internet Engineering Task Force).
n TLS (Transport Layer Security) proposé par l’IETF est la version 3.1 de SSL.
n TLS est défini dans le RFC 22456 et n’impose pas de méthodes de chiffrement spécifiques.
61
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Connexion sécurisée SSHn L'environnement SSH (Secure Shell) s'adresse aux utilisateurs qui
souhaitent accéder de manière sécurisée à des systèmes Unix distants.
n Ses composants remplacent des programmes peu sécurisés comme : ¨ ftp (file transfer protocol) ou rcp (remote copy) pour les échanges de fichiers ; ¨ telnet ou rlogin (remote login) pour établir une session de travail ; ¨ sh (remote shell) ou rexec (remote exec) pour exécuter une commande Unix sur un
système distant
n La sécurité est garantie par une authentification à l'établissement de chaque connexion et par l'encryptage des données
n SSH utilise une connexion TCP sur le port 22.n On peut utiliser une connexion SSH pour transporter un autre
protocole, par exemple SMTPn SCP (Secure CoPy), utilisé généralement en mode commande,
permet de télécharger des fichiers de manière sécurisée en passant par SSH.
62
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
VPN : Virtual Private Networksn La sécurité passe également par l’utilisation de réseaux privés virtuels (VPN)n Un VPN est constitué d’un ensemble de LAN privés reliés à travers Internet
par un « tunnel » sécurisé dans lequel les données sont cryptées.n Les postes distants faisant partie du même VPN communiquent de manière
sécurisée comme s’ils étaient dans le même espace privé.n La technique de « tunneling » utilisée permet :
¨ d’identifier chaque extrémité ;¨ de transférer les données après chiffrement.
63
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
64
VPN : Virtual Private Networks
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
n VPN vu par Cisco
¨ PC1 (10.2.2.2) envoie un paquet vers le serveur web S1 (10.1.1.1) comme il le ferait si ce dernier était sur le même LAN.
¨ Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute les en-têtes VPN et un nouvel en-tête IP (avec les @ publiques) et relaie le paquet.
¨ Le « man in the middle » peut intercepter le paquet mais ne peut lire ni son contenu ni les adresses privées.
¨ Le routeur/firewall ASA-1 reçoit le paquet, confirme l’identité de l’émetteur, confirme que le paquet n’a pas été modifié, et décrypte le paquet original.
¨ Le serveur S1 reçoit le paquet décrypté.
65
VPN : Virtual Private Networks
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
n Eléments de base :¨ Protocole de VPN sur les routeurs ou les PCs (portables) ;¨ Encapsulation des paquets pour leur voyage à travers
Internet ¨ Chiffrement des données pour garantir la confidentialité.
n Différents niveaux de protocoles¨ Protocole de niveau 2
n Microsoft : PPTP - Point to Point Tunneling Protocoln IETF : L2TP - Layer 2 Tunneling Protocol :
Résultat de la fusion du protocole L2F (Layer 2 forwarding) de Cisco et de PPTP de Microsoft
¨ Protocole de niveau 3 (GRE, IPSEC, MPLS)¨ Protocole de niveau 4 (SSL, TLS)
66
VPN : Virtual Private Networks
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
n Pour accéder à distance à un réseau non sécurisé, on se connecte à un serveur d’accès distant ou Remote Access Server (RAS)
n La méthode classique consiste à se connecter au RAS directement par modem (protocole PPP)
n Dans le cas d’un VPN, le serveur RAS devient une passerelle VPN à laquelle on accède par le protocole PPTP
n La passerelle VPN doit également être connecté à Internet, par exemple par une connexion PPP modem vers un ISP
67
VPN : Protocole PPTP
Réseau type VPN
Réseau non sécurisé
Passerelle VPN logicielle
Passerelle VPN
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
n Encapsulation :¨ Le protocole PPTP chiffre et encapsule (fait passer par un « tunnel crypté») le
datagramme IP dans le cadre d’une connexion point à point.¨ Le serveur VPN à l’entrée du tunnel exécute l'ensemble des contrôles de la sécurité et
des validations, et active le cryptage des données.¨ Une trame PPTP est donc constituée :
n Du datagramme IP contenant les données utiles et les adresses IP de bout en bout ;n De l’en-tête PPP nécessaire pour toute connexion point à point ;n D’un en-tête GRE (Generic Routing Encapsulation) qui gère l’encapsulation et permet d’isoler
les flux IP privé et public ;n D’un nouvel en-tête IP contenant les adresses IP source et destination des passerelles VPN
(client et serveur VPN).
n Négociation :¨ Avant d'établir le tunnel GRE, une connexion TCP (port 1723) est utilisée :
n négociation des paramètres ;n authentification de l'utilisateur ;
¨ La négociation se fait en clair.¨ La version courante utilise des clés de 128 bits aléatoires.
68
VPN : Encapsulation PPTP
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
n L2TP (Layer 2 Tunneling Protocol) ¨ Protocole standardisé par l'IETF (Internet Engineering Task Force).¨ Extension de PPP qui permet de terminer une connexion non pas à
l'autre modem mais à une adresse IP quelconque.¨ Les paquets PPP sont encapsulés dans des paquets UDP pour le
transport par Internet.¨ Remplace la solution propriétaire PPTP.¨ N'a pas de chiffrement (nécessite IPSec).
69
VPN : Protocole L2TP
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
n L2TP offert par l’ISP :¨ Le tunnel L2TP rallonge la connexion PPP du client jusqu'au
serveur d'accès à distance.
70
VPN : Encapsulation L2TP
q L2TP réalisé par le client :Ø Le client doit gérer 2 connexions PPP : une vers l'ISP et une vers le
serveur d'accès.
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
71
Travail collaboratif
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Les services des plateformes collaboratifs
n Le but est d’avoir un point de contact unique pour : § Etre informé de l’état de présence de mon correspondant§ Partager des documents et travailler instantanément sur ces derniers§ Piloter dynamiquement mon état de présence§ Messagerie instantanée (chat)§ Accès à l’annuaire d’entreprise§ Import des contacts personnels § Click-to-Call (les appels)§ Journal d’appels§ Softphone (travail à distance ou à domicile)§ Conférence§ Messagerie vocale unifiée§ Appel Vidéo (Open VPN SSL )
72
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Outils de Meeting virtuels
n La vidéoconférence était difficile à mettre en place (coût, et QoS)n Actuellement, les entreprises (petites et moyennes) utilisent la
visioconférence quotidiennement, car :¨ le coût des applications a baissé,¨ la QoS (bande passante, débit et le délai (jigue)) du réseau a
augmentén Parmi les outils utilisés sont (permettent d’organiser des réunions
virtuelles en partageant votre écran avec d’autres participants) :
73
q ezTalks Cloud Meetingq Join.meq Go to Meeting/Go to Webinar q Zoomq Skype q Google Hangouts
q FreeConferenceCall.comq WebExq GroupMeq …
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Outils de Meeting virtuelsn Combien de participants seront impliqués?
¨ Certains outils fonctionnent bien avec un petit groupe, mais ne peuvent pas accueillir 10 personnes ou plus.
n Quel type de partage est nécessaire? ¨ les participants devront-ils regarder une vidéo tous ensemble, lors d'une réunion en temps réel?¨ Les participants ont-ils besoin de se voir? Travailler sur le même document (partager)
n Qui peut partager ?¨ Dans certains cas, vous pouvez limiter le partage (écran/application/etc) à quelques-uns
seulement.
n Cette réunion s'inscrit-elle dans une collaboration en cours? ¨ Si les participants se réunissent fréquemment pour collaborer, envisagez des outils permettant
de partager des connaissances et de reprendre le fil de la dernière conversation (une participation asynchrone).
n Est-ce que tout le monde fait partie de la même organisation? ¨ Si tous les participants sont internes à une organisation, vous pouvez utiliser un outil de
téléconférence Web qui s’intègre au système d’annuaire (les réunions ad hoc, en plus des réunions pré-programmées).
¨ Les outils de communication unifiée tels que Microsoft Lync et Cisco Jabber, ainsi que d'autres solutions moins connues, fournissent cette fonctionnalité.
74
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Outils de Meeting virtuels
n D'où se connecteront les participants? ¨ Par exemple, seront-ils au bureau? Leur bureau à la maison? Site client? Aéroport? Train?
Voiture? ¨ Il faut déterminer la bande passante à laquelle ils s'attendent d'avoir accès, les restrictions
de sécurité pouvant nécessiter des solutions de contournement à l'avance, la possibilité de télécharger les applications nécessaires et les autorisations spéciales éventuellement nécessaires.
n Quels appareils les participants utiliseront-ils pour se connecter? ¨ Certains utiliseront-ils un ordinateur de bureau? Portable? Tablette? Téléphone? Téléphone
portable? Combiné? Casque? Haut-parleur? ¨ Certains outils de téléconférence Web et d'audioconférence fonctionnent mieux sur certains
appareils que sur d'autres.
n Quelles sont les exigences technologiques? ¨ Indiquez d'emblée dans votre demande de réunion initiale ou votre message électronique
quelle technologie sera utilisée et quel type d'installation ou de test peut être nécessaire avant la réunion. Par exemple, tout le monde aura besoin d'un casque sans fil connecté à son ordinateur (ou d'un casque standard connecté à une ligne fixe), d'un accès Internet rapide, d'une webcam et d'un clavier.
75
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Les services des plateformes collaboratifs n Plateforme :
¨ MICROSOFT OFFICE 365 ¨ GOOGLE G SUITE
n Outils : ¨ Scrumblr
76
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Scrumblr: Un tableau blanc collaboratif
n Scrumblr : http://scrumblr.ca¨ un site qui permet de créer un tableau blanc collaboratif ¨ des notes sous la forme de Post-it de toutes les couleurs ¨ un environnement graphique sous forme d’une application Web
77
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
78
Serveurs applicatifs
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Serveurs applicatifs
n Définition : le serveur d’application est un logiciel d’infrastructure, installé sur ordinateur placée sur un réseau qui offre un contexte un d’excution pour des composants applicatifs
n Le serveur d’application est considéré comme une application trois-tiers :¨ Un serveur d’interface utilisateur graphique (nommé le front-end) : il
s’exécute dans un navigateur Web ¨ Une application (ou groupe d’applications) dédie à la logique métier ¨ Un back-end (ce qui n’est pas visible à l’utilisateur) comme une base
de données et un serveur transactionnel
79
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
Serveurs applicatifs
n Il existe une grande variété de logiciels serveurs et de logiciels clients en fonction des besoins à servir : ¨ un serveur web publie des pages web demandées par des navigateurs web ¨ un serveur de messagerie électronique envoie des mails à des clients de
messagerie ¨ un serveur de fichiers permet de stocker et consulter des fichiers sur le réseau ¨ un serveur de données à communiquer des données stockées dans une base
de données¨ un contrôleur de domaine permet de gérer les utilisateurs et les droits d'accès
sur un réseau, etc.
80