135 lines
3.7 KiB
Plaintext
135 lines
3.7 KiB
Plaintext
|
Jeudi 18 décembre 2008
|
||
|
S5B
|
||
|
M.Grad
|
||
|
|
||
|
Sécurisation des communications
|
||
|
|
||
|
===== Couches OSI =====
|
||
|
|
||
|
On a sécurisé pas mal de choses.
|
||
|
|
||
|
==== Brique physique ====
|
||
|
|
||
|
L2TP et PPTP permettent de sécuriser la liaison physique.
|
||
|
Si on sait chiffrer une liaison donnée, tout est protégé et donc pas besoin de s'occuper du reste.
|
||
|
|
||
|
==== Brique IP ====
|
||
|
|
||
|
IPSEC et GRE sur la couche IP.
|
||
|
On fait du *tunneling*.
|
||
|
|
||
|
Tout le trafic local d'un réseau à un autre est sécurisé.
|
||
|
|
||
|
==== Brique Réseau ====
|
||
|
|
||
|
SSL / TLS et Socks V5 est appliqué à l'UDP et TCP
|
||
|
Apporte les 'S' aux services FTP, HTTP, etc.
|
||
|
|
||
|
==== Brique Transport ====
|
||
|
|
||
|
S/MIME pour le courriel
|
||
|
|
||
|
===== Services et ports =====
|
||
|
|
||
|
On a du réecrire les services pour ajouter des modules de sécurité. Et donc on a du ouvrir de nouveaux ports.
|
||
|
|
||
|
===== SSL Historique =====
|
||
|
|
||
|
TLS = Transport Layer Security
|
||
|
TLS = copie de SSL (IETF pas arrangé avec Netscape, d'où des incompatibilités notoires.
|
||
|
|
||
|
Cependant tout ce qui fait foi, c'est TLS grâce à l'IETF qui est encore active.
|
||
|
|
||
|
===== Sécurité SSL =====
|
||
|
|
||
|
* Ajouter une authentification avec les certificats auf ormat X.509
|
||
|
* Faire un condensé pour obtenir l'intégrité (MAC: Message Authentification Code)
|
||
|
* Apporter la confidentialité en chiffrer toutes les communications à l'aide d'une clé de session
|
||
|
|
||
|
===== SSL : Les protocoles =====
|
||
|
|
||
|
4 briques :
|
||
|
* SSL Handshake (poignée de main)
|
||
|
* Négociation des paramètres et algorithmes
|
||
|
* Authentification du serveur (opt du client)
|
||
|
* Échange des clés
|
||
|
* SSL Record
|
||
|
* SSL Change Cypher Spec
|
||
|
* SSL Alert
|
||
|
|
||
|
Cf. Diapositives.
|
||
|
|
||
|
==== SSL Handshake ====
|
||
|
|
||
|
* Session SSL établie entre client et serveur
|
||
|
* Session peut maintenir les informations d'était de plusieurs connexions SLL??
|
||
|
|
||
|
==== Modèle d'interaction ====
|
||
|
|
||
|
* Services en mode client/serveur peuvent êtres sécurisés par le protocole SSL
|
||
|
* Modèle d'interaction de base permet authentification
|
||
|
* Serveur obtient un certificat et l'installle (clé privée sécurisée sur le serveur)
|
||
|
|
||
|
===== SSL et services =====
|
||
|
|
||
|
* FTPS : 990
|
||
|
* HTTPS : 443
|
||
|
* SSMTP : 465
|
||
|
* SNNTP : 563
|
||
|
* POP3S : 995
|
||
|
* IMAPS : 993
|
||
|
|
||
|
===== SSH =====
|
||
|
|
||
|
==== telnet : shell distant ====
|
||
|
|
||
|
Cf. Schéma diapositives
|
||
|
|
||
|
==== SSH (Secure Shell) ====
|
||
|
|
||
|
* Terminal distant sécurisé, équivalent à rlogin, rsh, telnet sécurisé
|
||
|
* Modèle d'interaction standard ssl
|
||
|
* Inclut le transfert de fichiers
|
||
|
* Effectue une compression des données
|
||
|
* Permet la redirection de ports
|
||
|
* Combinaison de chiffrement symétrique ET asymétrique
|
||
|
* Standardisé à l'IETF
|
||
|
|
||
|
==== SSH et redirection de ports ====
|
||
|
|
||
|
Cf. Diapositives.
|
||
|
|
||
|
On peut rediriger n'importe quel port de notre machine vers un serveur ayant SSH.
|
||
|
Du coup on peut, en 3 sauts, à obtenir un service distant qui était indisponible à la base.
|
||
|
|
||
|
Exemple : accéder à canette via sterne + ssh.
|
||
|
|
||
|
===== Kerberos v5 =====
|
||
|
|
||
|
* Protocole d'authentification réseau destiné aux applications client/serveur (MIT)
|
||
|
* Serveur Kerberos
|
||
|
* Service Réseau en mode connecté (sur TCP)
|
||
|
* Client du service Réseau
|
||
|
* 3 niveaux d'authentification
|
||
|
* À l'établissement de la connexion
|
||
|
* À chaque ...compléter !!!!
|
||
|
|
||
|
Tickets Kerberos actifs sous notre pc : taper la commande **klist**.
|
||
|
krbtray => sous windows (à vérifier)
|
||
|
|
||
|
===== Authentification des utilisateurs du département =====
|
||
|
|
||
|
* LDAP : Lightweight Directory Access,
|
||
|
* Protocol : procotle d'accès aux annuaires X500 (RFC 3377)
|
||
|
* Active Directory : annuaire des ressources partagées (Win2K Server), inclus un annuaire de type LDAP.
|
||
|
* Kerberos : protocole d'authentification à base de tickets
|
||
|
* SSO : Signle Sign On, mécanismes permettant de ne s'authentifier qu'une seule fois
|
||
|
|
||
|
===== Inscription d'un étudiant =====
|
||
|
|
||
|
Cf. Diapositive
|
||
|
|
||
|
|
||
|
|
||
|
|