cours0809/cours/S5B/20081218-Seance5~

Jeudi 18 décembre 2008
S5B
M.Grad

Sécurisation des communications

===== Couches OSI =====

On a sécurisé pas mal de choses.

==== Brique physique ====

L2TP et PPTP permettent de sécuriser la liaison physique.
Si on sait chiffrer une liaison donnée, tout est protégé et donc pas besoin de s'occuper du reste.

==== Brique IP ====

IPSEC et GRE sur la couche IP.
On fait du *tunneling*.

Tout le trafic local d'un réseau à un autre est sécurisé.

==== Brique Réseau ====

SSL / TLS et Socks V5 est appliqué à l'UDP et TCP
Apporte les 'S' aux services FTP, HTTP, etc.

==== Brique Transport ====

S/MIME pour le courriel

===== Services et ports =====

On a du réecrire les services pour ajouter des modules de sécurité. Et donc on a du ouvrir de nouveaux ports.

===== SSL Historique =====

TLS = Transport Layer Security
TLS = copie de SSL (IETF pas arrangé avec Netscape, d'où des incompatibilités notoires.

Cependant tout ce qui fait foi, c'est TLS grâce à l'IETF qui est encore active.

===== Sécurité SSL =====

  * Ajouter une authentification avec les certificats auf ormat X.509
  * Faire un condensé pour obtenir l'intégrité (MAC: Message Authentification Code)
  * Apporter la confidentialité en chiffrer toutes les communications à l'aide d'une clé de session

===== SSL : Les protocoles =====

4 briques :
  * SSL Handshake (poignée de main)
    * Négociation des paramètres et algorithmes
    * Authentification du serveur (opt du client)
    * Échange des clés
  * SSL Record
  * SSL Change Cypher Spec
  * SSL Alert

Cf. Diapositives.

==== SSL Handshake ====

  * Session SSL établie entre client et serveur
  * Session peut maintenir les informations d'était de plusieurs connexions SLL??

==== Modèle d'interaction ====

  * Services en mode client/serveur peuvent êtres sécurisés par le protocole SSL
  * Modèle d'interaction de base permet authentification
  * Serveur obtient un certificat et l'installle (clé privée sécurisée sur le serveur)

===== SSL et services =====

  * FTPS : 990
  * HTTPS : 443
  * SSMTP : 465
  * SNNTP : 563
  * POP3S : 995
  * IMAPS : 993

===== SSH =====

==== telnet : shell distant ====

Cf. Schéma diapositives

==== SSH (Secure Shell) ====

  * Terminal distant sécurisé, équivalent à rlogin, rsh, telnet sécurisé
  * Modèle d'interaction standard ssl
  * Inclut le transfert de fichiers
  * Effectue une compression des données
  * Permet la redirection de ports
  * Combinaison de chiffrement symétrique ET asymétrique
  * Standardisé à l'IETF

==== SSH et redirection de ports ====

Cf. Diapositives.

On peut rediriger n'importe quel port de notre machine vers un serveur ayant SSH.
Du coup on peut, en 3 sauts, à obtenir un service distant qui était indisponible à la base.

Exemple : accéder à canette via sterne + ssh.

===== Kerberos v5 =====

  * Protocole d'authentification réseau destiné aux applications client/serveur (MIT)
    * Serveur Kerberos
    * Service Réseau en mode connecté (sur TCP)
    * Client du service Réseau
  * 3 niveaux d'authentification
    * À l'établissement de la connexion
    * À chaque ...compléter !!!!

Tickets Kerberos actifs sous notre pc : taper la commande **klist**.
krbtray => sous windows (à vérifier)

===== Authentification des utilisateurs du département =====

  * LDAP : Lightweight Directory Access,
    * Protocol : procotle d'accès aux annuaires X500 (RFC 3377)
  * Active Directory : annuaire des ressources partagées (Win2K Server), inclus un annuaire de type LDAP.
  * Kerberos : protocole d'authentification à base de tickets
  * SSO : Signle Sign On, mécanismes permettant de ne s'authentifier qu'une seule fois

===== Inscription d'un étudiant =====

Cf. Diapositive
MàJ après les cours du jeudi 18 décembre 2008 2008-12-18 20:58:58 +01:00			`Jeudi 18 décembre 2008`
			`S5B`
			`M.Grad`

			`Sécurisation des communications`

			`===== Couches OSI =====`

			`On a sécurisé pas mal de choses.`

			`==== Brique physique ====`

			`L2TP et PPTP permettent de sécuriser la liaison physique.`
			`Si on sait chiffrer une liaison donnée, tout est protégé et donc pas besoin de s'occuper du reste.`

			`==== Brique IP ====`

			`IPSEC et GRE sur la couche IP.`
			`On fait du tunneling.`

			`Tout le trafic local d'un réseau à un autre est sécurisé.`

			`==== Brique Réseau ====`

			`SSL / TLS et Socks V5 est appliqué à l'UDP et TCP`
			`Apporte les 'S' aux services FTP, HTTP, etc.`

			`==== Brique Transport ====`

			`S/MIME pour le courriel`

			`===== Services et ports =====`

			`On a du réecrire les services pour ajouter des modules de sécurité. Et donc on a du ouvrir de nouveaux ports.`

			`===== SSL Historique =====`

			`TLS = Transport Layer Security`
			`TLS = copie de SSL (IETF pas arrangé avec Netscape, d'où des incompatibilités notoires.`

			`Cependant tout ce qui fait foi, c'est TLS grâce à l'IETF qui est encore active.`

			`===== Sécurité SSL =====`

			`* Ajouter une authentification avec les certificats auf ormat X.509`
			`* Faire un condensé pour obtenir l'intégrité (MAC: Message Authentification Code)`
			`* Apporter la confidentialité en chiffrer toutes les communications à l'aide d'une clé de session`

			`===== SSL : Les protocoles =====`

			`4 briques :`
			`* SSL Handshake (poignée de main)`
			`* Négociation des paramètres et algorithmes`
			`* Authentification du serveur (opt du client)`
			`* Échange des clés`
			`* SSL Record`
			`* SSL Change Cypher Spec`
			`* SSL Alert`

			`Cf. Diapositives.`

			`==== SSL Handshake ====`

			`* Session SSL établie entre client et serveur`
			`* Session peut maintenir les informations d'était de plusieurs connexions SLL??`

			`==== Modèle d'interaction ====`

			`* Services en mode client/serveur peuvent êtres sécurisés par le protocole SSL`
			`* Modèle d'interaction de base permet authentification`
			`* Serveur obtient un certificat et l'installle (clé privée sécurisée sur le serveur)`

			`===== SSL et services =====`

			`* FTPS : 990`
			`* HTTPS : 443`
			`* SSMTP : 465`
			`* SNNTP : 563`
			`* POP3S : 995`
			`* IMAPS : 993`

			`===== SSH =====`

			`==== telnet : shell distant ====`

			`Cf. Schéma diapositives`

			`==== SSH (Secure Shell) ====`

			`* Terminal distant sécurisé, équivalent à rlogin, rsh, telnet sécurisé`
			`* Modèle d'interaction standard ssl`
			`* Inclut le transfert de fichiers`
			`* Effectue une compression des données`
			`* Permet la redirection de ports`
			`* Combinaison de chiffrement symétrique ET asymétrique`
			`* Standardisé à l'IETF`

			`==== SSH et redirection de ports ====`

			`Cf. Diapositives.`

			`On peut rediriger n'importe quel port de notre machine vers un serveur ayant SSH.`
			`Du coup on peut, en 3 sauts, à obtenir un service distant qui était indisponible à la base.`

			`Exemple : accéder à canette via sterne + ssh.`

			`===== Kerberos v5 =====`

			`* Protocole d'authentification réseau destiné aux applications client/serveur (MIT)`
			`* Serveur Kerberos`
			`* Service Réseau en mode connecté (sur TCP)`
			`* Client du service Réseau`
			`* 3 niveaux d'authentification`
			`* À l'établissement de la connexion`
			`* À chaque ...compléter !!!!`

			`Tickets Kerberos actifs sous notre pc : taper la commande klist.`
			`krbtray => sous windows (à vérifier)`

			`===== Authentification des utilisateurs du département =====`

			`* LDAP : Lightweight Directory Access,`
			`* Protocol : procotle d'accès aux annuaires X500 (RFC 3377)`
			`* Active Directory : annuaire des ressources partagées (Win2K Server), inclus un annuaire de type LDAP.`
			`* Kerberos : protocole d'authentification à base de tickets`
			`* SSO : Signle Sign On, mécanismes permettant de ne s'authentifier qu'une seule fois`

			`===== Inscription d'un étudiant =====`

			`Cf. Diapositive`