Jeudi 18 décembre 2008 S5B M.Grad Sécurisation des communications ===== Couches OSI ===== On a sécurisé pas mal de choses. ==== Brique physique ==== L2TP et PPTP permettent de sécuriser la liaison physique. Si on sait chiffrer une liaison donnée, tout est protégé et donc pas besoin de s'occuper du reste. ==== Brique IP ==== IPSEC et GRE sur la couche IP. On fait du *tunneling*. Tout le trafic local d'un réseau à un autre est sécurisé. ==== Brique Réseau ==== SSL / TLS et Socks V5 est appliqué à l'UDP et TCP Apporte les 'S' aux services FTP, HTTP, etc. ==== Brique Transport ==== S/MIME pour le courriel ===== Services et ports ===== On a du réecrire les services pour ajouter des modules de sécurité. Et donc on a du ouvrir de nouveaux ports. ===== SSL Historique ===== TLS = Transport Layer Security TLS = copie de SSL (IETF pas arrangé avec Netscape, d'où des incompatibilités notoires. Cependant tout ce qui fait foi, c'est TLS grâce à l'IETF qui est encore active. ===== Sécurité SSL ===== * Ajouter une authentification avec les certificats auf ormat X.509 * Faire un condensé pour obtenir l'intégrité (MAC: Message Authentification Code) * Apporter la confidentialité en chiffrer toutes les communications à l'aide d'une clé de session ===== SSL : Les protocoles ===== 4 briques : * SSL Handshake (poignée de main) * Négociation des paramètres et algorithmes * Authentification du serveur (opt du client) * Échange des clés * SSL Record * SSL Change Cypher Spec * SSL Alert Cf. Diapositives. ==== SSL Handshake ==== * Session SSL établie entre client et serveur * Session peut maintenir les informations d'était de plusieurs connexions SLL?? ==== Modèle d'interaction ==== * Services en mode client/serveur peuvent êtres sécurisés par le protocole SSL * Modèle d'interaction de base permet authentification * Serveur obtient un certificat et l'installle (clé privée sécurisée sur le serveur) ===== SSL et services ===== * FTPS : 990 * HTTPS : 443 * SSMTP : 465 * SNNTP : 563 * POP3S : 995 * IMAPS : 993 ===== SSH ===== ==== telnet : shell distant ==== Cf. Schéma diapositives ==== SSH (Secure Shell) ==== * Terminal distant sécurisé, équivalent à rlogin, rsh, telnet sécurisé * Modèle d'interaction standard ssl * Inclut le transfert de fichiers * Effectue une compression des données * Permet la redirection de ports * Combinaison de chiffrement symétrique ET asymétrique * Standardisé à l'IETF ==== SSH et redirection de ports ==== Cf. Diapositives. On peut rediriger n'importe quel port de notre machine vers un serveur ayant SSH. Du coup on peut, en 3 sauts, à obtenir un service distant qui était indisponible à la base. Exemple : accéder à canette via sterne + ssh. ===== Kerberos v5 ===== * Protocole d'authentification réseau destiné aux applications client/serveur (MIT) * Serveur Kerberos * Service Réseau en mode connecté (sur TCP) * Client du service Réseau * 3 niveaux d'authentification * À l'établissement de la connexion * À chaque ...compléter !!!! Tickets Kerberos actifs sous notre pc : taper la commande **klist**. krbtray => sous windows (à vérifier) ===== Authentification des utilisateurs du département ===== * LDAP : Lightweight Directory Access, * Protocol : procotle d'accès aux annuaires X500 (RFC 3377) * Active Directory : annuaire des ressources partagées (Win2K Server), inclus un annuaire de type LDAP. * Kerberos : protocole d'authentification à base de tickets * SSO : Signle Sign On, mécanismes permettant de ne s'authentifier qu'une seule fois ===== Inscription d'un étudiant ===== Cf. Diapositive On a actuellement 4 annuaires.