cours0809/cours/S5B/20081218-Seance5~

135 lines
3.7 KiB
Plaintext

Jeudi 18 décembre 2008
S5B
M.Grad
Sécurisation des communications
===== Couches OSI =====
On a sécurisé pas mal de choses.
==== Brique physique ====
L2TP et PPTP permettent de sécuriser la liaison physique.
Si on sait chiffrer une liaison donnée, tout est protégé et donc pas besoin de s'occuper du reste.
==== Brique IP ====
IPSEC et GRE sur la couche IP.
On fait du *tunneling*.
Tout le trafic local d'un réseau à un autre est sécurisé.
==== Brique Réseau ====
SSL / TLS et Socks V5 est appliqué à l'UDP et TCP
Apporte les 'S' aux services FTP, HTTP, etc.
==== Brique Transport ====
S/MIME pour le courriel
===== Services et ports =====
On a du réecrire les services pour ajouter des modules de sécurité. Et donc on a du ouvrir de nouveaux ports.
===== SSL Historique =====
TLS = Transport Layer Security
TLS = copie de SSL (IETF pas arrangé avec Netscape, d'où des incompatibilités notoires.
Cependant tout ce qui fait foi, c'est TLS grâce à l'IETF qui est encore active.
===== Sécurité SSL =====
* Ajouter une authentification avec les certificats auf ormat X.509
* Faire un condensé pour obtenir l'intégrité (MAC: Message Authentification Code)
* Apporter la confidentialité en chiffrer toutes les communications à l'aide d'une clé de session
===== SSL : Les protocoles =====
4 briques :
* SSL Handshake (poignée de main)
* Négociation des paramètres et algorithmes
* Authentification du serveur (opt du client)
* Échange des clés
* SSL Record
* SSL Change Cypher Spec
* SSL Alert
Cf. Diapositives.
==== SSL Handshake ====
* Session SSL établie entre client et serveur
* Session peut maintenir les informations d'était de plusieurs connexions SLL??
==== Modèle d'interaction ====
* Services en mode client/serveur peuvent êtres sécurisés par le protocole SSL
* Modèle d'interaction de base permet authentification
* Serveur obtient un certificat et l'installle (clé privée sécurisée sur le serveur)
===== SSL et services =====
* FTPS : 990
* HTTPS : 443
* SSMTP : 465
* SNNTP : 563
* POP3S : 995
* IMAPS : 993
===== SSH =====
==== telnet : shell distant ====
Cf. Schéma diapositives
==== SSH (Secure Shell) ====
* Terminal distant sécurisé, équivalent à rlogin, rsh, telnet sécurisé
* Modèle d'interaction standard ssl
* Inclut le transfert de fichiers
* Effectue une compression des données
* Permet la redirection de ports
* Combinaison de chiffrement symétrique ET asymétrique
* Standardisé à l'IETF
==== SSH et redirection de ports ====
Cf. Diapositives.
On peut rediriger n'importe quel port de notre machine vers un serveur ayant SSH.
Du coup on peut, en 3 sauts, à obtenir un service distant qui était indisponible à la base.
Exemple : accéder à canette via sterne + ssh.
===== Kerberos v5 =====
* Protocole d'authentification réseau destiné aux applications client/serveur (MIT)
* Serveur Kerberos
* Service Réseau en mode connecté (sur TCP)
* Client du service Réseau
* 3 niveaux d'authentification
* À l'établissement de la connexion
* À chaque ...compléter !!!!
Tickets Kerberos actifs sous notre pc : taper la commande **klist**.
krbtray => sous windows (à vérifier)
===== Authentification des utilisateurs du département =====
* LDAP : Lightweight Directory Access,
* Protocol : procotle d'accès aux annuaires X500 (RFC 3377)
* Active Directory : annuaire des ressources partagées (Win2K Server), inclus un annuaire de type LDAP.
* Kerberos : protocole d'authentification à base de tickets
* SSO : Signle Sign On, mécanismes permettant de ne s'authentifier qu'une seule fois
===== Inscription d'un étudiant =====
Cf. Diapositive