Cours Secu LAN Lohier

Scurit des LAN
1. Architectures
Firewall
DMZ
NAT
Proxy
VPN (PPTP, L2TP, IPSec)
3. Authentification
Locale sous Linux
Locale sous Windows
Kerberos
CHAP et MS-CHAP
802.1x et EAP VPN (PPTP, L2TP, IPSec)
2. Cryptage
Principes
Hash
Signatures
Certificats et PKI
SSL
SSH
HTTPS
802.1x et EAP
RADIUS
4. LANs et WLANs scuriss
Ethernet
WiFi (WEP, WPA)
Bluetooth
ZigBee
WiMax
1 Ingnieur 2000 - IR2 Scurit des LAN S. Lohier
La scurit informatique vise gnralement quatre objectifs principaux :
L'intgrit, consiste garantir que les donnes n'ont pas t altres sur la
machine ou durant la communication ;
La confidentialit, consiste assurer que seules les personnes autorises
aient accs aux ressources ;
La disponibilit, consiste garantir l'accs un service ou des ressources ;
La non rpudiation, permet de garantir qu'aucun des correspondants ne
Objectifs de la scurit 4 objectifs
La non rpudiation, permet de garantir qu'aucun des correspondants ne
pourra nier la transaction ;
L'authentification est un des moyen qui permet de garantir la confidentialit.
Elle consiste sassurer de l'identit d'un utilisateur, un contrle d'accs
(login et mot de passe crypt) permet de limiter l'accs certaines ressources
(lecture seule sur tel rpertoire).
Objectifs de la scurit Moyens pour les atteindre
Confidentialit
Identification
Cryptage
Filtrage
Antivirus
Filtrage
VPN
Authentification
Espions
Hackers
Intgrit
Disponibilit
Backup
Antivirus
Filtrage
Cryptage
Authentification
Redondance
Information
Hackers
Virus
Erreurs
Pannes
Hackers
Le firewall ou pare-feux est charg de filtrer les accs entre lInternet et le rseau local
ou entre deux rseaux locaux.
La localisation du firewall (avant ou aprs le routeur, avant ou aprs le NAT..) est
stratgique.
Suivant la politique de scurit, le filtrage est appliqu diffremment sur les interfaces
dentre et de sortie (blocage des adresses IP prives entrantes).
Serveurs
daccs
1. Architectures Firewall : Principe
Rseau interne
Firewall
Routeur
Internet
Intranet
DMZ
Serveurs
accessibles
depuis Internet
Nomades
Le filtrage de paquets sur Firewall permet de router les paquets entre les htes
internes et externes de manire slective.
Le filtrage intervient diffrents niveaux dans la mesure o chaque paquet possde
un ensemble den-tte spcifiques :
adresse IP source ou destination ;
port TCP ou UDP source ou destination ;
Flags de len-tte TCP (SYN, ACK) ;
type de message ICMP ou HTTP (filtrage applicatif)
Le filtrage peut galement intervenir au niveau des en-ttes de trame (filtrage des
adresses MAC source ou destination ).
1. Architectures Filtrage de paquets
Le firewall peut galement empcher les connexions entrantes en
oprant sur le bit ACK de len-tte TCP :
lors dune demande de connexion, le bit ACK du premier segment TCP est
0, les bits ACK des segments suivants sont gnralement tous 1.
Il suffit donc de bloquer les segments entrants avec le bit ACK 0, les
segments suivants pour cette connexion ne seront pas pris en compte.
SYN=1 ACK=0
Demande douverture de connexion
Phase de connexion TCP
1. Architectures Filtrage sur les entres
SYN=1 ACK=1
SYN=0 ACK=1
ACK=1 Data
ACK=1 Data
Phase de connexion TCP
Phase dchange de donnes
ACK=1 Data
Agresseur
1. Architectures Rgles dun Firewall
Les rgles dcrivent l'ensemble des services qui doivent tre accepts
par le firewall.
La stratgie applique est : tout ce qui n'est pas explicitement autoris
est interdit (et non le contraire).
Elles sont bases sur les informations des segments ou des paquets.
Les caractristiques de chaque paquet sont compars aux rgles, les
unes aprs les autres.
Si la rgle correspond aux caractristiques du paquets, alors celui-ci Si la rgle correspond aux caractristiques du paquets, alors celui-ci
est accept.
Les rgles A et B permettent aux machines locales (192.168.0.0) douvrir une
connexion sur un serveur web (port 80) externe.
mission (rgle C) ou rception (rgle D) de courrier SMTP (port 25) avec un
serveur externe.
Les paquets entrants depuis des supposs serveurs SMTP ne peuvent passer
que si la connexion a t initie de lintrieur (rgle D).
Blocage de toute autre connexion (rgle E).
1. Architectures Exemple de rgles dun firewall
Rgle Direction @ source @ dest. Protocole Src Port Dst Port ACK=1 Action
A Out 192.168.0.0 0.0.0.0 TCP >1023 80 Permit
B In 0.0.0.0 192.168.0.0 TCP 80 >1023 Permit
C Out 192.168.0.0 0.0.0.0 TCP >1023 25 Permit
D In 0.0.0.0 192.168.0.0 TCP 25 >1023 Yes Permit
E All All All All All All Deny
1. Architectures Firewall : Stateless ou statefull
Le Firewall statefull :
Ralise un suivi de connexion ;
Diffrents tats pour une connexion :
NEW. La connexion est cre (par ex., un client envoie sa premire requte vers un
serveur web.
Le Firewall stateless
Filtrage simple de paquets ;
Bas sur les adresses, les ports, les entres ou
des informations de la couche application.
Ingnieur 2000 - IR2 Scurit des LAN S. Lohier 9
serveur web.
ESTABLISHED. Connexion dj initie, suit une connexion NEW dj passe.
RELATED. Peut tre une nouvelle connexion, mais prsente un rapport direct avec une
connexion dj connue.
INVALID. Pour tous les paquets suspects suivant des rgles pr-tablies.
Exemple de stratgie :
Toutes les connexions NEW qui viennent du LAN et qui vont sur le NET port 80 sont
acceptes. Tous les clients du LAN peuvent interroger tous les serveurs web du NET ;
Toutes les connexions RELATED et ESTABLISHED qui viennent du NET port 80 sont
autorises rentrer. Les serveurs peuvent rpondre ;
Toutes les connexions RELATED et ESTABLISHED qui sortent du LAN sont autorises.
Les connexions peuvent se poursuivre, mme si elles ouvrent de nouvelles connexions.
Toutes les connexions INVALID, d'o qu'elles viennent sont rejetes.
Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les
paquets entrants ou sortant en fonction des adresses IP source et destination.
Il existe 2 types d'ACL
Standard : uniquement sur les IP sources ;
Etendue : sur quasiment tous les champs des en-ttes IP, TCP et UDP.
Le filtrage sur les paquets peut intervenir :
sur linterface dentre, avant le processus de routage ;
sur linterface de sortie, aprs le processus de routage.
1. Architectures Firewall : les ACL Cisco
Le paquet est vrifi par rapport au 1er critre dfini sur les informations contenues
dans les en-ttes IP, TCP ou UDP :
S'il vrifie le critre, l'action dfinie est applique ;
Sinon le paquet est compar successivement aux ACL suivants ;
S'il ne satisfait aucun critre, l'action deny est applique.
Des masques sont utiliss pour pouvoir identifier une ou plusieurs adresses IP en une
seule dfinition.
Le masque dfini la portion de l'adresse IP qui doit tre examine :
0.0.255.255 signifie que seuls les 2 premiers octets doivent tre examins ;
1. Architectures Firewall : logique des ACL Cisco
0.0.255.255 signifie que seuls les 2 premiers octets doivent tre examins ;
deny 10.1.3.0 avec 0.0.0.255 : refus de toutes les IP commenant par 10.1.3.
Syntaxe d'une rgle standard :
access-list number [deny|permit] source [source-wildcard]
number compris entre 1 et 99 ou entre 1300 et 1999
Source-wildcard : masque pour la source
Syntaxe d'une rgle tendue :
access-list number [deny|permit] protocol source source-wildcard destination dest.-
wildcard
number : compris entre 100 et 199 ou 2000 et 2699
1. Architectures Firewall : exemples dACL Cisco
access-list 1 deny 172.16.3.10 0.0.0.0 (ou deny host 172.16.3.10)
access-list 1 permit 0.0.0.0 255.255.255.255 (ou permit any)
Refuse les paquets d'IP source 172.16.3.10. Le masque (galement appel
wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs.
La dernire rgle autorise toutes les autres adresses (le masque signifie
quaucun nest significatif)
access-list 2 permit 172.16.3.0 0.0.0.255
Autorise tous les paquets d'IP source 172.16.3.0/24.
Diffrence avec access-list 2 permit 172.16.3.0 0.0.0.0 ?
Diffrence avec access-list 2 permit 172.16.3.0 0.0.0.0 ?
access-list 101 deny ip any host 10.1.1.1
Refus des paquets IP destination de la machine 10.1.1.1 et provenant de
n'importe quelle source
access-list 102 deny tcp any gt 1023 host 10.1.1.1 eq 23
Refus de paquet TCP provenant d'un port > 1023 et destination du port 23 de
la machine d'IP 10.1.1.1
access-list 103 deny tcp any host 10.1.1.1 eq http
Refus des paquets TCP destination du port 80 de la machine d'IP 10.1.1.1
1. Architectures Firewall : quizz ACL Cisco
1. Architectures Firewall sous Linux
Netfilter est le module qui fournit Linux les fonctions de pare-feu, de translation
dadresse (NAT) et d'historisation du trafic rseau.
Netfilter fonctionne en mode noyau.
Il intercepte et manipule les paquets IP entrant et sortant de votre machine.
iptables est le programme qui permet un administrateur de configurer Netfilter.
iptables est install par dfaut dans toutes les distributions Linux et est utilisable en
mode commande.
Des interfaces graphiques sont disponibles pour modifier plus aisment les rgles de
filtrage ou de translation.
filtrage ou de translation.
1. Architectures Firewall sous Linux : chanes
Par dfaut, le programme iptables utilise la table filter qui contient trois listes de
rgles ;
Ces listes sont appeles chanes de firewall ou juste chanes.
Les trois chanes sont nommes INPUT, OUTPUT et FORWARD :
La chane INPUT permet de dcider ce que lon fait dun paquet entrant. Il peut tre accept
(ACCEPT) ou rejet (DROP) ;
La chane OUTPUT permet de la mme faon de fixer le sort des paquets sortants (ceux qui
sont gnrs localement) ;
La chane FORWARD permet de traiter un paquet entr aprs lavoir rout vers une autre
interface rseau.
Dcision de
routage
Processus
local
OUTPUT
ACCEPT
DROP
FORWARD
ACCEPT
DROP
INPUT
ACCEPT
DROP
Entre
Sortie
1. Architectures Firewall sous Linux : chanes (2)
Une autre table est utilise pour les translations dadresses : la table nat . Elle
utilise 3 chanes :
PREROUTING, c'est la chane qui va tre utilise pour faire du DNAT (Destination NAT) :
translation sur adresse destination avant le processus de routage.
Ex : pour un paquet entrant vers un serveur web interne et masqu, le routeur va remplacer
sa propre IP par lIP du serveur web.
POSTROUTING, la sortie du routeur et utilise pour faire du SNAT (Source NAT) :
masquage d'adresse source aprs le processus de routage.
Ex : un ordinateur local veut sortir sur le WAN, le routeur va remplacer l'IP du paquet mis en
local par sa propre IP.
OUTPUT, cette chane va traiter les rponses mises en local si le paquet avait pour
destination le routeur, comme dans le cas de la table filter.
destination le routeur, comme dans le cas de la table filter.
Dcision de
routage
Processus
local
OUTPUT
ACCEPT
DROP
POSTROUTING
ACCEPT
DROP
PREROUTING
ACCEPT
DROP Sortie
Entre
1. Architectures Firewall sous Linux : rgles
Chaque chane est compose d'un ensemble de rgles.
Quand un paquet atteint une chane celle ci va examiner cet ensemble rgle par rgle
pour trouver celle qui lui correspond.
Si c'est le cas alors cette rgle lui sera applique.
Finalement s'il n'y a pas de rgle qui corresponde ce paquet, une politique par dfaut
sera applique.
La commande iptables permet de spcifier des rgles de slection des paquets IP dans
les trois chanes (INPUT, OUTPUT et FORWARD).
les trois chanes (INPUT, OUTPUT et FORWARD).
Les paquets sont slectionnes suivant la combinaison :
adresse source, adresse destination ;
protocole (tcp, udp, icmp, all) ;
numro de port.
Pour chaque rgle de slection, on dfinit une politique : accepter (ACCEPT) ou rejeter
(DROP) le paquet.
Exemple : on rejette les pings entrants :
# iptables -A INPUT -i eth0 -p icmp -j DROP
1. Architectures DMZ : principe
Une zone dmilitarise (DMZ DeMilitarised Zone) est une zone de rseau
prive ne faisant partie ni du rseau interne ni de lInternet.
la manire d'une zone franche au del de la frontire, la DMZ permet de
regrouper des ressources ncessitant un niveau de protection
intermdiaire.
Serveurs
d accs
Rseau interne
Firewall
Routeur
Internet
Intranet
DMZ
Serveurs
accessibles
depuis Internet
Nomades
Un niveau supplmentaire de scurit peut tre introduit avec un 2
me
firewall.
Les rgles daccs sur le firewall du rseau Interne sont plus restrictives.
La DMZ est situe entre les deux firewalls (DMZ en sandwich ) avec des
rgles moins restrictives introduites par le premier firewall.
Serveurs
1. Architectures DMZ : 2 niveaux de Firewall
Rseau interne
Firewall
Internet
Intranet
DMZ
d accs
Nomades
Firewall
1. Architectures Proxy
Un systme mandataire (proxy) repose sur un accs lInternet par une (ou plusieurs)
machine ddi (le serveur mandataire ou Proxy server) qui joue le rle de mandataire
pour les autres machines locales et excutent les requtes de ces dernires.
Un serveur mandataire est configur pour un ou plusieurs protocoles de niveau
applicatif (HTTP, FTP, SMTP) et permet de centraliser , donc de scuriser, les
accs extrieurs (filtrage applicatif et masquage des adresses des clients).
Les serveurs mandataires configurs pour HTTP permettent galement le stockage de
pages Web dans un cache pour acclrer le transfert des informations frquemment
consultes vers les clients connects (Proxy cache).
1. Architectures NAT : principe
La translation dadresses est base sur lutilisation des adresses prives, non
routables sur Internet :
Elle permet disoler le trafic local du trafic public de linternet et ncessite
lutilisation dun translateur dadresse (NAT - Network Adress Translator).
Le NAT qui peut tre localis sur le routeur/firewall ou le proxy peut travailler
suivant 3 types de translation :
n @prives vers 1 @publique ;
n @prives vers m @publiques ;
Classe A
10.0.0.0
Classe B
172.16. 0.0 172.31.0.0
Classe C
192.168.0.0 192.168.255.0
n @prives vers m @publiques ;
1 @prive vers 1 @publique.
1. Architectures NAT : translation dynamique
Initialement la table de translation est vide.
Quand un paquet sort, l'adresse source est remplace par une adresse publique.
Les adresses et ports source et destination internes et externes sont inscrits.
Quand une rponse un paquet arrive depuis Internet, la source interne qui correspond la
destination du paquet est cherche dans la table.
La destination est remplace par la source interne.
1. Architectures Exemple : NAT vu par Cisco
1. Le PC 10.1.1.1 envoie son premier paquet vers le serveur 170.1.1.1.
2. Le routeur NAT configur pour translater les adresses 10.1.1 ajoute une entre dans sa table
pour 10.1.1.1 en tant quadresse locale.
3. Le NAT alloue une adresse disponible prise dans sa liste dadresses globales (200.1.1.1) et
lajoute dans sa table de translation.
4. Le routeur/NAT translate ladresse IP source et relait le paquet.
Quand deux connexions ne sont diffrentes que par l'adresse interne : collision
On peut utiliser un pool d'adresses publiques et utiliser des adresses sources externes
diffrentes.
On peut changer le port source externe (Port and Adress Translation : PAT).
Le NAT dynamique ne permet pas l'tablissement de connexions entrantes (bonne
protection par dfaut).
1. Architectures NAT et PAT
1. Architectures VPN
La scurit passe galement par lutilisation de rseaux privs virtuels (VPN : Virtual
Private Networks).
Un VPN est constitu dun ensemble de LAN privs relis travers Internet par un
tunnel scuris dans lequel les donnes sont cryptes.
Les postes distants faisant partie du mme VPN communiquent de manire scurise
comme si ils taient dans le mme espace priv.
La technique de tunneling utilise permet :
didentifier chaque extrmit ;
de transfrer les donnes aprs cryptage.
1. Architectures Vue physique et vue virtuelle dun VPN
1. Architectures Exemple de VPN vu par Cisco
1. PC1 (10.2.2.2) envoie un paquet vers le serveur web S1 (10.1.1.1) comme il le ferait
si ce dernier tait sur le mme LAN.
2. Le routeur qui joue le rle de passerelle VPN encrypte le paquet, ajoute les en-ttes
VPN et un nouvel en-tte IP (avec les @ publiques) et relaie le paquet.
3. Le man in the middle peut intercepter le paquet mais ne peut lire ni son contenu
ni les adresses prives.
4. Le routeur/firewall ASA-1 reoit le paquet, confirme lidentit de lmetteur, confirme
que le paquet na pas t modifi, et dcrypte le paquet original.
5. Le serveur S1 reoit le paquet dcrypt.
1. Architectures Protocoles VPN
Elments de base :
Protocole de VPN sur les routeurs ou les PCs (portables) ;
Encapsulation des paquets pour leur voyage travers Internet ;
Chiffrement des donnes pour garantir la confidentialit.
Diffrents niveaux de protocoles
Protocole de niveau 2
Microsoft : PPTP - Point to Point Tunneling Protocol
IETF : L2TP - Layer 2 Tunneling Protocol
Rsultat de la fusion du protocole L2F - Layer 2 forwarding de Cisco et de
PPTP de Microsoft
Protocole de niveau 3 (GRE, IPSEC, MPLS)
Protocole de niveau 4 (SSL, TLS)
1. Architectures VPN : protocole PPTP
Pour accder distance un rseau non scuris, on se connecte un serveur
daccs distant ou Remote Access Server (RAS).
La mthode classique consiste se connecter au RAS directement par modem
(protocole PPP).
Dans le cas dun VPN, le serveur RAS devient une passerelle VPN laquelle on
accde par le protocole PPTP.
La passerelle VPN doit galement tre connect Internet, par exemple par une
connexion PPP modem vers un ISP.
Passerelle VPN
Rseau non scuris
Rseau type VPN
Passerelle VPN
logicielle
1. Architectures VPN : encapsulation PPTP
Le protocole PPTP chiffre et encapsule (fait passer par un tunnel crypt) le
datagramme IP dans le cadre dune connexion point point.
Le serveur VPN lentre du tunnel excute l'ensemble des contrles de la scurit et
des validations, et active le cryptage des donnes.
Une trame PPTP est donc constitue :
Du datagramme IP contenant les donnes utiles et les adresses IP de bout en bout ;
De len-tte PPP ncessaire pour toute connexion point point ;
Dun en-tte GRE (Generic Routing Encapsulation) qui gre lencapsulation et permet disoler les
flux IP priv et public ;
Dun nouvel en-tte IP contenant les adresses IP source et destination des passerelles VPN
(client et serveur VPN).
Avant d'tablir le tunnel GRE, une connexion TCP (port 1723) est utilise :
ngociation des paramtres ;
authentification de l'utilisateur ;
La ngociation se fait en clair.
La version courante utilise des cls de 128 bits alatoires.
1. Architectures VPN : protocole L2TP
L2TP (Layer 2 Tunneling Protocol)
Protocole standardis par l'IETF (Internet Ingineering Task Force).
Extension de PPP qui permet de terminer une connexion non pas l'autre
modem mais une adresse IP quelconque.
Les paquets PPP sont encapsuls dans des paquets UDP pour le transport
par Internet.
Remplace la solution propritaire PPTP.
N'a pas de chiffrement (ncessite IPSec).
PPP
1. Architectures VPN : encapsulation L2TP
L2TP offert par lISP :
Le tunnel L2TP rallonge la connexion PPP du client jusqu'au serveur d'accs distance.
PPP
L2TP ralis par le client :
Le client doit grer 2 connexions PPP : une vers l'ISP et une vers le serveur d'accs.
1. Architectures VPN : protocole IPSEC
Protocole li IPV4 et IPV6 et assurant l'authentification et l'encryptage des
donnes au travers de l'internet.
Essentiellement employ dans les VPN.
Deux protocoles pour le chiffrement et l'authentification : ESP, AH.
Un protocole d'change de cl : IKE (Internet Key Exchange).
Deux modes d'opration :
transport : ne protge que les donnes des paquets transmis ;
tunnel : le paquet entier est encapsul dans un nouveau paquet.
Pour chaque connexion TCP protge, la Security Association (SA) mmorise :
les algorithmes ;
les cls ;
la dure de validit des cls ;
les nde squence et l'identit des partenaires.
1. Architectures VPN : paquet IPSEC
IPSEC : Authentication Header (AH)
L'ajout d'un en-tte d'authentification permet de vrifier
l'authenticit et l'intgrit des paquets.
Il ny a pas de chiffrement des donnes.
L'authentification est faite sur :
les donnes qui suivent l'en-tte AH ;
sur l'en-tte AH ;
sur les champs importants de l'en-tte IP (source, destination,
protocole, longueur, version).
1. Architectures VPN : paquet IPSEC
IPSEC : Encapsulated security payload (ESP)
L'enveloppe ESP permet de chiffrer et d'authentifier les paquets ;
Lenveloppe ESP contient :
Len-tte (header) ;
Les donnes chiffres ;
Une queue (trailer) ;
Des donnes supplmentaires d'authentification (optionnel). Des donnes supplmentaires d'authentification (optionnel).
Le chiffrement ne porte que sur les donnes encapsules et le trailer.
Il ne porte pas sur les champs de l'en-tte et les donnes
d'authentification.
L'authentification optionnelle porte sur l'en-tte ESP et tout ce qui suit,
mais pas sur l'en-tte IP.
1. Architectures VPN : modes IPSEC
IPSEC : Modes transport et tunnel
En mode transport, on chiffre ou on authentifie la partie data d'un paquet IP.
En mode tunnel on protge le paquet complet et on l'encapsule dans un nouveau paquet.
En mode transport la scurit est faite de bout en bout.
En mode tunnel elle peut tre faite par des routeurs intermdiaires.
1. Architectures VPN : modes IPSEC
2 types de VPN avec IPSec :
L2TP sur IPSec en mode transport (mode Microsoft) :
transporte n'importe quel protocole (IP, IPX, NetBeui) ;
Beaucoup d'en-ttes et d'encapsulations.
IPSec en mode tunnel.
ne peut transporter que IP ;
plus efficace.
IPSEC : Internet Key Exchange (IKE)
Sert ngocier les paramtres pour les protocoles AH et ESP (algos, cls,
dure de validit,)
Authentifie les partenaires par secrets partags, cl publiques ou
certificats.
Deux phases :
Phase1 : ngocie une SA (Security Association : enregistrement contenant les
paramtres pour AH et ESP) pour protger les ngociations.
phase 2 : dfinit les SA ncessaires pour des flux ESP ou AH.
Le but de la cryptographie est de garantir la confidentialit, l'authenticit et
l'intgrit des donnes changes.
Il existe lheure actuelle deux grands principes de chiffrement ou cryptage :
le cryptage symtrique bas sur lutilisation dune cl prive (ou algorithme)
partage entre les deux parties communicantes.
La mme cl sert crypter et dcrypter les messages.
Il faut trouver un moyen scuris de communiquer la cl aux deux entits.
2. Cryptage Principes
Cryptage Dcryptage Donnes
cryptes
Cl prive Cl prive
Bonjour Bonjour Ga&buz
2. Cryptage Cryptage symtrique/asymtrique
Le cryptage asymtrique utilise deux cls diffrentes pour chaque utilisateur :
une est prive et nest connue que de lutilisateur ;
lautre est publique et peut tre transmise sur Internet.
Les cls publique et prive sont mathmatiquement lies par lalgorithme de
cryptage (la cl publique est fabrique laide de la cl prive) de telle
manire quun message crypt avec une cl publique ne puisse tre
dcrypt quavec la cl prive correspondante.
Une cl est donc utilise pour le cryptage et lautre pour le dcryptage.
Cryptage Dcryptage Donnes
cryptes
Cl publique Cl prive
Bonjour Bonjour Ye&zic
Principe de lalgorithme de chiffrement RSA (Rivest, Shamir et Adelman MIT) :
M : message,
C : message chiffr.
Pour chiffrer on calcule :
C = M
e
mod n
(Rappel : x modulo n = y si x - y est un multiple de n. Ex : 3
3
mod 7 = 6)
2. Cryptage Exemple de chiffrement : RSA
Pour dchiffrer :
M = C
d
mod n
La cl publique est le couple (e,n).
La cl prive est le couple (d,n).
n est le produit de deux nombres premiers p,q (environ 100 chiffres).
e et d sont drivs de p et q.
Il "suffit" de factoriser n pour cracker RSA.
Pour les algorithmes symtriques :
40 bits (2
40
possibilits)
56 bits
64 bits (algorithme DES: Data Encryption Standard)
128 bits (algorithme AES: Advanced Encryption Standard)
2. Cryptage Longueur des cls
Pour RSA:
il n'y a que les nombres premiers qui peuvent tre des candidats.
512 bits quivaut 56 bits (minimum en asymtrique).
1024 bits (taille courante).
2048 bits quivaut 128 bits.
Un algorithme de hachage est une fonction mathmatique qui convertit une
chane de caractres d'une longueur quelconque en une chane de caractres de
taille fixe appele empreinte ou hash ou encore digest .
Cette fonction est dite irrversible et rsistante aux collisions :
Il est impossible de trouver le message lorsqu'on connat le hash ;
2 messages diffrents ne produiront "jamais" le mme hash.
Ce type de fonction cryptographique est donc conu de faon qu'une modification
mme infime du message initial entrane une modification du hash.
Si un message est transmis avec son hash, le destinataire peut vrifier son
intgrit en recalculant son hash et en le comparant avec le hash reu.
2. Cryptage Hacher pour mieux chiffrer
intgrit en recalculant son hash et en le comparant avec le hash reu.
Exemples dalgorithme de hachage : SHA-1 (160 bits), MD5 (128 bits) Message
Digest
Pour signer un message, on peut le chiffrer avec la cl prive.
Le dchiffrement avec la cl publique prouve que seul le dtenteur de la cl prive pu crer la
signature.
Il n'est pas ncessaire de chiffrer tout un document pour le signer, il suffit de chiffrer son hash.
La rsistance aux collisions de la fonction de hachage garantit que c'est bien ce document qui a t
2. Cryptage La signature
La rsistance aux collisions de la fonction de hachage garantit que c'est bien ce document qui a t
sign.
Si on utilise un chiffrement symtrique pour chiffrer le hash on obtient une authentification, pas
une signature.
Lobjectif final est le mme : sassurer de lidentit de lexpditeur.
La cl ncessaire pour vrifier le hash permet aussi de le crer.
Si la cl n'est connue que par les deux partenaires, alors elle permet d'authentifier l'expditeur
du message.
Exemples : HMAC-SHA, HMAC-MD5
Plutt que de chiffrer le hash, on fait intervenir la cl lors du calcul du hash.
Un hash ainsi gnr est appel un MAC (Message Authentication Code).
2. Cryptage Signature et authentification
Pour pouvoir utiliser des algorithmes symtriques (chiffrement, MAC) il faut
d'abord changer une cl prive avec son partenaire.
Echange de cl RSA :
Alice choisit une cl symtrique.
Alice chiffre la cl symtrique avec la cl publique (RSA) de Bob. Elle sera sre que
seul Bob pourra dchiffrer cette cl symtrique.
Alice transmet Bob cette cl symtrique crypte.
Une fois que Bob reoit le message, il le dchiffre et peut alors utiliser la cl
2. Cryptage Problme pour changer les cls
Une fois que Bob reoit le message, il le dchiffre et peut alors utiliser la cl
symtrique dfinie par Alice pour lui envoyer des messages chiffrs que seuls lui et
Alice pourront alors dchiffrer.
Echange Diffie-Hellman (utilis dans SSH)
Permet de gnrer une cl symtrique sans avoir la transmettre.
Seules deux valeurs calcules partir dun nombre alatoire sont changes :
Alice et Bob ont choisi un groupe et une gnratrice g de ce groupe.
Alice choisit un nombre au hasard a, lve g la puissance a, et transmet g
a
. Bob ;
Bob fait de mme avec le nombre b.
Alice, en levant le nombre reu de Bob la puissance a, obtient g
ba
et la cl K.
Bob fait le calcul analogue et obtient g
ab
, qui est le mme.
Il est difficile d'inverser l'exponentiation dans un corps fini, cest--dire de calculer le
logarithme discret. Man in the Middle ne peut pas dcouvrir a et b, donc ne peut pas
2. Cryptage Problme pour changer les cls
logarithme discret. Man in the Middle ne peut pas dcouvrir a et b, donc ne peut pas
calculer g
ab
.
Le chiffrement asymtrique est plus utile.
Elimine le problme du transfert de la cl.
Permet de signer des messages.
Le chiffrement symtrique est beaucoup plus performant.
Pour profiter de l'efficacit du chiffrement symtrique et des avantages de l'asymtrique :
On chiffre le message avec une cl symtrique.
On chiffre la cl symtrique avec la cl publique du destinataire.
On joint la cl chiffre au message.
2. Cryptage Asymtrique ou symtrique ?
Intrt des certificats
La distribution de cls publiques est sujette l'attaque d'un intermdiaire
(Man in the Middle).
2. Cryptage Les certificats
Ce qui devrait se passer
lorsquAlice veut envoyer
un message Bob :
Ce qui pourrait se
passer
Un certificat est un document qui sert prouver qu'une cl appartient bien
qui de droit.
Le certificat est sign par un tiers dont on connat la cl publique (notez la
rcursion).
Un certificat contient au moins les informations suivantes :
2. Cryptage Intrt des certificats
Un certificat contient au moins les informations suivantes :
Identit (Nom et adresse e-mail de la personne).
Cl publique.
Date d'expiration.
Signature du certificat.
Il existe deux types de certificats prvalents :
PGP - Pretty Good Privacy (Open).
X.509.
Bob gnr par lintermdiaire dun tier (Trent) son couple de cls publique/prive.
Trent sign avec sa propre cl prive un certificat liant la cl publique de Bob son
nom.
Bob transmet non pas directement sa cl publique mais le certificat qui contient sa cl
publique et la signature de Trent.
Si Alice est en possession de la cl publique de Trent, elle peut vrifier le certificat.
2. Cryptage Exemple de certificat
Alice
Trent
Bob
Les PKIs
Une PKI est un Infrastructure Cl Publique (Public Key Infrastructure).
C'est le dispositif ncessaire pour grer la gnration et la distribution contrle de certificats.
Une PKI est faite des lments suivants :
Des autorits de certification (CA) ;
Des autorits d'enregistrement (RA) ;
Des annuaires de certificats.
La RA (Register Authority)
Chaque nouveau participant doit se prsenter.
2. Cryptage Certificats : PKI et CA
Chaque nouveau participant doit se prsenter.
La RA authentifie physiquement le participant .
Le participant peut alors gnrer par son intermdiaire une paire de cls publique/prive.
La RA peut tre intgre la CA.
La CA (Certification Authority)
La CA cre et signe les certificats.
Elle cre un certificat avec l'identit du participant, sa cl publique, une date d'expiration et sa
signature.
Elle fournit une copie de sa propre cl publique au participant.
Muni de son certificat et de la cl publique de la CA, le nouveau participant peut communiquer avec
tous les autres participants certifis par la mme CA.
2. Cryptage Architecture dune PKI
CA
Autorit de
certification
Annuaire LDAP
(Lightweight
Directory Access
Protocol)
(3) Demande de
certificat
(envoi la cl publique
pour la certification)
Gnre et signe les
certificats et les listes
de rvocation
Remarque : l'utilisateur peut gnrer lui-
mme sa paire de cls et joindre sa cl
publique sa demande de certificat au CA.
RA
Autorit
denregistrement
Internet
(2) Envoi de la
cl priv
(1) Identit du
client
Envoi du
certificat sign
(4)
(5)
Publication de
certificat et de
listes de
rvocations (CRL)
(6)
Collecte les demandes,
vrifie les identits,
gnre les couples de
cls.
2. Cryptage Format dun certificat X509
2. Cryptage Exemple de certificat X509
Data:
Version: 3 (0x2)
Serial Number: 2 (0x2)
Signature Algorithm: md5WithRSAEncryption
Issuer: OU=Certificate Authority /Email=
Validity
Not Before: Mar 26 13:53:26 2006 GMT
Not After : Mar 26 13:53:26 2007 GMT
Subject: C=FR, ST=Paris, L=Paris, O=IUT, OU=serveur,
CN=www.serveur.iut.fr/Email=webmaistre@iut.fr
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:ac:45:e8:2a:6d:23:bc:2e:86:ee:d5:a0:e3:3b:
55:c0:b2:96:41:8e:d1:c2:17:c3:2c:8b:be:c0:a5:
identit de lautorit
de certification
date de dbut
de validit
date de fin de
validit
identit du
demandeur
Algo de cryptage
de la signature
55:c0:b2:96:41:8e:d1:c2:17:c3:2c:8b:be:c0:a5:
d5:a2:ed:11:d9:e1:8c:8e:99:9c:05:59:28:23:8d:
8a:aa:a8:0d:de:47:ee:ac:b5:7f:73:4b:e0:15:c2:
ed:40:d0:0f:d4:c2:0a:b6:7e:80:a5:4c:a6:a5:15:
c5:b4:82:fc:53:18:c7:7c:3a:bd:48:ba:37:f6:99:
7c:57:fe:77:92:cf:ef:93:97:5e:2b:34:b1:aa:c3:
af:fd:ed:ef:df:e5:fc:c5:1b:b5:64:15:13:2d:42:
31:6c:0e:b0:e6:96:81:9c:83
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
email:tron_yoyo2000@yahoo.fr
Netscape Comment:
mod_ssl generated test server certificate
Netscape Cert Type:
SSL Server
Signature Algorithm: md5WithRSAEncryption
86:c3:0c:0b:49:d1:29:93:03:de:51:f8:99:64:a7:25:3d:78:
a8:20:41:a7:32:8a:c3:02:6a:6b:66:c8:00:9d:49:18:54:11:
6d:5c:c1:c9:69:d8:42:e5:b7:2a:95:f3:ad:11:97:29:65:bc:
a2:83:e9:ff:5f:eb:9e:2d:28:82:69:13:67:0d:1d:20:80:82:
68:a6:f8:a7:8b:ec:02:0c:8c:a2:c9:56:13:87:ce:fb:58:3c:
e2:b6:44:35:37:55:0b:4b:e7:7a:13:cc:d6:f4:59:b5:ab:15:
05:a0:e4:2f:41:cd:53:db:85:5f:90:a3:2d:83:d7:1e:b4:1c:
35:17
Cl publique
Algo. de cryptage
de la cl
Signature du certificat
Algo de cryptage
de la signature
2. Cryptage Protocole SSL
Le protocole SSL (Secure Socket Layer) a t propos au dpart par
Netscape et permet des connexions scurises sur des serveurs Web.
Il intervient au dessus de la couche transport.
FTPS HTTPS IMAP HTTP FTP
niveau
application
niveau
transport
niveau
rseau
Secure Socket Layer
TCP
IP
Il permet :
une authentification rciproque entre client et serveur laide de cls symtriques ;
des transaction encryptes entre client et serveur
SSL intgre deux sous-couches :
SSL record protocol qui dfinit le format utilis pour transmettre les donnes ;
SSL handshake protocol qui dfinit une srie de message pour tablir la connexion
entre le client et le serveur.
rseau
IP
2. Cryptage Protocole SSL
Le protocole SSL utilise un cryptage asymtrique par cl publique/cl prive
pour changer la cl matresse.
La cl matresse connue des deux extrmits permet un cryptage symtrique
efficace des donnes pendant toute la dure de la session.
Au moment de la connexion, le serveur envoie au client sa cl publique (PK)
lintrieur dun certificat X509.
Le certificat contient donc la cl publique du serveur PK, valide ("signe") Le certificat contient donc la cl publique du serveur PK, valide ("signe")
par une autorit de certification (CA).
Le client vrifie le certificat, gnr une cl matresse MK et se sert de PK
pour crypter MK.
Le serveur reoit la cl MK crypte (PMK) et la dcrypte avec sa cl prive.
Pour scuriser davantage, un certificat peut aussi tre install sur le client.
2. Cryptage change SSL avec certificat
2. Cryptage Capture SSL
Les 4 premires trames correspondent au dialogue (handshake protocol) pour la
mise en place du tunnel SSL.
La connexion TCP est ouverte sur le port 443 pour un serveur HTTPS.
2. Cryptage Applications utilisant SSL
SSL peut tre utilis pour scuriser pratiquement n'importe quel protocole utilisant
TCP/IP.
Certains protocoles ont t spcialement modifis pour supporter SSL:
HTTPS: c'est HTTP+SSL. Ce protocole est inclus dans tous les navigateurs et permet par
exemple de consulter vos comptes bancaires par le web de faon scurise.
FTPS est une extension de FTP utilisant SSL.
Il est possible de scuriser des protocoles en crant des tunnels SSL.
Une fois le tunnel SSL cr, Il est donc possible de faire passer n'importe quel
protocole dedans (SMTP, POP3, HTTP, NNTP...). protocole dedans (SMTP, POP3, HTTP, NNTP...).
Toutes les donnes changes sont automatiquement chiffres.
Ceci peut tre ralis avec des outils comme STunnel (http://www.stunnel.org) ou SSH.
SSL a t dvelopp lorigine par Netscape (jusqu la version 2.0).
La version 3.0 (actuellement la plus rpandue) est standardise par lIETF (Internet
Engineering Task Force).
TLS (Transport Layer Security) propos par lIETF est la version 3.1 de SSL.
TLS est clairement dfini dans le RFC 22456 et nimpose pas de mthodes de
chiffrement spcifiques.
2. Cryptage HTTPS
Les donnes HTTP sont changes lintrieur dun tunnel SSL.
2. Cryptage HTTPS
HTTPS utilise le port 443
HTTPS garantit lintgrit et la confidentialit.
La non-rpudiation n'est pas tablie dans HTTPS :
Seuls les changes lors de l'tablissement de la session SSL/TLS sont signs, le reste des
donnes changes ne l'est pas.
Autre inconvnient de HTTPS :
les trames sont cryptes et lanalyse de l'intgrit des donnes (dtection de virus, backdoor,
vers) par les applications de scurit nest plus possible.
Une autorit de certification doit avoir au pralable install les certificats ct serveur
et les cls publiques ct client.
2. Cryptage Certificats SSL/HTTPS
Ct client, chaque navigateur contient une liste des CA de confiance.
Le client possde donc la cl publique du CA lui permettant de vrifier la
signature du certificat envoy par le serveur.
Lorsque la connexion SSL s'tablit, le navigateur vrifie que le certificat du serveur a
t mis par une CA digne de confiance.
Le certificat peut tre affich lors de la transaction.
Pour que le serveur puisse aussi authentifier le client, celui-ci peut
galement installer un certificat.
Cas des transactions ou la preuve de lidentit du client est indispensable.
Lors dun changement de machine, le certificat doit tre import.
2. Cryptage Connexion scurise SSH
L'environnement SSH (Secure Shell) s'adresse aux utilisateurs qui souhaitent accder
de manire scurise des systmes Unix distants.
Ses composants remplacent des programmes peu scuriss comme :
ftp (file transfer protocol) ou rcp (remote copy) pour les changes de fichiers ;
telnet ou rlogin (remote login) pour tablir une session de travail ;
rsh (remote shell) ou rexec (remote exec) pour excuter une commande Unix sur un systme
distant.
La scurit est garantie par une authentification l'tablissement de chaque connexion
et par l'encryptage des donnes (y compris les mots de passe). et par l'encryptage des donnes (y compris les mots de passe).
SSH utilise une connexion TCP sur le port 22.
On peut utiliser une connexion SSH pour transporter un autre protocole, par exemple
SMTP (le modle en couche nest alors pas respect).
SSH utilise suivant la version les algorithmes de cryptage asymtriques RSA ou DSA.
SCP (Secure CoPy), utilis gnralement en mode commande, permet de tlcharger
des fichiers de manire scurise en passant par SSH.
Pour les transferts de fichiers, une version SSH de FTP : SFTP peut galement tre
utilis. SFTP ne ncessite pas de clients ou de serveur FTP puisque le transfert se fait
par le shell.
Une version OpenSSH est disponible gratuitement sur le site http://www.openssh.org.
2. Cryptage Modle SSH
Le groupe de travail lIETF qui soccupe de Secure Shell a normalis en
2006 le protocole SSH v2 sous forme de trois couches :
1. SSH Transport Layer Protocol (SSH-TRANS)
2. SSH Authentification Protocol (SSH-AUTH)
3. SSH Connection Protocol (SSH-CONN)
2. Cryptage Initialisation SSH
Ds que la connexion est tablie (TCP sur le port 22 du serveur), le client et le serveur
changent en clair le numro de version SSH.
Tous les messages changs sont alors encapsuls dans des paquets SSH :
Suit la phase dinitialisation de SSH qui correspond la couche SSH-TRANS et consiste
TCP port 22
Packet length Padding length
Payload
Padding
mettre en place le tunnel scuris :
Le client et le serveur senvoient la liste des mthodes supportes pour le chiffrement et
lauthentification (message Key EXchange Init) ;
Le client demande un change de cl de type Diffie-Hellman (DH GEX Request pour Group
EXchange Request) ;
Le serveur choisit 2 nombres d et g et les transmet au client (DH KEX Reply).
Le client gnre un nombre alatoire a, calcule A=g
a
mod p et transmet A (DH GEX Init).
Le serveur gnre b, calcule B=g
b
mod p, calcule la cl de session K=A
b
mod p, transmet B et la
cl publique RSA (DH GEX Reply).
Le client vrifie la cl publique et calcule sont tour K=B
a
mod p.
Aprs confirmation du client (New Key), le reste des communications est chiffr grce un
algorithme de chiffrement symtrique utilisant la cl de session partage par le client et le
serveur.
2. Cryptage Authentification SSH
Phase dauthentification (couche SSH-AUTH)
Une fois le tunnel scurise tabli, le client doit s'identifier sur le serveur .
Trois mthodes dauthentification existent :
Par mot de passe (password)
Authentification classique : lutilisateur transmet son mot de passe, le serveur calcule le
hash et le compare avec celui stock dans sa base de donnes (algo. DES sous Linux).
Cette mthode permet aux utilisateurs Telnet de migrer vers SSH sans aucun changement
Cette mthode permet aux utilisateurs Telnet de migrer vers SSH sans aucun changement
au niveau de leur mcanisme dauthentification sauf que le mot de passe qui transitait en
clair avec Telnet est maintenant encapsul dans une communication chiffre.
Par clef RSA ou DSA (publickey)
Bas sur le cryptage asymtrique type RSA ou DSA .
La clef publique de lutilisateur doit tout dabord tre stocke sur le serveur SSH (problme
dchange des cls) et sa clef prive doit tre stocke sur sa machine de faon scurise.
Par certificat X.509
2. Cryptage Tunneling SSH
En plus de fournir lquivalent des scuris des commandes rcp, rlogin et rsh, le
protocole SSH permettent la mise en uvre du tunneling.
Dans ce cas, le tunneling consiste encapsuler un autre service TCP/IP comme Telnet
ou IMAP, dans une session scurise SSH.
Lors de louverture dune sur un hte SSH, il est donc possible douvrir galement un
canal de communication scuris pour tous les autres protocoles.
2. Cryptage Redirection de port SSH
SSH permet de rediriger nimporte quel flux TCP dans le tunnel de la session SSH : le
flux de nimporte quelle application circulant entre les ports client et serveur habituels,
pourra tre encapsul lintrieur du tunnel SSH.
Cette fonctionnalit permet dtablir, entre deux points, un canal scuris par lequel
peut transiter nimporte quel type de donne IP.
Exemple : mise en place dun tunnel IP afin de scuriser les connexions entre un client
et un serveur POP situ dans lintranet dune entreprise et derrire un serveur SSH.
tablissement dune connexion SSH entre le client et le serveur SSH ;
sur le client : faire pointer le client POP sur le systme SSH en local ;
sur le serveur : transmettre les donnes arrivant depuis la connexion SSH au serveur POP.
sur le serveur : transmettre les donnes arrivant depuis la connexion SSH au serveur POP.
2. Cryptage Diffrences SSL/SSH
Les deux protocoles sont utiliss dans un mme cadre et leurs domaines
d'utilisation se recouvrent.
Ils n'ont pas t particulirement conus pour travailler ensemble (mme si
c'est possible).
SSL/TLS ne requiert aucune authentification ct serveur : celle-ci est
optionnelle, et une connexion peut tre anonyme. Les connexions SSH
doivent tre authentifies.
SSL/TLS ne propose une authentification ct client que par change de
clefs publiques, tandis que SSH propose de nombreuses autres options. clefs publiques, tandis que SSH propose de nombreuses autres options.
SSH peut-tre utilis dans un cadre autre que le Web pur : FTP, POP3 /
IMAP / SMTP, telnet... SSL se limite aux protocoles HTTPS (HTTP scuris
par SSL) et FTPS.
SSL/TLS n'est utile qu'en cas d'change entre deux applications. SSH
permet de son ct de crer un "tunnel" entre ces deux applications, qui
reste ouvert et disponible mme s'il n'y pas d'change en cours.
En rsum, SSL/TLS permet de scuriser le transport d'informations via le
Web, et SSH est une vritable plate-forme de scurisation pour toutes
formes de communications.
2. Cryptage Autre technique de cryptage en rseau
Lauthentification consiste apporter la preuve de lidentit dun utilisateur sur un
rseau informatique.
Le nom sert l'identification, le mot de passe l'authentification.
Pour viter de s'authentifier pour chaque opration, on utilise des systmes
d'authentification centraliss (systme d'exploitation, contrleur de domaine,
serveur d'authentification RADIUS).
Une fois qu'il a authentifi l'utilisateur, le systme lui assigne des privilges qui lui
donnent accs certaines ressources.
Les risques sont les plus levs au moment de lauthentification.
3. Authentification Principe
ESPIONNAGE ESPIONNAGE
Sous Linux comme pour les autres OS, les mots de passe ne sont jamais stocks en clair.
Au lieu des mots de passe on stocke un hash.
Le hash doit tre unique et irrversible.
En comparant le hash du mot de passe fourni avec le hash stock on sait si les deux hashs
ont t cres partir du mme mot de passe.
Sous Linux, le hash est cre en chiffrant (25 fois) une chane de caractres vide avec le mot
de passe comme cl :
L'algorithme de chiffrement (DES) utilise une cl de 56 bits.
7 bits sont extraits par caractre du mot de passe (les caractres au-del du huitime sont ignors).
Un grain de sel (12 bits) est ajout pour que le mme mot de passe ne gnre pas toujours le mme
3. Authentification Locale sous Linux
Un grain de sel (12 bits) est ajout pour que le mme mot de passe ne gnre pas toujours le mme
hash (le sel est stock avec le hash).
Lors d'un login local le hash est gnr l'aide du mot de passe fourni et du grain
de sel stock localement. Le hash est compar avec celui stock localement.
Lors d'un login rseau, le hash et le sel sont obtenus depuis un serveur central
l'aide d'un communication chiffre.
Initialement, le nom et le hash des mots de passe taient stocks dans le fichier
/etc/passwd avec accs libre en lecture !
3. Authentification Locale sous Linux
Pour scuriser, les hashs se trouvent dsormais dans un fichier spar,
/etc/shadow qui ne peut tre lu que par l'administrateur.
Le protocole Kerberos est le protocole de scurit principal par dfaut pour les
authentifications dans un domaine Windows 2000/2003.
Il permet aux utilisateurs daccder aux ressources rseau partir de la mme
ouverture de session.
Dans un domaine Windows, le service Kerberos sappelle le KDC (Key
Distribution Center) et se trouve dans chaque contrleur de domaine (DC).
Les clients Kerberos sont installs sur les ordinateurs clients.
Lorsquun utilisateur veut accder un contrleur de domaine, le KDC de ce
3. Authentification Locale sous Windows
Lorsquun utilisateur veut accder un contrleur de domaine, le KDC de ce
contrleur va vrifier lidentit du client.
Le client pourra confirmer son identit en demandant au service Kerberos du
rseau un ticket TGT (Ticket Granting Ticket).
Le TGT permet au systme client daccder au TGS (Ticket Granting Service) se
trouvant dans le contrleur de domaine.
Ce TGS permettra lmission dun ticket de service au client (Ticket Service).
Cest ce ticket de service que le client prsentera au service rseau demand
pour accder des ressources.
3. Authentification Kerberos
(1) Je suis Bob et
Key Distribution
Center (KDC)
Ticket Granting
Service Service
(TGS)
Authentication
Service (AS)
( )
jai besoin dun TGT
(2) Voil ton TGT, si tu
peux le dcrypter avec ton
hash de password
(3) Voil mon TGT, donne
moi un Ticket de Service
(4) Voil ton TS
(5) Voil mon TS, tu
peux mauthentifier
(6) OK, ta session est
ouverte, tu as accs aux
ressources rseau !
Services rseau
Une connexion par modem vers un FAI utilise un protocole en mode
point point :
Le PC commence par tablir une connexion un central compos dune
batterie de modems connects vers Internet.
Ce central, mis en uvre par le FAI, est souvent nomm POP (Point of
Presence).
La connexion entre le modem et lun des modems du PoP repose sur un le
protocole PPP (Point-to-Point Protocol - RFC 1661).
PPP dfinit notamment la mthode didentification par mot de
3.Authentification Distante : par une liaison PPP
PPP dfinit notamment la mthode didentification par mot de
passe choisie parmi 4 mthodes.
PAP (Password Authentication Protocol) est le plus simple des mcanismes
dauthentification :
le client envoie son mot de passe en clair ;
Le mot de passe est compar avec celui stock chez le FAI.
Dans la pratique, le PAP nest utilis que lorsquun autre mcanisme permet dassurer la
scurit de lchange.
CHAP (Challenge Handshake Authentication Protocol) est dfini dans la RFC 1994 :
Le serveur commence par envoyer un dfi au client (16 octets alatoires), ainsi quun
3. Authentification Par une liaison PPP : PAP et CHAP
Le serveur commence par envoyer un dfi au client (16 octets alatoires), ainsi quun
compteur quil incrmente chaque dfi ;
Le client doit alors passer le compteur, son mot de passe et le dfi au travers dun algorithme
de hachage (MD5) ;
Le rsultat est une squence de bits pseudo-alatoires quon appelle le hash (16 octets
dans le cas de MD5) ;
Ce hash est envoy au serveur, qui peut alors effectuer le mme calcul et vrifier si son
rsultat concorde avec celui du client.
Cet algorithme permet dviter que le mot de passe ne soit transfr et vite galement
quun pirate ne rpte simplement une authentification russie quil aurait enregistre
auparavant, puisque le dfi change chaque authentification.
Il ne permet cependant pas au client de sassurer de lidentit du serveur.
3. Authentification Par une liaison PPP : CHAP
MS-CHAP, souvent appel MS-CHAP-v1, a t dfini par Microsoft dans la
RFC 2433 :
Variante de CHAP, destine en amliorer la scurit.
Lun des problmes de CHAP est le fait quil soit ncessaire de stocker le mot
de passe en clair sur le serveur pour calculer le hash et vrifier lidentit du
client.
Toute personne ayant accs la base de donnes des utilisateurs peut donc
voir les mots de passe de tout le monde !
3. Authentification Par une liaison PPP : MS-CHAP
voir les mots de passe de tout le monde !
Pour viter cela, MSCHAP spcifie que le serveur doit stocker non pas le mot
de passe, mais le rsultat dun hash sur ce mot de passe (selon un algorithme
propritaire de Microsoft).
Lorsque lutilisateur saisit son mot de passe, celui-ci doit dabord tre pass au
travers du mme algorithme de hash avant de suivre la procdure habituelle de
CHAP.
Malheureusement, MS-CHAP comporte des failles de scurit (dues en
particulier au hash propritaire de Microsoft) qui lont rendu rapidement
obsolte : seuls quelques vieux systmes Windows 95/98 lutilisent encore.
MS-CHAP-v2 : Microsoft a conu la version 2 plus robuste, dfinie dans la RFC
2759 :
Fournit notamment un mcanisme dauthentification mutuelle : le serveur sassure de
lidentit du client et vice versa.
Largement utilis dans les rseaux Windows, depuis la version Windows 2000.
Les mthodes CHAP, MS-CHAP et MS-CHAP-v2 sont toutes vulnrables face
3. Authentification Par une liaison PPP : MS-CHAP-V2
Les mthodes CHAP, MS-CHAP et MS-CHAP-v2 sont toutes vulnrables face
des attaques hors-ligne de type dictionnaire :
Le pirate peut enregistrer les changes lors de lauthentification dun utilisateur lgitime,
puis, il peut essayer hors-ligne de reproduire le mme dialogue en essayant des milliers de
mots de passe.
Il suffit quun seul utilisateur lgitime ait un mot de passe faible pour que le pirate puisse
entrer sur le rseau.
Besoin pour certains FAI didentifier les utilisateurs autrement que sur la base dun
simple mot de passe : identification avec carte puce, certificats lectroniques
Cest de ce besoin quest n EAP.
3. Authentification Par une liaison PPP avec Windows
Standard 802.1x :
solution de scurisation, mise au point par l'IEEE en juin 2001;
permet d'authentifier un utilisateur souhaitant accder un rseau (filaire ou sans fil) grce
un serveur d'authentification ;
repose sur le protocole EAP (Extensible Authentication Protocol) dfini par lIETF.
Le rle dEAP est de transporter les informations dauthentification des utilisateurs.
EAP est un protocole de transport et non un protocole d'authentification.
Le mcanisme EAP est analogue celui dune simple authentification un FAI au
travers dune liaison PPP.
3. Authentification 802.1x et EAP
EAP est bas sur l'utilisation d'un contrleur d'accs (Authenticator ou NAS: Network Access
Server) charg d'tablir ou non l'accs au rseau pour un client (Supplicant).
Le contrleur d'accs est un simple garde-barrire servant d'intermdiaire entre l'utilisateur et
un serveur d'authentification (AS : Authentication Server) ;
Dans le cas d'un rseau sans fil, lAP joue le rle de contrleur d'accs (trs peu de
ressources ncessaires).
LAS permet de valider l'identit de l'utilisateur, et de lui renvoyer les droits associs en
fonction des information d'identification fournies.
LAS est gnralement un serveur RADIUS (Remote Authentication Dial In User Service) :
serveur d'authentification standard dfini par les RFC 2865 et 2866.
3. Authentification Fonctionnement dEAP
EAP peut tre utilis dans de multiples contextes, le WiFi nen est quun
parmi dautres.
Le fait que le contrleur daccs ne soit quun intermdiaire entre le client
et le serveur est lun des grands intrts de lEAP :
Il na pas besoin de comprendre lchange entre le client et lAS, lexception
du rsultat final (le succs ou chec de lauthentification) qui le dcidera ouvrir
la porte du rseau ou la laisser ferme.
Pour une nouvelle mthode dauthentification, il ne sera pas ncessaire de
changer les contrleurs daccs.
3. Authentification Intrt dEAP
changer les contrleurs daccs.
Seuls les clients et le serveur dauthentification devront tre mis jour.
Les contrleurs daccs sont souvent de simples quipements sans grande
puissance de calcul ou difficiles mettre jour (AP WiFi).
Attention la terminologie :
Les protocoles EAP, 802.1x et RADIUS ont des mots diffrents pour dsigner
les mmes choses.
Le client sappelle respectivement peer, supplicant et user dans ces trois
protocoles.
Le contrleur daccs sappelle authenticator dans lEAP et le 802.1x, mais
Network Access Server (NAS) ou client dans le RADIUS.
EAP dfinit quatre types de paquets pouvant tre changs entre le client et le serveur
dauthentification (par lintermdiaire du contrleur daccs) :
Paquet Requte
Envoy par le serveur dauthentification, demande au client de fournir une information
prcise : identit ou preuve de cette identit, selon une mthode dauthentification choisie
par le serveur (mot de passe, certificat lectronique).
Paquet Rponse
Envoy par le client en rponse une requte. Le contenu dpend de la mthode
dauthentification requise par le serveur.
3. Authentification Paquets EAP
dauthentification requise par le serveur.
Si le client ne gre pas la mthode dauthentification requise, il le signale et lui suggre
une liste de mthodes quil est capable de grer.
Le serveur dauthentification peut alors choisir lune de ces mthodes et renvoyer une
nouvelle requte au client.
Paquet Succs
Envoy par le serveur dauthentification pour indiquer au client quil a t correctement
identifi. Le contrleur daccs ouvre la porte du rseau.
Paquet chec
Envoy par le serveur dauthentification si le client na pas pu tre identifi.
Le champ Code indique sil sagit dune requte, dune rponse, dun
succs ou dun chec.
Le champ ID est un identifiant qui permet de savoir quelle requte
correspond une rponse.
Le champ Longueur reprsente la longueur du paquet EAP.
Dans les paquets de requtes et de rponses, un champ Type (un
octet) situ juste avant le champ de donnes indique quel type de
mthode dauthentification est utilise.
3. Authentification Format des paquets EAP
mthode dauthentification est utilise.
Paquet EAP :
3. Authentification changes 802.1x/EAP (1)
Supplicant
NAS : Network
Access Server
Trafic
EAP sur Radius
Trafic
EAP sur WLAN
Radius Server
Le protocole 802.1x dfinit comment EAP peut tre utilis sur un LAN
ou un WLAN grce au protocole EAPoL (EAP over LAN).
EAPoL est utilise entre le client et le NAS. Les paquets EAPoL ou
EAP sont encapsuls dans des trames Ethernet ou WiFi.
Entre le NAS et le serveur RADIUS, les paquets EAP sont encapsuls
dans des requtes RADIUS.
Lauthentification se droule en 4 tapes :
3. Authentification changes 802.1x/EAP (2)
Lauthentification se droule en 4 tapes :
1. Le NAS, ayant pralablement reu une demande de connexion de la part
du client (EAPoL-Start) envoie une requte d'identification ;
2. Le client envoie une rponse au NAS, qui la fait suivre lAS ;
3. LAS envoie un challenge au contrleur d'accs, qui le transmet au
client. Le challenge est une proposition de mthode dauthentification (par
exemple OTP). Si le client ne gre pas la mthode, le serveur en propose
une autre et ainsi de suite ;
4. Le client rpond au challenge. Si lauthentification russie, lAS envoie un
accord au NAS, qui ouvrira un port 802.1x sur le rseau ou une partie du
rseau, selon ses droits.
802.1x dfinit les types de messages EAPoL :
EAPoL-Start : permet au client de prvenir le contrleur daccs quil souhaite
se connecter ;
EAPoL-Packet : type de paquet qui encapsule les paquets EAP ;
EAPoL-Key : permet lchange de cls de cryptage ;
EAPoL-Logoff : permet au client de demander la fermeture de sa session ;
EAPoL-Encapsulated-ASF-Alert : permet aux clients dont lauthentification a
chou de pouvoir tout de mme tre superviss distance (par exemple, par
SNMP).
3. Authentification Paquets EAPoL
SNMP).
Paquet EAPol :
Le champ Version la version du protocole EAPoL utilis.
Le champ Type indique sil sagit dun paquet EAPoL-Start, EAPoL-Key, etc.
Le champ Longueur indique la longueur du message qui suit.
Pour mettre en place une architecture 802.1x avec le WiFi, il faut :
Un serveur dauthentification, gnralement RADIUS ;
Des AP qui grent le 802.1x ;
Un logiciel de connexion compatible 802.1x sur les postes client :
fournit avec ladapateur WiFi
Intgr lOS (windows XP ou Vista et MAC OS).
Une ou plusieurs mthodes dauthentification EAP.
Un cryptage pendant la phase didentification entre le client et le NAS, WPA par
exemple.
3. Authentification Architecture 802.1x / EAP
exemple.
Le logiciel de connexion du client (appel le client EAP ) peut tre fourni avec
ladaptateur WiFi.
Il peut galement tre acheter ou fournit en Open Source (Xsupplicant pour
Linux).
Le client EAP peut aussi tre intgr lOS : Windows et Mac Os possdent un
client EAP capable de grer de multiples mthodes dauthentification.
3.Authentification 802.1x / EAP : logiciel client
Lorsque lon met en place une architecture 802.1x, le serveur
dauthentification est gnralement un serveur de type RADIUS.
Les critres de choix du serveur sont nombreux : cot, mthodes EAP
gres, stabilit, OS sur lesquels il peut tre install, ouverture, support
fourni, performance, outils de configuration disponibles, intgration avec
bases de donnes, etc.
3. Authentification 802.1xEAP : serveur dauthentification
Sur un rseau WiFi reli en Ethernet au serveur RADIUS, les paquets EAP sont
encapsuls :
dans des trames 802.11 par lintermdiaire de 802.1x cte WLAN ;
dans des trames 802.3 par lintermdiaire dUDP/IP et RADIUS.
3. Authentification Architecture protocolaire 802.1x/EAP
EAP ne dcrit que quelques mthodes dauthentification entre le client
et le serveur, les autres mthodes sont dcrites par des RFC :
EAP/MD5 bases sur le protocole CHAP (Challenge Handshake protocol).
EAP MS-CHAP-v2 base sur la version MS-CHAP de Microsoft.
EAP/OTP (One Time Password) bas sur lutilisation unique dun mot de
passe non ncessairement crypt.
EAP/GTC (Generic Token Card), mthode simple avec envoie dun dfit
au client qui rpond en clair au serveur.
EAP/TLS base sur la version TLS (Transport Layer Security) de SSL
3. Authentification Mthodes EAP
EAP/TLS base sur la version TLS (Transport Layer Security) de SSL
(Secure Socket Layer) qui scurise au niveau transport.
EAP/PEAP (Protected EAP) utilisant galement un tunnel TLS.
EAP/TTLS (Tuneled TLS) avec galement une authentification dans un
tunnel TLS.
EAP/SIM, permet un utilisateur de sidentifier grce la carte SIM de son
tlphone portable GSM.
Lors de la phase dauthentification, suivant la mthode dauthentification
utilise, des changes de paquets EAP spcifiques sont ncessaires
(change de cls de cryptage, de certificats).
Le systme One Time Password (OTP) est dfini dans la RFC 2289.
Lutilisation des OTP avec EAP est dfinie dans la RFC 3748.
Un OTP est un mot de passe conu pour ntre utilis quune seule fois. Ceci
permet de lchanger non crypt, sans craindre quil soit rutilis.
Le serveur commence par envoyer un dfi au client : quelques octets
alatoires et un index qui change chaque nouveau dfi.
Le client doit alors utiliser un gnrateur logiciel afin de produire un OTP :
Pour faire fonctionner le gnrateur, lutilisateur doit lui fournir le dfi (lindex et la
3. Authentification EAP / OTP
squence alatoire) ainsi que son vrai mot de passe, appel la phrase
secrte ou passphrase.
Le gnrateur fonctionne en faisant passer plusieurs fois (en fonction de lindex) le
dfi et la phrase secrte au travers dune fonction de hash.
Le client doit renvoyer lOTP de 8 octets au serveur qui vrifie quil parvient
bien au mme rsultat.
Comme le CHAP, le MS-CHAP et le MS-CHAP-v2, la mthode OTP est
vulnrable aux attaques de dictionnaire hors-ligne.
La RFC 3748 prvoit un type didentification appel GTC Generic Token Card
(carte jeton gnrique) :
Le serveur envoie (optionnellement) un dfi au client et celui-ci doit y rpondre en tapant
sa rponse, qui est renvoye en clair.
Le serveur vrifie la validit de la rponse.
Cette mthode trs simple a t conue pour les cartes jeton :
Le jeton est une cl assez longue qui nest connue que par le serveur dauthentification et
est ncessaire lidentification du client.
Le plus souvent, un mot de passe est galement exig. On parle alors de scurit
double facteur : pour sidentifier, lutilisateur doit la fois connatre quelque chose (son
3. Authentification EAP / GTC
double facteur : pour sidentifier, lutilisateur doit la fois connatre quelque chose (son
code PIN ou son mot de passe) et possder quelque chose (la carte jeton).
La plupart des algorithmes utilisent le jeton, le mot de passe de lutilisateur et le dfi
envoy par le serveur pour gnrer un hash qui est renvoy au serveur.
Certaines cartes sont synchronises avec le serveur et affichent un code qui change
toutes les 10 20 secondes environ. Pour sidentifier, lutilisateur doit taper ce code, ainsi
que son mot de passe (ou code PIN).
Les cartes basiques sinsrent dans un lecteur de carte, connect par exemple au port
USB de lordinateur
Dautres sont autonomes et possdent un mini clavier voire mme un petit cran
cristaux liquides.
Cette mthode dauthentification est dfinie dans la RFC 4186.
Son but est de permettre un utilisateur de sidentifier grce la carte SIM
de son tlphone portable GSM :
Celle-ci peut tre connecte lordinateur via une cl USB, par exemple, ou
directement intgre dans ladaptateur WiFi.
Pour que lidentification puisse fonctionner, le serveur dauthentification doit
tre reli loprateur mobile de lutilisateur : il ne sert alors que
dintermdiaire entre le client et le serveur dauthentification de loprateur
mobile.
3. Authentification EAP / SIM
mobile.
Cette solution a peu dintrt pour la plupart des entreprises dans le
contexte dun rseau WiFi.
Elle est intressante dans le cadre de la convergence entre la tlphonie
et les technologies de linformation (oprateurs mobiles qui dploient des
hotspots par ex.).
Dautres mthodes didentification lies la tlphonie existent :
EAP/SIM6 pour lidentification SIM passant par un rseau IPv6 et
EAP/AKA pour lidentification par un rseau UMTS.
3. Authentification EAP/TLS
EAP ne prend en charge que lauthentification, EAP/TLS nutilise donc que la partie
authentification par certificat de TLS (la cl symtrique nest pas utilise).
Clients et serveurs possdent un certificat ce qui suppose lutilisation dune PKI.
Lors du dialogue EAP, les clients et le serveur schangent et vrifient leurs certificats
en suivant le protocole TLS.
Seuls les utilisateurs possdant un certificat valide sont autoriss se connecter.
Gestion des certificats peut tre lourde. C'est pour se passer du certificat client que les
protocoles PEAP et EAP-TTLS ont t crs.
3. Authentification EAP/TLS : changes EAP
Certificat
client
Certificat
Serveur
3. Authentification EAP/TLS : changes TLS
Certificat
client
Certificat
Serveur
1
2
3
4
5
E
c
h
a
n
g
e

T
L
S
1. Le serveur Radius initie le processus d'authentification TLS par le message
TLS start.
2. Le client rpond avec un message client_hello, qui contient :
des spcifications de chiffrement vides en attendant qu'elles soient ngocies entre
le client et le serveur ;
la version TLS du client ;
un nombre alatoire (dfi ou challenge) ;
un identifiant de session ;
un identifiant de session ;
les types d'algorithmes de chiffrement supports par le client.
3. Le serveur renvoie une requte contenant un message server_hello suivi :
de son certificat (x509) et de sa cl publique ;
de la demande du certificat du client ;
d'un nombre alatoire (dfi ou challenge) ;
d'un identifiant de session (en fonction de celui propos par le client).
Le serveur choisit un algorithme de chiffrement parmi ceux qui lui ont t
proposs par le client.
4. Le client vrifie le certificat du serveur et rpond avec son propre certificat et
sa cl publique.
5. Le serveur vrifie le certificat du client.
Le serveur et le client, chacun de son ct, dfinissent une cl de
chiffrement principale (MK) utilise pour la session. Cette cl est drive des
chiffrement principale (MK) utilise pour la session. Cette cl est drive des
valeurs alatoires que se sont changes le client et le serveur.
Les messages change_cipher_spec indiquent la prise en compte du
changement de cl.
Le message TLS_finished termine la phase d'authentification TLS (TLS
handshake), dans le cas d'EAP-TLS la cl de session ne sert pas chiffrer
les changes suivants.
EPA/PEAP (Protected EAP) a t dvelopp par Cisco et Microsoft.
Un tunnel TLS est dabord mis en place entre le client et le serveur puis une
nouvelle ngociation EAP (par ex. EAP/MS-CHAP-v2 ou EAP/GTC) est effectue
lintrieur du tunnel (EAP protg)
Le dialogue est proche de celui dEAP/TLS mais avec quelques diffrences
importantes :
Au cours de la ngociation EAP/PEAP, lorsque le serveur demande son identit au client,
celui-ci n'est pas oblig de rvler sa vritable identit ( anonyme , par exemple).
Le client n'est pas oblig de fournir un certificat. Seul le serveur doit en fournir un pour
3. Authentification EAP/PEAP
prouver son identit au client.
Plutt que de s'arrter la fin de la ngociation TLS, EAP/PEAP va jusqu' tablir
compltement le tunnel TLS.
Dans ce tunnel, une ngociation EAP complte a lieu: c'est ici que le client fournit son
identit et la preuve de cette identit. La mthode utilise peut tre n'importe quelle
mthode EAP.
Une fois que l'identification EAP interne est termine par un paquet de succs ou
d'chec, le tunnel TLS est ferm et le serveur renvoie un nouveau paquet de succs ou
d'chec au client en clair (le contrleur d'accs doit savoir quil faut laisser passer le
client).
Lintrt principal de PEAP est dutiliser une mthode dauthentification lintrieur
dun tunnel TLS.
3. Authentification Dialogue EAP/PEAP
Comme PEAP, TTLS (Tunneled TLS) commence par tablir un tunnel
TLS puis met en uvre une autre authentification dans ce tunnel.
Le mcanisme est donc le mme, les diffrences sont :
TTLS a t conu par Funk Software pour sa solution de scurit WiFi :
Odyssey
TTLS nest pas intgr Windows
TTLS autorise tout type didentification interne, pas uniquement base dEAP
(PAP, CHAP, MS-CHAP)
3. Authentification EAP/TTLS
(PAP, CHAP, MS-CHAP)
Possibilit de rajouter des AVP (Attribute-Value Pair) dans les paquets TTLS :
Les AVP sont compose du type de lattribut et de sa valeur (par ex. [Prnom,
Alice ]) et permet de transporter des informations supplmentaires
(authentification, rgles de filtrage).
RADIUS utilise galement les AVP.
PEAP et TTLS sont donc 2 mthodes concurrentes avec une meilleure
intgration pour la premire et une plus grande souplesse pour la
deuxime.
EAP prsente 3 failles identifies :
Attaque de la mthode dauthentification elle-mme ;
Attaque de dictionnaire hors-ligne possible avec EAP/MD5 (lecture du dfi et du hash
et recherche du mot de passe produisant le mme hash);
Attaque de la session une fois que celle-ci est tablie :
Une fois lutilisateur authentifi avec une mthode sure (EAP/TLS), lAP accepte tous
les paquets en provenance de ladresse MAC de celui-ci ;
Le travail dEAP tant termin, le tunnel TLS est ferm et les paquets sont transmis
3. Authentification Faiblesses dEAP
Le travail dEAP tant termin, le tunnel TLS est ferm et les paquets sont transmis
en clair ;
Une simple falsification dadresse MAC permet daccder la session
Attaque de type Man in the Middle entre le client et le contrleur daccs, le
pirate sidentifie la place du client.
Peu probable dans une connexion PPP mais simple en WiFi (insertion dun AP
pirate).
La parade consiste mettre en place un cryptage pour la session dauthentification :
sans les cls de cryptage, le pirate ne pourra ni envoyer ni recevoir
3. Authentification Optimiser EAP/802.1x
Attaque MiM
Pour viter les failles EAP et bnficier de la meilleure scurit avec 802.1x :
Utiliser une mthode base de tunnel : EPA/TLS, EAP/TTLS ou PEAP ;
Sassurer que le certificat du serveur est toujours vrifi par les clients ;
Eventuellement mettre en place un certificat pour chaque client ;
Utiliser une mthode dauthentification interne robuste (carte jeton) ;
Sassurer quun cryptage puissant est utilis pendant lauthentification (WPA2 en WiFi).
Le client possde un logiciel de connexion compatible avec le 802.1x (donc avec lEAP)
et supporte deux mthodes dauthentification : PEAP/MS-CHAP-v2 et EAP/TLS.
LAP est compatible 802.1x :
Il na pas besoin de connatre PEAP/MS-CHAP-v2, EAP/TLS, TTLS/PAP ou toute autre
mthode dauthentification particulire.
Il est capable de relayer des requtes EAP vers le client (via la connexion WiFi) et vers le
serveur dauthentification (via le rseau de lentreprise).
Le serveur RADIUS gre les mthodes dauthentification EAP/TLS et TTLS/PAP :
Le serveur demandera au client de sidentifier selon une mthode. Si le client ne la gre pas, le
serveur en suggrera une autre et ainsi de suite jusqu ce que le client en accepte une.
Dans lexemple, ils tomberont daccord sur la mthode didentification EAP/TLS.
3. Authentification EAP : Exemple en WiFi
Dans lexemple, ils tomberont daccord sur la mthode didentification EAP/TLS.
RADIUS pour Remote Authentication Dial In User Service est un protocole
d'authentification pour les connexions distance.
Il permet la centralisation des donnes dauthentification.
Il permet galement la gestion des connexions utilisateurs des services distants.
Scnario de base RADIUS :
Lutilisateur se connecte son NAS (Network Acces Server) et fournit son identit ;
Le NAS communique avec le serveur suivant le protocole RADIUS pour valider lidentit de
lutilisateur ;
Si lidentit est vrifie, le NAS autorise lutilisateur accder au rseau.
3. Authentification RADIUS : principe
Si lidentit est vrifie, le NAS autorise lutilisateur accder au rseau.
Les mthodes dauthentification pises en charge par les serveur RADIUS sont
varies : PAP, CHAP, MS-CHAP, MS-CHAP-v2, EAP/MD5, PEAP/MS-CHAP-v2
Pour valider les identits, les serveurs RADIUS peuvent :
Consulter un simple fichier local ;
Consulter une base de donnes type mySQL ou Oracle ;
Consulter un serveur LDAP, un serveur Kerberos ou un contrleur de Domaine Windows.
Le serveur RADIUS peut faire appel un serveur dauthentification existant grce
un connecteur.
3. Authentification Connecteurs RADIUS
Aprs la phase dauthentification, le protocole RADIUS peut fournir au NAS
des information supplmentaires sous forme dAVP (Attribute-Value Pair) .
Les AVP sont compose du type de lattribut et de sa valeur (par ex.
[Prnom, Alice ]) .
Exemples dAVP :
Session-Timeout : entier de 32 bits qui dfinit en seconde la dure de la session,.
Au-del, le NAT dconnecte lutilisateur ;
Idle-Timeout : indique au NS au bout de combien de seconde lutilisateur doit tre
3. Authentification Attributs RADIUS
Idle-Timeout : indique au NS au bout de combien de seconde lutilisateur doit tre
dconnect
Le serveur RADIUS est capable de comptabiliser diffrentes informations
sur les connexions :
Nombre de connexions des utilisateurs ;
dure des connexions des utilisateurs ;
Volume des donnes changes ;
Cause de la fin de session (dconnexion volontaire, timeout, perte de signal).
RADIUS utilise UDP pour le transport :
RADIUS est un protocole sans tat ;
Permet la rmission dune demande dauthentification un serveur secondaire si le
serveur primaire ne rpond pas ;
RADIUS nexige pas une dtection "sensible" de la perte de donnes.
6 types de paquets pour effectuer une authentification RADIUS :
Access-Request
Envoy par le NAS, contient les informations sur le client qui souhaite se connecter
(login/mot de passe, adresse MAC)
3. Authentification Paquets RADIUS
Access-Challenge
Envoy par le serveur pour demander la rmission dun access-request ou des
informations complmentaires.
Access-Accept
Envoy par le serveur pour autoris la connexion si la vrification des informations est
correcte (peut contenir un AVT du type Session-Timeout).
Access-Reject
Envoy par le serveur pour refuser une connexion en cas dchec de lauthentification ou
pour mettre fin une connexion.
Accounting-Request
Envoy par le NAS pour indiquer le dbut (Start) ou la fin (Stop) dune session.
Accounting-Response
Envoy par le serveur pour acquitter le prcdent.
3. Authentification Dialogue RADIUS
3. Authentification RADIUS : format des paquets
Code (1 octet):
1 : access-request
Length (2 octets):
Taille total du message (de 20
1 : access-request
2 : access-accept
3 : access-reject
4 : accounting-request
5 : accounting-response
11 : access-challenge
Identifier (1 octet) :
- Unique pour chaque authentification
- Identique pour une retransmission
Taille total du message (de 20
4096 octets)
Request Authenticator (16 octets):
Un nombre alatoire unique
Response Authenticator (16 octets):
MD5 (Code + ID + Length +
RequestAuth + Attributes + Secret)
3. Authentification RADIUS : format des attributs
Type (1 octet):
1 : User-Name
2 : User-Password
3 : CHAP-Password
4 : NAS-IP-Address
5 : NAS-Port
Length (1 octet):
Taille total du message
(max 254 octets)
Value (1-253 octets):
text 1-253 octets
string 1-253 octets
address 32 bit
integer 32 bit
time 32 bit
User-Password :
Le mot de passe est coup en blocs de 16 octets : p1, p2,
c1 = p1 XOR MD5(Secret + Request Authenticator)
c2 = p2 XOR MD5(Secret + c1)
Le mot de passe encod est la concatnation de : c(1)+c(2)+...

5 : NAS-Port
6 : Service-Type
time 32 bit
3. Authentification Scurit RADIUS
Le protocole RADIUS utilise 2 lments de scurit :
Le secret RADIUS qui correspond un long mot de passe connu du serveur et du contrleur
daccs (cl symtrique).
Le secret est utilis pour crypter certains attributs et pour calculer le code de contrle dintgrit
utilis par le rcepteur pour sassurer que le paquet RADIUS na pas t modifi.
La signature (authenticator) RADIUS est un champ de 16 octets prsent dans chaque paquet
RADIUS.
Pour un paquet Access-Request, lauthenticator est un nombre alatoire ;
Pour un paquet de rponse (Access-Accept, Access-Challenge, Acces-Reject) , lauthenticator
est calcul en utilisant lalgorithme de hachage MD5 appliqu au paquet de rponse, au nombre
alatoire et au secret.
Lauthenticator et le secret servent aussi crypter les mots de passe pour les authentifications
simples PAP et CHAP.
Problmes :
Empcher un intrus de se connecter au rseau sans fil (parking attack) ;
Empcher lcoute clandestine des donnes changes ;
1re solution : WEP (Wired Equivalent Privacy)
La cl secrte partage (40 ou 104 bits) est concatne (ajoute) avec un
vecteur dinitialisation (IV) sur 24 bits rinitialis chaque trame ;
Le rsultat (64 ou 128 bits) est plac dans un PRNG (Pseudo Random
4. LAN scuriss WiFi et la scurit
Le rsultat (64 ou 128 bits) est plac dans un PRNG (Pseudo Random
Number Generator) qui gnr une squence alatoire ;
Paralllement, un calcul dintgrit (CRC) ainsi quune concatnation (ll) est
ralis sur les donnes ;
Une opration ou exclusif entre la squence alatoire et les donnes
permet ensuite de chiffrer celles-ci ;
Les donnes chiffres sont transmises ainsi que le vecteur dinitialisation
(en clair) ;
Pour le dchiffrement, lopration inverse est ralise (la cl wep et le
vecteur dinitialisation sont connus la rception).
E-T I V donnes CRC
I V
Cl partage
||
PRNG
(RC4)
donnes
CRC 32
||
ICV
4. LAN scuriss WiFi : chiffrement WEP
ICV
E-T I V donnes CRC
Cl partage
||
PRNG
(RC4)
Contrle
dintgrit
donnes
Chiffrement
Dchiffrement
Contre la confidentialit :
Principale faiblesse du chiffrement WEP : utilisation de la mme cl partage pour
un grand nombre dchanges (keystream reuse).
Possibilit de dchiffrer la cl ds que lon connat un couple texte en clair, texte
chiffr de mme IV.
Mme si lIV change chaque transmission, une coute du rseau pendant un
temps suffisant permettra de trouver cette cl.
Faiblesse exploite par certains programmes (aircrack) capables, suivant la taille
de la cl et la charge du rseau, de trouver la cl en quelques minutes ou quelques
4. LAN scuriss WiFi : vulnrabilits du WEP
de la cl et la charge du rseau, de trouver la cl en quelques minutes ou quelques
jours
Faiblesse de RC4 (key scheduling algorithm weakness)
Attaque exhaustive (cl drive d'une passphrase)
Attaque statistique
Contre l'intgrit :
Modification de paquets (bit flipping)
Injection de faux paquets
Contre l'authentification auprs de l'AP
Fausse authentification (authentication spoofing)
Attaque statistique
Attaque dcouverte par un hacker nomm KoreK
http://www.netstumbler.org/showpost.php?p=89036
Ne ncessite plus la capture de millions d'IV mais se base juste sur le nombre
d'IV uniques capturs.
4. LAN scuriss WiFi : Cassage du WEP (1)
L'injection de trafic permet d'acclrer grandement la capture des trames :
1. Tronque le message chiffr d'un caractre (1 octet) => message invalide
2. Suppose une valeur V pour le dernier octet (0 =< V =< 255), corrige le message et
rinjecte la trame vers l'AP
3. L'AP rejette toute les trames sauf celle ayant le dernier octet valide (rpter 1 - 3)
Dcryptage des paquets ARP/IP
http://www.netstumbler.org/showthread.php?t=12489
Aircrack dernires versions : ng et ptw (Unix & Windows)
Trs rapide et performant (cassage de la cl < 10s avec un nombre de trames
suffisant)
Implmente la nouvelle attaque statistique dveloppe par KoreK
Ncessite un nombre d'IV unique pour pouvoir casser la cl
Version ng : Ncessite 300 000 IV uniques pour une cl de 64 bits et 700 000
pour une cl de 128 bits
4. LAN scuriss WiFi : cassage du WEP (2)
pour une cl de 128 bits
Version ptw : Ncessite 50 000 IV uniques pour une cl de 128 bits
Aircrack
Les dernires versions (ng et ptw) permet l'injection de paquet aprs rejeu
d'une trame arp-request gnrant des IV uniques au niveau de la borne.
Ncessite une mise jour des pilotes (HostAP, Atheros, Prism54, wlan-ng)
Mthodes :
iwpriv <interface> mode 2
iwconfig <inteface> mode Monitor channel <channel>
ifconfig <iface> up
4. LAN scuriss WiFi : cassage du WEP (3)
ifconfig <iface> up
airodump-ng --write "NomFichierSortie" --channel "NumeroChannel" "Interface"
aireplay-ng -3 -e ESSID -b @_mac_AP -h @_mac_station interface
aircrack-ng -x fichier_capture
Trois composants :
airodump pour la capture de paquets (scanne les rseaux et conserve les paquets
qui serviront dcrypter la clef).
aireplay pour linjection de paquets dans le but de stimuler le rseau et augmenter le
nombre de captures.
aircrack pour trouver la cl partir des informations captures par d'airodump
(ncessite un nombre minimum de paquets)
Cls WEP de 256 bits : plusieurs GO de donnes et plusieurs jours, voir
plusieurs semaines pour rcuprer la cl ;
Modifier rgulirement la cl (les AP proposent gnralement 4 cls au choix
mais il faut alors changer galement la cl sur les stations) ;
Limiter la porte des AP aux locaux de lentreprise pour viter les attaques
de parking ;
Activer sur lAP un filtrage par adresses MAC ;
4. LAN scuriss WiFi : autres solutions de scurit
Dsactiver sur le point daccs la diffusion du SSID ;
Dsactiver sur le routeur Wifi le service DHCP ;
Utiliser le protocole de cryptage WPA (Wi-Fi Protected Access) qui est une
amlioration de WEP et fait appel l'algorithme TKIP (Temporal Key Integrity
Protocol) pour changer la cl dynamiquement plusieurs fois par seconde ;
Utiliser un algorithme plus robuste comme AES (Advanced Encryption
Standard) propos dans la nouvelle norme sans fil 802.11i.
WPA (Wi-Fi Protected Access) : recommandation de la Wi-Fi Alliance
fonde sur un sous ensemble de la norme 802.11i.
Depuis 2003 tous les produits certifis au label WiFi doivent supporter
cette recommandation.
Cls de cryptage :
gnration et distribution par lAP de cls dynamiques avec TKIP (Temporal
Key Integrity Protocol) ;
TKIP gnre une cl par trame (WEP : mme cl pour toute la cellule et
4. LAN scuriss WiFi : le chiffrement WPA
TKIP gnre une cl par trame (WEP : mme cl pour toute la cellule et
toutes les trames) ;
vecteur dinitialisation de 48 bits (24 bits pour WEP) ;
code MIC (Message Integrity Code) pour vrifier lintgrit de toute la trame.
Mode dauthentification :
mode personnel ou mode PSK (Pre-Shared Key) : saisie dun mot de passe
alphanumrique ( passphrase ) ;
mode entreprise : base du protocole 802.1x, avec une authentification
centralise des utilisateurs partir dun serveur de type RADIUS.
Le mode PSK (Pre-Shared Key) est conu pour les rseaux individuels qui ne peuvent se
permettre le cot et la complexit d'une solution utilisant un serveur d'identification 802.1x.
La PSK est une phrase secrte (passphrase) partage par le client et lAP pouvant contenir de
8 63 caractres ASCII ou 64 octets (256 bits).
La PSK permet de gnrer la PMK (Pairwise Master Key) de 256 bits grce une fonction de
hachage cryptographique :
PMK = PBKDF2(passphrase, ssid, ssidLength, 4096, 256)
La PMK peut tre gnre directement en entrant un mot de 64 octets la place de la
passphrase (mthode plus sur car elle vite les attaque par dictionnaire).
LA PMK est ensuite utilise pour une authentification en 4 tapes.
La plupart des OS permettent l'utilisateur de stocker la passphrase sur l'ordinateur afin de ne
4. LAN scuriss WiFi : WPA et le mode PSK
La plupart des OS permettent l'utilisateur de stocker la passphrase sur l'ordinateur afin de ne
pas avoir la saisir nouveau mais cependant sous forme PMK, c'est--dire dj hache.
4. LAN scuriss WiFi : WPA-PSK +TKIP ou AES
WPA-PSK pour lauthentification
TKIP ou AES pour le cryptage
WPA = PSK + TKIP
WPA2 = PSK + AES = 802.11i
Nommage Alliance
Le standard de chiffrement avanc AES (Advanced Encryption Standard), aussi connu
sous le nom de Rijndael, est un algorithme de chiffrement symtrique.
AES a t choisi en 2000 pour remplacer DES (standard des annes 1970) qui utilisait
des clefs de 56 bits, contre 128 256 pour AES.
Principe :
L'algorithme prend en entre un bloc de 128 bits (16 octets), la cl fait 128, 192 ou 256 bits.
Les 16 octets en entre sont permuts selon une table dfinie au pralable.
Ces octets sont ensuite placs dans une matrice de 4x4 lments et ses lignes subissent une
rotation vers la droite. L'incrment pour la rotation varie selon le numro de la ligne.
Une transformation linaire est ensuite applique sur la matrice, elle consiste en la
4. LAN scuriss WiFi : WPA et AES
Une transformation linaire est ensuite applique sur la matrice, elle consiste en la
multiplication binaire de chaque lment de la matrice avec des polynmes issus d'une matrice
auxiliaire.
Finalement, un XOR entre la matrice et une autre matrice permet d'obtenir une matrice
intermdiaire.
Ces diffrentes oprations sont rptes plusieurs fois et dfinissent un tour . Pour une cl
de 128, 192 ou 256, AES ncessite respectivement 10, 12 ou 14 tours.
Authentification base du protocole 802.1x et centralise pour tous les utilisateurs
partir dun serveur de type RADIUS.
Le client possde un logiciel de connexion compatible avec le 802.1x (donc avec lEAP)
et supporte une mthode dauthentification (EAP/TLS par ex.)
LAP est compatible 802.1x :
Il na pas besoin de connatre EAP/TLS ou toute autre mthode dauthentification particulire.
Il est capable de relayer des requtes EAP vers le client (via la connexion WiFi) et vers le
serveur dauthentification (via le rseau de lentreprise).
Le serveur RADIUS gre la mthode dauthentification EAP/TLS :
4. LAN scuriss WiFi : WPA et 802.1x
serveur en suggrera une autre et ainsi de suite jusqu ce que le client en accepte une.
Faiblesses du WPA :
attaque de type dni de service .
un envoi dau moins deux paquets chaque seconde utilisant une cl de
cryptage incorrecte provoque un blocage de lAP qui rinitialise toutes les
connexions utilisateurs pendant une minute.
mcanisme de dfense pour viter les accs non-autoriss un rseau
protg, mais pouvant bloquer tout un rseau sans fil.
Version aircrack pour WPA-PSK, base sur une attaque par dictionnaire.
4. LAN scuriss WiFi : vulnrabilits de WPA
Amliorations de WPA :
SSID (Service Set IDentifier) scuris ;
WPA2 : nouveau protocole CCMP (Counter-Mode/Cipher Block Chaining
Message Authentication Code Protocol) bas sur le chiffrement AES
(Advanced Encryption Standard ) et une meilleure protection au niveau
MAC.
Standard 802.11i : implmente les deux protocoles de niveau MAC (TKIP et
CCMP/AES) et supporte les architectures antrieures (WEP, PSK).
4. LAN scuriss WiFi : exemple de capture
Cryptage WPA2/CCMP
4. LAN scuriss WiFi : exemple de capture
Donnes dcrypte
4. LAN scuriss Bluetooth
Scurit base sur l'exploitation des trois notions suivantes :
une adresse dpendante du dispositif physique :
1 carte Bluetooth 1 adresse permanente de 48 bits.
@ rgies par l'IEEE, quivalent de l'adresse MAC pour les cartes rseau
Ethernet.
un code personnel d'identification : code personnel attribu l'utilisateur qui
permet de l'identifier.
Code PIN stock sur 1 16 octets.
un dispositif de gnration de nombre alatoire sur 128 bits.
Ces trois lments primaires permettent de gnrer des cls
d'authentification et de cryptage pour de scuriser les transferts.
4. LAN scuriss Bluetooth : 3 modes de scurit
Mode de scurit n1 : le moins fiable.
Aucune fonction de scurit n'est active. Permet donc tous les autres
dispositif Bluetooth de se connecter.
Mode de scurit n2 : garantit une scurit aprs la connexion.
Les fonctions offertes agissent au niveau application.
Mode de scurit n3 : hrite des fonctionnalits du mode 2 + fonctions
d'authentification et de cryptage avant que la connexion ne soit tablie. d'authentification et de cryptage avant que la connexion ne soit tablie.
En plus de ces trois modes de scurit : deux niveaux de scurit pour les
dispositifs physiques (fiable ou non fiable) et trois pour les services (Autoris
et Authentifi, Authentifi, Accs libre).
4. LAN scuriss Bluetooth : un gestionnaire de scurit
Avant l'tablissement d'une connexion, le gestionnaire de scurit
(Security Manager) choisit la politique de scurit partir :
du type de service utilis ;
du dispositif distant avec lequel la communication va s'effectuer (son type et
son niveau de scurit).
Le Security Manager dcide du niveau d'authentification utilis et du
type de cryptage.
Les informations dont a besoin le gestionnaire sont stockes dans deux
bases de donnes :
la base de donnes des dispositifs physiques stocke le type de dispositif,
son niveau de fiabilit et la taille de ses cls de cryptage ;
la base de donnes des services : informations relatives au niveau de
scurit service et au mode d'acheminement de l'information.
4. LAN scuriss Bluetooth : mcanismes scuritaires propritaires
Suivant linstant et la localisation, ces cls ont diffrents
rles :
lors de l'initialisation du composant (unit key) ;
lors d'une communication initie par un seul dispositif (init
key) ;
lors de l'amorce d'une communication bi-partie (link key) ;
lors d'une communication du matre destine plusieurs
K
AD
A
D
Diffrentes cl sont gnres partir du nombre alatoire de 128 bits et du code
PIN.
lors d'une communication du matre destine plusieurs
destinataires (master key) ;
toutes ces cls sont gnres par les algorithmes
propritaires E0, E1, E3, E21, E22.
Les transactions entre diffrentes entits Bluetooth se
font via la "cl de lien" (link key ) partage.
Aprs gnration de la cl de lien et authentification
rciproque, une cl de cryptage est gnre (encryption
key)
Possibilit dutiliser une cl diffrente pour chaque paire
dquipements communiquant.
A
B
C
D
M
K
MC
K
MA
K
MD
K
MB
4. LAN scuriss Gnration et utilisation des cls
PIN
E
2
Link Key
Authentication
PIN
E
2
Link Key
User Input
(Initialization)
(possibly)
Permanent
Storage
Encryption Key
E
3
Encryption
Encryption Key
E
3
Storage
Temporary
Storage
E1, E2 : algorithmes propritaires
4. LAN scuriss Les vulnrabilits de Bluetooth
Dnis de services : Les lments d'un rseau sans fil sont nomades, et dpendent d'une
source dnergie limite.
Attaque possible : surcharger de travail la machine attaquer pour consommer le plus
rapidement possible son nergie. Travaux en cours contre cette faille.
Confidentialit : N'importe qui peut couter les trames mises dans l'atmosphre il est
facile de loguer les diffrentes connexions en identifiant les protagonistes l'aide du
code PIN ou de l'adresse Bluetooth des dispositifs physiques.
Vol d'identit : Link key base sur la unit key vol ais de l'identit d'un correspondant. Vol d'identit : Link key base sur la unit key vol ais de l'identit d'un correspondant.
Ex. : A et B communiquent en se basant sur la unit key de A, un troisime intervenant C
peut venir communiquer avec A et obtenir cette cl C peut utiliser l'adresse Bluetooth
de B pour se faire passer pour lui...
Trous de scurit dans les algorithmes : Code PIN trop court algorithmes de scurit
propritaires relativement inefficaces. Code facile retrouver si code PIN de 5
caractres (longueur standard en Bluetooth).
4. LAN scuriss Scurit dans ZigBee
Authentification et cryptage.
Utilisation du cryptage AES (Advanced Encryption Standard)
128 bits.
Concept dun centre de confiance .
Cls de liens et de rseaux. Cls de liens et de rseaux.
La scurit peut tre personnalise en fonction de
lapplication.
Les cls peuvent cbles dans lapplication.
4. LAN scuriss Scurit dans WiMax
Grer par le gestionnaire de cls PKM (Privacy Key Management) de la sous-
couche scurit.
Le certificat de la station dabonn (Subscriber Station) est dfinie partir
dune chane de certification.
La SS (Subscriber Station) envoie sont certificat contenant sa cl publique.
La BS (Base Station) vrifie le certificat et gnre une cl dAuthentification
(AK : Autenthication Key).
Le BS crypte AK avec la cl publique de la SS et la transmet (cryptage
RSA).
La SS dcrypte AK.
La cl de cryptage de trafic TEK (Trafic Encryption Key) est gnre sur la
BS et chiffr avec un cl drive de AK. BS et chiffr avec un cl drive de AK.
La TEK sert pour le cryptage du trafic qui suit (cryptage DES-CBC).
Points faibles :
Pas dauthentification la BS par la SS ;
Algorithme DES peu sur ;
Gestion de la PKI.
Dfauts en partie corrig sur WiMax Mobile :
authentification mutuelle RSA + EAP ;
chiffrement AES.

Cours Secu LAN Lohier

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cours Secu LAN Lohier

Enviado por

Direitos autorais:

Formatos disponíveis

Scurit des LAN

Le mot de passe encod est la concatnation de : c(1)+c(2)+...

Você também pode gostar