Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE

Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE

Introduction

Qualités de la sécurité d’une communication

•Besoin de confidentialité : pas lu par un tiers

•Besoin d’intégrité : pas de modification

•Besoin d’authentification : identité d’un objet

•Besoin de non répudiation : ne pas nier ses actions

De + en + d’utilisateurs

De + en + de communications

Donc de + en + de problèmes…

Origine

Spécificités Sécurisation SSF Évolution

Anciens programmes et leurs problèmes :

Les r-commandes (rlogin, rcp, rsh)

Les mots de passe à « usage unique »

Telnet avec chiffrement

Utilisation de la cryptographie dans les flux applicatifs !

IPSec (Internet Protocol Security)

SSH (Secure SHell)

SSL (Secure Socket Layer)

Secure Socket LayerCertificats Évolution AttaquePrincipeAttaqueOrigine Présentation

Secure Shell

Spécificités

Éviter la circulation en clair sur le réseau des mots de passe : risque de compromission.

Renforcer l'authentification des machines : sensible à la mascarade.

Sécuriser l'emploi des commandes à distance.

Sécuriser le transfert de données.

Sécuriser les sessions X11

Secure Socket LayerPrésentation Certificats Évolution AttaquePrincipeSécurisation SSF Évolution Attaque

Secure ShellSpécificitésOrigine

Sécurisation des échanges

Algorithmes symétriques

Chiffrement Déchiffrement

Secure Socket LayerPrésentation Certificats Évolution AttaquePrincipeSécurisation SSF Évolution AttaqueOrigine

Secure ShellSpécificités


Déchiffrement

Serveur LDAP

Chiffrement

Clé privée

Clé publique

Clé publique

Clé privée

Algorithmes asymétriques

Secure Socket LayerPrésentation Certificats Évolution AttaquePrincipeSécurisation SSF Évolution AttaqueOrigine Spécificités

Secure Shell


DéchiffrementChiffrement

Serveur LDAP

Clé publique

Clé publique

Clé privée

Communication avec clé secrète

Clé privée

Clés de session

Présentation

Secure Socket LayerPrésentation Certificats Évolution AttaquePrincipeSécurisation SSF Évolution AttaqueOrigine Spécificités

Secure Shell

SSH en France : SSF

Rappel de la législation française

Introduction à SSF

SSF : pourquoi ?

Utilisation

Secure Socket LayerPrésentation Certificats Évolution AttaquePrincipeÉvolution AttaqueOrigine Spécificités

Secure ShellSécurisation SSF

Tunneling SSH

Solution : tunnel sécurisé SSH

ssh –L 4000:monMail:110 monMail

En Local : telnet localhost 4000

Localhost:4000 monMail:110Internet

telnet monMail 110 : POP3 non sécurisé !!!

>1024 22

Secure Socket LayerPrésentation Certificats Évolution AttaquePrincipeAttaqueOrigine Spécificités

Secure ShellSécurisation SSF Évolution

Sshmitm: http://monkey.org/~dugsong/dsniff/

mots de passe d’accès SSH,détourne les sessions interactives

Comment?

MITM : mascarade

Pourquoi?

Le client accepte aveuglément la clé du serveur

Le client accepte que le serveur puisse avoir changé de clé

Attaque contre SSH

Serveur SSHClient SSH

L’homme au milieu…

Secure Socket LayerPrésentation Certificats Évolution AttaquePrincipeOrigine Spécificités

Secure ShellSécurisation SSF Évolution Attaque

Définition

SSL (Secure Socket Layer)

Secure Socket LayerCertificats Évolution AttaquePrincipe

Protocole à négociation

« https:// »

Origine Spécificités

Secure ShellSécurisation SSF Évolution Attaque Présentation

Buts

Interopérabilité

Extensibilité

Efficacité

Secure Socket LayerCertificats Évolution AttaquePrincipe

SSLv2

SSLv3

SSLv1

TLSv1

Sécuriser les transactions Internet

Crypter les flux

Origine Spécificités Sécurisation SSF Évolution Attaque

Secure ShellPrésentation

Caractéristiques

Connexion privée et sûre

Extrémités authentifiées

Secure Socket LayerPrésentation Certificats Évolution AttaquePrincipe

Indépendant du protocole de communication

Suit le modèle client/serveur


Secure Shell

Historique

1994 : v1.0 testé en interne (Netscape)

1994 : publication SSL v2.0

1995 : SSL v3.0

1996 : standardisation de SSL v3.0 par IETF

1996 : TLS v1.0

Secure Socket LayerPrésentation Certificats Évolution AttaquePrincipeOrigine Spécificités Sécurisation SSF Évolution Attaque

Secure Shell

Architecture

SSL est composé de:

• Générateurs de clés• Fonctions de hachage• Algorithmes de chiffrement• Protocoles de négociation et de gestion de session• Certificats


SSL dans le modèle OSI


Secure Shell

Fonctionnement

Authentification du clientpermet à un utilisateur d'avoir une confirmation de l'identité du

serveur.

Authentification du serveurPermet d’assurer que le client est bien celui qu'il prétend.

Chiffrement de la sessiondonnées chiffrées par l'émetteur, et déchiffrées par le destinataire


Secure Shell

Couches protocolaires

SSL Handshake

SSL Change Cipher Spec

SLL Alert

SSL Record


Secure Shell

Négociation


Secure Shell

Certificats X509

Certificats


Secure Shell

Exemple de certificat


Secure Shell

Limites

Navigateurs sans les fonctionnalités évoluées

Basé sur une relation de confiance

Mots de passe

Une seule paire de clé

Pas de vérification systématique des CRL


Secure Shell

Évolution - TLS

TLS v1.0 ~ SSL v3.1

Plus clair : RFC 2246

Plus générique (encapsulation)

Conception indépendante de son utilisation

N’impose pas de méthodes de chiffrement spécifiques


Secure Shell

Attaque contre SSL

Webmitm: http://monkey.org/~dugsong/dsniff/

Relaye le trafic HTTPs, capture les accès webmail, n°de carte bleues

Comment?

Toujours MITM…

Pourquoi?

L’utilisateur peut accepter des certificats même s’ils ne sont signés par des autorités non reconnus et même si le navigateur le rejette


Serveur SSLClient SSL

L’homme au milieu…


Secure Shell

Conclusion

Solutions efficaces

Coût minimum

Simple à installer

Réponses aux 4 besoins

Telnet, rlogin, rcp

Transaction non sécurisée

SSHv2

SSLv3.1

Documents

Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE