•Sophistication

GENERALISATIONRESEAUX PRIVES INTRANETs /Extranets

Monopole Technologique TCP/IP (Uniformité)

•Vide Juridique (Internet)/«Immatérialisme » des Intrusions•Impunité

•Hackers(Challenge)

• Criminalité (Métier)

« S.M.Intrus »

•Terrorisme (Warefare) •Espionnage

+ de Succès

SUCCES D’INTERNET

INTERNET

SMI

ENJEUX CONSIDERABLES:•Economiques(Commerce electronique(132 Milliards de $ en 2000))•Scientifiques/Culturels•Sociaux/Politiques

=Centre névralgique de l’émergente SMI :

•Convoitise

INTRUS

COLLABORATION «ANONYME »

ENRICHISSEMENT « Abusif » DES SERVICES TCP/IP

-SECURITE +COMPLEXITE

Essai

S

+ Failles +

INTRUS

311 N.Intrusions(CERT)

+48% Virus

INTERNET

PASSIVES

Attaques

• Comptes/Ports dangereux

•Fichiers de mots clés...

•Erreurs de CONFIG

•Versions à PBs

SONDAGE

AutomatiquesCiblés

INTERNET

RADIOSCOPIE D ’ UNE INTRUSION : 2 PHASES

Sniffeurs

ESPIONNAGE

«ABUS»•Analyse des Flux•Récolte de Passwords•Récolte de séquences à rejouer

NOC I VES

ATTAQUES « ACTIVES »

confidentialité, Corruption Intégrité

Disponibilité du réseau

•ABUS des INTERLOCUTEURS (Masquerade) •IP-Spoofing, TCP-Spoofing •Sites Web « Fantômes »…

Canaux Cachés ,….

• Implantation de Chevaux de Troie ( Effacer les traces...), Sniffeurs,

Compte ROOT …..

•IMMOBILISATION sélective ou GLOBALE (DENI DE SERVICE )

• Corruption de Comptes UTILISATEUR

• Implantation de Codes Malicieux (Virus, Vers ...)

. . .

EXEMPLES D ’ ATTAQUES SIMPLES

« PING of DEATH » Taille (Paquet IP)> 65536

« SYN ATTACK »

Séquence de Paquets SYN

- «Land » : SYN avec SOURCE (@IP,

Port)= DESTINATION((@IP, Port) - «TearDrop » …..

«SMURF Attack» PING DIFFUSE avec @IP(retour) dans Intranet Attaqué

MECANISMES DE SECURITE

•Confidentialité •Intégrité•Disponibilité(Contrôle d ’accès)

•Authentification & Non-répudiation•Autorisation

1-CONFIDENTIALITE

CHIFFREMENT

I- SYMETRIQUES

1 Clé SECRETE

Secrète

Publique

Message Clair1

Message Clair1

II- ASYMETRIQUES

(Clé PUBLIQUE , Clé PRIVEE)

Message Clair

S

S

Message Clair

P

+ Authentification

PPubliée sans risque (Répertoires PUBLICS)

Algos Symétriques :PLUSRapides (~1000xAsym)

Algos ASYMETRIQUES•PLUS PRATIQUES:Conviennent à des Env MULTI-UT « Anonymes » (Publication des clés)

SClé de session(aléatoire)

INTERNET : UT ALGOS HYBRIDES(SYM+ASYM)

S

Message Clair

S

CHIFFREMENT SUR INTERNET

INTERNET

SMessage Clair

P

SPS

(Enveloppe Digitale)

FORCE

SYSTEME

CRYPTOGRAPHIQUE

QUALITES

CONCEPTUELLES

•Failles fonctionnelles(Algos+Protcoles Cryptographiques

•PAS DE PREUVE FORMELLE ABSOLUE(PREUVES RELATIVES A Failles CONNUES et puissance de traitement)

•Attaques « Expertes » (chosen plaintext,known plaintext, ciphertext-only, Timing

•RETROUVER la CLE (SYM)

?

N bits

•Attaque (Non Experte) par Recherche EXHAUSTIVE

2Nclés

// DERIVER CLE PRIVEE(ASYM)

RESISTANCE A LA CRYPTOANALYSE

EXPORT40 bits

-DES56 bits

-IDEA,CAST128 bits

Efficacité

-AES(2001)256 bits

Taille-clé

Skipjack160bits

SOL(Taille clé): Chiffrement Multiple

DES(56bits) DES(56bits) DES(56bits)

:3x56= 168 bits (ou 112)3DES

QUALITE DE L ’ IMPLEMENTATION FAITE+

QUALITE DE

L ’ IMPLEMENTATION

FORCE

SYSTEME

CRYPTOGRAPHIQUE

• Génération des clés

Pass-phrase

Générateur de Nombres Purement

aléatoires

-DISRIBUTION et AUTHENTIFICATION DES CLES :

PubCERTIFICATS

-Mode d ‘ Utilisation, Stockage…

•? Compression des données(Avant)

-Révocation, Terminaison...CA

SGérés et délivrés sur INTERNET par des

AUTORITE(s) DE CERTIFICATION(CA)(Hiérarchie de CAs)

CONFIDENTIALITE CHIFFREMENT

•GESTION DES CLES :

• Détails d ’Implémentation :

•Mode de Chiffrement (ECB, CBC,CFB, OFB) . . .

2-

CONTROLE

INTEGRITE

FONCTIONS DE HASHAGE

Taille QUELCONQUE Taille FIXE (128 /160 bits)

MESSAGE SCELLE FONCTION DEHASHAGE

FONCTION DEHASHAGE

IMPOSSIBLE

SCELLE MESSAGE +

MD5, SHA-1

MESSAGE INTEGRE SI IDENTIQUES

3-AUTHENTICITE

SIGNATURE DIGITALE

MESSAGE FONCTION DEHASHAGE

SCELLE SIGNATURE

DONNEES

Chiffrement ASYM

SClé Privée

+ SIGNATUREMESSAGE + P

CA

CERTIFICATs

Algos ASYM : DSA, DH, RSA

Chiffrement Hybride

4-NON

REPUDIATION

SIGNATURE DIGITALE et Notaires Electroniques

MESSAGE FONCTION DEHASHAGE

SCELLE

Chiffrement

S

HORDOTAGE

+ Autres Infos

(selon Notaire)

SIGNATURE

NOTAIRE

SIGNATURE

SIGNATUREMESSAGE +

RECEPTEUR

INTERNET

P

SET

MESSAGE

5-AUTORISATION

MOTS CLES DE SESSION(One Time Passwords)

INTERNET

ChallengeChallenge CRYPTE(clé de session)

COMPARAISON

OK

Challenge S

S

•Radius•Tacacs+(Kerberos)

S

•Soft : OTP (S/Key)•Harde (Token/cartes):SecID, Activcard, Fortezza,...

DES

6-CONTROLE

D ’ ACCES

I - APPROCHE « PESSIMISTE » : FIREWALL

• VPN: Encapsulation, Chiffrement et Authentificationdes Communications entre EXTRANETs

Audit des Communications+ (Frontiére=>)Fonctions Additionnelles:

•Contrôle du CONTENU : Virus, Mail ( @ ,mots-clés), Web ( @ ,mots-clés,labels),FTP,Telnet,Chat,...

•NAT , Load-balancing, (SIR)...

IPSec, S/WAN,(IPv6)

Serveurs WebMail...

ZoneDémilitarisée (DMZ)

Système FIREWALL

F Internet

CONTROLE

D ’ ACCES

II - APPROCHE « OPTIMISTE » : Analyseurs de Sécurité

Analyseurs de Sécurité

Internet

Analyseurs de Sécurité

Internet F

APPROCHE COMBINEE: I+II

•Contrôle AUSSI les Intrusions Internes•Contrôle SOUPLE des services INTERRACTIFS (Web, Chat..)

Intranet

SANS LES RETARDER

ASPECTS

GESTION

POLITIQUE DE SECURITE

SECURITE = UN TOUT{1-Plan/Organisation + 2-Décisions/Régles +3-Mécanismes}

1°

Etablissement METHODIQUE d’une POLITIQUE DE SECURITE CIBLEE et EVOLUTIVE :

Analyse des RISQUES(Quoi Protéger, Contre QUOI, RISQUES)

Etablissement SHEMA DIRECTEUR SECURITE

•Schéma organisationnel•Réglementation d ’UT d ’Internet•Règles de réaction Si Intrusion•Procédures d ’Audit

Mesures Organisationnelles{Guides} Mesures TECHNIQUES

•Mesures Physiques•Mécanismes de Protection•Mécanismes d ’Audit

OUTILS d’AUDIT

AUDIT PREVENTIF DETECTION D ’INTRUSIONS

Audit STATIQUE du système Contre

LES FAILLES CONNUES(Avis CERT)•Failles de Configuration, Versions à Failles….

AUDIT des ESSAIS D ’INTRUSIONS

•ISS,SATAN,COPS, TIGER…•Mscan (intrus)

2-Approche PAR SCENARIOS(Intrusions CONNUES)

1-Approche COMPORTEMENTALE(Intrusions INCONNUES)

RealSecure(2),RECH: famille IDES(1+2), Outils de cryptage des fichiers d’audit