79
© 2019 - Ddéveloppé par M. A. RACHEDI – droits réservés – reproduction interdite Réseaux : Architecture, Sécurité, Internet et messagerie Partie III : Messagerie et travail collaboratif M. Abderrezak RACHEDI Professeur des Universités Université Paris-Est Marne-la-Vallée (UPEM) Laboratoire d’Informatique Gaspard Monge (UMR8049) Février 2019 1

Réseaux : Architecture, Sécurité, Internet et messagerie

  • Upload
    others

  • View
    6

  • Download
    0

Embed Size (px)

Citation preview

© 2019 - Ddéveloppé par M. A. RACHEDI – droits réservés – reproduction interdite

Réseaux : Architecture, Sécurité, Internet et messageriePartie III : Messagerie et travail collaboratifM. Abderrezak RACHEDIProfesseur des Universités Université Paris-Est Marne-la-Vallée (UPEM)Laboratoire d’Informatique Gaspard Monge (UMR8049)

Février 2019

1

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Plan

n Messagerie électronique n Sécurité de la messagerie

¨ les systèmes anti-SPAM

n Travail collaboratif ¨ Gestion partagée du temps ¨ Agenda électronique ¨ Suivi d’activités

n Serveurs applicatifs¨ Serveurs d’applications¨ Serveurs de fichiers

2

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

3

Messagerie électronique

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Messagerie Internet - Histoire 1/3n Envoie de messages entre différents utilisateurs des mainframes à

la fin des années 60 (MAILBOX)

n Premier envoi d'un message entre deux machines du réseau ARPANET courant 1972 (1ère utilisation du caractère @)

n En 1973, les mails représentent 3/4 du trafic ARPANET

n Nombreux problèmes d'interropérabilité (RFC 680, 724, 733, etc.)

n Eric Allman développe delivermail (utilisation de FTP over NCP (Network Control Protocol) pour transmettre les messages)

4

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Messagerie Internet - Histoire 2/3

L’arrivé du TCP/IP

n Avant la naissance du protocole SMTP (Simple Mail Transfer Protocol), la transmission des mails se fait au moyen de : FTP, UUCP (Unix to Unix Copy), etc.

n Eric Allman développe sendmail

n La RFC 821 donne les premières spécifications du protocole SMTP en 1982

n La RFC 822 spécifie le format des messages

5

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Messagerie Internet - Histoire 3/3

Actuellement ... n L’évolution vers la messagerie actuelle :

¨ Encapsulation de contenus multimédias (MIME) ¨ Interconnexion avec les annuaires LDAP, Active Directory

n Les besoins émergents en terme de sécurité : ¨ Authentification, confidentialité, etc. ¨ Filtrage applicatif : spam, antivirus, etc.

n Les objectifs d’un serveur Mail sont : ¨ Accepter les mails issus des processus locaux (programmes et/ou utilisateurs)¨ Accepter les mails provenant d'autres serveurs ¨ Transmettre les mails aux processus locaux ¨ Transmettre les mails aux autres serveurs

6

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Protocoles et standard n SMTP (Simple Mail Transfer Protocol)

¨ Définit la manière de communiquer entre deux MTA en utilisant une connexion TCP

n POP3 (Post Office Protocol)¨ Permet de récupérer localement les courriers électroniques situés sur un serveur

de messagerie

n IMAP (Interactive Message Access Protocol) ¨ Permet d'accéder aux courrier directement sur le serveur de messagerie

n MIME (Multipurpose Internet Mail Extensions) ¨ Standard qui étend le format de données des courrier pour supporter des textes en

différents codage des caractères autres que d’ASCII

7

Ports du service de messagerie

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Composants d’un serveur de messagerie

n MUA (Mail User Agent)

¨ Programme permettant à l'utilisateur de lire et d'envoyer des messages n Dialogue avec le MTA via le protocole SMTP (client uniquement) et avec le serveur de

boîtes aux lettres via POP ou IMAP

n MTA (Mail Transfer Agent) ¨ Programme responsable de l'acheminement des messages

n MSA (Mail Submission Agent) ¨ Interface utilisée par le MUA pour soumettre les messages sortants au MUA. ¨ Fonctionnalité intégrée au MTA.

n MDA (Mail Delivery Agent) ¨ Interface entre le MTA et la boite aux lettres de l'utilisateur

8

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

MUA et MDA n Les MUA sont les programmes utilisés par les utilisateurs pour gérer leur

messagerie. - Exemples : Microsoft Outlook, Evolution, Thunderbird, Mutt, Pine, mailx, etc.

n Un MDA est directement exécuté par le MTA afin d'ajouter le message à la BAL (Boite Aux Lettres) de l'utilisateur destinataire. - Exemples : procmail, maildrop, etc.

9

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Architecture d’un système de messagerie Internet

10

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Quelques exemples de MTA

n Sendmail (le serveur mail historique d’Unix)

¨ Multiples failles de sécurité, configuration complexe, etc.

n qmail ¨ Architecture modulaire conçue de façon très sécurisée ¨ Configuration aisée, très performant

n Postfix ¨ Architecture similaire à qmail¨ Plus moderne (plus d'évolutions possibles)

n Exim (EXperimental Internet Mailer)¨ Délivrer les messages de manière instantanée, sans les mettre en file d'attente¨ Mauvaise performances de gestion de la file (cas des sites à haut débit)

11

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Accès aux boîtes aux lettres : POP3 n POP3 = Post Office Protocol version 3

¨ RFC 1939 ¨ Protocole permettant à un programme local de récupérer les mails

stockés dans une BAL distante (ie. présente sur un serveur distant)

n Utilise le port TCP/110

n Encore majoritairement utilisé par les ISP :¨ Le protocole est très simple, et il est compatible avec la plus part des

programmes clients ¨ Le fonctionnement par défaut favorise le contrôle de la taille des boites

aux lettres ¨ Convient parfaitement à un accès à Internet non-permanent

12

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

IMAP- Internet Message Access Protocol

n Permet d’accéder directement aux emails sur le serveur de messagerie sans les rapatriés localement

n Plusieurs évolution pour le protocole IMAP : la version 4 - RFC 3501

n Caractéristiques ¨ TCP/143 (ou TCP/993 pour imap over SSL)¨ Les messages restent sur le serveur, l'utilisation est en mode connecté¨ Boîtes aux lettres partagées, accès concurrentiels, etc. ¨ Plusieurs connexions IMAP peuvent être ouvertes simultanément lors de

l'accès à une BAL ¨ Création de dossiers IMAP résidant sur le serveur

n Quelques exemples de serveurs IMAP : ¨ UW Imap, Courier IMAP, Cyrus IMAP Server, Microsoft Exchange Server, Dovecot

13

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

MIME (Multi-purpose Internet Mail Extensions)

n RFC 2045..2049 (1996), 2183 (1997)n MIME permet de transporter des contenus quelconquesn En-tête :

– MIME-Version : 1.0– Content-Type :– Content-Transfer-Encoding :

n MIME - types de messages ¨ Content-Type : définit comment afficher le message à la réception.

Exemples : text/plain, text/html, text/enriched, image/gif, video/mpeg, application/pdf

¨ Messages composites : multipart définit un séparateur. Entre chaque séparateur structure MIME avec Content-Type : et Content-Encoding

n multipart/mixed : plusieurs éléments à la suiten multipart/alternative : plusieurs versions du même élémentn multipart/parallel : plusieurs éléments à montrer en même temps (vidéo/audio)n multipart/signed : Un élément et sa signature numérique

14

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

MIME - exempleMime-Version: 1.0 Content-Type: multipart/mixed; boundary="3Pql8miugIZX0722”

--3Pql8miugIZX0722 Content-Type: text/plain; charset=iso-8859-1 Content-Disposition: inline Content-Transfer-Encoding: 8bit Bonjour,blah blah, ci-joint un document pdf, blah blah --3Pql8miugIZX0722 Content-Type: application/pdf Content-Disposition: attachement; filename="figure.pdf" Content-Transfer-Encoding: base64 JVBERi0xLjMKJcfsj6IKNiAwIG9iago8PC9MZW5ndGggNyAwIFIvRmlsdGVyIC9GbGF0ZURlY29kZT4+CnN0cmVhbQp4nN1aS4/cxhG+81fw6BhQp9+Po4wYRoAIiLRr5BxM1paCoRzJkvP3

--3Pql8miugIZX0722--

15

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Le format des adressesn Une adresse mail est une chaîne de caractère contenant le symbole "@"

[email protected]

n Partie gauche (utilisateur) : ¨ Définie et interprétée localement par le site de destination

n Partie droite ¨ Adresse de messagerie du site. Utilise le DNS pour résoudre cette adresse

n un enregistrement de type MX (Mail eXanger) : pointe vers un enregistrement de type A.

n un enregistrement de type A (adresse IP)n un enregistrement de type « alias »

n Adresses particulières ¨ [email protected] (RFC 822)¨ [email protected]¨ ...

16

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

DNS (Domain Name System) 1/3 17

n DNS introduit une convention de nommage hiérarchique des domainesn Le domaine racine appelé “.”n Les domaines du premier niveau représentent la localisation géographique

(fr, be, eu, de ...) ou le type de service (museum, info, org, gov, mail, ...)¨ Ils sont gérés par ICANN (Internet Corporation for Assigned Names and Numbers)

n Les domaines de second niveau sont disponibles pour les entreprises/particuliers.¨ Ils sont gérés par l'InterNIC (une filiale de l'ICANN) ou bien l'AFNIC (Association

Française pour le Nommage Internet en Coopération) qui gère le domaine « fr »

n Plusieurs sous domaines peuvent être crée à l'intérieur d'un domaine de second niveau.

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

DNS (Domain Name System) 2/3 n Les noms de machine utilisant le système DNS sont appelés noms

d'hôtes¨ Un nom d'hôte peut contenir jusqu'à 255 caractères alphanumériques et le trait

d'union "-". ¨ L'utilisation du "." est interdite car il est réservé

n Deux types de noms avec le système DNS : ¨ le nom d'hôte qui représente le nom d'une machine (un ordinateur, une

imprimante ou bien encore un routeur) ¨ le nom de domaine pleinement qualifié ou FQDN (Fully Qualified Domain

Name).

n Le FQDN est composé de deux parties : le noms d'hôte et le nom de domaine

n Par exemple, une machine avec le noms d'hôte TEST-1 située dans le domaine students.u-pem.fr alors le nom de domaine pleinement qualifié (FQDN) de la machine TEST-1 est : TEST-1.students.u-pem.fr

18

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

DNS: Les types d’enregistrement 3/3

n Un enregistrement DNS peut être sous différentes formes :¨ A : Retourne une adresse IPv4 pour un nom de host donné¨ AAA : Retourne une adresse IPv6 pour un nom de host donné¨ NS : Délègue la gestion d’une zone à un serveur de nom faisant autorité¨ CNAME (Canonical NAME) : Permet de réaliser un alias (un raccourci)

d’un host vers un autre¨ SOA : Définit le Serveur Maitre du domaine¨ PTR : Réalise l’inverse de l’enregistrement A ou AAAA, donne un nom

de host (FQDN: Fully Qualified Domain) pour une adresse IP.Sous Linux/Unix: FQDN est disponible dans le fichier /etc/hosts

¨ MX : Définit le nom du serveur de courrier du domaine¨ TXT : Une chaîne de caractères libres

19

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Format des adresses

n Le format et l'interprétation des en-têtes sont spécifiés dans la RFC 822 (1982) ¨ « 822 allows much more flexibility than a typical mail- reading program

can actually handle; meanwhile it imposes restrictions that millions of users violate every day »

n Les en-têtes sont de la forme « Nom: valeur » ¨ Date: Sat, 2 Fab 2019 12:27:41 +0200

X-Spam-Flag: YES From: Bob Marley <[email protected]> To: Abderrezak Rachedi <[email protected]> Subject: CoucouMessage... ?!

21

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Le routage des mails et le DNS

n Question : à quel serveur doit-on s'adresser pour envoyer un mail destiné à "[email protected]" ¨ Le MTA effectue une requête DNS afin de connaître l'enregistrement

MX de "domaine.com"

bash$ host -t mx rstack.orgrstack.org mail is handled by 10 spool.mail.gandi.net.rstack.org mail is handled by 50 fb.mail.gandi.net.

¨ En cas d'échec de la requête DNS, cela ne veut pas dire qu'il n'y a pas d'enregistrement MX pour le domaine concerné : le client doit réessayer un peu plus tard...

¨ Si la requête DNS ne renvoie aucun enregistrement MX, alors le MTA doit prendre comme MX l'hôte lui-même

22

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Le routage des mails et le DNS

n Le serveur prend ensuite la liste des serveurs destinataires par ordre croissant de préférence et se connecte ensuite sur le port TCP/25 pour envoyer le message par SMTP ¨ En cas d'échec permanent, le client retourne un message d'erreur à

l'expéditeur (bounce message) ¨ En cas d'échec temporaire, le client réessaye d'envoyer le message en

utilisant les serveurs de mails ayant une priorité inférieure. S'il ne restent plus de serveurs dans la liste, le message est alors mis en attente

n L'utilisation des MX est spécifiée dans la RFC 974

23

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Protocole SMTP

n Définit la manière de communiquer entre deux MTA en utilisant une connexion TCP ¨ Protocole de type « PUSH »

n Utilise un alphabet ASCII 7 bits (en TCP, transmission de 8 bits avec le bit de poids fort à 0)

n Le nombre de commandes utilisées est relativement faible (< à 12)

n Le protocole est défini dans la RFC 821 (1982)

n La commande HELO permet à la machine source de s'identifier auprès du serveur SMTP

24

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Protocole SMTP

n Lorsqu'un serveur de mail accepte un message, il ajoute un en-tête "Received:" au début du message

n Le protocole TCP n'est utilisé qu'en half-duplex n Le client envoie une requête, attend la réponse, etc.n Importance de la rapidité de réponse pour les serveurs

n Les serveurs SMTP ne parsent pas les headers d'un message, excepté pour compter le nombre de saut (nb. de "Received: ")

25

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Les principales commandes SMTP n HELO : pour identifier l'émetteur du mail

¨ Synopsis : HELO <espace> <domaine> <CRLF>

n MAIL : pour débuter un transfert de l’email¨ Synopsis : MAIL <espace> FROM: <chemin inverse> <CRLF>¨ Exemple : MAIL FROM:<@mailhub.ici:@mailhost.labas:[email protected]>

n RCPT : permet de cibler le destinataire¨ Synopsis : RCPT <espace> TO: <destinataire> <CRLF>¨ RCPT TO:[email protected]

n DATA : permet de définir le corp de l’email qui se termine par <CRLF>.<CRLF>

¨ Synopsis : DATA <CRLF>

n QUIT : Marque la fin de la session et permet la fermeture de la connexion

26

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Les principales commandes SMTP

n VRFY: permet de vérifier la validité d'une adresse ¨ Problème de confidentialité vis à vis du Spam ¨ La RFC 1123 définit un nouveau code d'erreur (252) permettant de traiter la

commande VRFY

n EXPN : permet de développer une adresse générique représentant “une liste de diffusion” ou les alias d’une adresse

n Certains serveurs SMTP désactive (ne supportent pas ces deux commandes)

27

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Les évolutions du protocole SMTP 28

n Extended SMTP (ESMTP)

¨ Ces extensions (définies dans la RFC 1425) maintiennent néanmoins une compatibilité́ ascendante

¨ Utilisation de EHLO à la place de HELO, puis code réponse 250

bash$ nc mxa.relay.renater.fr 25 220 mxb1-1.relay.renater.fr ESMTP asmEHLO marley.com 250-mxb1-1.relay.renater.fr250-PIPELINING250-SIZE 31457280250-ETRN250-STARTTLS250-ENHANCEDSTATUSCODES250-8BITMIME250 DSN

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Outils et commandesn L’outil “nc” (netcat) : outil polyvalent (couteau suisse). Il permet :

¨ d’ouvrir des connexions TCP, envoyer des paquets UDP,¨ écouter des ports TCP et UDP, effectuer un scan des ports (IPv4 et IPv6).¨ Tester le serveur SMTP: nc nom_du_serveur 25

¨ Tester la disponibilité du serveur POP3 : nc pop.laposte.net 110

n L’outil « dig » : permet d’interroger des serveurs DNS et de diagnostiquer les dysfonctionnements dans la résolution de nom. Ex. dig gmail.com¨ Pour trouver le nom du serveur du domaine :

dig +noall +answer -t mx gmail.comn L’outil « nslookup » : permet de connaitre les adresses IP de tous

les serveurs d’un domaine n L’outil « Whois » : permet d’interroger l’annuaire pour obtenir des

informations sur le propriétaire d’un domaine n L’outil « TraceRoute » : permet de visualiser les routeurs traversés

par les paquets IP lors d'un échange entre deux machines distantes

29

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

30

Sécurité de la messagerie électronique

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Sécurité: Vulnérabilités, Menaces, Attaques n Vulnérabilités :

¨ pas d’authentification ni d’intégrité ni de confidentialité, ¨ relayage SMTP,¨ transport de contenus exécutables,¨ abus de privilèges, ¨ failles des logiciels, ¨ ..

n Menaces :¨ diffusion de SPAM ¨ propagation de virus ¨ dénis de service ¨ abus de privilèges¨ atteinte à la vie privée des utilisateurs, – etc.

31

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Absence de services de sécurité

n Le protocole SMTP ne fournit pas les services de sécurité de base : authentification, intégrité et confidentialité ¨ les messages ainsi que leurs entête sont transportés sans aucune

vérification¨ les contrôles sur l’enveloppe sont limités aux règles anti-relayage¨ l’enveloppe peut contenir n’importe quoi pourvu qu’elle passe l’anti-

relais ¨ un relais SMTP peut modifier un message sans violer le protocole ¨ les échanges se font en clair

32

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Relayage SMTP

n Vulnérabilité du protocole SMTP : ¨ Le protocole SMTP ne restreint pas les connexions acceptées. Historiquement

un relais SMTP acceptait de relayer n’importe quel message¨ Utilisé pour diffuser du SPAM en masquant le plus possible l’identité de

l’expéditeur : connexion à un relais SMTP aléatoire entre l’expéditeur et le destinataire

n Règle : ¨ Un serveur SMTP accepte de relayer un message seulement si l’expéditeur ou le

destinataire est local

n Mise en œuvre : ¨ Utilise les champs de l’enveloppe (EHLO, MAIL FROM : et RCPT TO :)¨ Vérifications dans le DNS¨ Comparaison avec la liste des sites locaux

33

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Vulnérabilités : contenu exécutable, DoS

n Contenu exécutable ¨ MIME permet de transporter des fichiers exécutables (code machine,

scripts, plug-ins,...) ¨ Les MUA ouvrent automatiquement les documents attachés

n Pour un document exécutable, l’action par défaut est (était) de l’exécutern Convaincre les utilisateurs d’ouvrir (exécuter) les documents attachés

n Dénis de Services (DoS)¨ Un serveur de messagerie se met en général hors-ligne lorsque sa charge

devient trop importante

34

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Vulnérabilités : confidentialité, abus de privilège

n Problèmes lié à l’absence de confidentialité mais en plus : ¨ commandes SMTP expn et vrfy donnent accès à la liste des comptes

connus, ¨ informations contenues dans les entêtes permettent de tracer

géographiquement (et temporellement ) l’émetteur d’un message ¨ systèmes de répondeurs automatiques qui donnent souvent trop

d’information

n Abus de privilège ¨ MTA et MDA exécutés avec les droits du super-utilisateur augmentent

l’impact des vulnérabilités ¨ Compte de messagerie = compte Unix avec shell et exécution de code

sur le serveur POP/IMAP¨ L’outil local de messagerie a l’accès complet à la machine de

l’utilisateur, alors qu’il traite des contenus potentiellement dangereux.

35

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Outils de sécurité: la redondancen La redondance pour éviter le Déni de service (DoS)

n Serveur DNS secondaire hors siten Serveur MX secondaire

¨ sur site : le plus simple à mettre en œuvre. Duplication de la configuration du serveur principal si fonction relais seul

¨ hors site : sur un serveur d’un domaine existant. Accepter le courrier pour son site, relais vers le serveur principal

n Redondance matérielle : système RAID pour BAL / Queue : ¨ pas d’arrêt en cas de panne¨ pas de perte de données en cas de panne¨ mais ne peut rien contre les erreurs humaines

36

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Recommandation pour la sécurité37

n Gestion des utilisateurs ¨ annuaire : correspondance compte messagerie / personnes physiques,¨ fermer les comptes non utilisés,¨ mettre en place de quotas sur les boîtes aux lettres,¨ avoir des moyens pour informer les utilisateurs,

n Architecture réseau

¨ R1 : laisse passer le port 25 de l’internet vers le relais SMTP bloque SMTP vers le réseau internebloque SMTP du réseau interne vers l’internet

¨ R2 : Routeur ou commutateur/routeur interne n Peut faire du filtrage entre réseaux internes

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Recommandation pour la sécurité

n Analyse de logs MTA¨ erreurs de connexion SMTP¨ erreurs de résolution DNS¨ connexions trop fréquentes¨ taille de la file d’attente¨ tentatives de connexions sur des machines autre que le serveur

n Parmi les outils d’analyse de log¨ Logcheck : scrute par défaut les fichiers de logs toutes les heures et

envoie par courrier électronique à root¨ isoqlog :analyseur des logs MTA . Il est conçu pour analyser les logs

de qmail, postfix, sendmail et exim logfile

38

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Filtres anti-virus / anti-spam

Où installer les filtres ?

n Niveau MUA indispensable mais :¨ garantir la mise à jour ¨ être exhaustif (un seul poste non protégé peut bloquer/contaminer tout un réseau)

n Au niveau MTA :¨ protection globale¨ plus facile de garantir la mise à jour et l’utilisation systématique¨ problèmes de charge serveurs¨ problèmes de politique de sécurité globale

39

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Anti-virus Approches :

n par signature : ce que font les anti-virus traditionnels n Limites :

¨ « fenêtre de vulnérabilité » entre apparition d’un nouveau virus et la mise à jour des anti-virus.

¨ fausses alertes de plus en plus nombreuses (statistiquement inévitable).¨ Coût des solutions les plus performantes

n plus simple : bloquer l’exécution des contenus potentiellement dangereux. ¨ Capable de bloquer de nouveaux vers/virus.¨ Pas de faux positifs (par définition).

n Limites : ¨ liste exhaustive des types MIME exécutables ? ¨ comment échanger des exécutables légitimes ?

40

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Spam (Pourriel)- Courriers indésirables

n Les “Spam” désignent les emails indésirables, envoyés massivement à de nombreux destinataires (sans qu’il aient accepté)

n Souvent, la collecte des adresses électroniques figurant dans la base de données des spammeurs s’effectue illégalement

n Le spam est un courrier non sollicité que les destinataires ne s’attendent pas à recevoir

n Représente environ 70% à 90% du trafic mail sur Internet

n Deux questions se posent, comment le caractériser et surtout comment l'éviter.

41

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Comment reconnaître un spam ?

n Un contenu commercial (ou financier)n Une importante liste de destinatairesn En-tête du message truquée n Un grand nombre d'exemplaires du même message envoyé dans un

court laps de tempsn Utilisation de l'adresse d'un destinataire sans son consentement

expliciten Usage des sites de relais comme “open mail relay” pour l'émissionn Champs To et From de l'en-tête invalides

42

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Filtrage des Spamn Politiques de filtrage des Spam

¨ Définir : 1) ce qui est du trafic légitime, 2) ce qui sera bloqué (mis en quarantaine).

n Masquer les adresses email ¨ [email protected] pour [email protected].¨ Jean chez exemple point fr pour [email protected]¨ Jean[at]exemple.fr pour [email protected]¨ Communiquer l’adresse email par une image ¨ Coder l’adresse email

n Les techniques de filtrage ¨ Filtrage d’enveloppe : s’applique uniquement sur l’enveloppe du message¨ Filtrage de contenu : s’applique sur le contenu du message

n Filtrage Bayésien : basé sur l’apprentissage et la classification automatiquen Filtrage par mots-clés ou adresse : type « money », « viagra », « sexe », etcn Filtrage par expression régulière n Filtrage par heuristique n Filtrage par analyse de virus des pièces jointesn Filtrage par analyse du contenu des images

43

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Ex.: Outil général de filtrage pour sendmailn Mimedefang : Programme de filtrage de mails, utilisant l’API milter

de Sendmail¨ destruction, modification ou mise en quarantaine de fichiers attachés

«dangereux»¨ interface avec Anti-virus existants, avec SpamAssassin

¨ ajout de notices aux messages¨ actions configurables en fonction du domaine, de l’utilisateur, du relais

utilisé, etc. ¨ Permet d’opérer comme anti-virus et anti-spam en même temps

44

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Interaction sendmail/mimedefang

45

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Filtrage sur le contenu : principen Classer les messages en fonction du texte complet du message

¨ Par mots clés / patterns : SpamAssassin¨ Par analyse statistique : Classification Bayesienne (bogofilter, bmf, etc. ) ¨ Base de donnée de spams : Vipul’s Razor

n Exemple : SpamAssassin ¨ Ensemble de tests sur le contenu ¨ Chaque test attribue des points ¨ Somme des points → score ¨ Marque les messages qui dépassent un seuil. ¨ Ecrit en Perl. ¨ Plusieurs modes de fonctionnement :

n filtre simple (utilisation avec procmail)n filtre client d’un démon (meilleurs performances) (spamc) n au travers de l’API milter (sendmail) → filtrage global

46

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Sécurité du transport

n SSL - protocole au dessus de TCP (Entre TCP et l’application)

n IPsec - protocole au niveau transport

n VPN - Virtual Private Networks

47

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n IPSec est un protocole lié à IPv4 et IPv6. Il assure l’authentification et le chiffrement des données via Internet

n IPSec encapsule des paquets IP complets et les protège jusqu'à leur destination, où les paquets IP sont "décapsulés" et restitués.

n Il regroupe les protocoles suivants :¨ Pour le chiffrement et l’authentification : ESP et AH ¨ Pour l’échange de clés IKE (Internet Key Exchange)

n IPSEC a deux modes d’opérations:¨ Tunnel : le paquet entier est encapsulé dans un nouveau paquet¨ Transport : ne protège que les données des paquets transmis

n Pour chaque connexion TCP protégée, la SA (Security Association) mémorise :¨ Les algorithmes utilisés ¨ Les clés et la durée de validité des clés ¨ Les numéros de séquence et l’identité des partenaires

48

IPSec

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

IPSec : Authentification Header (AH)

n L’ajout de l’entête d’authentification permet de vérifier l’authenticité et l’intégrité des paquets

n Il n’y a pas de chiffrement des données

n L’authentification est faite sur : ¨ Les données qui suivent l’en-tête AH¨ Sur l’en-tête AH¨ Sur les champs important de l’en-tête IP ( source, destination, protocole,

longueur, version)

49

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

IPSec : Encapsulated Security Payload

n L’enveloppe ESP permet de chiffrer et d’authentifier les paquets n L’enveloppe ESP contient :

¨ L’en-tête (Header)¨ Les données chiffrées¨ Une queue (Trailer) ¨ Des données supplémentaires d’authentification

n Le chiffrement ne porte que sur les données encapsulées et le trailer

n L’authentification optionnelle porte sur l’en-tête ESP et tout ce qui suit, mais pas sur l’en-tête IP

50

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

IPSec : mode transport et tunneln En mode transport, on chiffre ou on authentifier la partie data d’un paquet IPn En mode tunnel, on protège le paquet complet et on l’encapsule dans un

nouveau paquet

n En mode transport la sécurité est faite de bout en bout

n En mode tunnel la sécurité est faite par des routeurs intermédiaires

51

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

IPSec

n 2 types de VPN avec IPSec

n L2TP sur IPSec en mode transport (mode Microsoft) : ¨ transporte n'importe quel protocole (IP, IPX, NetBeui) ; ¨ Beaucoup d'en-têtes et d'encapsulations.

n IPSec en mode tunnel.¨ ne peut transporter que IP ;¨ plus efficace.

52

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

IPSec: Internet Key Exchange (IKE)

n IKE sert à négocier les paramètres pour les protocoles AH et ESP (algos, clés, durée de validité,...)

n Authentifie les partenaires par secrets partagés, clé publiques ou certificats.

n Deux phases : ¨ Phase1 : négocie une SA (Security Association : enregistrement

contenant les paramètres pour AH et ESP) pour protéger les négociations.

¨ phase 2 : définit les SA nécessaires pour des flux ESP ou AH.

53

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n Services fournis par IPSec

¨ Confidentialité et protection contre l’analyse du réseau

¨ Authentification des données et de leur origine¨ Intégrité des données (en mode non connecté)¨ Protection contre le rejeu¨ Contrôle d’accès

n Exemple d’utilisation : les réseaux virtuels privés

54

IPSec

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n Avantages :¨ Modèles de sécurité flexible (toolkit modulaire)¨ Différents niveaux de sécurité : chiffrement fort ou faible et/ou

authentification¨ Totalement transparent pour les applications

n Inconvénients :¨ Système très complexe (nombreux protocoles)¨ Interaction IKE & PKI possible mais pas normalisée¨ IPSec est limité à l’instauration de VPN entre réseaux

(passerelles/serveurs)¨ Pas d’authentification de personnes ¨ pas de transaction sécurisée & non concurrence à SSL

55

IPSec

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

SSL (Secure Socket Layer)n Le protocole SSL (Secure Socket Layer) a été proposé au départ

Netscape et permet des connexions sécurisées sur des serveurs Web. n Il intervient au dessus de la couche transport.

n Il permet :¨ une authentification réciproque entre client et serveur à l’aide de clés symétriques ; ¨ des transaction encryptées entre client et serveur

n SSL intègre deux sous-couches : ¨ SSL record protocol qui définit le format utilisé pour transmettre les

données ; ¨ SSL handshake protocol qui définit une série de message pour établir la

connexion entre le client et le serveur.

56

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Echange SSL57

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Protocole SSL avec certificat n Pour palier les lacunes, le cryptage est souvent associé à un certificat.

n Le navigateur qui accède à un serveur doit récupérer la clé publique de ce serveur ; celle-ci lui est transmise à l’intérieur d’un certificat X509.

n Le certificat est un fichier constitué de la clef publique et sa signature, le nom de l’autorité et quelques extensions.

n Ce certificat contient donc la clé publique du serveur, validée ("signée") par un organisme reconnu, appelé autorité de certification (CA).

n Pour sécuriser davantage, un certificat peut aussi être installé sur chaque client.

58

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Protocole SSL avec certificat

59

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

SSL : Capture

60

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

SSL: Applications utilisant SSLn SSL peut être utilisé pour sécuriser n'importe quel protocole utilisant

TCP/IPn Certains protocoles ont été spécialement modifiés pour supporter SSL:

¨ HTTPS: c'est HTTP+SSL. Ce protocole est inclus dans tous les navigateurs¨ FTPS est une extension de FTP utilisant SSL.

n Une fois le tunnel SSL créé, Il est donc possible de faire passer n'importe quel protocole dedans (SMTP, POP3, HTTP, NNTP...).

n Ceci peut être réalisé avec des outils comme STunnel (http://www.stunnel.org) ou SSH.

n La version 3.0 (actuellement la plus répandue) est standardisée par l’IETF (Internet Engineering Task Force).

n TLS (Transport Layer Security) proposé par l’IETF est la version 3.1 de SSL.

n TLS est défini dans le RFC 22456 et n’impose pas de méthodes de chiffrement spécifiques.

61

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Connexion sécurisée SSHn L'environnement SSH (Secure Shell) s'adresse aux utilisateurs qui

souhaitent accéder de manière sécurisée à des systèmes Unix distants.

n Ses composants remplacent des programmes peu sécurisés comme : ¨ ftp (file transfer protocol) ou rcp (remote copy) pour les échanges de fichiers ; ¨ telnet ou rlogin (remote login) pour établir une session de travail ; ¨ sh (remote shell) ou rexec (remote exec) pour exécuter une commande Unix sur un

système distant

n La sécurité est garantie par une authentification à l'établissement de chaque connexion et par l'encryptage des données

n SSH utilise une connexion TCP sur le port 22.n On peut utiliser une connexion SSH pour transporter un autre

protocole, par exemple SMTPn SCP (Secure CoPy), utilisé généralement en mode commande,

permet de télécharger des fichiers de manière sécurisée en passant par SSH.

62

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

VPN : Virtual Private Networksn La sécurité passe également par l’utilisation de réseaux privés virtuels (VPN)n Un VPN est constitué d’un ensemble de LAN privés reliés à travers Internet

par un « tunnel » sécurisé dans lequel les données sont cryptées.n Les postes distants faisant partie du même VPN communiquent de manière

sécurisée comme s’ils étaient dans le même espace privé.n La technique de « tunneling » utilisée permet :

¨ d’identifier chaque extrémité ;¨ de transférer les données après chiffrement.

63

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

64

VPN : Virtual Private Networks

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n VPN vu par Cisco

¨ PC1 (10.2.2.2) envoie un paquet vers le serveur web S1 (10.1.1.1) comme il le ferait si ce dernier était sur le même LAN.

¨ Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute les en-têtes VPN et un nouvel en-tête IP (avec les @ publiques) et relaie le paquet.

¨ Le « man in the middle » peut intercepter le paquet mais ne peut lire ni son contenu ni les adresses privées.

¨ Le routeur/firewall ASA-1 reçoit le paquet, confirme l’identité de l’émetteur, confirme que le paquet n’a pas été modifié, et décrypte le paquet original.

¨ Le serveur S1 reçoit le paquet décrypté.

65

VPN : Virtual Private Networks

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n Eléments de base :¨ Protocole de VPN sur les routeurs ou les PCs (portables) ;¨ Encapsulation des paquets pour leur voyage à travers

Internet ¨ Chiffrement des données pour garantir la confidentialité.

n Différents niveaux de protocoles¨ Protocole de niveau 2

n Microsoft : PPTP - Point to Point Tunneling Protocoln IETF : L2TP - Layer 2 Tunneling Protocol :

Résultat de la fusion du protocole L2F (Layer 2 forwarding) de Cisco et de PPTP de Microsoft

¨ Protocole de niveau 3 (GRE, IPSEC, MPLS)¨ Protocole de niveau 4 (SSL, TLS)

66

VPN : Virtual Private Networks

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n Pour accéder à distance à un réseau non sécurisé, on se connecte à un serveur d’accès distant ou Remote Access Server (RAS)

n La méthode classique consiste à se connecter au RAS directement par modem (protocole PPP)

n Dans le cas d’un VPN, le serveur RAS devient une passerelle VPN à laquelle on accède par le protocole PPTP

n La passerelle VPN doit également être connecté à Internet, par exemple par une connexion PPP modem vers un ISP

67

VPN : Protocole PPTP

Réseau type VPN

Réseau non sécurisé

Passerelle VPN logicielle

Passerelle VPN

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n Encapsulation :¨ Le protocole PPTP chiffre et encapsule (fait passer par un « tunnel crypté») le

datagramme IP dans le cadre d’une connexion point à point.¨ Le serveur VPN à l’entrée du tunnel exécute l'ensemble des contrôles de la sécurité et

des validations, et active le cryptage des données.¨ Une trame PPTP est donc constituée :

n Du datagramme IP contenant les données utiles et les adresses IP de bout en bout ;n De l’en-tête PPP nécessaire pour toute connexion point à point ;n D’un en-tête GRE (Generic Routing Encapsulation) qui gère l’encapsulation et permet d’isoler

les flux IP privé et public ;n D’un nouvel en-tête IP contenant les adresses IP source et destination des passerelles VPN

(client et serveur VPN).

n Négociation :¨ Avant d'établir le tunnel GRE, une connexion TCP (port 1723) est utilisée :

n négociation des paramètres ;n authentification de l'utilisateur ;

¨ La négociation se fait en clair.¨ La version courante utilise des clés de 128 bits aléatoires.

68

VPN : Encapsulation PPTP

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n L2TP (Layer 2 Tunneling Protocol) ¨ Protocole standardisé par l'IETF (Internet Engineering Task Force).¨ Extension de PPP qui permet de terminer une connexion non pas à

l'autre modem mais à une adresse IP quelconque.¨ Les paquets PPP sont encapsulés dans des paquets UDP pour le

transport par Internet.¨ Remplace la solution propriétaire PPTP.¨ N'a pas de chiffrement (nécessite IPSec).

69

VPN : Protocole L2TP

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n L2TP offert par l’ISP :¨ Le tunnel L2TP rallonge la connexion PPP du client jusqu'au

serveur d'accès à distance.

70

VPN : Encapsulation L2TP

q L2TP réalisé par le client :Ø Le client doit gérer 2 connexions PPP : une vers l'ISP et une vers le

serveur d'accès.

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

71

Travail collaboratif

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Les services des plateformes collaboratifs

n Le but est d’avoir un point de contact unique pour : § Etre informé de l’état de présence de mon correspondant§ Partager des documents et travailler instantanément sur ces derniers§ Piloter dynamiquement mon état de présence§ Messagerie instantanée (chat)§ Accès à l’annuaire d’entreprise§ Import des contacts personnels § Click-to-Call (les appels)§ Journal d’appels§ Softphone (travail à distance ou à domicile)§ Conférence§ Messagerie vocale unifiée§ Appel Vidéo (Open VPN SSL )

72

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Outils de Meeting virtuels

n La vidéoconférence était difficile à mettre en place (coût, et QoS)n Actuellement, les entreprises (petites et moyennes) utilisent la

visioconférence quotidiennement, car :¨ le coût des applications a baissé,¨ la QoS (bande passante, débit et le délai (jigue)) du réseau a

augmentén Parmi les outils utilisés sont (permettent d’organiser des réunions

virtuelles en partageant votre écran avec d’autres participants) :

73

q ezTalks Cloud Meetingq Join.meq Go to Meeting/Go to Webinar q Zoomq Skype q Google Hangouts

q FreeConferenceCall.comq WebExq GroupMeq …

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Outils de Meeting virtuelsn Combien de participants seront impliqués?

¨ Certains outils fonctionnent bien avec un petit groupe, mais ne peuvent pas accueillir 10 personnes ou plus.

n Quel type de partage est nécessaire? ¨ les participants devront-ils regarder une vidéo tous ensemble, lors d'une réunion en temps réel?¨ Les participants ont-ils besoin de se voir? Travailler sur le même document (partager)

n Qui peut partager ?¨ Dans certains cas, vous pouvez limiter le partage (écran/application/etc) à quelques-uns

seulement.

n Cette réunion s'inscrit-elle dans une collaboration en cours? ¨ Si les participants se réunissent fréquemment pour collaborer, envisagez des outils permettant

de partager des connaissances et de reprendre le fil de la dernière conversation (une participation asynchrone).

n Est-ce que tout le monde fait partie de la même organisation? ¨ Si tous les participants sont internes à une organisation, vous pouvez utiliser un outil de

téléconférence Web qui s’intègre au système d’annuaire (les réunions ad hoc, en plus des réunions pré-programmées).

¨ Les outils de communication unifiée tels que Microsoft Lync et Cisco Jabber, ainsi que d'autres solutions moins connues, fournissent cette fonctionnalité.

74

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Outils de Meeting virtuels

n D'où se connecteront les participants? ¨ Par exemple, seront-ils au bureau? Leur bureau à la maison? Site client? Aéroport? Train?

Voiture? ¨ Il faut déterminer la bande passante à laquelle ils s'attendent d'avoir accès, les restrictions

de sécurité pouvant nécessiter des solutions de contournement à l'avance, la possibilité de télécharger les applications nécessaires et les autorisations spéciales éventuellement nécessaires.

n Quels appareils les participants utiliseront-ils pour se connecter? ¨ Certains utiliseront-ils un ordinateur de bureau? Portable? Tablette? Téléphone? Téléphone

portable? Combiné? Casque? Haut-parleur? ¨ Certains outils de téléconférence Web et d'audioconférence fonctionnent mieux sur certains

appareils que sur d'autres.

n Quelles sont les exigences technologiques? ¨ Indiquez d'emblée dans votre demande de réunion initiale ou votre message électronique

quelle technologie sera utilisée et quel type d'installation ou de test peut être nécessaire avant la réunion. Par exemple, tout le monde aura besoin d'un casque sans fil connecté à son ordinateur (ou d'un casque standard connecté à une ligne fixe), d'un accès Internet rapide, d'une webcam et d'un clavier.

75

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Les services des plateformes collaboratifs n Plateforme :

¨ MICROSOFT OFFICE 365 ¨ GOOGLE G SUITE

n Outils : ¨ Scrumblr

76

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Scrumblr: Un tableau blanc collaboratif

n Scrumblr : http://scrumblr.ca¨ un site qui permet de créer un tableau blanc collaboratif ¨ des notes sous la forme de Post-it de toutes les couleurs ¨ un environnement graphique sous forme d’une application Web

77

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

78

Serveurs applicatifs

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Serveurs applicatifs

n Définition : le serveur d’application est un logiciel d’infrastructure, installé sur ordinateur placée sur un réseau qui offre un contexte un d’excution pour des composants applicatifs

n Le serveur d’application est considéré comme une application trois-tiers :¨ Un serveur d’interface utilisateur graphique (nommé le front-end) : il

s’exécute dans un navigateur Web ¨ Une application (ou groupe d’applications) dédie à la logique métier ¨ Un back-end (ce qui n’est pas visible à l’utilisateur) comme une base

de données et un serveur transactionnel

79

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Serveurs applicatifs

n Il existe une grande variété de logiciels serveurs et de logiciels clients en fonction des besoins à servir : ¨ un serveur web publie des pages web demandées par des navigateurs web ¨ un serveur de messagerie électronique envoie des mails à des clients de

messagerie ¨ un serveur de fichiers permet de stocker et consulter des fichiers sur le réseau ¨ un serveur de données à communiquer des données stockées dans une base

de données¨ un contrôleur de domaine permet de gérer les utilisateurs et les droits d'accès

sur un réseau, etc.

80