Title: Pr
1- La sécurisation
- des flux réseaux
- avec SSH et SSL
Aymeric BERNARD Stéphane BRINSTER
Guillaume LECOMTE
2Introduction
De en dutilisateurs De en de
communications Donc de en de problèmes
- Qualités de la sécurité dune communication
- Besoin de confidentialité pas lu par un tiers
- Besoin dintégrité pas de modification
- Besoin dauthentification identité dun objet
- Besoin de non répudiation ne pas nier ses
actions
3Origine
- Anciens programmes et leurs problèmes
- Les r-commandes (rlogin, rcp, rsh)
- Les mots de passe à usage unique
- Telnet avec chiffrement
- Utilisation de la cryptographie dans les flux
applicatifs ! - ?IPSec (Internet Protocol Security)
- SSH (Secure SHell)
- SSL (Secure Socket Layer)
Attaque
Spécificités
Sécurisation
SSF
Évolution
Certificats
Évolution
Attaque
Principe
Origine
Présentation
Secure Socket Layer
Secure Shell
4Spécificités
- Éviter la circulation en clair sur le réseau des
mots de passe risque de compromission. - Renforcer l'authentification des machines
sensible à la mascarade. - Sécuriser l'emploi des commandes à distance.
- Sécuriser le transfert de données.
- Sécuriser les sessions X11
Attaque
Certificats
Évolution
Attaque
Principe
Sécurisation
SSF
Évolution
Spécificités
Présentation
Origine
Secure Socket Layer
Secure Shell
5Sécurisation des échanges
?Algorithmes symétriques
Attaque
Certificats
Évolution
Attaque
Principe
Sécurisation
SSF
Évolution
Spécificités
Présentation
Origine
Secure Socket Layer
Secure Shell
6Sécurisation des échanges
?Algorithmes asymétriques
Attaque
Certificats
Évolution
Attaque
Principe
Sécurisation
SSF
Évolution
Spécificités
Présentation
Origine
Secure Socket Layer
Secure Shell
7Sécurisation des échanges
?Clés de session
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Sécurisation
SSF
Évolution
Spécificités
Présentation
Origine
Secure Socket Layer
Secure Shell
8SSH en France SSF
- Rappel de la législation française
- Introduction à SSF
- SSF pourquoi ?
- Utilisation
Attaque
Certificats
Évolution
Attaque
Principe
Évolution
Spécificités
Sécurisation
SSF
Présentation
Origine
Secure Socket Layer
Secure Shell
9Tunneling SSH
? telnet monMail 110 POP3 non sécurisé !!!
? Solution tunnel sécurisé SSH ssh L
4000monMail110 monMail En Local telnet
localhost 4000
22
gt1024
Localhost4000
monMail110
Internet
Attaque
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Présentation
Origine
Secure Socket Layer
Secure Shell
10Attaque contre SSH
? Sshmitm http//monkey.org/dugsong/dsniff/ mots
de passe daccès SSH,détourne les sessions
interactives Comment? MITM
mascarade Pourquoi? Le client accepte
aveuglément la clé du serveur Le client accepte
que le serveur puisse avoir changé de clé
Attaque
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Présentation
Origine
Secure Socket Layer
Secure Shell
11Définition
- SSL (Secure Socket Layer)
Attaque
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Présentation
Origine
Secure Socket Layer
Secure Shell
12Buts
- Sécuriser les transactions Internet
- Crypter les flux
- Interopérabilité
- Extensibilité
- Efficacité
Attaque
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Présentation
Origine
Secure Socket Layer
Secure Shell
13Caractéristiques
- Indépendant du protocole de communication
- Suit le modèle client/serveur
- Connexion privée et sûre
- Extrémités authentifiées
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
14Historique
- 1994 v1.0 testé en interne (Netscape)
- 1994 publication SSL v2.0
- 1995 SSL v3.0
- 1996 standardisation de SSL v3.0 par IETF
- 1996 TLS v1.0
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
15Architecture
- ?SSL est composé de
- Générateurs de clés
- Fonctions de hachage
- Algorithmes de chiffrement
- Protocoles de négociation et de gestion de
session - Certificats
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
16Fonctionnement
- Authentification du client
- permet à un utilisateur d'avoir une confirmation
de l'identité du serveur. - Authentification du serveur
- Permet dassurer que le client est bien celui
qu'il prétend. - Chiffrement de la session
- données chiffrées par l'émetteur, et déchiffrées
par le destinataire
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
17Couches protocolaires
- SSL Handshake
- SSL Change Cipher Spec
- SLL Alert
- SSL Record
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
18Négociation
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
19Certificats X509
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
20Exemple de certificat
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
21Limites
- Navigateurs sans les fonctionnalités évoluées
- Basé sur une relation de confiance
- Mots de passe
- Une seule paire de clé
- Pas de vérification systématique des CRL
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
22Évolution - TLS
- TLS v1.0 SSL v3.1
- Plus clair RFC 2246
- Plus générique (encapsulation)
- Conception indépendante de son utilisation
- Nimpose pas de méthodes de chiffrement
spécifiques
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
23Attaque contre SSL
- Webmitm http//monkey.org/dugsong/dsniff/
- Relaye le trafic HTTPs, capture les accès
webmail, nde carte bleues - Comment?
- Toujours MITM
- Pourquoi?
- Lutilisateur peut accepter des certificats même
sils ne sont signés par des autorités non
reconnus et même si le navigateur le rejette
Attaque
Présentation
Certificats
Évolution
Attaque
Principe
Spécificités
Sécurisation
SSF
Évolution
Origine
Secure Socket Layer
Secure Shell
24Conclusion
- Solutions efficaces
- Coût minimum
- Simple à installer
- Réponses aux 4 besoins