La Citadelle Electronique

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

info@e-xpertsolutions.com | www.e-xpertsolutions.com 4

La citadelle électroniqueséminaire du 14 mars 2002

4 Solutions à la clef

Agenda

La citadelle électroniqueContrôle d’intégrité (FIA)Windows 2000 (smartcard)Sécurité Unix (SSH)Portail Web (SSL)Messagerie (S/Mime)Signature documents électroniquesValidation des certificats (OCSP)

Quel risque est-on prêts à accepter ?

Risque = Coûts * Menaces * Vulnérabilités

Risque

Coûts

Les coûts d’une attaque ?

Déni de services (perte de productivité)

Perte ou altération des données

Vol d’informations sensibles

Perte de confiance dans les systèmesReconfiguration des systèmes

Atteinte à l’image de l’entreprise

Les nouvelles menaces

Les « intruders » sont préparés et organisésSites Web, News, Mailing List, Centre de formation

Conférences (DefCon, etc.)

Outils d’intrusion sont très évolués et faciles d’accès

Attaques sur Internet sont faciles et difficilement tracables

Augmentation des « intruders »

Les vulnérabilités

Augmentation significative des vulnérabilitésPas de « design » pensé sécurité

Mauvaise programmation

Complexité du système d’information

Besoins Marketing (Software)

Evolution très (trop) rapide des technologies

Comment diminuer le risque ?

Risque = Coûts * Menaces * Vulnérabilités

Modèle de sécurité réseaux

Approche « produit »

Des solutions spécifiques, des cellules isoléesFirewall

Systèmes de détection d’intrusion

Antivirus

Authentification périphérique

Contrôle de contenue (mail, http, etc.)

Les inconvénients du modèle de sécurité réseaux

Un manque de cohérence et de cohésion

L’approche en coquille d’oeufDes remparts

Les systèmes sont vulnérables (OS)

Des applications (le noyau) vulnérables

Schématiquement…

Firewall, IDS, etc.

Ressources internes

Les enjeux pour le futur

Fortifier le cœur des infrastructures

Améliorer la cohérence

Amener la confiance dans les transactions électroniques

Simplicité d’utilisation

Définir une norme suivie par les constructeurs & éditeurs

La citadelle électronique

Modèle de sécurité émergentSécurisation plus globale

Approche en couches ou en strates

Chaque couche hérite du niveau inférieur

Les applications et les biens gravitent autour d’un noyau de sécurité

Approche en couche

1) Architecture

2) Protocoles réseaux

3) Systèmes d’exploitations

4) Applications

Architecture

Sécurisation des accès bâtiments

Segmentation & Cloisonnement IP

Segmentation & Cloisonnement physique

Choix d’environnement (Switch, hub, etc)

Mise en place de Firewall

Configuration de routeur (ACL)

Protocoles réseaux

TCP/IP, IPSec, L2TP, PPTP, etc.

Anti SYNFlooding

Anti spoofing

« Kernel » réseau à sécuriser (DoS)

Systèmes d’exploitation

Sécurisation des OSRestriction des services Mise en place de FIADétection d’intrusion sur les OSAuthentification forte

Sécurisation de l’administration

Logging & MonitoringSauvegarde régulière

Applications

Chaque application est sécurisée

Cryptage des données sensiblesCartes de crédits

Base d’utilisateurs

Cloisonnement des bases de données

Authentification forte des accès

Cryptage des communications (SSL)

Signature électronique

Schématiquement…

Architecture

Protocoles réseaux

Applications

Pour répondre à ce challenge ?

Une démarcheLa politique de sécurité

Des services de sécuritéAuthentificationConfidentialitéIntégritéNon répudiationDisponibilitéAutorisation

Et des technologies…

Firewall

Analyse de contenu

AntiVirus

PKI…

Au cœur de la citadelle

Offre les mécanismes de sécurité aux applications

Mécanismes & Outils exploités dans plusieurs strates

Permet de construire des relations de confiance

La citadelle électronique:sécurité des O.S.

Contrôle d’intégrité des systèmesTechnologie FIA

Etes vous sûrs de l’intégrité de vos systèmes ?

Quelle sont les attaques possibles ?Compromission du système

Root KitSnifferBase d’attaqueVirus - Back doorEtc.

« Defacement » (changement des pages Web)Modification des configurationsEtc.

Technologie FIA (File Integrity Assesment)

Outil très puissant pour détecter les altérations

Contrôle de manière régulière l’intégrité des systèmes

OS (Windows, Unix, etc.)

Applications (Messagerie, Firewall, DNS, etc.)

Equipements réseaux (Routeurs IOS)

Web Serveurs (Apache, IIS, etc.)

Technologie FIA

Prend une « photo » du système lors de sa mise en production

Utilise des mécanismes de cryptographieFonction de hashage (md5, sha1, etc.)

Fonction de signature (RSA, DSA)

Création d’une image de référence

Prise de nouvelles « photos » de manière régulière et comparaison avec l’image de référence

Technologie FIA: Tripwire

MicrosoftNT 4.0, Win2K

UnixSolaris, Aix, HP, Linux

Web ServeurIIS, Apache

Technologie FIAdémonstration avec Tripwire

(Microsoft et Linux)

La citadelle électronique:sécurité des O.S.

Authentification forte Windows 2000Smartcard et clé USB

Etes vous sûrs de l’identité de vos utilisateurs ?

Les attaques possibles:Network Sniffing

Ecoutes des mots de passe sur le réseau

Attaque du poste clientBack door

Key logger

Brute force attackMot de passe faible

Authentification forte Windows 2000

Windows 2000 utilise la technologie KerberosSystème d’authentification mutuelle

Système de SSO avec l’utilisation de ticket

Support des smartcards avec une extension de kerberos

PKINIT (IETF)

Utilisation des certificats numériques

Key DistributionCenter

Master KeyDatabase

Win2k Server« Kerberized »

Software

Logon Request

Win2k ServerTicket

win2K ServerRequest

With Ticket Win2k ServerResponse

Authentification forte Windows 2000

Deux scénarios possibles:Utilisation native du Smartcard Logon Win2k

Intégration avec la technologie PKI

Utilisation d’une CA interne ou tiers

Utilisation d’un produit tiersChangement de la GINA

Stockage des accréditations sur la smartcard

Approche plus légère

Authentification forte Windows 2000: PKINIT

Active Directory

CA Microsoft ou

CRLCerts

Authentification forte Windows 2000 Démonstration avec Microsoft Smartcard logon et Aladdin

RSA Security Passage

La citadelle électronique:sécurité applicative

Administration sécurisée des systèmes UnixSSH, SecurID et PKI

Etes vous les seuls à administrer vos systèmes Unix ?

Quelle sont les attaques possibles ?Network Sniffing

Ecoutes des mots de passe sur le réseau

Fonctionne dans un environement switchéARP Poisoning ou spoofing ARP

Pratiquement indédectable

Attaque du poste de l’administrateurBack door

Key logger

SSH (Secure Shell)

Solution de remplacement de Telnet, FTP, des commandes R (rlogin, etc.)

Defacto Standard5 millions d’utilisateurs

Fournit du chiffrement3des, AES, Blowfish, etc,

Assure l’intégrité des communications

Solution simple à mettre en oeuvre

SSH: système d’authentification

Supporte plusieurs systèmes d’authenticationAuthentification « Classique »

SecurIDPublic KeyPamKerberosEtc.

Authentification PKIUtilisation d’un certificat X509

Smartcard ou clé USB

Validation des certificats (OCSP ou CRL)

Offre une solution très robuste

SSH (Secure Shell): Authentification forte

SSH Serveur

Ace Serveur

1) SecurID

2) PKI / OCSP

SSH V3AES 256

SSH - Secure ShellDémonstration avec SSH.COM, Aladdin, Linux, Solaris

RSA Security (SecurID, Keon Certificate Authority)

Sécurisation des portails WebTechnologie PKI et SSL

Vos applications Web sont elles vulnérables ?

Quelle sont les attaques possibles ?Problème de confidentialité des communications

Network Sniffing

Compromission de la clé privée du serveur (SSL)

Usurpation d’identitéIdentité du client

Back Door

Keyloger, etc

Identité du serveurAttaques DNS, etc.

Sécurisation des portails Web: technologie PKI et SSL

Utilisation de la technologie SSL / TLSTechnologie PKI par excellenceAuthentification du serveur

Certificat X509 publique (Verisign, Thawte, Certplus, etc.)

Authentification possible du clientCertificat X509 personnel

Services de sécuritéL’authentificationLa confidentialitéL’intégritéLa non répudiation

Sécurisation des portails Web: authentification des clients

Web Server SSL

Challenge ResponseSSL / TLS

PKCS#12

Smartcard

Token USB

Sécurisation des portails Web: Module HSM

Web Server SSL

Smartcards

SSL Acceleration

SSL or TLS

Sécurisation des portails Web: Autorisation

Mécanisme de gestion des privilèges sur le portail WebDroits d’accès

LectureEcritureEtc.

Heures de connections

Gestion sur le web serveur de manière nativeApache, IIS, Netscape, etc

Gestion avec produits tiersClear Trust (RSA Security)Site Minder (Netegrity)Etc.

Sécurisation des portails Web: Autorisation

Utilisation des certificats numériquesCertificats X509 (Issuer DN (o=e-xpertsolutions, ou=InfoSec, cn=sysadm c=CH)

Certificats X509 avec attributs dans les extensionsSales, Marketing, etc.

La tendance: les PAC !Certificat temporaire contenant les privilèges

Solution de Single Sign OnMême idée que les tickets Kerberos

Sécurisation des portails Web: PAC

Certificat X509personnel

Dn: cn=Alice

Attributs:Sales: rwmMarketing: rGlobal: r

Lien par le DN

Signature

Sécurisation d’un portail Web

Démonstration avec RSA Security, Valicert et Apache

Sécurisation de la messagerieTechnologie S/Mime et PKI

Etes vous sûrs de l’intégrité de vos mails ?

Quelle sont les attaques possibles ?Changement du contenu des messages

Détournement des messages (DNS Attacks)Compromission du serveur de messagerie

Back Door, etc.

Lecture des messagesNetwork SniffingAccès au serveur de messagerie (administrateur, compromission, Etc.)

Usurpation de l’émeteurSpoofing

Pas d’authentification

Sécurisation de la messagerie: S/Mime et PKI

Secure MimeSolution de sécurisation de la messagerie

Standard IETFMicrosoft, Lotus, Laboratoires RSA, etc.

Services de sécuritéL’authentificationLa confidentialitéL’intégritéLa non répudation

Utilise la technologie PKICertificats personnels X509

Autorité de certification publique ou privée

Support des algorithmes symétriquesDES, 3DES, RC2, etc.

Application très simple à utiliserSupport natif dans Outlook, Lotus, Netscape, etc.

S/Mime3DES / RSA Signature

CertificatPersonnel

Autoritéde certificationpublic ou privée

Sécurisation de la messagerie

Démonstration avec RSA Security et Microsoft

Signature de documents électroniquesTechnologie PKI

Etes vous sûrs de l’origine de vos documents électroniques ?

Les attaques possibles:Usurpation d’identité de l’auteur

Substitution de l’origine

Altération du contenuDocument Word, Excel, PDF, etc.

Répudiation de l’auteurNier avoir écrit le document

Signature de documents électroniques

Utilisation de la technologie PKI pour lier une signature numérique à un documentServices de sécurité

L’authentificationAuteur, Révision, etc.

Non RépudiationL’intégrité

Option: chiffrement possible avec outils complémentaires

Signature de documents électroniques

Document

Signature

Document signé

Clé privée

Signature de documents électroniqueDémonstration avec RSA Security, Microsoft Office et Lexign

Validation des certificats X509VA-OCSP

Validation des certificats X509

Révocation d’un certificat X509Vol ou perte du container des clés

Quitter l’entreprise

Plusieurs solutionsCRL, Delta CRL, etc.

Problèmes de délais

Online Check OCSP (rfc 2560)

Validation des certificats X509: OCSP

Web ServerAlice

ValidationAuthority

ValidePas valideInconu

OCSP request

Validation des certificats X509: OCSP

Démonstration avec RSA Security, Valicert et Apache

Questions?

Pour plus d’informations

e-Xpert Solutions SASylvain Maret

Route de Pré-Marais 29CH-1233 Bernex / Genève

+41 22 727 05 55info@e-xpertsolutions.com

La Citadelle Electronique

Technology

Transcript of La Citadelle Electronique

La citadelle du musulman - Islam France: Porte Ouverte sur ...islamfrance.com/livres/Fortress_of_the_Muslim.pdf · Title: La citadelle du musulman Author: Said Ibn Ali Ibn Wahf Al-Qahtany

AMENAGEMENT DE L’ACCES A LA CITADELLE DE BESANCON (25)memoires.scd.univ-tours.fr/EPU_DA/LOCAL/2008_stgDa3... · 2008. 5. 15. · La Citadelle 1 er site touristique de la Région

Annexe 8 L’aménagement du jardin de la Citadelle

Citadelle de Bitche - ac-strasbourg.fr · La Citadelle de Bitche présente « L’Epopée d’une Chevaleesse » est la dernière création de Cascades et Fantaisies Equestres. Ce

Autour de la citadelle - Pays de Verdun · remanier la citadelle par Vauban. Montmédy reste l’une des rares places fortes européennes entièrement conservée. Dans la ville basse

Electronique - La Normalisation Dans La Conception Electronique

Autour de la citadelle - tourisme-montmedy.fr › medias › se_divertir › ... · citadelle et l’office de tourisme. À la sortie du bois, longer le camping jusqu’au lavoir

Vente Collections du Musée de la Citadelle Vauban

Promenade dans la Citadelle de Villefranche-sur-mer

CITADELLE NAmUR · La Citadelle de Namur se situe au confluent de la Sambre et ... militaires se sont affairés à leur construction comme Vauban ou Menno van Coehoorn. La citadelle

Kerman : Rayen, la citadelle · crue du monde (20 000 m²) après la citadelle de Bam. Kerman : Rayen, la citadelle 24/05/2018 Perles d'Iran 30 mars - 14 avril 2018 94 ... le monde

LA CITADELLE DE BESANÇON FORTERESSE AUX MILLE RICHESSES · La Citadelle de Besançon fait partie des constructions les plus représentatives de ces règles d’or encore visibles

La Citadelle

Ville haute, citadelle et nécropole

Dossier Trauma center - CHR de la Citadelle - Citadoc€¦ · Coordination au CHR de la Citadelle : Service Communication Crédit photos : Aurélie Bastin, Marc Trippaerts, Cédric

Citadelle souterraine de Verdun

LA RÉSIDENCE CITADELLE - Azur Interpromotion › programmes-immobili... · 2017-01-03 · Entre Cathédrale et Citadelle, une ambiance très quartier latin. L’hypercentre piétonnier

La Citadelle Du Musulman(Bibliotheque-numerique-Algerie.blogspot.com)

1 - La Citadelle de Blaye Source : sigesaqi.brgmsigesaqi.brgm.fr/IMG/pdf/fiche_synthetique_de_terrain...1 - La Citadelle de Blaye Source: sigesaqi.brgm.fr Où affleurent les calcaires

La citadelle 2