e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
La citadelle électroniqueséminaire du 14 mars 2002
4
4 Solutions à la clef
Agenda
La citadelle électroniqueContrôle d’intégrité (FIA)Windows 2000 (smartcard)Sécurité Unix (SSH)Portail Web (SSL)Messagerie (S/Mime)Signature documents électroniquesValidation des certificats (OCSP)
4
4 Solutions à la clef
Quel risque est-on prêts à accepter ?
Risque = Coûts * Menaces * Vulnérabilités
Risque
Coûts
4
4 Solutions à la clef
Les coûts d’une attaque ?
Déni de services (perte de productivité)
Perte ou altération des données
Vol d’informations sensibles
Perte de confiance dans les systèmesReconfiguration des systèmes
Atteinte à l’image de l’entreprise
Etc.
4
4 Solutions à la clef
Les nouvelles menaces
Les « intruders » sont préparés et organisésSites Web, News, Mailing List, Centre de formation
Conférences (DefCon, etc.)
Outils d’intrusion sont très évolués et faciles d’accès
Attaques sur Internet sont faciles et difficilement tracables
4
4 Solutions à la clef
Augmentation des « intruders »
4
4 Solutions à la clef
Les vulnérabilités
Augmentation significative des vulnérabilitésPas de « design » pensé sécurité
Mauvaise programmation
Complexité du système d’information
Besoins Marketing (Software)
Evolution très (trop) rapide des technologies
Etc.
4
4 Solutions à la clef
Comment diminuer le risque ?
Risque = Coûts * Menaces * Vulnérabilités
$
4
4 Solutions à la clef
Modèle de sécurité réseaux
Approche « produit »
Des solutions spécifiques, des cellules isoléesFirewall
Systèmes de détection d’intrusion
Antivirus
Authentification périphérique
Contrôle de contenue (mail, http, etc.)
Etc.
4
4 Solutions à la clef
Les inconvénients du modèle de sécurité réseaux
Un manque de cohérence et de cohésion
L’approche en coquille d’oeufDes remparts
Les systèmes sont vulnérables (OS)
Des applications (le noyau) vulnérables
4
4 Solutions à la clef
Schématiquement…
Firewall, IDS, etc.
Ressources internes
4
4 Solutions à la clef
Les enjeux pour le futur
Fortifier le cœur des infrastructures
Améliorer la cohérence
Amener la confiance dans les transactions électroniques
Simplicité d’utilisation
Définir une norme suivie par les constructeurs & éditeurs
4
4 Solutions à la clef
La citadelle électronique
Modèle de sécurité émergentSécurisation plus globale
Approche en couches ou en strates
Chaque couche hérite du niveau inférieur
Les applications et les biens gravitent autour d’un noyau de sécurité
4
4 Solutions à la clef
Approche en couche
1) Architecture
2) Protocoles réseaux
3) Systèmes d’exploitations
4) Applications
4
4 Solutions à la clef
Architecture
Sécurisation des accès bâtiments
Segmentation & Cloisonnement IP
Segmentation & Cloisonnement physique
Choix d’environnement (Switch, hub, etc)
Mise en place de Firewall
Configuration de routeur (ACL)
Etc.
4
4 Solutions à la clef
Protocoles réseaux
TCP/IP, IPSec, L2TP, PPTP, etc.
Anti SYNFlooding
Anti spoofing
« Kernel » réseau à sécuriser (DoS)
Etc.
4
4 Solutions à la clef
Systèmes d’exploitation
Sécurisation des OSRestriction des services Mise en place de FIADétection d’intrusion sur les OSAuthentification forte
Sécurisation de l’administration
Logging & MonitoringSauvegarde régulière
4
4 Solutions à la clef
Applications
Chaque application est sécurisée
Cryptage des données sensiblesCartes de crédits
Base d’utilisateurs
Cloisonnement des bases de données
Authentification forte des accès
Cryptage des communications (SSL)
Signature électronique
4
4 Solutions à la clef
Schématiquement…
Architecture
Protocoles réseaux
O.S.
Applications
4
4 Solutions à la clef
Pour répondre à ce challenge ?
Une démarcheLa politique de sécurité
Des services de sécuritéAuthentificationConfidentialitéIntégritéNon répudiationDisponibilitéAutorisation
4
4 Solutions à la clef
Et des technologies…
Firewall
IDS
Analyse de contenu
FIA
AntiVirus
VPN
PKI…
4
4 Solutions à la clef
PKI…
Au cœur de la citadelle
Offre les mécanismes de sécurité aux applications
Mécanismes & Outils exploités dans plusieurs strates
Permet de construire des relations de confiance
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
La citadelle électronique:sécurité des O.S.
Contrôle d’intégrité des systèmesTechnologie FIA
4
4 Solutions à la clef
Etes vous sûrs de l’intégrité de vos systèmes ?
Quelle sont les attaques possibles ?Compromission du système
Root KitSnifferBase d’attaqueVirus - Back doorEtc.
« Defacement » (changement des pages Web)Modification des configurationsEtc.
4
4 Solutions à la clef
Technologie FIA (File Integrity Assesment)
Outil très puissant pour détecter les altérations
Contrôle de manière régulière l’intégrité des systèmes
OS (Windows, Unix, etc.)
Applications (Messagerie, Firewall, DNS, etc.)
Equipements réseaux (Routeurs IOS)
Web Serveurs (Apache, IIS, etc.)
4
4 Solutions à la clef
Technologie FIA
Prend une « photo » du système lors de sa mise en production
Utilise des mécanismes de cryptographieFonction de hashage (md5, sha1, etc.)
Fonction de signature (RSA, DSA)
Création d’une image de référence
Prise de nouvelles « photos » de manière régulière et comparaison avec l’image de référence
4
4 Solutions à la clef
Technologie FIA: Tripwire
MicrosoftNT 4.0, Win2K
UnixSolaris, Aix, HP, Linux
Cisco
Web ServeurIIS, Apache
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
Technologie FIAdémonstration avec Tripwire
(Microsoft et Linux)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
La citadelle électronique:sécurité des O.S.
Authentification forte Windows 2000Smartcard et clé USB
4
4 Solutions à la clef
Etes vous sûrs de l’identité de vos utilisateurs ?
Les attaques possibles:Network Sniffing
Ecoutes des mots de passe sur le réseau
Attaque du poste clientBack door
Key logger
Etc.
Brute force attackMot de passe faible
4
4 Solutions à la clef
Authentification forte Windows 2000
Windows 2000 utilise la technologie KerberosSystème d’authentification mutuelle
Système de SSO avec l’utilisation de ticket
Support des smartcards avec une extension de kerberos
PKINIT (IETF)
Utilisation des certificats numériques
4
4 Solutions à la clef
Key DistributionCenter
Master KeyDatabase
Win2k Server« Kerberized »
Software
Logon Request
TGT
TGT
Win2k ServerTicket
win2K ServerRequest
With Ticket Win2k ServerResponse
Ka
Ka
Kb
Kb
4
4 Solutions à la clef
Authentification forte Windows 2000
Deux scénarios possibles:Utilisation native du Smartcard Logon Win2k
Intégration avec la technologie PKI
Utilisation d’une CA interne ou tiers
Utilisation d’un produit tiersChangement de la GINA
Stockage des accréditations sur la smartcard
Approche plus légère
4
4 Solutions à la clef
Authentification forte Windows 2000: PKINIT
KDC
Active Directory
CA Microsoft ou
Tiers
1
CRLCerts
2
TGT
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
Authentification forte Windows 2000 Démonstration avec Microsoft Smartcard logon et Aladdin
et
RSA Security Passage
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
La citadelle électronique:sécurité applicative
Administration sécurisée des systèmes UnixSSH, SecurID et PKI
4
4 Solutions à la clef
Etes vous les seuls à administrer vos systèmes Unix ?
Quelle sont les attaques possibles ?Network Sniffing
Ecoutes des mots de passe sur le réseau
Fonctionne dans un environement switchéARP Poisoning ou spoofing ARP
Pratiquement indédectable
Attaque du poste de l’administrateurBack door
Key logger
Etc.
4
4 Solutions à la clef
SSH (Secure Shell)
Solution de remplacement de Telnet, FTP, des commandes R (rlogin, etc.)
Defacto Standard5 millions d’utilisateurs
Fournit du chiffrement3des, AES, Blowfish, etc,
Assure l’intégrité des communications
Solution simple à mettre en oeuvre
4
4 Solutions à la clef
SSH: système d’authentification
Supporte plusieurs systèmes d’authenticationAuthentification « Classique »
SecurIDPublic KeyPamKerberosEtc.
Authentification PKIUtilisation d’un certificat X509
Smartcard ou clé USB
Validation des certificats (OCSP ou CRL)
Offre une solution très robuste
4
4 Solutions à la clef
SSH (Secure Shell): Authentification forte
SSH Serveur
Ace Serveur
VA
1) SecurID
2) PKI / OCSP
SSH V3AES 256
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
SSH - Secure ShellDémonstration avec SSH.COM, Aladdin, Linux, Solaris
et
RSA Security (SecurID, Keon Certificate Authority)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
La citadelle électronique:sécurité applicative
Sécurisation des portails WebTechnologie PKI et SSL
4
4 Solutions à la clef
Vos applications Web sont elles vulnérables ?
Quelle sont les attaques possibles ?Problème de confidentialité des communications
Network Sniffing
Compromission de la clé privée du serveur (SSL)
Usurpation d’identitéIdentité du client
Back Door
Keyloger, etc
Identité du serveurAttaques DNS, etc.
4
4 Solutions à la clef
Sécurisation des portails Web: technologie PKI et SSL
Utilisation de la technologie SSL / TLSTechnologie PKI par excellenceAuthentification du serveur
Certificat X509 publique (Verisign, Thawte, Certplus, etc.)
Authentification possible du clientCertificat X509 personnel
Services de sécuritéL’authentificationLa confidentialitéL’intégritéLa non répudiation
4
4 Solutions à la clef
Sécurisation des portails Web: authentification des clients
Web Server SSL
Challenge ResponseSSL / TLS
PKCS#12
Smartcard
Token USB
4
4 Solutions à la clef
Sécurisation des portails Web: Module HSM
HSM
Web Server SSL
Smartcards
SSL Acceleration
SSL or TLS
4
4 Solutions à la clef
Sécurisation des portails Web: Autorisation
Mécanisme de gestion des privilèges sur le portail WebDroits d’accès
LectureEcritureEtc.
Heures de connections
Gestion sur le web serveur de manière nativeApache, IIS, Netscape, etc
Gestion avec produits tiersClear Trust (RSA Security)Site Minder (Netegrity)Etc.
4
4 Solutions à la clef
Sécurisation des portails Web: Autorisation
Utilisation des certificats numériquesCertificats X509 (Issuer DN (o=e-xpertsolutions, ou=InfoSec, cn=sysadm c=CH)
Certificats X509 avec attributs dans les extensionsSales, Marketing, etc.
La tendance: les PAC !Certificat temporaire contenant les privilèges
Solution de Single Sign OnMême idée que les tickets Kerberos
4
4 Solutions à la clef
Sécurisation des portails Web: PAC
Alice
Certificat X509personnel
Dn: cn=Alice
Attributs:Sales: rwmMarketing: rGlobal: r
PAC
Lien par le DN
Signature
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
Sécurisation d’un portail Web
Démonstration avec RSA Security, Valicert et Apache
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
La citadelle électronique:sécurité applicative
Sécurisation de la messagerieTechnologie S/Mime et PKI
4
4 Solutions à la clef
Etes vous sûrs de l’intégrité de vos mails ?
Quelle sont les attaques possibles ?Changement du contenu des messages
Détournement des messages (DNS Attacks)Compromission du serveur de messagerie
Back Door, etc.
Lecture des messagesNetwork SniffingAccès au serveur de messagerie (administrateur, compromission, Etc.)
Usurpation de l’émeteurSpoofing
Pas d’authentification
4
4 Solutions à la clef
Sécurisation de la messagerie: S/Mime et PKI
Secure MimeSolution de sécurisation de la messagerie
Standard IETFMicrosoft, Lotus, Laboratoires RSA, etc.
Services de sécuritéL’authentificationLa confidentialitéL’intégritéLa non répudation
4
4 Solutions à la clef
Sécurisation de la messagerie: S/Mime et PKI
Utilise la technologie PKICertificats personnels X509
Autorité de certification publique ou privée
Support des algorithmes symétriquesDES, 3DES, RC2, etc.
Application très simple à utiliserSupport natif dans Outlook, Lotus, Netscape, etc.
4
4 Solutions à la clef
Sécurisation de la messagerie: S/Mime et PKI
Alice
Bob
S/Mime3DES / RSA Signature
CertificatPersonnel
CertificatPersonnel
Autoritéde certificationpublic ou privée
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
Sécurisation de la messagerie
Démonstration avec RSA Security et Microsoft
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
La citadelle électronique:sécurité applicative
Signature de documents électroniquesTechnologie PKI
4
4 Solutions à la clef
Etes vous sûrs de l’origine de vos documents électroniques ?
Les attaques possibles:Usurpation d’identité de l’auteur
Substitution de l’origine
Altération du contenuDocument Word, Excel, PDF, etc.
Répudiation de l’auteurNier avoir écrit le document
4
4 Solutions à la clef
Signature de documents électroniques
Utilisation de la technologie PKI pour lier une signature numérique à un documentServices de sécurité
L’authentificationAuteur, Révision, etc.
Non RépudiationL’intégrité
Option: chiffrement possible avec outils complémentaires
4
4 Solutions à la clef
Signature de documents électroniques
Document
Signature
Document signé
Clé privée
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
Signature de documents électroniqueDémonstration avec RSA Security, Microsoft Office et Lexign
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
La citadelle électronique:sécurité applicative
Validation des certificats X509VA-OCSP
4
4 Solutions à la clef
Validation des certificats X509
Révocation d’un certificat X509Vol ou perte du container des clés
Quitter l’entreprise
Etc.
Plusieurs solutionsCRL, Delta CRL, etc.
Problèmes de délais
Online Check OCSP (rfc 2560)
4
4 Solutions à la clef
Validation des certificats X509: OCSP
Web ServerAlice
ValidationAuthority
ValidePas valideInconu
OCSP request
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
Validation des certificats X509: OCSP
Démonstration avec RSA Security, Valicert et Apache
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
Questions?
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com 4
Pour plus d’informations
e-Xpert Solutions SASylvain Maret
Route de Pré-Marais 29CH-1233 Bernex / Genève
+41 22 727 05 [email protected]
Top Related