Les techniques de sécurité Internet firewalls
Pour mettre en œuvre une politique de sécurité, différentes techniques peuvent être utilisées :
• Les techniques de sécurité de base- La sécurisation des machines individuelles- La translation d'adresse- Le chiffrement et la signature numérique
• Les firewalls (ou gardes-barrières)
Les techniques de sécurité de base
Sécurisation des machines individuelles
La sécurisation des machines individuelles est la technique de sécurité la plus répandue dans le monde informatique. Comme son nom l’indique, elle consiste à configurer chaque ordinateur sur le réseau pour résister à l’intrusion en utilisant :
• des méthodes d'authentification pour vérifier et garantir l'identité d'un utilisateur ou de toute autre entité du réseau
• des contrôleurs d'intégrité comme des anti-virus
• des mécanismes d'audit et de journalisation qui sont respectivement des procédés qui permettent d'observer tous les phénomènes qui surviennent sur le réseau et qui permettent le stockage de toutes ces informations sous forme de fichiers, de bases de données pour faciliter la surveillance et la maintenance des systèmes
• les plus récentes mises à jours (patchs) des logiciels afin de supprimer les bogues éventuels de certains logiciels entre deux versions
La translation d’adresse
La translation d’adresse (Network Adress Translation) est basée sur le principe que toutes les machines sur un réseau interne (réseau local) n’accéderont pas à l'Internet en même temps. Le traducteur d’adresses du réseau possède un ensemble d’adresses externes disponibles parmi les adresses officiellement affectées. Il fonctionne sur le même principe qu’un PABX qui gère des lignes téléphoniques, le NAT, lui, gère des adresses IP.
Fig. 3 La translation d’adresse (NAT)
La passerelle lit une liste d’adresses disponibles et réécrit les en-têtes de paquets pour que les adresses non référencées ne sortent jamais du réseau interne.
Quand un utilisateur interne veut utiliser l’Internet, le périphérique choisit un nombre de l’ensemble et réécrit tous les paquets sortants avec l’adresse externe. Parallèlement, les paquets entrants sont réécrits pour être transmis sur le réseau interne avec l’adresse interne.
La translation d’adresse permet aux organismes d’utiliser un plus petit espace d’adressage tout en cachant les adresses internes.
Une autre solution est d’affecter dynamiquement les adresses IP aux machines individuelles, en utilisant des protocoles tels que le Dynamic Host Configuration Protocol (DHCP) et le Boostrap Protocol (BOOTP) : ils gardent un ensemble d’adresses IP enregistrées et les affectent aux machines qui demandent d’accéder à l'Internet.
L’authentification
L’authentification est un procédé qui permet la vérification et la garantie de l’identité d’une entité. On distingue quatre fondements pour l’authentification :
• ce que l'entité connaît
• où se trouve l'entité à authentifier
• ce qu’est l'entité
• ce que l'entité possède
Ce que l'entité connaît
Cette méthode est habituellement réalisée en utilisant la combinaison d’un identifiant d'utilisateur et d'un mot de passe (exemple : login - password). Son principal inconvénient est qu’il n’y a aucune preuve que seules les personnes de confiance connaissent le bon mot de passe. En effet, les mots de passe peuvent être :
• communiqués (en laissant un post-it sur l'écran d'une station, par exemple)
• trop simples et facile à deviner
• récupérer par un intrus écoutant les lignes de communication n'utilisant pas de systèmes de chiffrement
Où se trouve l'entité à authentifier
La plupart des réseaux comptent sur un identifiant d’utilisateur et l’adresse réseau d’origine pour l’authentification. C’est à dire que l’authentifiant suppose que l’identité de l’origine peut être déduite de l’adresse de réseau d’où viennent les paquets. Comme nous l'avons vu précédemment, cette méthode atteint ses limites lorsqu'un intrus utilise le trucage IP (IP Spoofing) pour se faire passer pour un hôte de confiance.
Ce qu’est l'entité
Elle est fondée sur ce qu’est l’entité à authentifier. Cette catégorie comprends les attributs physiques telles que des empreintes digitales, rétiniennes, vocales, etc.
Ce que l'entité possède
Elle est fondée sur la possession d’une carte électronique à mémoire spécialement utilisée pour vérifier l'identité d'une personne.
Le chiffrement et la signature numérique
Le chiffrement (ou la cryptographie)
Le chiffrement est défini comme un processus consistant à prendre des informations qui existent sous forme lisible et à les convertir en une forme cryptée.
Si le destinataire des données codées souhaite lire les données originales, il doit les convertir à partir des données codées, selon un processus appelé décodage. Le décodage est la réciproque du codage. Afin de décoder des données le destinataire doit être en possession de ce que l’on appelle clé. La clé doit être conservée et distribuée avec circonspection.
Dans la cryptographie, deux types de clés peuvent être utilisées:
• la clé symétrique
• la clé asymétrique
La cryptographie à clé symétrique consiste à brouiller des messages en utilisant une clé ou un secret commun et à les déchiffrer en utilisant le même secret ou clé.
Le codage DES (Data Encryption Standard) est un codage à clé symétrique très largement utilisé. C’est le standard de cryptographie des données. Il transforme les informations en clair, en données que l’on appelle cyphertext. Pour ce faire, il utilise un algorithme spécifique et une valeur seed nommée clé. Le destinataire connaissant la clé peut l’utiliser pour reconvertir les données codées en texte en clair.
La cryptographie à clé asymétrique utilise deux clés : une clé publique et une clé privée. Les messages chiffrés avec l’une des deux clés peuvent être décodés par l’autre clé de la paire. Ainsi, tout message chiffré avec la clé publique peut être décrypté seulement avec la clé privée.
L'algorithme le plus connu dans la cryptographie à clé asymétrique est le RSA dont les créateurs sont Ron Rivest, Adi Shamir et Léonard Adleman. Le standard de l’Internet de Privacy Enhanced Mail utilise le système RSA.
Pour communiquer secrètement sur l’Internet à l’aide de la cryptographie asymétrique, deux personnes A et B doivent procéder comme suit :
1. A chiffre son message en utilisant la clé publique de B et l’envoie à B.2. B reçoit le message de A et le décrypte en utilisant sa clé privée.3. Pour répondre à A, B chiffre son message avec la clé publique de A.4. A reçoit le message de B et le décrypte en utilisant sa clé privée.
Il est à noter que n’importe qui peut envoyer des messages à B pourvu qu’il ait sa clé publique. Par contre, seul B peut lire, grâce à sa clé privée, les messages codés par sa clé publique.
Fig. 4 2 La cryptographie asymétrique La signature numérique
La cryptographie asymétrique permet de signer numériquement des messages. Une signature numérique s’obtient par l’inversion de la technique de cryptographie asymétrique à clé publique vue précédemment. La signature numérique permet de garantir l’intégrité et l’origine d’un message ; ce qui fait de cette technique une méthode efficace contre la non répudiation.
L’exemple suivant illustre l’intérêt de la signature numérique :
1. A chiffre son message en utilisant sa clé privée et l’envoie à B.2. B reçoit le message de A et le déchiffre avec la clé publique de A
Il est à noter que n’importe qui peut lire des messages de A pourvu qu’il ait sa clé publique. Par contre, seul A peut avoir écrit ce message car lui seul détient (théoriquement) sa clé privée. La signature numérique s’attache surtout à garantir l’origine du message et non sa confidentialité.
Fig. 4 3 La signature numérique
Les limitations des techniques de chiffrement
Avantages Inconvénients
Cryptographie symétrique Rapide Deux clés identiques Facile à mettre en œuvre sur une puce électronique Distribution des clés difficile
Cryptographie asymétrique Deux clés différentes Lent Signature numérique Distribution des clés relativement rapide
Fig. 4 4 Cryptographies symétrique et asymétrique
La cryptographie à clé publique possède des fonctionnalités très intéressantes pour sécuriser les communications. Cependant, elle requiert des temps de calculs très importants et ne s’implémente que trop difficilement sur circuits électroniques. La cryptographie symétrique, quant à elle, est rapide et très facile à mettre en œuvre.
L’idéal serait de pouvoir combiner ces deux types de cryptographie ; ce qui est tout à fait possible. Pour optimiser les performances d’une telle combinaison, un condenseur de message peut être utilisé. Il s’agit d’une fonction qui prend un message en entrée et produit un code irréversible, unique et apparemment aléatoire de longueur fixe. Plusieurs condenseurs de messages présentent ces propriétés. Les plus utilisés d’entre eux sont MD4 et MD5 créés par Ron Rivest de RSA Data Security Inc., ainsi que SHA (Secure Hash Algorithm) créé par le NIST (Institut National des Normes et Technologies des Etats-Unis).
Dans l’exemple suivant, A envoie un message secret à B via l’Internet en combinant la cryptographie symétrique et la cryptographie asymétrique :
1. A écrit son message et crée un condensé du message2. A chiffre le condensé du message avec sa clé privé3. Parallèlement, A chiffre son message avec la cryptographie à clé symétrique en utilisant une clé de session choisie aléatoirement4. A chiffre la clé de session avec la clé publique de B5. A envoie à B ces trois objets chiffrés6. B décode la clé de session en utilisant sa clé privée7. Le message peut alors être déchiffré par la clé de session décryptée8. B calcule son propre condensé du message9. B déchiffre le condensé du message envoyé par A avec sa clé publique10. La comparaison des deux condensés permet de garantir l’intégrité et l’origine du message
Grâce à la combinaison des deux crypto-systèmes et l’utilisation d’un condenseur de message, la confidentialité, l’intégrité et la non répudiation peuvent être garanties.
Fig. 4 5 Combinaison des deux crypto-systèmes
Les problèmes de performance ne sont pas les seules limitations des techniques de chiffrement. En effet, la génération et la distribution des clés posent quelques problèmes. Comment communiquer une clé publique de manière sûr ? Par téléphone ? Par courrier ? Une méthode pertinente et efficace est l’utilisation de certificat fondé habituellement sur la norme UIT_T.509 et des autorités de certification.
En France, le chiffrement des communications est considéré comme une arme de guerre si bien que pour utiliser certains algorithme des autorisations spéciales doivent être obtenues auprès du SSICS.
Les firewalls
Une autre technique de sécurité Internet et qui permet d'appliquer une politique de sécurité : les firewalls.
L’objectif essentiel d’un firewall est de protéger un réseau d’un autre. En principe, le réseau à protéger vous appartient ou est sous votre responsabilité tandis que le réseau contre lequel vous désirez vous protéger est un réseau externe en qui vous n’avez pas confiance et à partir duquel des attaques peuvent survenir.
La protection du réseau consiste à empêcher l'accès aux utilisateurs non autorisés à des informations sensibles, tout en permettant aux utilisateurs légitimes d’accéder facilement aux ressources du réseau.
Dans cette partie, nous allons établir les différents concepts des Firewalls en répondant à ces différentes questions :
• Quels sont les différentes techniques firewalls ?
• Quels sont les types d’architectures à utiliser ?
Le terme firewall est utilisé par beaucoup comme un terme générique décrivant n’importe quels dispositifs de protection d’un réseau ; ce qui est faux.
Un firewall se compose d'un ou plusieurs éléments bien spécifiques créant une interface entre deux réseaux. Son but est de restreindre l’accès entre un réseau protégé et un réseau externe (en général l'Internet ).
Figure 4 6 Notion de périmètre de sécurité
Il est également possible d'utiliser des firewalls internes pour protéger des parties d'un réseau d’autres parties. Il existe un certain nombre de raisons à cela :
• existence de sous-réseaux moins sûres que d'autres appartenant au même site, par exemple des réseaux de démonstration ou de formation accessibles à des personnes
• existence de parties du réseau nécessitant un plus grand niveau de sécurité comme des projets de développement secrets, ou des réseaux où transitent des données financières, ou encore des informations concernant les salariés d'une entreprise.
Le firewall est un dispositif permettant de contrôler et de rejeter le trafic au niveau applicatif (cf. schéma ci-dessous). Il peut également fonctionner au niveau des couches réseau et transport en examinant les en-têtes IP et TCP des paquets entrants et/ou sortants. L'acceptation et le rejet de paquets s'effectuent selon des règles de filtrage prédéfinis
APPLICATION
FIREWALL
PRESENTATION SESSION
ROUTEURFILTRE TRANSPORT RESEAU LIAISON PHYSIQUE
Fig. 4 7 Le filtrage de paquet et le modèle OSI
Le firewall ne protège pas contre des menaces internes. Il peut protéger de la plupart des attaques venant de l’Internet mais il ne fera rien si le danger vient de l'intérieur
Le firewall doit être le seul point d’entrée du réseau. Il ne sert à rien de construire un firewall coûteux et puissant si l'on connecte des modems au réseau le court-circuitant. En effet, le firewall protège seulement le trafic passant par lui. Il n’existe malheureusement aucune terminologie totalement cohérente pour les techniques et architectures des firewalls. Dans la suite de cet exposé, nous nous attacherons à décrire des architectures firewalls visant à protéger des risques et menaces de l'Internet.
Les différentes techniques firewalls
Il existe trois grandes techniques firewalls:
• le filtrage de paquet
• les services mandataires
• le SMLI (State Multi-Layer Inspection)
Un firewall combine différentes techniques et différents composants. Aussi, il n'est pas impossible que des solutions firewalls utilisent, en plus des techniques firewalls, des techniques de sécurité de base comme vu précédemment (contrôle d'intégrité, translation d'adresses, authentification, chiffrement, audit, journalisation, etc.).
Le filtrage de paquet
Le filtrage de paquet constitue un mécanisme puissant de contrôle du type de trafic qui circule sur un réseau donné. Il extrait, à partir des données qui transitent, diverses informations comme le type de services, les adresses source et destination du message et bien d’autres encore ; ce qui permet de restreindre les accès aux services susceptibles de compromettre la sécurité du réseau.
Le filtrage de paquet peut être une fonction logicielle d'un firewall ou un composant matériel d'un firewall dans une architecture firewall : il s'agit alors d'un routeur filtre.
Un routeur ordinaire se contente de regarder l’adresse de destination de chaque paquet et décide de la meilleure façon d’envoyer ce paquet vers cette destination. Cette décision est uniquement fondée sur sa destination. Il y a deux possibilités : le routeur sait comment faire atteindre sa destination au paquet et l’envoie ; ou bien il ne le sait pas, et le renvoie via un message ICMP redirect (de type «destination inaccessible») vers la source.
Le routeur filtre de paquets route les paquets entre un réseau interne et externe de manière sélective ; c’est à dire qu’il laisse passer les paquets suivant la politique de sécurité établie. Une raison essentielle de son succès est la transparence avec laquelle il opère. La plupart des filtres peuvent être implémentés sans aucun désagrément pour l'utilisateur final pour qui le routeur filtre est totalement transparent.
L'algorithme générique mis en œuvre par le filtre de paquet se décompose comme suit :
1. Les critères de filtrage doivent être définis, ils sont appelés les règles de filtrage de paquets.
2. Lorsqu’un paquet arrive sur un port du routeur filtre ses en-têtes IP, TCP ou UDP sont analysés.
3. Les règles de filtrage de paquets sont appliquées dans un ordre précis.
4. Si une règle bloque la transmission ou la réception d’un paquet, il est bloqué. Si une règle permet la transmission du paquet, le paquet passe. Si un paquet ne suit aucune règle, il est bloqué.
L’organigramme suivant résume le fonctionnement du filtrage de paquets:
Fig. 4 8 Algorithme du filtrage de paquet
Où placer le filtre de paquets ?
Le routeur peut examiner les paquets entrants ou sortants sur n’importe laquelle des interfaces. Par conséquent, le filtrage de paquet peut se faire au niveau des paquets entrants, des paquets sortants ou des deux.De nombreux constructeurs de routeurs mettent en œuvre le filtrage de paquets sur les paquets sortants pour des raisons d’efficacité. Pour les paquets sortants, les règles de filtrage peuvent s’appliquer lorsque le routeur consulte ses tables pour déterminer la destination du paquet. Si le paquet n’est pas routable ou s'il n’y a pas de correspondance avec les règles de filtrage, le paquet est rejeté et un message ICMP destination unreachable est retourné à l'expéditeur.
Etude d'un routeur filtre du constructeur CISCO
Sur les routeurs CISCO, il y a des listes d'accès (access control list) définies comme un recueil séquentiel de conditions d'autorisation et d'interdiction qui s'appliquent aux adresses de l'Internet. Ces conditions de listes d'accès permettent de mettre en œuvre les règles de filtrage de paquets.
Il existe deux types de listes d'accès :
• les listes d'accès standard• les listes d'accès étendu
Les listes d'accès standard ont une adresse unique pour les mises en correspondance. Les listes d'accès étendu ont deux adresses comportant des informations de protocole optionnelles pour les mises en correspondance.
La liste d'accès standard
La syntaxe des listes d'accès standard est la suivante :
access-list list {permitdeny} address wilcard-maskno-access -list list
Le mot clé
• Les techniques de sécurité de base- La sécurisation des machines individuelles- La translation d'adresse- Le chiffrement et la signature numérique
• Les firewalls (ou gardes-barrières)
Les techniques de sécurité de base
Sécurisation des machines individuelles
La sécurisation des machines individuelles est la technique de sécurité la plus répandue dans le monde informatique. Comme son nom l’indique, elle consiste à configurer chaque ordinateur sur le réseau pour résister à l’intrusion en utilisant :
• des méthodes d'authentification pour vérifier et garantir l'identité d'un utilisateur ou de toute autre entité du réseau
• des contrôleurs d'intégrité comme des anti-virus
• des mécanismes d'audit et de journalisation qui sont respectivement des procédés qui permettent d'observer tous les phénomènes qui surviennent sur le réseau et qui permettent le stockage de toutes ces informations sous forme de fichiers, de bases de données pour faciliter la surveillance et la maintenance des systèmes
• les plus récentes mises à jours (patchs) des logiciels afin de supprimer les bogues éventuels de certains logiciels entre deux versions
La translation d’adresse
La translation d’adresse (Network Adress Translation) est basée sur le principe que toutes les machines sur un réseau interne (réseau local) n’accéderont pas à l'Internet en même temps. Le traducteur d’adresses du réseau possède un ensemble d’adresses externes disponibles parmi les adresses officiellement affectées. Il fonctionne sur le même principe qu’un PABX qui gère des lignes téléphoniques, le NAT, lui, gère des adresses IP.
Fig. 3 La translation d’adresse (NAT)
La passerelle lit une liste d’adresses disponibles et réécrit les en-têtes de paquets pour que les adresses non référencées ne sortent jamais du réseau interne.
Quand un utilisateur interne veut utiliser l’Internet, le périphérique choisit un nombre de l’ensemble et réécrit tous les paquets sortants avec l’adresse externe. Parallèlement, les paquets entrants sont réécrits pour être transmis sur le réseau interne avec l’adresse interne.
La translation d’adresse permet aux organismes d’utiliser un plus petit espace d’adressage tout en cachant les adresses internes.
Une autre solution est d’affecter dynamiquement les adresses IP aux machines individuelles, en utilisant des protocoles tels que le Dynamic Host Configuration Protocol (DHCP) et le Boostrap Protocol (BOOTP) : ils gardent un ensemble d’adresses IP enregistrées et les affectent aux machines qui demandent d’accéder à l'Internet.
L’authentification
L’authentification est un procédé qui permet la vérification et la garantie de l’identité d’une entité. On distingue quatre fondements pour l’authentification :
• ce que l'entité connaît
• où se trouve l'entité à authentifier
• ce qu’est l'entité
• ce que l'entité possède
Ce que l'entité connaît
Cette méthode est habituellement réalisée en utilisant la combinaison d’un identifiant d'utilisateur et d'un mot de passe (exemple : login - password). Son principal inconvénient est qu’il n’y a aucune preuve que seules les personnes de confiance connaissent le bon mot de passe. En effet, les mots de passe peuvent être :
• communiqués (en laissant un post-it sur l'écran d'une station, par exemple)
• trop simples et facile à deviner
• récupérer par un intrus écoutant les lignes de communication n'utilisant pas de systèmes de chiffrement
Où se trouve l'entité à authentifier
La plupart des réseaux comptent sur un identifiant d’utilisateur et l’adresse réseau d’origine pour l’authentification. C’est à dire que l’authentifiant suppose que l’identité de l’origine peut être déduite de l’adresse de réseau d’où viennent les paquets. Comme nous l'avons vu précédemment, cette méthode atteint ses limites lorsqu'un intrus utilise le trucage IP (IP Spoofing) pour se faire passer pour un hôte de confiance.
Ce qu’est l'entité
Elle est fondée sur ce qu’est l’entité à authentifier. Cette catégorie comprends les attributs physiques telles que des empreintes digitales, rétiniennes, vocales, etc.
Ce que l'entité possède
Elle est fondée sur la possession d’une carte électronique à mémoire spécialement utilisée pour vérifier l'identité d'une personne.
Le chiffrement et la signature numérique
Le chiffrement (ou la cryptographie)
Le chiffrement est défini comme un processus consistant à prendre des informations qui existent sous forme lisible et à les convertir en une forme cryptée.
Si le destinataire des données codées souhaite lire les données originales, il doit les convertir à partir des données codées, selon un processus appelé décodage. Le décodage est la réciproque du codage. Afin de décoder des données le destinataire doit être en possession de ce que l’on appelle clé. La clé doit être conservée et distribuée avec circonspection.
Dans la cryptographie, deux types de clés peuvent être utilisées:
• la clé symétrique
• la clé asymétrique
La cryptographie à clé symétrique consiste à brouiller des messages en utilisant une clé ou un secret commun et à les déchiffrer en utilisant le même secret ou clé.
Le codage DES (Data Encryption Standard) est un codage à clé symétrique très largement utilisé. C’est le standard de cryptographie des données. Il transforme les informations en clair, en données que l’on appelle cyphertext. Pour ce faire, il utilise un algorithme spécifique et une valeur seed nommée clé. Le destinataire connaissant la clé peut l’utiliser pour reconvertir les données codées en texte en clair.
La cryptographie à clé asymétrique utilise deux clés : une clé publique et une clé privée. Les messages chiffrés avec l’une des deux clés peuvent être décodés par l’autre clé de la paire. Ainsi, tout message chiffré avec la clé publique peut être décrypté seulement avec la clé privée.
L'algorithme le plus connu dans la cryptographie à clé asymétrique est le RSA dont les créateurs sont Ron Rivest, Adi Shamir et Léonard Adleman. Le standard de l’Internet de Privacy Enhanced Mail utilise le système RSA.
Pour communiquer secrètement sur l’Internet à l’aide de la cryptographie asymétrique, deux personnes A et B doivent procéder comme suit :
1. A chiffre son message en utilisant la clé publique de B et l’envoie à B.2. B reçoit le message de A et le décrypte en utilisant sa clé privée.3. Pour répondre à A, B chiffre son message avec la clé publique de A.4. A reçoit le message de B et le décrypte en utilisant sa clé privée.
Il est à noter que n’importe qui peut envoyer des messages à B pourvu qu’il ait sa clé publique. Par contre, seul B peut lire, grâce à sa clé privée, les messages codés par sa clé publique.
Fig. 4 2 La cryptographie asymétrique La signature numérique
La cryptographie asymétrique permet de signer numériquement des messages. Une signature numérique s’obtient par l’inversion de la technique de cryptographie asymétrique à clé publique vue précédemment. La signature numérique permet de garantir l’intégrité et l’origine d’un message ; ce qui fait de cette technique une méthode efficace contre la non répudiation.
L’exemple suivant illustre l’intérêt de la signature numérique :
1. A chiffre son message en utilisant sa clé privée et l’envoie à B.2. B reçoit le message de A et le déchiffre avec la clé publique de A
Il est à noter que n’importe qui peut lire des messages de A pourvu qu’il ait sa clé publique. Par contre, seul A peut avoir écrit ce message car lui seul détient (théoriquement) sa clé privée. La signature numérique s’attache surtout à garantir l’origine du message et non sa confidentialité.
Fig. 4 3 La signature numérique
Les limitations des techniques de chiffrement
Avantages Inconvénients
Cryptographie symétrique Rapide Deux clés identiques Facile à mettre en œuvre sur une puce électronique Distribution des clés difficile
Cryptographie asymétrique Deux clés différentes Lent Signature numérique Distribution des clés relativement rapide
Fig. 4 4 Cryptographies symétrique et asymétrique
La cryptographie à clé publique possède des fonctionnalités très intéressantes pour sécuriser les communications. Cependant, elle requiert des temps de calculs très importants et ne s’implémente que trop difficilement sur circuits électroniques. La cryptographie symétrique, quant à elle, est rapide et très facile à mettre en œuvre.
L’idéal serait de pouvoir combiner ces deux types de cryptographie ; ce qui est tout à fait possible. Pour optimiser les performances d’une telle combinaison, un condenseur de message peut être utilisé. Il s’agit d’une fonction qui prend un message en entrée et produit un code irréversible, unique et apparemment aléatoire de longueur fixe. Plusieurs condenseurs de messages présentent ces propriétés. Les plus utilisés d’entre eux sont MD4 et MD5 créés par Ron Rivest de RSA Data Security Inc., ainsi que SHA (Secure Hash Algorithm) créé par le NIST (Institut National des Normes et Technologies des Etats-Unis).
Dans l’exemple suivant, A envoie un message secret à B via l’Internet en combinant la cryptographie symétrique et la cryptographie asymétrique :
1. A écrit son message et crée un condensé du message2. A chiffre le condensé du message avec sa clé privé3. Parallèlement, A chiffre son message avec la cryptographie à clé symétrique en utilisant une clé de session choisie aléatoirement4. A chiffre la clé de session avec la clé publique de B5. A envoie à B ces trois objets chiffrés6. B décode la clé de session en utilisant sa clé privée7. Le message peut alors être déchiffré par la clé de session décryptée8. B calcule son propre condensé du message9. B déchiffre le condensé du message envoyé par A avec sa clé publique10. La comparaison des deux condensés permet de garantir l’intégrité et l’origine du message
Grâce à la combinaison des deux crypto-systèmes et l’utilisation d’un condenseur de message, la confidentialité, l’intégrité et la non répudiation peuvent être garanties.
Fig. 4 5 Combinaison des deux crypto-systèmes
Les problèmes de performance ne sont pas les seules limitations des techniques de chiffrement. En effet, la génération et la distribution des clés posent quelques problèmes. Comment communiquer une clé publique de manière sûr ? Par téléphone ? Par courrier ? Une méthode pertinente et efficace est l’utilisation de certificat fondé habituellement sur la norme UIT_T.509 et des autorités de certification.
En France, le chiffrement des communications est considéré comme une arme de guerre si bien que pour utiliser certains algorithme des autorisations spéciales doivent être obtenues auprès du SSICS.
Les firewalls
Une autre technique de sécurité Internet et qui permet d'appliquer une politique de sécurité : les firewalls.
L’objectif essentiel d’un firewall est de protéger un réseau d’un autre. En principe, le réseau à protéger vous appartient ou est sous votre responsabilité tandis que le réseau contre lequel vous désirez vous protéger est un réseau externe en qui vous n’avez pas confiance et à partir duquel des attaques peuvent survenir.
La protection du réseau consiste à empêcher l'accès aux utilisateurs non autorisés à des informations sensibles, tout en permettant aux utilisateurs légitimes d’accéder facilement aux ressources du réseau.
Dans cette partie, nous allons établir les différents concepts des Firewalls en répondant à ces différentes questions :
• Quels sont les différentes techniques firewalls ?
• Quels sont les types d’architectures à utiliser ?
Le terme firewall est utilisé par beaucoup comme un terme générique décrivant n’importe quels dispositifs de protection d’un réseau ; ce qui est faux.
Un firewall se compose d'un ou plusieurs éléments bien spécifiques créant une interface entre deux réseaux. Son but est de restreindre l’accès entre un réseau protégé et un réseau externe (en général l'Internet ).
Figure 4 6 Notion de périmètre de sécurité
Il est également possible d'utiliser des firewalls internes pour protéger des parties d'un réseau d’autres parties. Il existe un certain nombre de raisons à cela :
• existence de sous-réseaux moins sûres que d'autres appartenant au même site, par exemple des réseaux de démonstration ou de formation accessibles à des personnes
• existence de parties du réseau nécessitant un plus grand niveau de sécurité comme des projets de développement secrets, ou des réseaux où transitent des données financières, ou encore des informations concernant les salariés d'une entreprise.
Le firewall est un dispositif permettant de contrôler et de rejeter le trafic au niveau applicatif (cf. schéma ci-dessous). Il peut également fonctionner au niveau des couches réseau et transport en examinant les en-têtes IP et TCP des paquets entrants et/ou sortants. L'acceptation et le rejet de paquets s'effectuent selon des règles de filtrage prédéfinis
APPLICATION
FIREWALL
PRESENTATION SESSION
ROUTEURFILTRE TRANSPORT RESEAU LIAISON PHYSIQUE
Fig. 4 7 Le filtrage de paquet et le modèle OSI
Le firewall ne protège pas contre des menaces internes. Il peut protéger de la plupart des attaques venant de l’Internet mais il ne fera rien si le danger vient de l'intérieur
Le firewall doit être le seul point d’entrée du réseau. Il ne sert à rien de construire un firewall coûteux et puissant si l'on connecte des modems au réseau le court-circuitant. En effet, le firewall protège seulement le trafic passant par lui. Il n’existe malheureusement aucune terminologie totalement cohérente pour les techniques et architectures des firewalls. Dans la suite de cet exposé, nous nous attacherons à décrire des architectures firewalls visant à protéger des risques et menaces de l'Internet.
Les différentes techniques firewalls
Il existe trois grandes techniques firewalls:
• le filtrage de paquet
• les services mandataires
• le SMLI (State Multi-Layer Inspection)
Un firewall combine différentes techniques et différents composants. Aussi, il n'est pas impossible que des solutions firewalls utilisent, en plus des techniques firewalls, des techniques de sécurité de base comme vu précédemment (contrôle d'intégrité, translation d'adresses, authentification, chiffrement, audit, journalisation, etc.).
Le filtrage de paquet
Le filtrage de paquet constitue un mécanisme puissant de contrôle du type de trafic qui circule sur un réseau donné. Il extrait, à partir des données qui transitent, diverses informations comme le type de services, les adresses source et destination du message et bien d’autres encore ; ce qui permet de restreindre les accès aux services susceptibles de compromettre la sécurité du réseau.
Le filtrage de paquet peut être une fonction logicielle d'un firewall ou un composant matériel d'un firewall dans une architecture firewall : il s'agit alors d'un routeur filtre.
Un routeur ordinaire se contente de regarder l’adresse de destination de chaque paquet et décide de la meilleure façon d’envoyer ce paquet vers cette destination. Cette décision est uniquement fondée sur sa destination. Il y a deux possibilités : le routeur sait comment faire atteindre sa destination au paquet et l’envoie ; ou bien il ne le sait pas, et le renvoie via un message ICMP redirect (de type «destination inaccessible») vers la source.
Le routeur filtre de paquets route les paquets entre un réseau interne et externe de manière sélective ; c’est à dire qu’il laisse passer les paquets suivant la politique de sécurité établie. Une raison essentielle de son succès est la transparence avec laquelle il opère. La plupart des filtres peuvent être implémentés sans aucun désagrément pour l'utilisateur final pour qui le routeur filtre est totalement transparent.
L'algorithme générique mis en œuvre par le filtre de paquet se décompose comme suit :
1. Les critères de filtrage doivent être définis, ils sont appelés les règles de filtrage de paquets.
2. Lorsqu’un paquet arrive sur un port du routeur filtre ses en-têtes IP, TCP ou UDP sont analysés.
3. Les règles de filtrage de paquets sont appliquées dans un ordre précis.
4. Si une règle bloque la transmission ou la réception d’un paquet, il est bloqué. Si une règle permet la transmission du paquet, le paquet passe. Si un paquet ne suit aucune règle, il est bloqué.
L’organigramme suivant résume le fonctionnement du filtrage de paquets:
Fig. 4 8 Algorithme du filtrage de paquet
Où placer le filtre de paquets ?
Le routeur peut examiner les paquets entrants ou sortants sur n’importe laquelle des interfaces. Par conséquent, le filtrage de paquet peut se faire au niveau des paquets entrants, des paquets sortants ou des deux.De nombreux constructeurs de routeurs mettent en œuvre le filtrage de paquets sur les paquets sortants pour des raisons d’efficacité. Pour les paquets sortants, les règles de filtrage peuvent s’appliquer lorsque le routeur consulte ses tables pour déterminer la destination du paquet. Si le paquet n’est pas routable ou s'il n’y a pas de correspondance avec les règles de filtrage, le paquet est rejeté et un message ICMP destination unreachable est retourné à l'expéditeur.
Etude d'un routeur filtre du constructeur CISCO
Sur les routeurs CISCO, il y a des listes d'accès (access control list) définies comme un recueil séquentiel de conditions d'autorisation et d'interdiction qui s'appliquent aux adresses de l'Internet. Ces conditions de listes d'accès permettent de mettre en œuvre les règles de filtrage de paquets.
Il existe deux types de listes d'accès :
• les listes d'accès standard• les listes d'accès étendu
Les listes d'accès standard ont une adresse unique pour les mises en correspondance. Les listes d'accès étendu ont deux adresses comportant des informations de protocole optionnelles pour les mises en correspondance.
La liste d'accès standard
La syntaxe des listes d'accès standard est la suivante :
access-list list {permitdeny} address wilcard-maskno-access -list list
Le mot clé
- est un nombre entier de 0 à 99 utilisé pour identifier une ou plusieurs conditions d'autorisation ou d'interdiction. Les mots clés
Pour le
access-list 1 permit 199.245.180.0 0.0.0.255access-list 1 permit 132.23.0.0 0.0.255.255
Si le
La liste d'accès étendu
Les listes d'accès étendu permettent de filtrer les paquets selon les adresses IP source et destination et selon des informations relatives au protocole.
La syntaxe des listes d'accès étendu est la suivante :
acces-list list {permitdeny} protocol source source-mask destinationdestination-mask [operator operand]
Le mot clé
- est un nombre entier de 100 à 199 utilisé pour identifier une ou plusieurs conditions étendues d'autorisation ou d'interdiction. Les nombres de 100 à 199 sont réservés aux listes d'accès étendu et ne peuvent pas être confondus avec les nombres utilisés pour les listes d'accès standard (1 à 99).
Les mots clés
Les paramètres
0 commentaires:
Enregistrer un commentaire
Abonnement Publier les commentaires [Atom]
<< Accueil