SMIME, IPSec

1
S/MIME, IPSec SSL

• Mahmoud TOUNSI
• Mohamed Basti MAHJOUBI

2

• Messagerie électronique S/MIME
• VPN IPSec
• SSL

3
Messagerie électronique

• Plan
• Généralités
• Attaque Email Spoofing
• gt Problèmes
• Sécurisation des messages électroniques
  certificat électronique SMIME

4
Généralités

• Le courrier électronique permet l'échange
  d'informations sous forme de messages textuels
  accompagnés, le cas échéant, de pièces jointes
  constituées de fichiers quelconques.
• Utilisation des protocoles denvoi de messages ex
  SMTP (Simple Mail Transfer Protocol)
• MIME Multipurpose Internet Mail Extension a
  été développé pour permettre léchange des
  images, des codes, et tout autre attachement via
  la messagerie électronique.
• MIME ne contient aucun mécanisme de sécurité

5
Email spoofing (1/3)

• Description
• Email spoofing peut être réalisé par des
  différentes formes, mais il aboutit toujours au
  même résultat.
• Un utilisateur reçoit un message qui semble être
  envoyé par une personne alors quil est
  réellement envoyé par une autre personne
• Cest une sorte dattaque qui consiste à
  transmettre un email avec une adresse expéditeur
  choisie au préalable.
• Exemple
• Un email qui semble être envoyé par
  ladministrateur du serveur de messagerie qui
  incite le destinataire à changer son mot de passe
  en une autre chaîne de caractère spécifique
• gt Email spoofing est ainsi une technique
  dattaque du type social engineering capter
  des mots de passe ou autre information de
  caractère confidentiel.

6
Email spoofing (2/3)

• Comment peut on réaliser cette attaque ?
• Cette attaque est facile à réaliser puisque le
  protocole SMTP (denvoi des messages) ne permet
  pas lauthentification de lexpéditeur
• Nimporte qui peut se connecter à un serveur SMTP
  via des commandes pour réaliser cette attaque

7
Email spoofing (3/3)
8
Problèmes

• Les services de sécurité ne sont pas assurés par
  la messagerie (SMTP MIME)
• Authentification de lexpéditeur du message
  électronique
• Non répudiation de lopération denvoi
• Intégrité du message
• Confidentialité des données contenues dans le
  message

9
Messagerie et certificats électroniques

• Une solution consiste à utiliser les certificats
  électroniques S/MIME
• S/MIME est une version sécurisée du MIME
• Que faut-il pour utiliser S/MIME ?
• Un certificat électronique,
• Un serveur de messagerie S/MIME,
• Un client de messagerie S/MIME.

10
S/MIME

• Que permet S/MIME ?
• Intégrité utilisation dune fonction de calcul
  du digest cryptage avec la clé privée
• Authentification basée sur lutilisation de la
  clé privée du certificat électronique
• Non répudiation réalisation dune signature
  électronique
• Confidentialité (cryptage symétrique)
  lexpéditeur envoie au destinataire la clé de
  chiffrement cryptée par la clé publique de ce
  dernier.
• ? ?Ainsi tout problème déjà détecté est résolu

11

• VPN IPSec

12
VPN IPSec

• Plan
• Définition VPN
• Exemples de technologies VPN
• IP sécurisé IPSec
• Vision globale
• Méthodes détablissement des tunnels IPSec
• La méthode de négociation des tunnels IKE
• Exemple de traitement IPSec ESP en mode tunnel

13
VPN
14
Définition

• Les réseaux privés virtuels (VPN Virtual
  Private Network) permettent à l'utilisateur de
  créer un chemin virtuel sécurisé entre une source
  et une destination.
• Principe Tunnelling
• Services cryptage des données, authentification
  des deux extrémités communicantes et intégrité
  des données.
• VPN est une collection de technologies appliquées
  au réseau public, Internet, pour fournir les
  besoins dun réseau privé
• Analogie VPN fournit des services comme sil y
  avait une ligne de télécommunications privée et
  propre à lentreprise

15
Exemples de technologies VPN

• Les VPN sécurisés
• IPSec (IP Security) avec cryptage de données
• IPSec encapsulé dans L2TP (Layer two (2)
  Tunneling Protocol)
• SSL 3.0 (Secure Sockets Layer) ou TLS (Transport
  Layer Security) avec cryptage de données

16
IP sécurisé IPSec

• Description des objectifs, des besoins et des
  problèmes
• IPsec est conçu pour garantir
• une sécurité de haute qualité, sans problème
  d'interopérabilité
• l'ensemble des services de sécurité
• L'utilisation de deux protocoles de sécurité de
  trafic, Authentication Header (AH) et
  Encapsulating Security Payload (ESP), de
  procédures et de protocoles de gestion de clés de
  cryptographie
• Un ensemble standard d'algorithmes par défaut est
  spécifié pour facilité l'interopérabilité avec
  l'ensemble d'Internet

17
Vision globale du système (1/2)

• Une implémentation d'IPsec s'exécute dans un
  environnement hôte ou sur une passerelle de
  sécurité pour protéger le trafic IP
• La protection offerte est basée sur des besoins
  définis par la base de données de la politique de
  sécurité (SPD, Security Policy Database)
• Chaque paquet peut utiliser les services de
  sécurité IPsec, ou de les éviter, selon les
  règles de la SPD identifiées par les Sélecteurs.

18
Vision globale du système (1/3)

• Que fait IPsec ?
• IPsec offre des services de sécurité au niveau de
  la couche IP en permettant au système de choisir
  le protocole de sécurité dont il a besoin, de
  déterminer l'algorithme à utiliser pour ce ou ces
  services, et de mettre en place les clés de
  cryptographie nécessaire pour assurer ces
  services.
• IPsec peut être utilisé pour protéger un ou
  plusieurs accès entre deux hôtes, entre deux
  passerelles de sécurité, ou entre une passerelle
  de sécurité et un hôte

19
Vision globale du système (1/3)

• IPsec offre
• le contrôle d'accès,
• l'intégrité en mode non connecté,
• l'authentification de l'origine des données,
• le rejet des paquets de rejeu (une forme
  d'intégrité),
• la confidentialité (chiffrement),
• une certaine confidentialité sur le flux de
  trafic.

20
Méthodes détablissement des tunnels IPSEC

• Manuelle
• Automatique
• Négociation des tunnels
• IKE (Internet Key Exchange) protocole de
  gestion des clés qui fournit les SAs
  (association de sécurité) IPSec
• Pre-shared secret
• Digital signature (certificat VPN)
• Piblic key encryption
• Revised public key encryption

21
Méthode détablissement dun tunnel IPSEC
Certificat électronique VPN
22
La méthode de négociation des tunnels IKE

• IKE Phase 1 initialise un canal sécurisé entre
  les deux bouts.
• algorithme d'authentification
• algorithme de chiffrement
• l'identité
• authentification
• IKE Phase 2 négociation de la politique de
  sécurité.

23
Exemple de traitement IPSec ESP en mode tunnel
24
SSL

• Secure Socket Layer

25
SSL

• Plan
• Cadre général
• Définition et historique
• Fonctionnalités
• Fonctionnement
• Composantes
• Implémentations
• Applications
• HTTPS
• VPN à base de SSL

26
Cadre général

• Internet constitue une nouvelle interface entre
  les entreprises et leurs clients.
• En se déplaçant vers le web, les services offerts
  par les entreprises deviennent plus accessibles
  et plus disponibles.
• Pour accéder à ces services, qui sont payants, un
  client doit donner des informations sensibles (N
  de carte de crédit).
• Besoin du côté du client sassurer de
  lidentité de lentreprise et assurer la
  confidentialité de ses informations sensibles.
• Besoin en sécurité établir un protocole capable
  de gérer ces aspects de sécurité.

27
Définition et historique

• SSL Seure Socket Layer est le standard dans
  les communications et les transactions
  sécurisées.

• 1994 Netscape développe le protocole SSL
• SSL permet à un client dauthentifier
  le serveur
• Seul le Netscape Navigator utilise ce
  protocole

• 1995 SSL V3 permet au serveur dauthentifier
  le client.

• 2001 IETF achète le brevet du SSL et le
  rebaptise TLS (Transport Layer Security)

28
Fonctionnalités

• Authentification
• Authentification du serveur par le client
• Authentification mutuelle
• Confidentialité
• Intégrité
• Non répudiation

29
Fonctionnalités Authentification du serveur

• Le client a besoin de sassurer de lidentité du
  serveur avant lenvoi des informations sensibles.

Utilisé dans le domaine du commerce électronique
(B2C)

• Basé sur les certificats électroniques
• Le serveur envoie son certificat au client.
• Le client sassure de la validité du certificat
  et de la signature de ce dernier par une autorité
  de certification de confiance.
• Si le certificat est valide le client peut
  entamer une communication sécurisée avec le
  serveur (session).

30
Fonctionnalités Authentification mutuelle

• Le serveur aussi a besoin de sassurer de
  lidentité du client.

Utilisé dans le domaine du commerce électronique
(B2B) et dans le cas où une partie du SI est
disponible sur le web pour des utilisateurs
autorisés seulement.
À son tour, le client doit envoyer son certificat
au serveur Ce certificat est accepté sil est
valide et signé par une autorité de certification
de confiance
31
Fonctionnalités Confidentialité

• Une fois la session établie, les deux entités
  peuvent échanger leurs informations en toute
  sécurité en les cryptant.

SSL utilise le cryptage symétrique, pour cela une
clé de session est établie pour crypter des
données.
Toute autre personne qui intercepte les
informations échangées est incapable de les
déchiffrer puisque elle ne connaît pas la clé de
session
32
Fonctionnalités Intégrité

• Une tierce personne peut toujours changer les
  informations sans avoir besoin de les déchiffrer.

SSL protège les informations échangés contre ces
modifications. Ceci garantie la véracité des
informations reçues (N de la carte de crédit).
SSL envoie avec les messages une empreinte
numérique issue dune fonction de hachage.
33
Fonctionnalités Non répudiation

• SSL est utilisé dans des domaines très sensibles
  tel que le commerce électronique.

Lorsqu une transaction est faite SSL peut
empêcher le fait quune personne nie avoir
effectué cette transaction.
Ceci est assuré par le mécanisme de la signature
électronique lémetteur signe ces messages par
sa clé privée (stockée seulement chez lui) et le
récepteur vérifie cette signature avec la clé
publique qui se trouve dans le certificat de
lémetteur.
34
Fonctionnement
Client
Serveur
35
Composantes

• SSL se compose de deux parties

• SSL Record Protocol assure la confidentialité
  et lintégrité des données échangées.

• SSL Handshake Protocol, SSL ChangeCipherSpec et
  SSL Alert qui assurent lauthentification et
  létablissement de la session.

36
Implémentations

• Implémentations propriétaires
• IAIK-JCE, iSaSiLk
• SUN JSSE
• PHAOS The SSL Toolkit

• Implémentations gratuites
• SSLeay de Eric Young
• Crypt SSLeay Module Perl
• ItiSSL implémentation dune API SSL en java
• OpenSSL implémentation open source disponible
  sur Linux

37
Applications

• HTTPS http over SSL
• FTP protection des mots de passe et des
  fichiers par SSL
• LDAP protection des connexions au serveur LDAP
  par SSL
• Telnet protection des données échangées dans
  une session Telnet par SSL
• SSL VPN VPN a base de SSL

38
HTTPS

• SSL est né pour la sécurisation des
  communications sur le Web.

Utilisé dans le domaine du commerce électronique
(B2C et B2C) pour sécurisé les transactions.
SSL crypte et décrypte les données échangées
entre un client et un site marchand ou entre un
utilisateur autorisé et un système dinformation
disponible sur le Web.
39
VPN SSL

• Motivations
• Disponibilité des implémentations de SSL sur la
  quasi totalité des systèmes dexploitation.
• Robustesse du protocole SSL en matière de
  cryptage.
• Maturité acquise dans le domaine des transactions
  sur le web(HTTPS).

40
VPN SSL

• Analogie entre VPN SSL et VPN IPSec

41
VPN SSL VS VPN IPSec
42
Conclusion (1/2)

• S/MIME version du protocole MIME qui permet le
  cryptage de données. Il est basé sur la
  technologie de la clé publique RSA.
• IPSec protocole qui permet la sécurisation de
  léchange des paquets au niveau IP.
• SSL protocole qui permet léchange de documents
  confidentiels via Internet (sessions HTTPS, VPN)
• des protocoles de sécurité qui peuvent utiliser
  le crypto système asymétrique.
• Ainsi, les certificats électroniques sont
  utilisés dans ses protocoles.
• SSL certificat serveur et certificat client
• S/MIME certificat email,
• IPSec certificat passerelle VPN et certificat
  client VPN

43
Conclusion (2/2)

• la sécurité offerte par l'utilisation des
  protocoles IPsec, SSL, S/MIME et des algorithmes
  associés par défaut dépend de la qualité de leurs
  implémentations
• la sécurité d'un système ou d'un réseau est
  fonction personnels, physiques, pratiques de
  sécurité informatique.
• Lutilisation de ces protocoles de sécurité nest
  pas suffisante pour protéger le système
• nécessité dune approche globale lélaboration
  dune stratégie ou une politique de sécurité.

44

• Fin
• 
  

Merci