1

Communications & SécuritéRéseau

Sécurité des SI

2

Plan1 Introduction2 Sécurité Couche IP

– IP security, VPNs, IPv63 Sécurité Couche Transport

– SSL/TLS, SSH4 Applications

– PGP, SET

3

1. Introduction

4

Les attaques

5

Rappel : TCP/IP (Internet)

• OSI model

Application

Transport

Internetwork

Network Access (link)

Physical

User

e.g. HTTP, FTP, Email

e.g. TCP, UDP

e.g. IP

e.g. Ethernet, WiFi, PPP (modem)

e.g. copper cable, radio spectrum

6

Sécuriser le traffic réseau• à la couche Application?

– e.g. PGP, SET

• à la couche Transport?– e.g. SSL/TLS

• à la couche Internetwork layer?– e.g. IPsec

• Aux couches basses?– e.g. WEP/WPA (for wireless access points)

• À toutes les couches?– Pour une sécurité maximum

7

Cela dépend• Des utilisateurs

– Transparence vis-à-vis de l’utilisateur ?– La sécurité sur la couche Application fait généralement

intervenir les utilisateurs

• De l’importance de la vitesse– Le chiffrement des données ralentit la communiation

• Des besoins en sécurité

• De la topologie du réseau– Le réseau est-il de confiance ?– Liens sans fil ?

8

2. Sécurité couche IP : IPsec

9

IP Security (IPsec)• Suite de protocoles de Internet

Engineering Task Force (IETF) • Sécuriser les échanges au niveau de la

couche réseau

– Specifications :• RFC 2401: Security architecture• RFC 2402: Authentication• RFC 2406: Encryption• RFC 2408: Key management

10

Pourquoi sécuriser au niveau IP ?

• Transparent pour les applications de niveaux supérieurs

• Pas besoin de modifier les applications de niveaux supérieurs

• Gestion centrale de la sécurité (clés, algorithmes,...)

11

Secured IP

Diverses Apps

WebEmail Game DB queries FTPSNMP IM

TCP UDP autres Transport

Indépendance Applications et Transport

12

IPsec Architecture• Deux possibilités de protocoles :

–Authentication Header (AH)• Apporte authentication mais pas

confidentialité• Ajoute des champs au paquet IP

traditionnel

–Encapsulating Security Payload (ESP)• Chiffrement et en option authentification • Contenu du paquet IP est chiffré et

encapsulé entre header et trailer

13

Security Association (SA)• Pour communiquer, chaque hôte doit initialiser

une SA avec l’autre hôte • Définir les paramètres :

– Type de protection– Algorithmes– Clés– …

• Specifie une relation one-way• Pour soit AH soit ESP, mais pas les deux

14

Security Association (SA)• Chaque SA est identifiée par :

– Security Parameters Index (SPI)• Chaîne de 32 bits assignée à cette SA (Identité

locale)– Adresse de destination IP

• Adresse d’une machine individuelle, firewall, routeur

– Choix de AH ou ESP

15

Modes IPsec : 2 modes• Mode Transport :

–Protège seulement payload• i.e. Protège données originales et

protocoles de niveaux supérieurs–Généralement utilisé pour des

communications end-to-end

16

Transport Mode Security

17

IPsec mode Tunnel• Mode Tunnel :

–Protège le paquet IP entier• Incluant le IP header

–Généralement utilisé pour connecter des gateways (firewalls ou routeurs qui implantent IPsec)

–Exemple de VPN–Les hôtes n’ont pas besoin d’implanter

IPsec

18

Tunnel Mode Security

19

• Ajoute des champs au paquet IP• Pour vérifier authenticité & integrité du paquet

Avant d’appliquer AH:

Mode Transport :Ø Données et parties du IP

header authentifiées

Mode Tunnel :Ø Paquet IP + parties du

new header authentifiées

Authenticated (Data + orig IP header + parts of new header)

Authentication Header (AH)

Authenticated (Data + parts of IP header)

RFC 2402

20

• Authentification utilise un MAC • Les parties doivent partager une clé secrête• Sequence Number : protection contre rejeu

Authentication Header (AH)

21

• Pourquoi avoir un protocole qui s’occupe seulement de l’authentification ? – L’utilisation de chiffrement est parfois limitée– Implémentation plus rapide– Le récepteur peut n’être intéressé que par

l’authenticité/intégrité du document

Authentication Header (AH)

22

Encapsulating Security Payload (ESP)

• Le contenu du paquet IP est chiffré entre les champs header et trailer.

• Le service d’Authentification est optionnel

RFC 2406

23

Paquet IP :

Transport Mode :Ø Seules les données sont

chiffrées & authentifiées

Tunnel Mode :Ø Le paquet entier est chiffré

& authentifié

Authenticated (optionally)

Encrypted

Authenticated (optionally)

Encrypted

Encapsulating Security Payload (ESP)

24

ESP Format

25

Transport Mode Tunnel Mode

AHAuthenticates payload and selected portions of IP header

Authenticates entire original IP packet plus selected portions of new header

ESP Encrypts payload only Encrypts (entire) original IP packet

ESP with authentication

Encrypts payload only.Authenticates payload but not header

Encrypts original IP packet.Authenticates original IP packet

Transport vs Tunnel Mode

• Le mode Tunnel sécurise le IP header et le payload

26

Key Management avec IPsec• L’échange de clés n’est pas implanté dans

IPsec– Il faut choisir un protocole de génération et

d’échange de clés secretes. Par défaut :• Oakley Key Determination Protocol

• basé sur Diffie-Hellman

• ISAKMP & IKE – Internet Security Association and Key Management Protocol & Internet Key Exchange

27

IPsec points positifs• Fournit un niveau de sécurité pour toute

application.– Permet de déployer de nouvelles applications qui

n’assurent pas elles-même leur sécurité.• Transparent vis-à-vis de la couche transport• Transparent vis-à-vis des utilisateurs

– Pas besoin de gérer de clés• Extensible à de nouvelles méthodes

cryptographiques

28

IPsec points faibles• Processing performance overhead

– La protection est appliquée à tout le traffic mais seulement une petite partie de ce traffic est réellement sensible

• Les hôtes doivent avoir une Security Association– Pénalise les connexions courtes

• Pas pratique pour le broadcast• Pas de protocoles d’échange de clés dédié• Filtrage par firewall délicat• Translation d’adresse théoriquement impossible

29

IPsec résumé• Mécanismes cryptographiques

– Code d’authentification de message (MAC) : authenticité des données

– Chiffrement : confidentialité des données– Numéro de séquence : protection contre le rejeu

• Mise en œuvre par deux extensions de IP– AH (Authentication Header) : Intégrité– ESP (Encapsulating Security Payload) : Confidentialité

• RFC 2401

30

IPsec Résumé• Algorithmes cryptographiques :

– AH et ESP sont utilisables avec de nombreux algos cryptos

– Chaque produit comportant IPsec est livré avec un ensemble d’algos (à choisir)

– Chiffrement : NULL, CAST-128, Blowfish, RC5, DES, DES triple (168 bits), AES-CBC,…

– Authenticité : HMAC-MD5, HMAC-SHA-1,…• Deux modes de protection

– Transport : seul le contenu du paquet est protégé– Tunnel : encapsulation du paquet d’origine

• Web site recommandé : NIST IPSEC Project

31

IPsec Résumé

Quand utiliser IPSec? VPN en mode tunnel : permet de transporter

sûrement du trafic à travers Internet entre deux VPN

Lorsque le média physique est vulnérable, par exemple les réseaux sans fil

Voir http://www.frameip.com/ipsec/

32

Rappel : Le concept de VPN• Virtual Private Network (VPN)

– Utilise Internet publique (non sûr) comme parties de son réseau

– Rendu possible grâce à la crypto– Utilise le tunnelling – Deux principales utilités :

• Connexion à bas coût inter-branch• Accès à distance sécurisé

33

VPN concept

• Réseau Privé (Réel) – Un ensemble d’ordinateurs connectés

ensemble et protégés de l’Internet (habituellement avec un firewall)

– Généralement constitué de LAN(s). Si besoin, connexion wide area (e.g. inter-branch) grâce à des lignes de télécommunication louées

34

Virtual Private Networks

(a) Réseau privé avec lignes louées. (b) Réseau privé virtuel.

35

VPN requirements• Confidentialité des données• Authentification des utilisateur et logging des

accès• Gestion de clés

– Générer des clés de session pour les utilisateurs distants

• Gestion des adresses– Gérer et protéger les adresses IP internes

• Supporte plusieurs protocoles – HTTP, SMTP, FTP, …

36

IPv6 Security – IPsec mandated• IPsec choisi par l’IETF pour IPv6

– toute implémentation (i.e. hosts, routers, etc) doit avoir IPsec implanté pour être conforme à IPv6

• Lorsque IPv6 sera largement utilisé, IPsec sera installé partout – Actuellement, IPsec est plus utilisé dans les

equipements réseau (routers, etc) que les hôtes, mais ce ne sera plus le cas avec IPv6

• Si tous les hôtes ont IPsec => on peut obtenir une réelle sécurité end-to-end

37

IPv6 Security

• Le nombre d’adresses ne pose plus de problème (plus besoin de NAT, etc)

+ Réelle sécurité end-to-end

= permet de sécuriser les communications entre n’importe quelle entité

38

IPv6 Security – difficulté de scanner

• Avec IPv4, c’est facile de scanner un réseau– Avec des outils comme nmap, on peut

scanner un sous-réseau en quelques minutes

– Retourne la liste des hôtes actives et des ports ouverts

– Beaucoup de vers scannent les réseaux• e.g. Blaster, Slammer

39

IPv6 Security – difficulté de scanner

• Avec IPv6, l’allocation d’adresses (sparse address allocation) rend le scan d’un réseau difficile – 4 milliards de fois plus difficile de scanner un

sous réseau IPv6 qu’un sous-réseau IPv4

• Plus de Blaster, Slammer, …

• Cependant, l’utilisation de “dense” address allocations rend le scan plus facile

40

IPv4 - IPv6 Transition

Transition de IPv4 à IPv6 prendra du temps :

• Compatibilité avec les anciens systèmes et applications

• Les organisations déploient IPv6 sporadiquement avec des implantations pilotes expérimentales

• Besoin de coexistence entre IPv4 et IPv6 – Systèmes dual-stack (acceptant v4 et v6)– Tunnelling utilisé pour délivrer les paquets IPv6 à

travers des réseaux IPv4

41

IPv4 - IPv6 Transition – Security Risks

• Complexité plus grande – configuration des firewalls, etc, est plus complexe, proba d’erreur humaine plus importante

• Les nouveaux equipements peuvent être moins sûrs que les anciens qui ont été longuement testés et améliorés grâce à l’expérience

• Les nouveaux mécanismes de protection standards (tels que Intrusion Detection systems) peuvent ne pas être suffisamment matures

42

3. Transport Layer Security (TLS)

43

Sécurisation de contenu Web• Une communication sur le web : ce sont des web

browsers qui parlent avec des web servers en utilisant HTTP

Web Server (e.g. apache)

Web Browser (e.g. Internet Explorer)

HTTP Request(GET, POST, form data, …)

HTTP Response(HTML & other content)

44

Protection des contenus Web• HTTP ne fournit aucune sécurité

• Comment fournir la sécurité :– Ne pas modifier HTTP– Ajouter de la sécurité juste au dessus de la couche

transport

• Cela s’appelle :– Secure Socket Layer (SSL)

• Originellement par Netscape– Transport Layer Security (TLS)

• Standard (IETF)

• SSL et TLS sont pratiquement identiques

TLS (Transport Layer Security)Le protocole TLS est le successeur de SSL.TLS version 1 est fortement basé sur SSL version 3.● SSL 2.0: 1995● SSL 3.0: 1996 (RFC 6101)● TLS 1.0: 1999 (RFC 2246)● TLS 1.1: 2006 (RFC 4346)● TLS 1.2: 2008 (RFC 5246)

46

Rappel : TCP/IP (Internet) Protocol Stack

Application

Transport

Internetwork

Network Access (link)

Physical

User

Transport Layer Security

RFC 2246

47

Utilisations de SSL/TLS• Chiffrer des données sensibles entre browser

et web server– Numéros de cartes de crédits – lire web email– Consultation de comptes bancaires

• Authentification de participants– Vérifier l’authenticité du serveur web – Vérifier l’authenticité de l’utilisateur/browser

(optionnel)

48

Une page SSL• URL commence par https :

• Cadena fermé sur

browser

49

Implémentation de TLS

- OpenSSL- GnuTLS- NSS- YaSSL...

TLS fonctionnement

Le protocole TLS fonctionne en deux étapes :1. Négociation (handshake)2. Chiffrement (Record Protocol)La première phase met en place et vérifie les éléments de sécurité.La deuxième utilise ces éléments afin de fournir les propriétés de sécurité.

51

SSL Protocol Overview• SSL a deux couches de protocoles :

• Une couche correspond à un ensemble de protocoles permettant d’initialiser une session, changer des parametres, etc – SSL Handshake Protocol– SSL Change Cipher Spec Protocol– SSL Alert Protocol

• L’autre couche permet le chiffrement et l’authentification du message– SSL Record Protocol

52

SSL Architecture“normal” mode

53

SSL Architecture• SSL session

– Association entre client & serveur– Créé par le SSL Handshake Protocol– Définit les algorithmes, taille de clés, etc– Evite de répéter les négociations de parametres pour

chaque connexion • SSL connection

– Ephémère, peer-to-peer – Associée à une session SSL

• Une session => (potentiellement) plusieurs connexions

54

SSL Handshake Protocol – RésuméCLIENT SERVER

SSL version no./ Cipher settings

Server Certificate

Client Certificate(if required)

Session Key KS(encrypted with

server’s public key)

Secure Communication using KS

Résumé :1. S’accorde sur version

SSL 2. Selectionne algorithmes3. Authentification mutuelle

avec certificats4. Client génère une clé de

session (KS) et l’envoie au serveur avec sa clé publique (à partir du certificat)

5. Client et serveur peuvent communiquer en utilisant KS (chiffrement symétrique)

1,2

3

4

5

55

• Alert Protocol– Signals warning ou fatal alerts– Exemples de Fatal alerts :

• unexpected_message• bad_record_mac• decompression_failure

– Exemples de Warning alerts :• no_certificate• bad_certificate (e.g. signature does not verify)• certificate revoked• certificate expired

Alert Protocols

56

SSL Record Protocol

57

• Fragmentation– Les messages sont fragmentés en blocs d’au plus 214 (16384)

bytes • Compression

– Avant le chiffrement• Add MAC

– Basé sur une fonction de hachage (e.g. SHA-1) et une clé secrete

• Chiffrement – Chiffrement symétrique avec clé secrete partagée. Peut être

chiffrement par flot ou par block, comme specifié dans CipherSpec

• SSL Record Protocol Header– Numéro de version, longueur du contenu, etc

SSL Record Protocol

58

Secure Shell (SSH)• Utilisé pour se connecter à des applications

distantes• Utilise TCP port 22• Peut aussi transferer des fichiers chiffrés • De plus en plus utilisé pour transporter d’autres

applications – appelé SSH port forwarding ou tunnelling

59

SSH - Architecture• SSH architecture client-server • SSH serveur écoute sur le port 22 TCP • Un client SSH se connecte sur le serveur SSH,

dialogue avec lui puis se déconnecte

SSH Server

SSH Client port

22

60

SSH - Software• Il existe beaucoup d’implantations de SSH,

souvent gratuites. • Linux:

– Client: le plus populaire est OpenSSH Client• L’exécuter avec la commande “ssh”

– Server: le plus populaire est OpenSSH Server• Démarre automatiquement avec Linux; sinon, la commande

“sshd” permet de le démarrer manuellement

• Windows:– Client: le plus populaire est PuTTY

• Avec interface graphique– Server: on peut avoir OpenSSH Server pour Windows

• Peu utilisé sur des PC individuels

61

SSH pour connexion à distance• Le but originel de ssh est de permettre un

accès distant à des machines – i.e. remplacer rlogin et telnet, qui ne sont pas

sûrs (authentication insuffisante ; pas de chiffrement)

• SSH fournit un terminal virtuel sûr, permettant à l’utilisateur d’exécuter interactivement des commandes sur un ordinateur distant comme s’il était local

• Les données transmises sont chiffrées

62

SSH pour exécuter des commandes à distance

• SSH permet d’exécuter une commande sur un ordinateur distant sans avoir à initier une session de terminal interactive– Remplace la commande rsh qui existe dans

beaucoup de systèmes• Usage :ssh –l username hostname command

e.g. ssh –l Alice dir.univ-amu.fr ‘rm *’– Essayez sur votre compte...

• PuTTY peut faire la même chose

63

SSH pour transferer des fichiers• Le protocole SSH permet de transferer d’une

manière sûre des fichiers entre clients et serveurs– avec FTP, les fichiers, login et passwords passent en clair

• Cette utilisation de SSH est aussi appelée SCP (secure copy)

• Implanté sur le client avec OpenSSH, la commande scp (ou pscp pour Windows)– Il existe une version graphique appelée WinSCP

• Usage :pscp g@imaps.univmed.fr:testfile.txt \docs\

– Copie un fichier à partir du serveur mail sur le PC

64

SSH pour Port Forwarding• Port forwarding est une des utilisations

les plus puissantes de SSH• Utilisations :

– Permet de transporter des applications TCP/IP d’une manière sûre (email, web browsing, DB access, etc.)

– Contourner les firewalls

65

SSH Port Forwarding – analyse de sécurité

• Secure access to insecure services– Peut transporter toute sorte d’applications –

email, web browsing, file transfer, etc• Firewall bypass

– Positif : force les utilisateurs à acceder aux services internes d’une manière sûre

– Négatif : donne aux utilisateurs (potentiellement attaquants) une maniere d’acceder à des services internes

66

SSH Protocol Basics• Authentification du serveur (par le client)

– Utilise known_hosts file • Le client met en mémoire cache les clés publiques des

serveurs SSH connus. Lors de la première connexion à un nouveau serveur SSH, l’utilisateur calcule un haché et demande de l’accepter ou non.

67

SSH Protocol Basics• Confidentialité des données

– Chiffrement avec clé secrete • Algos choisis incluent AES, 3DES, Blowfish, …

• Intégrité des données– MAC-based

• Choix des algos

68

3. Applications

69

• La couche application fournit des services utilisables directement par les utilisateurs. Exemples :– HTTP, FTP, SMTP, IRC, SNMP, Telnet, …

• Beaucoup de ces services ne prennent pas en compte le problème de la sécurité

• Les options sont– On suppose que la sécurité est fournie par les

couches inférieures (e.g. SSL)– Fournir une sécurité spécifique à cette couche

La couche Application

70

Email Security• Email est un des services les plus utilisé • Les contenus des messages ne sont pas

protégés :– Les principaux protocoles de emails transmettent

les données en clair – Les mails peuvent être lus par l’administrateur

système– Facile de se faire passer pour un autre – L’intégrité des messages n’est pas assuré

• Deux principales approches – PGP– S/MIME

71

PGP• Créé par Phil Zimmermann• gratuit, user-friendly, disponible sur de nombreuses

plateformes (hardware/OS)• Basé sur les meilleurs algos crypto • Principalement utilisé pour les emails et les

applications de stockage de fichiers • Indépendant des états et organisations• Messages sont compréssés automatiquement

72

PGP: Components• PGP est basé sur 5 services

– Authentication (Sign/Verify)– Confidentiality (Encrypt/Decrypt)– Compression– Email compatibility

• Each 6-bit block of output mapped onto an ASCII character

– Segmentation and Reassembly• Messages that are too large for SMTP are split up

• The last three listed are transparent to the user

73

PGP Operation – Authentication1. Sender creates a message2. SHA1 used to create 160-bit hash of message3. Hash code is encrypted using the sender's private

key, and resulting signature is attached to message

4. Receiver uses sender's public key to decrypt attached signature and recover hash code

5. Receiver generates hash code of message and compares with decrypted hash code.If match, message is accepted as authentic

74

PGP Operation – Authentication

M = original messageH = hash function| | = concatenation (join)Z = compressionZ-1 = decompression

EP = public key encryptionDP = public key decryption KRa = A’s private keyKUa = A’s public key

75

PGP Operation – Confidentiality1. Sender generates message and random number

to be used as session key for this message only2. Message is encrypted, using AES, 3DES, IDEA or

CAST-128, with session key3. Session key is encrypted using RSA with

recipient's public key, then attached to message4. Receiver uses RSA with its private key to decrypt

and recover session key5. Session key is used to decrypt message

76

EC = symmetric encryptionDC = symmetric decryptionKs = session key

PGP Operation – Confidentiality

77

PGP Operation – Compression• PGP compresses the message:• after signing the hash

– to save having to compress document every time you wish to verify its signature

• before encryption– to speed up the process (less data to

encrypt)– for greater security; compressed messages

are more difficult to cryptanalyse as they have less redundancy)

78

Summary of PGP Services

Function Algorithm Used

Digital Signature DSS/SHA or RSA/SHA

Message EncryptionAES, triple DES, IDEA or CAST (symmetric) with Diffie-Hellman or RSA (public key)

Compression ZIP

E-mail Compatibility Radix-64 conversion

Segmentation -

79

PGP Key Rings• Each PGP user has a pair of key rings:

– Public key ring contains all the public keys of other PGP users known to this user, indexed by key ID

– Private key ring contains the public/private key pair(s) for this user, indexed by key ID & encrypted using a hashed passphrase

• These are effectively indexed tables of keys

80

PGP Key Management• In PGP, every user is own CA

– Users signs own key and can choose to sign other users’ keys (usually if know them directly)

• Forms a “web of trust”– You trust keys that you have signed yourself– You can trust keys that others have signed if you have a

chain of signatures to them

• PGP key ring includes trust indicators– Key legitimacy field– Signature trust field– Owner trust field

81

82

S/MIME• Secure MIME• Another way of securing email• S/MIME provides similar security functions to PGP• Encrypted content, etc, is delivered using MIME • S/MIME is a PKI

– i.e. it uses hierarchical trust model, based on X.509 certificates

– Different from PGP’s distributed model

83

D’autres protocoles de sécurité• Secure Electronic Transactions (SET)

– Protéger les transactions par cartes de credit sur Internet

– Initiative de MasterCard & Visa (1996)– Contrainte : ne donner aux parties que les infos dont

elles ont réellement besoin pour effectuer la transaction

• Le marchand obtient l’ordre d’achat (OI) mais pas le numéro de carte

• La banque obtient les détails de paiements (PI) mais pas la nature des objets achetés

– C’est possible grâce à la signature duale (dual signature)

84

D’autres protocoles de sécurité• Secure Domain Name System (DNSsec)

– DNS fait la correspondance entre noms et adresses IP

www.wit.ie Þ 193.1.184.11– Organisation physique :

• base de données distribuée (dans le monde entier)– Organisation logique :

• base de données hiérarchisée en arborescence.• la racine "." se trouve au sommet

– Risque de DNS Spoofing – une personne intercepte une requete DNS et retourne une adresse IP différente.

85

Rappels sur DNS

TCP/IP ne connaît pas DNS :

Þ la conversion

nom à @IP

doit se faire avant de demander une connexion

Les RFC concernant DNS :

RFC 1035 : implantation et spec de DNS

RFC 1034 : concepts et facilités procurés par DNS

86

.com

edu fr

www zenith

univmed

tv

inriaZone univmed.fr

Domaine fr. Zone fr.

87

Chaque noeud de l'arbre identifie un domaine. Un noeud peut être père de plusieurs noeuds en dessous de lui, appelés sous domaines

Niveaux supérieurs :• Domaines sur 3 caractères : domaines génériquesCom, edu, gov, int, mil, net, org• Domaines sur 2 caractères : domaines de pays fr, it, tv, au, uk,…

Ex : Domaine . (racine)Domaine fr. (top level)Domaine univmed.fr. (secondary level)Domaine www.univmed.fr

Un zone est la partie d’un domaine gérée par un même serveurLa zone fr. est gérée par le serveur ns1.nic.fr. (192.93.0.1)La zone univ-tln.fr est servie par rhodes.univ-tln.fr (193.49.96.1)

Rappels sur DNS

88

Un serveur qui contient les données DNS officielles concernant une zone particulière fait autorité sur cette zone

Un serveur qui a besoin d'une info relative à une zone pour laquelle il ne fait pas autorité doit contacter un serveur faisant autorité sur la zone

Délégation :Un serveur peut déléguer la gestion d'un sous-domaine à un autre serveur

Exemple : ns1.nic.fr responsable de fr. délègue la gestion de la zone univ-tln.fr à rhodes.univ-tln.fr

Serveur primaire :

Il obtient ses infos dans un fichier de configIl fait autorité sur la zone

Exemple : rhodes est primaire sur la zone univ-tln.fr.

Rappels sur DNS

89

Serveur secondaire :

• Il obtient ses infos à partir d'un serveur primaire (transfert de zone)

• Il contacte régulièrement (toutes les 3 heures) le serveur primaire pour mise à jour

• Il remplace le serveur primaire en cas de panne.

Serveur de noms racines :

• Il connaît les noms et @IP de tous les serveurs de noms autoritaires pour les domaines de second niveau

• Chaque serveur de noms doit savoir les contacter

Rappels sur DNS

90

D’autres protocoles de sécurité• DNSsec (suite)

– Le but de DNSsec est d’éviter le spoofing en utilisant de la crypto asymétrique

• Chaque zone DNS a une paire de clés publique/privée• Toute info envoyée par un serveur de nom est signé

avec la clé privée de la zone d’origine • Les client DNS doivent connaitre les clés publiques

correspondantes pour vérifier les signatures • Les clés publiques des zones sont aussi signées d’une

manière hierarchique, avec le domaine racine agissant en CA root.

91

Pare feu

• Un pare-feu est un équipement réseau qui traite les flux au niveau protocolaire, généralement TCP/IP. Il va donc pouvoir garantir le sens du flux de données et limiter ainsi les flux à ceux qui sont prévus.

• Un proxy traite ces données au niveau applicatif

• Le proxy est plus à même (qu'un ordinateur normal) de traiter d'éventuelles données malicieuses

92

Pare feu

• Le but d'un pare-feu n'est pas de protéger un réseau interne de l'extérieur. Son rôle est de garantir, dans les deux sens, le respect d'une politique de traitement des flux de données prédéfinies. Un pare-feu peut donc interdire des connexions entrantes, mais aussi interdire des connexions sortantes directes vers l'internet.

Types de Firewalls