sécurité des si communications & sécurité...
TRANSCRIPT
1
Communications & SécuritéRéseau
Sécurité des SI
2
Plan1 Introduction2 Sécurité Couche IP
– IP security, VPNs, IPv63 Sécurité Couche Transport
– SSL/TLS, SSH4 Applications
– PGP, SET
3
1. Introduction
4
Les attaques
5
Rappel : TCP/IP (Internet)
• OSI model
Application
Transport
Internetwork
Network Access (link)
Physical
User
e.g. HTTP, FTP, Email
e.g. TCP, UDP
e.g. IP
e.g. Ethernet, WiFi, PPP (modem)
e.g. copper cable, radio spectrum
6
Sécuriser le traffic réseau• à la couche Application?
– e.g. PGP, SET
• à la couche Transport?– e.g. SSL/TLS
• à la couche Internetwork layer?– e.g. IPsec
• Aux couches basses?– e.g. WEP/WPA (for wireless access points)
• À toutes les couches?– Pour une sécurité maximum
7
Cela dépend• Des utilisateurs
– Transparence vis-à-vis de l’utilisateur ?– La sécurité sur la couche Application fait généralement
intervenir les utilisateurs
• De l’importance de la vitesse– Le chiffrement des données ralentit la communiation
• Des besoins en sécurité
• De la topologie du réseau– Le réseau est-il de confiance ?– Liens sans fil ?
8
2. Sécurité couche IP : IPsec
9
IP Security (IPsec)• Suite de protocoles de Internet
Engineering Task Force (IETF) • Sécuriser les échanges au niveau de la
couche réseau
– Specifications :• RFC 2401: Security architecture• RFC 2402: Authentication• RFC 2406: Encryption• RFC 2408: Key management
10
Pourquoi sécuriser au niveau IP ?
• Transparent pour les applications de niveaux supérieurs
• Pas besoin de modifier les applications de niveaux supérieurs
• Gestion centrale de la sécurité (clés, algorithmes,...)
11
Secured IP
Diverses Apps
WebEmail Game DB queries FTPSNMP IM
TCP UDP autres Transport
Indépendance Applications et Transport
12
IPsec Architecture• Deux possibilités de protocoles :
–Authentication Header (AH)• Apporte authentication mais pas
confidentialité• Ajoute des champs au paquet IP
traditionnel
–Encapsulating Security Payload (ESP)• Chiffrement et en option authentification • Contenu du paquet IP est chiffré et
encapsulé entre header et trailer
13
Security Association (SA)• Pour communiquer, chaque hôte doit initialiser
une SA avec l’autre hôte • Définir les paramètres :
– Type de protection– Algorithmes– Clés– …
• Specifie une relation one-way• Pour soit AH soit ESP, mais pas les deux
14
Security Association (SA)• Chaque SA est identifiée par :
– Security Parameters Index (SPI)• Chaîne de 32 bits assignée à cette SA (Identité
locale)– Adresse de destination IP
• Adresse d’une machine individuelle, firewall, routeur
– Choix de AH ou ESP
15
Modes IPsec : 2 modes• Mode Transport :
–Protège seulement payload• i.e. Protège données originales et
protocoles de niveaux supérieurs–Généralement utilisé pour des
communications end-to-end
16
Transport Mode Security
17
IPsec mode Tunnel• Mode Tunnel :
–Protège le paquet IP entier• Incluant le IP header
–Généralement utilisé pour connecter des gateways (firewalls ou routeurs qui implantent IPsec)
–Exemple de VPN–Les hôtes n’ont pas besoin d’implanter
IPsec
18
Tunnel Mode Security
19
• Ajoute des champs au paquet IP• Pour vérifier authenticité & integrité du paquet
Avant d’appliquer AH:
Mode Transport :Ø Données et parties du IP
header authentifiées
Mode Tunnel :Ø Paquet IP + parties du
new header authentifiées
Authenticated (Data + orig IP header + parts of new header)
Authentication Header (AH)
Authenticated (Data + parts of IP header)
RFC 2402
20
• Authentification utilise un MAC • Les parties doivent partager une clé secrête• Sequence Number : protection contre rejeu
Authentication Header (AH)
21
• Pourquoi avoir un protocole qui s’occupe seulement de l’authentification ? – L’utilisation de chiffrement est parfois limitée– Implémentation plus rapide– Le récepteur peut n’être intéressé que par
l’authenticité/intégrité du document
Authentication Header (AH)
22
Encapsulating Security Payload (ESP)
• Le contenu du paquet IP est chiffré entre les champs header et trailer.
• Le service d’Authentification est optionnel
RFC 2406
23
Paquet IP :
Transport Mode :Ø Seules les données sont
chiffrées & authentifiées
Tunnel Mode :Ø Le paquet entier est chiffré
& authentifié
Authenticated (optionally)
Encrypted
Authenticated (optionally)
Encrypted
Encapsulating Security Payload (ESP)
24
ESP Format
25
Transport Mode Tunnel Mode
AHAuthenticates payload and selected portions of IP header
Authenticates entire original IP packet plus selected portions of new header
ESP Encrypts payload only Encrypts (entire) original IP packet
ESP with authentication
Encrypts payload only.Authenticates payload but not header
Encrypts original IP packet.Authenticates original IP packet
Transport vs Tunnel Mode
• Le mode Tunnel sécurise le IP header et le payload
26
Key Management avec IPsec• L’échange de clés n’est pas implanté dans
IPsec– Il faut choisir un protocole de génération et
d’échange de clés secretes. Par défaut :• Oakley Key Determination Protocol
• basé sur Diffie-Hellman
• ISAKMP & IKE – Internet Security Association and Key Management Protocol & Internet Key Exchange
27
IPsec points positifs• Fournit un niveau de sécurité pour toute
application.– Permet de déployer de nouvelles applications qui
n’assurent pas elles-même leur sécurité.• Transparent vis-à-vis de la couche transport• Transparent vis-à-vis des utilisateurs
– Pas besoin de gérer de clés• Extensible à de nouvelles méthodes
cryptographiques
28
IPsec points faibles• Processing performance overhead
– La protection est appliquée à tout le traffic mais seulement une petite partie de ce traffic est réellement sensible
• Les hôtes doivent avoir une Security Association– Pénalise les connexions courtes
• Pas pratique pour le broadcast• Pas de protocoles d’échange de clés dédié• Filtrage par firewall délicat• Translation d’adresse théoriquement impossible
29
IPsec résumé• Mécanismes cryptographiques
– Code d’authentification de message (MAC) : authenticité des données
– Chiffrement : confidentialité des données– Numéro de séquence : protection contre le rejeu
• Mise en œuvre par deux extensions de IP– AH (Authentication Header) : Intégrité– ESP (Encapsulating Security Payload) : Confidentialité
• RFC 2401
30
IPsec Résumé• Algorithmes cryptographiques :
– AH et ESP sont utilisables avec de nombreux algos cryptos
– Chaque produit comportant IPsec est livré avec un ensemble d’algos (à choisir)
– Chiffrement : NULL, CAST-128, Blowfish, RC5, DES, DES triple (168 bits), AES-CBC,…
– Authenticité : HMAC-MD5, HMAC-SHA-1,…• Deux modes de protection
– Transport : seul le contenu du paquet est protégé– Tunnel : encapsulation du paquet d’origine
• Web site recommandé : NIST IPSEC Project
31
IPsec Résumé
Quand utiliser IPSec? VPN en mode tunnel : permet de transporter
sûrement du trafic à travers Internet entre deux VPN
Lorsque le média physique est vulnérable, par exemple les réseaux sans fil
Voir http://www.frameip.com/ipsec/
32
Rappel : Le concept de VPN• Virtual Private Network (VPN)
– Utilise Internet publique (non sûr) comme parties de son réseau
– Rendu possible grâce à la crypto– Utilise le tunnelling – Deux principales utilités :
• Connexion à bas coût inter-branch• Accès à distance sécurisé
33
VPN concept
• Réseau Privé (Réel) – Un ensemble d’ordinateurs connectés
ensemble et protégés de l’Internet (habituellement avec un firewall)
– Généralement constitué de LAN(s). Si besoin, connexion wide area (e.g. inter-branch) grâce à des lignes de télécommunication louées
34
Virtual Private Networks
(a) Réseau privé avec lignes louées. (b) Réseau privé virtuel.
35
VPN requirements• Confidentialité des données• Authentification des utilisateur et logging des
accès• Gestion de clés
– Générer des clés de session pour les utilisateurs distants
• Gestion des adresses– Gérer et protéger les adresses IP internes
• Supporte plusieurs protocoles – HTTP, SMTP, FTP, …
36
IPv6 Security – IPsec mandated• IPsec choisi par l’IETF pour IPv6
– toute implémentation (i.e. hosts, routers, etc) doit avoir IPsec implanté pour être conforme à IPv6
• Lorsque IPv6 sera largement utilisé, IPsec sera installé partout – Actuellement, IPsec est plus utilisé dans les
equipements réseau (routers, etc) que les hôtes, mais ce ne sera plus le cas avec IPv6
• Si tous les hôtes ont IPsec => on peut obtenir une réelle sécurité end-to-end
37
IPv6 Security
• Le nombre d’adresses ne pose plus de problème (plus besoin de NAT, etc)
+ Réelle sécurité end-to-end
= permet de sécuriser les communications entre n’importe quelle entité
38
IPv6 Security – difficulté de scanner
• Avec IPv4, c’est facile de scanner un réseau– Avec des outils comme nmap, on peut
scanner un sous-réseau en quelques minutes
– Retourne la liste des hôtes actives et des ports ouverts
– Beaucoup de vers scannent les réseaux• e.g. Blaster, Slammer
39
IPv6 Security – difficulté de scanner
• Avec IPv6, l’allocation d’adresses (sparse address allocation) rend le scan d’un réseau difficile – 4 milliards de fois plus difficile de scanner un
sous réseau IPv6 qu’un sous-réseau IPv4
• Plus de Blaster, Slammer, …
• Cependant, l’utilisation de “dense” address allocations rend le scan plus facile
40
IPv4 - IPv6 Transition
Transition de IPv4 à IPv6 prendra du temps :
• Compatibilité avec les anciens systèmes et applications
• Les organisations déploient IPv6 sporadiquement avec des implantations pilotes expérimentales
• Besoin de coexistence entre IPv4 et IPv6 – Systèmes dual-stack (acceptant v4 et v6)– Tunnelling utilisé pour délivrer les paquets IPv6 à
travers des réseaux IPv4
41
IPv4 - IPv6 Transition – Security Risks
• Complexité plus grande – configuration des firewalls, etc, est plus complexe, proba d’erreur humaine plus importante
• Les nouveaux equipements peuvent être moins sûrs que les anciens qui ont été longuement testés et améliorés grâce à l’expérience
• Les nouveaux mécanismes de protection standards (tels que Intrusion Detection systems) peuvent ne pas être suffisamment matures
42
3. Transport Layer Security (TLS)
43
Sécurisation de contenu Web• Une communication sur le web : ce sont des web
browsers qui parlent avec des web servers en utilisant HTTP
Web Server (e.g. apache)
Web Browser (e.g. Internet Explorer)
HTTP Request(GET, POST, form data, …)
HTTP Response(HTML & other content)
44
Protection des contenus Web• HTTP ne fournit aucune sécurité
• Comment fournir la sécurité :– Ne pas modifier HTTP– Ajouter de la sécurité juste au dessus de la couche
transport
• Cela s’appelle :– Secure Socket Layer (SSL)
• Originellement par Netscape– Transport Layer Security (TLS)
• Standard (IETF)
• SSL et TLS sont pratiquement identiques
TLS (Transport Layer Security)Le protocole TLS est le successeur de SSL.TLS version 1 est fortement basé sur SSL version 3.● SSL 2.0: 1995● SSL 3.0: 1996 (RFC 6101)● TLS 1.0: 1999 (RFC 2246)● TLS 1.1: 2006 (RFC 4346)● TLS 1.2: 2008 (RFC 5246)
46
Rappel : TCP/IP (Internet) Protocol Stack
Application
Transport
Internetwork
Network Access (link)
Physical
User
Transport Layer Security
RFC 2246
47
Utilisations de SSL/TLS• Chiffrer des données sensibles entre browser
et web server– Numéros de cartes de crédits – lire web email– Consultation de comptes bancaires
• Authentification de participants– Vérifier l’authenticité du serveur web – Vérifier l’authenticité de l’utilisateur/browser
(optionnel)
48
Une page SSL• URL commence par https :
• Cadena fermé sur
browser
49
Implémentation de TLS
- OpenSSL- GnuTLS- NSS- YaSSL...
TLS fonctionnement
Le protocole TLS fonctionne en deux étapes :1. Négociation (handshake)2. Chiffrement (Record Protocol)La première phase met en place et vérifie les éléments de sécurité.La deuxième utilise ces éléments afin de fournir les propriétés de sécurité.
51
SSL Protocol Overview• SSL a deux couches de protocoles :
• Une couche correspond à un ensemble de protocoles permettant d’initialiser une session, changer des parametres, etc – SSL Handshake Protocol– SSL Change Cipher Spec Protocol– SSL Alert Protocol
• L’autre couche permet le chiffrement et l’authentification du message– SSL Record Protocol
52
SSL Architecture“normal” mode
53
SSL Architecture• SSL session
– Association entre client & serveur– Créé par le SSL Handshake Protocol– Définit les algorithmes, taille de clés, etc– Evite de répéter les négociations de parametres pour
chaque connexion • SSL connection
– Ephémère, peer-to-peer – Associée à une session SSL
• Une session => (potentiellement) plusieurs connexions
54
SSL Handshake Protocol – RésuméCLIENT SERVER
SSL version no./ Cipher settings
Server Certificate
Client Certificate(if required)
Session Key KS(encrypted with
server’s public key)
Secure Communication using KS
Résumé :1. S’accorde sur version
SSL 2. Selectionne algorithmes3. Authentification mutuelle
avec certificats4. Client génère une clé de
session (KS) et l’envoie au serveur avec sa clé publique (à partir du certificat)
5. Client et serveur peuvent communiquer en utilisant KS (chiffrement symétrique)
1,2
3
4
5
55
• Alert Protocol– Signals warning ou fatal alerts– Exemples de Fatal alerts :
• unexpected_message• bad_record_mac• decompression_failure
– Exemples de Warning alerts :• no_certificate• bad_certificate (e.g. signature does not verify)• certificate revoked• certificate expired
Alert Protocols
56
SSL Record Protocol
57
• Fragmentation– Les messages sont fragmentés en blocs d’au plus 214 (16384)
bytes • Compression
– Avant le chiffrement• Add MAC
– Basé sur une fonction de hachage (e.g. SHA-1) et une clé secrete
• Chiffrement – Chiffrement symétrique avec clé secrete partagée. Peut être
chiffrement par flot ou par block, comme specifié dans CipherSpec
• SSL Record Protocol Header– Numéro de version, longueur du contenu, etc
SSL Record Protocol
58
Secure Shell (SSH)• Utilisé pour se connecter à des applications
distantes• Utilise TCP port 22• Peut aussi transferer des fichiers chiffrés • De plus en plus utilisé pour transporter d’autres
applications – appelé SSH port forwarding ou tunnelling
59
SSH - Architecture• SSH architecture client-server • SSH serveur écoute sur le port 22 TCP • Un client SSH se connecte sur le serveur SSH,
dialogue avec lui puis se déconnecte
SSH Server
SSH Client port
22
60
SSH - Software• Il existe beaucoup d’implantations de SSH,
souvent gratuites. • Linux:
– Client: le plus populaire est OpenSSH Client• L’exécuter avec la commande “ssh”
– Server: le plus populaire est OpenSSH Server• Démarre automatiquement avec Linux; sinon, la commande
“sshd” permet de le démarrer manuellement
• Windows:– Client: le plus populaire est PuTTY
• Avec interface graphique– Server: on peut avoir OpenSSH Server pour Windows
• Peu utilisé sur des PC individuels
61
SSH pour connexion à distance• Le but originel de ssh est de permettre un
accès distant à des machines – i.e. remplacer rlogin et telnet, qui ne sont pas
sûrs (authentication insuffisante ; pas de chiffrement)
• SSH fournit un terminal virtuel sûr, permettant à l’utilisateur d’exécuter interactivement des commandes sur un ordinateur distant comme s’il était local
• Les données transmises sont chiffrées
62
SSH pour exécuter des commandes à distance
• SSH permet d’exécuter une commande sur un ordinateur distant sans avoir à initier une session de terminal interactive– Remplace la commande rsh qui existe dans
beaucoup de systèmes• Usage :ssh –l username hostname command
e.g. ssh –l Alice dir.univ-amu.fr ‘rm *’– Essayez sur votre compte...
• PuTTY peut faire la même chose
63
SSH pour transferer des fichiers• Le protocole SSH permet de transferer d’une
manière sûre des fichiers entre clients et serveurs– avec FTP, les fichiers, login et passwords passent en clair
• Cette utilisation de SSH est aussi appelée SCP (secure copy)
• Implanté sur le client avec OpenSSH, la commande scp (ou pscp pour Windows)– Il existe une version graphique appelée WinSCP
• Usage :pscp [email protected]:testfile.txt \docs\
– Copie un fichier à partir du serveur mail sur le PC
64
SSH pour Port Forwarding• Port forwarding est une des utilisations
les plus puissantes de SSH• Utilisations :
– Permet de transporter des applications TCP/IP d’une manière sûre (email, web browsing, DB access, etc.)
– Contourner les firewalls
65
SSH Port Forwarding – analyse de sécurité
• Secure access to insecure services– Peut transporter toute sorte d’applications –
email, web browsing, file transfer, etc• Firewall bypass
– Positif : force les utilisateurs à acceder aux services internes d’une manière sûre
– Négatif : donne aux utilisateurs (potentiellement attaquants) une maniere d’acceder à des services internes
66
SSH Protocol Basics• Authentification du serveur (par le client)
– Utilise known_hosts file • Le client met en mémoire cache les clés publiques des
serveurs SSH connus. Lors de la première connexion à un nouveau serveur SSH, l’utilisateur calcule un haché et demande de l’accepter ou non.
67
SSH Protocol Basics• Confidentialité des données
– Chiffrement avec clé secrete • Algos choisis incluent AES, 3DES, Blowfish, …
• Intégrité des données– MAC-based
• Choix des algos
68
3. Applications
69
• La couche application fournit des services utilisables directement par les utilisateurs. Exemples :– HTTP, FTP, SMTP, IRC, SNMP, Telnet, …
• Beaucoup de ces services ne prennent pas en compte le problème de la sécurité
• Les options sont– On suppose que la sécurité est fournie par les
couches inférieures (e.g. SSL)– Fournir une sécurité spécifique à cette couche
La couche Application
70
Email Security• Email est un des services les plus utilisé • Les contenus des messages ne sont pas
protégés :– Les principaux protocoles de emails transmettent
les données en clair – Les mails peuvent être lus par l’administrateur
système– Facile de se faire passer pour un autre – L’intégrité des messages n’est pas assuré
• Deux principales approches – PGP– S/MIME
71
PGP• Créé par Phil Zimmermann• gratuit, user-friendly, disponible sur de nombreuses
plateformes (hardware/OS)• Basé sur les meilleurs algos crypto • Principalement utilisé pour les emails et les
applications de stockage de fichiers • Indépendant des états et organisations• Messages sont compréssés automatiquement
72
PGP: Components• PGP est basé sur 5 services
– Authentication (Sign/Verify)– Confidentiality (Encrypt/Decrypt)– Compression– Email compatibility
• Each 6-bit block of output mapped onto an ASCII character
– Segmentation and Reassembly• Messages that are too large for SMTP are split up
• The last three listed are transparent to the user
73
PGP Operation – Authentication1. Sender creates a message2. SHA1 used to create 160-bit hash of message3. Hash code is encrypted using the sender's private
key, and resulting signature is attached to message
4. Receiver uses sender's public key to decrypt attached signature and recover hash code
5. Receiver generates hash code of message and compares with decrypted hash code.If match, message is accepted as authentic
74
PGP Operation – Authentication
M = original messageH = hash function| | = concatenation (join)Z = compressionZ-1 = decompression
EP = public key encryptionDP = public key decryption KRa = A’s private keyKUa = A’s public key
75
PGP Operation – Confidentiality1. Sender generates message and random number
to be used as session key for this message only2. Message is encrypted, using AES, 3DES, IDEA or
CAST-128, with session key3. Session key is encrypted using RSA with
recipient's public key, then attached to message4. Receiver uses RSA with its private key to decrypt
and recover session key5. Session key is used to decrypt message
76
EC = symmetric encryptionDC = symmetric decryptionKs = session key
PGP Operation – Confidentiality
77
PGP Operation – Compression• PGP compresses the message:• after signing the hash
– to save having to compress document every time you wish to verify its signature
• before encryption– to speed up the process (less data to
encrypt)– for greater security; compressed messages
are more difficult to cryptanalyse as they have less redundancy)
78
Summary of PGP Services
Function Algorithm Used
Digital Signature DSS/SHA or RSA/SHA
Message EncryptionAES, triple DES, IDEA or CAST (symmetric) with Diffie-Hellman or RSA (public key)
Compression ZIP
E-mail Compatibility Radix-64 conversion
Segmentation -
79
PGP Key Rings• Each PGP user has a pair of key rings:
– Public key ring contains all the public keys of other PGP users known to this user, indexed by key ID
– Private key ring contains the public/private key pair(s) for this user, indexed by key ID & encrypted using a hashed passphrase
• These are effectively indexed tables of keys
80
PGP Key Management• In PGP, every user is own CA
– Users signs own key and can choose to sign other users’ keys (usually if know them directly)
• Forms a “web of trust”– You trust keys that you have signed yourself– You can trust keys that others have signed if you have a
chain of signatures to them
• PGP key ring includes trust indicators– Key legitimacy field– Signature trust field– Owner trust field
81
82
S/MIME• Secure MIME• Another way of securing email• S/MIME provides similar security functions to PGP• Encrypted content, etc, is delivered using MIME • S/MIME is a PKI
– i.e. it uses hierarchical trust model, based on X.509 certificates
– Different from PGP’s distributed model
83
D’autres protocoles de sécurité• Secure Electronic Transactions (SET)
– Protéger les transactions par cartes de credit sur Internet
– Initiative de MasterCard & Visa (1996)– Contrainte : ne donner aux parties que les infos dont
elles ont réellement besoin pour effectuer la transaction
• Le marchand obtient l’ordre d’achat (OI) mais pas le numéro de carte
• La banque obtient les détails de paiements (PI) mais pas la nature des objets achetés
– C’est possible grâce à la signature duale (dual signature)
84
D’autres protocoles de sécurité• Secure Domain Name System (DNSsec)
– DNS fait la correspondance entre noms et adresses IP
www.wit.ie Þ 193.1.184.11– Organisation physique :
• base de données distribuée (dans le monde entier)– Organisation logique :
• base de données hiérarchisée en arborescence.• la racine "." se trouve au sommet
– Risque de DNS Spoofing – une personne intercepte une requete DNS et retourne une adresse IP différente.
85
Rappels sur DNS
TCP/IP ne connaît pas DNS :
Þ la conversion
nom à @IP
doit se faire avant de demander une connexion
Les RFC concernant DNS :
RFC 1035 : implantation et spec de DNS
RFC 1034 : concepts et facilités procurés par DNS
86
.com
edu fr
www zenith
univmed
tv
inriaZone univmed.fr
Domaine fr. Zone fr.
87
Chaque noeud de l'arbre identifie un domaine. Un noeud peut être père de plusieurs noeuds en dessous de lui, appelés sous domaines
Niveaux supérieurs :• Domaines sur 3 caractères : domaines génériquesCom, edu, gov, int, mil, net, org• Domaines sur 2 caractères : domaines de pays fr, it, tv, au, uk,…
Ex : Domaine . (racine)Domaine fr. (top level)Domaine univmed.fr. (secondary level)Domaine www.univmed.fr
Un zone est la partie d’un domaine gérée par un même serveurLa zone fr. est gérée par le serveur ns1.nic.fr. (192.93.0.1)La zone univ-tln.fr est servie par rhodes.univ-tln.fr (193.49.96.1)
Rappels sur DNS
88
Un serveur qui contient les données DNS officielles concernant une zone particulière fait autorité sur cette zone
Un serveur qui a besoin d'une info relative à une zone pour laquelle il ne fait pas autorité doit contacter un serveur faisant autorité sur la zone
Délégation :Un serveur peut déléguer la gestion d'un sous-domaine à un autre serveur
Exemple : ns1.nic.fr responsable de fr. délègue la gestion de la zone univ-tln.fr à rhodes.univ-tln.fr
Serveur primaire :
Il obtient ses infos dans un fichier de configIl fait autorité sur la zone
Exemple : rhodes est primaire sur la zone univ-tln.fr.
Rappels sur DNS
89
Serveur secondaire :
• Il obtient ses infos à partir d'un serveur primaire (transfert de zone)
• Il contacte régulièrement (toutes les 3 heures) le serveur primaire pour mise à jour
• Il remplace le serveur primaire en cas de panne.
Serveur de noms racines :
• Il connaît les noms et @IP de tous les serveurs de noms autoritaires pour les domaines de second niveau
• Chaque serveur de noms doit savoir les contacter
Rappels sur DNS
90
D’autres protocoles de sécurité• DNSsec (suite)
– Le but de DNSsec est d’éviter le spoofing en utilisant de la crypto asymétrique
• Chaque zone DNS a une paire de clés publique/privée• Toute info envoyée par un serveur de nom est signé
avec la clé privée de la zone d’origine • Les client DNS doivent connaitre les clés publiques
correspondantes pour vérifier les signatures • Les clés publiques des zones sont aussi signées d’une
manière hierarchique, avec le domaine racine agissant en CA root.
91
Pare feu
• Un pare-feu est un équipement réseau qui traite les flux au niveau protocolaire, généralement TCP/IP. Il va donc pouvoir garantir le sens du flux de données et limiter ainsi les flux à ceux qui sont prévus.
• Un proxy traite ces données au niveau applicatif
• Le proxy est plus à même (qu'un ordinateur normal) de traiter d'éventuelles données malicieuses
92
Pare feu
• Le but d'un pare-feu n'est pas de protéger un réseau interne de l'extérieur. Son rôle est de garantir, dans les deux sens, le respect d'une politique de traitement des flux de données prédéfinies. Un pare-feu peut donc interdire des connexions entrantes, mais aussi interdire des connexions sortantes directes vers l'internet.
Types de Firewalls