authentification forte cours uni 2002
DESCRIPTION
Cours Uni Genève 2002TRANSCRIPT
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
La citadelle électroniqueSystèmes d’authentifications
Sylvain Maret([email protected])
Novembre 2002Version 1.12
Solutions à la clef
Agenda
Introduction Elements d’un système d’authentification Les attaques Facteurs d’authentifications Que sécuriser ? Quelle technologie d’authentification ?
Solutions à la clef
Agenda
Les « Tokens » Challenge Response Authentification indirecte Kerberos Biométrie
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Introduction
Solutions à la clef
Introduction
Tour d’horizon des technologies d’authentification
Clé de voute pour la construction de la citadelle électronique
1er besoin pour la sécurité du système d’information
Solutions à la clef
Authentification…
L’identification et l’authentification sont la base des services de sécurité
Autorisation Auditing Non répudiation Confidentialité
Solutions à la clef
Identification et authentification ?
Identification Qui êtes vous ?
Authentification Prouvez le !
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Elements d’un système d’authentification
Solutions à la clef
Les 6 élements d’un système d’authentification
Entité ou personne Charactéristique Unique Propriétaire du système Mécanisme d’authentification Mécanisme de contrôle d’accès Mécanisme d’archivage
Solutions à la clef
Exemple avec Ali Baba …
Entité La personne qui connait le mot de passe
Caractéristique Unique Le mot de passe: « Sésame, ouvre toi ! »
Le propriétaire de la caverne Ali Baba et Les 40 voleurs
Solutions à la clef
Exemple avec Ali Baba
Mécanisme d’authentification Elément magique qui répond au mot de passe
Mécanisme de contrôle d’accès Mécanisme pour rouler la pierre ou les pierres
Mécanisme d’archivage Journal des évenements
Solutions à la clef
Login par mot de passe
Mécanismed’authentification
LoginProcess
Mécanisme de contrôleD’accès
PropriétaireLa personne
Caractéristique uniqueMot de passe
ComputerRessources
MécanismeD’archivage
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les attaques
Solutions à la clef
Les attaques courantes…
Brute force - Password Guessing Network Sniffing
ARP spoofing Environement « Switché »
Cheval de Troie, Back Door (Virus) Social Engineering
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Facteurs d’authentifications
Solutions à la clef
Les facteurs d’authentification
Quelque chose que l’on connait PIN, Mot de passe, etc.
Quelque chose que l’on possède Tokens, Carte à puce, badge, etc.
Quelque chose que l’on est Biométrie
Solutions à la clef
Authentification forte
Un minimum de deux facteurs Smartcard + PIN Token + PIN Biométrie avec Smartcard Etc.
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Que sécuriser ?
Solutions à la clef
Que sécuriser ?
Equipements réseaux Routeurs, Switchs, etc.
Systèmes d’accès aux réseaux Remote access Firewall
Serveurs du système d’information Unix, NT, Main Frame, AS400, etc.
Postes de travail Windows (NT, 2000, XP, etc.)
Applications Web, ERP, Back office, etc.
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Quelle technologie d’authentification ?
Solutions à la clef
Quelle technologie d’authentification ?
Password standard Tokens Challenge Response Authentification indirecte
Radius, Tacacs+ Kerberos Biométrie PKI (Smartcard, Tokens USB) Etc.
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les « tokens »
Solutions à la clef
Les « Tokens »
Quelque chose que vous possédez Généralement authentification forte (PIN+Token)
Deux grande familles Passive Tokens Active Tokens
Solutions à la clef
Passive Tokens
Contient un secret unique (Base Secret) Secret unique partagé
Type de Tokens Badge de proximité Carte magnétique Etc.
Généralement authentification « faible » Pas de deuxième facteur
Solutions à la clef
Mode de fontionement
Token + (PIN)
Base Secret Base Secret=
Solutions à la clef
Active Tokens
Contient un secret unique (Base Secret) Secret unique partagé Facteur commun changeant
Résultat: One Time Password (OTP) Mode de fonctionnement dit synchrone
Counter Based Clock Based Hybride
Solutions à la clef
Mode de fontionement
Token + (PIN)
Base Secret
Facteur communchangeant
Base Secret
Facteur communchangeant=
=
Solutions à la clef
Counter Based Tokens
Base Secret
Hash
Counter
+1
OTP
Facteur commun
Secret uniquepartagé
Solutions à la clef
Clock Based Tokens
Base Secret
Hash
OTPSecretuniquepartagé
Solutions à la clef
Protection des tokens
Deuxième facteur par PIN Personal Identifier Number
Deux solutions PIN externe PIN interne
Solutions à la clef
PIN Code interne
Base Secret
Hash
Clock orCounter
PIN unlockBase Secret
OTP
Solutions à la clef
PIN Code externe
Base Secret
Hash
Clock orCounter
+ PIN
* OTP* Shoud use encryption (SSL, IPSEC, SSH
Solutions à la clef
RSA SecurID
De facto standard Grandes banques, industries, gouvernements
Système basé sur le temps Très portable Grand nombre d’agents (env. 300) Facilité d’utilisation
Solutions à la clef
SeedTime
482392482392
ACE/ACE/ServerServer
TokenToken
Algorithm
SeedTime
482392482392
Algorithm
Same Same SeedSeedSame Same
TimeTime
RSA SecurID
Solutions à la clef
VPN
RSA ACE/Agent
s
Web Server
RSA ACE/AgentFirewall
RAS
DMZDMZ
Internet
RSA ACE/Serve
r (Primary)
RSA ACE/Agent
s
NT/ Unix
Novell
IntranetIntranetFirewall
RSA ACE/Server (Replica)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Challenge Response
Solutions à la clef
Challenge Response
Basé sur un challenge (nonce) Basé sur un secret unique Calcul du challenge avec une fonction de
hachage Mode de fonctionnement dit asynchrone
Solutions à la clef
Mode de fontionement
nonce(adf341gf)
dupont
nonce = adf341gf
response = ff747dgd4
Base SecretBase Secret=
Solutions à la clef
Norme X9.9
Standard ouvert pour Challenge Response US Gouvernement American Bankers Association
Utilisation de « DES » comme Hash Problème de « Password Guessing »
Migration vers « AES »
Solutions à la clef
Norme X9.9
Base Secret
Hash(DES
encrypt)
RandomChallenge
Nonce
OTP Response
Solutions à la clef
S/Key
OTP dévellopé par Bellcore 1990, pour Login Unix
Basé sur un secret unique Basé sur un pseudo challenge
Challenge pas aléatoire Calcul du « challenge » par « Token Soft »
Ou liste à barrer Utilisation de Hachage
MD4, MD5, etc.
Solutions à la clef
S/Key
Base Secret
Hash
Seed
S/KeyResponse
Counter(99, 98, 97, etc.)
digest
Table S/KeyHuman Readable
Solutions à la clef
Démo S/Key
CounterSeed
OTP
Base Secret
Solutions à la clef
Microsoft NT Lan Manager
Windows NT 4.0 Stockage des password dans la SAM
Security Accounts Manager Utilisation d’un challenge Response
DES et maintenant MD4 Problème de password « Guessing »
Dump SAM (pwdump) Sniffer réseau (SMB sniffer)
Solutions à la clef
Protection SAM Microsoft
Utilitaire « Sytem Key » Encryption SAM PIN Code
Boot PIN dans la registry PIN sur une disquette
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Authentification indirecte
Solutions à la clef
Authentification indirecte
Sécurisation des accès réseaux et systèmes Gestion centralisée des utilisateurs Facilité de gestion des mot de passe Autorisation Archivage des évenements
Utilisation d’un serveur d’authentification tier Protocole standard comme Radius
Solutions à la clef
Authentification indirecte
AuthenticationServer
Resource Serveror NAS
Client
LogonRequest
LogonResponseAuthentication
RequestAuthenticationResponse
Applications
Solutions à la clef
Contrôle d’accès aux réseaux
Remote Access Point 2 Point Protocol (PPP) Point 2 Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP) IPSEC
Firewall Equipements réseaux
Router, Switch, etc.
Solutions à la clef
Serveurs d’authentification OTP tier
Interface entre le serveur OTP et serveur d’authentification
Authentification forte (RAS, Firewall, etc.) Utilisation du mode proxy (Radius, etc.)
SecurID Activcard Etc.
Solutions à la clef
Serveurs d’authentification OTP
AuthenticationServerRadius
Router with Agent radius Client
Server OTP
Solutions à la clef
Radius
RADIUS Remote Access Dial-In User Service
Standart ouvert Fournit les 3 services (AAA)
Authentification Autorisation Accounting
Utilisé par de nombreux ISP Protocol standard (rfc 2138 et 2139)
Solutions à la clef
Radius: authentification
Authentification des utilisateurs Base de données utilisateur en local ou en mode
proxy SAM, NDS, SecurID, etc.
Radius
SAM
Ace Server
Solutions à la clef
Radius: autorisation
Contrôle d’accès aux applications (filtrage) Attributs granulaires
Utilisateurs Groupes Protocoles et services (applications) Destination IP
Autres attributs Le temps Nb de sessions Etc.
Solutions à la clef
Radius: accounting
Collecte des informations des connexions Temp de la session Nb de bytes Identité de l’utilisateur
Utiliser pour Statistiques Facturation Auditing
Solutions à la clef
Démonstration sécurisation des routeurs Cisco
AuthenticationServerRadius
AAA
Router with Agent radius Client
Ace Server
Solutions à la clef
Tacacs+
Alternative à Radius 3 x AAA
Protocole dévellopé par Cisco Problème de sécurité Peu d’implémentations « Open Source »
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Kerberos
Solutions à la clef
Kerberos
Protocole de sécurité pour l’authentification Architecture Single Sign-On Dévellopé par le MIT en 1985
Version 4.0 Version 5.0 (IETF) rfc 1510 et 1964 Open Software pour environement Unix
Solutions à la clef
Kerberos
Fournit du chiffrement de session Secure Single Sign-On
Fournit l’authentification mutuelle Entre clients et serveurs
Utilisation du protocole par Windows 2000 Nouvelle vie pour Kerberos
Solutions à la clef
Kerberos: concept de base
Utilisation de secret partagé Chiffrement symétrique
Utilisation d’un tier de confiance pour le partage des secret partagés (clés)
Key Distribution Center Utilisation de ticket distribué par le KDC
Credential ou ticket de session Validité des tickets dans le temps
Solutions à la clef
Key DistributionCenter
Master KeyDatabase
Unix Server« Kerberized »
Software
Logon Request
TGT
TGT
Unix ServerTicket
Unix ServerRequest
With Ticket Unix ServerResponse
Ka
Ka
Kb
Kb
Solutions à la clef
Kerberos et Win 2000
Protocole d’authentification de Windows 2000 Remplacement de NTLM
Utilisation de Active Directory pour le stockage des clés Kerberos
Architecture Single Sign-On Kerberos Version 5.0
Solutions à la clef
Extension du protocol Kerberos
Logon initial remplacé par la technologie PKI PKINIT (IETF) Utilisation des smartcards Authentification basé sur un certificat X509
KDC vérifie le certificat « Trust » et les « Path » Validation du certificat (CRL)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Biométrie
Solutions à la clef
Biométrie
Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc.
Deux familles Mesure des traits physiques uniques Mesure d’un comportement unique
Solutions à la clef
Mesure des traits physiques
Empruntes digitales Géométrie de la main Les yeux
Iris Rétine
Reconnaissance du visage Nouvelles voies
ADN, odeurs, oreille et « thermogram »
Solutions à la clef
Mesure d’un comportement
Reconnaissance vocal Signature manuscrite Dynamique de frappe
Clavier
Solutions à la clef
Promesses et réalité
Problème de « false rejection » Problème de « false acceptance » « Replay Attacks » et « Spoofing »
Ajout d’un PIN Code ou Smartcard Prix ?
Bon capteur sont très chers (600 CHF/poste)
Solutions à la clef
Personaltrait
BiometricReader
FeatureExtraction
1=1272=1263=4564=987
BiometricSignature
dupont: 1=127,2=deraud: 1=878,2=marcus: 1=656,2=
BiometricMatching
BiometricPattern
?
Solutions à la clef
Mécanisme de contrôle
Par serveur d’authentification Requêtes par réseau Problème de sécurité Problème de confidentialité Problème de disponibilité
Sur une smartcard Meilleure sécurité Mode « offline » Prix plus élevé MOC = Match On card
Solutions à la clef
Précision Biométrique
False Acceptance FAR (False Acceptance Rate) in % Lecteur sale, mauvaise position, etc
False Rejection FRR (False Rejection Rate) in % Usurpation, falsification
Solutions à la clef
Equal Error Rate (EER)
Solutions à la clef
Authentification forte
Deux facteurs Une carte à puce Un PIN code
Solutions à la clef
Quelques Liens
http://www.rsasecurity.com http://www.cesg.gov.uk/technology/biometrics/i
ndex.htm http://www.microsoft.com/technet/default.asp http://web.mit.edu/kerberos/www/
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Questions?
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
e-Xpert Solutions SAIntégrateur en sécurité informatique
Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel).
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Pour plus d’informations
e-Xpert Solutions SASylvain Maret
Route de Pré-Marais 29CH-1233 Bernex / Genève
+41 22 727 05 [email protected]