Page 1
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
La citadelle électroniqueSystèmes d’authentifications
Sylvain Maret([email protected] )
Novembre 2002Version 1.12
Page 2
Solutions à la clef
Agenda
Introduction Elements d’un système d’authentification Les attaques Facteurs d’authentifications Que sécuriser ? Quelle technologie d’authentification ?
Page 3
Solutions à la clef
Agenda
Les « Tokens » Challenge Response Authentification indirecte Kerberos Biométrie
Page 4
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Introduction
Page 5
Solutions à la clef
Introduction
Tour d’horizon des technologies d’authentification
Clé de voute pour la construction de la citadelle électronique
1er besoin pour la sécurité du système d’information
Page 6
Solutions à la clef
Authentification…
L’identification et l’authentification sont la base des services de sécurité
Autorisation Auditing Non répudiation Confidentialité
Page 7
Solutions à la clef
Identification et authentification ?
Identification Qui êtes vous ?
Authentification Prouvez le !
Page 8
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Elements d’un système d’authentification
Page 9
Solutions à la clef
Les 6 élements d’un système d’authentification
Entité ou personne Charactéristique Unique Propriétaire du système Mécanisme d’authentification Mécanisme de contrôle d’accès Mécanisme d’archivage
Page 10
Solutions à la clef
Exemple avec Ali Baba …
Entité La personne qui connait le mot de passe
Caractéristique Unique Le mot de passe: « Sésame, ouvre toi ! »
Le propriétaire de la caverne Ali Baba et Les 40 voleurs
Page 11
Solutions à la clef
Exemple avec Ali Baba
Mécanisme d’authentification Elément magique qui répond au mot de passe
Mécanisme de contrôle d’accès Mécanisme pour rouler la pierre ou les pierres
Mécanisme d’archivage Journal des évenements
Page 12
Solutions à la clef
Login par mot de passe
Mécanismed’authentification
LoginProcess
Mécanisme de contrôleD’accès
PropriétaireLa personne
Caractéristique uniqueMot de passe
ComputerRessources
MécanismeD’archivage
Page 13
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les attaques
Page 14
Solutions à la clef
Les attaques courantes…
Brute force - Password Guessing Network Sniffing
ARP spoofing Environement « Switché »
Cheval de Troie, Back Door (Virus) Social Engineering
Page 15
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Facteurs d’authentifications
Page 16
Solutions à la clef
Les facteurs d’authentification
Quelque chose que l’on connait PIN, Mot de passe, etc.
Quelque chose que l’on possède Tokens, Carte à puce, badge, etc.
Quelque chose que l’on est Biométrie
Page 17
Solutions à la clef
Authentification forte
Un minimum de deux facteurs Smartcard + PIN Token + PIN Biométrie avec Smartcard Etc.
Page 18
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Que sécuriser ?
Page 19
Solutions à la clef
Que sécuriser ?
Equipements réseaux Routeurs, Switchs, etc.
Systèmes d’accès aux réseaux Remote access Firewall
Serveurs du système d’information Unix, NT, Main Frame, AS400, etc.
Postes de travail Windows (NT, 2000, XP, etc.)
Applications Web, ERP, Back office, etc.
Page 20
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Quelle technologie d’authentification ?
Page 21
Solutions à la clef
Quelle technologie d’authentification ?
Password standard Tokens Challenge Response Authentification indirecte
Radius, Tacacs+ Kerberos Biométrie PKI (Smartcard, Tokens USB) Etc.
Page 22
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les « tokens »
Page 23
Solutions à la clef
Les « Tokens »
Quelque chose que vous possédez Généralement authentification forte (PIN+Token)
Deux grande familles Passive Tokens Active Tokens
Page 24
Solutions à la clef
Passive Tokens
Contient un secret unique (Base Secret) Secret unique partagé
Type de Tokens Badge de proximité Carte magnétique Etc.
Généralement authentification « faible » Pas de deuxième facteur
Page 25
Solutions à la clef
Mode de fontionement
Token + (PIN)
Base Secret Base Secret=
Page 26
Solutions à la clef
Active Tokens
Contient un secret unique (Base Secret) Secret unique partagé Facteur commun changeant
Résultat: One Time Password (OTP) Mode de fonctionnement dit synchrone
Counter Based Clock Based Hybride
Page 27
Solutions à la clef
Mode de fontionement
Token + (PIN)
Base Secret
Facteur communchangeant
Base Secret
Facteur communchangeant=
=
Page 28
Solutions à la clef
Counter Based Tokens
Base Secret
Hash
Counter
+1
OTP
Facteur commun
Secret uniquepartagé
Page 29
Solutions à la clef
Clock Based Tokens
Base Secret
Hash
OTPSecretuniquepartagé
Page 30
Solutions à la clef
Protection des tokens
Deuxième facteur par PIN Personal Identifier Number
Deux solutions PIN externe PIN interne
Page 31
Solutions à la clef
PIN Code interne
Base Secret
Hash
Clock orCounter
PIN unlockBase Secret
OTP
Page 32
Solutions à la clef
PIN Code externe
Base Secret
Hash
Clock orCounter
+ PIN
* OTP* Shoud use encryption (SSL, IPSEC, SSH
Page 33
Solutions à la clef
RSA SecurID
De facto standard Grandes banques, industries, gouvernements
Système basé sur le temps Très portable Grand nombre d’agents (env. 300) Facilité d’utilisation
Page 34
Solutions à la clef
SeedTime
482392482392
ACE/ACE/ServerServer
TokenToken
Algorithm
SeedTime
482392482392
Algorithm
Same Same SeedSeedSame Same
TimeTime
RSA SecurID
Page 35
Solutions à la clef
VPN
RSA ACE/Agent
s
Web Server
RSA ACE/AgentFirewall
RAS
DMZDMZ
Internet
RSA ACE/Serve
r (Primary)
RSA ACE/Agent
s
NT/ Unix
Novell
IntranetIntranetFirewall
RSA ACE/Server (Replica)
Page 36
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Challenge Response
Page 37
Solutions à la clef
Challenge Response
Basé sur un challenge (nonce) Basé sur un secret unique Calcul du challenge avec une fonction de
hachage Mode de fonctionnement dit asynchrone
Page 38
Solutions à la clef
Mode de fontionement
nonce(adf341gf)
dupont
nonce = adf341gf
response = ff747dgd4
Base SecretBase Secret=
Page 39
Solutions à la clef
Norme X9.9
Standard ouvert pour Challenge Response US Gouvernement American Bankers Association
Utilisation de « DES » comme Hash Problème de « Password Guessing »
Migration vers « AES »
Page 40
Solutions à la clef
Norme X9.9
Base Secret
Hash(DES
encrypt)
RandomChallenge
Nonce
OTP Response
Page 41
Solutions à la clef
S/Key
OTP dévellopé par Bellcore 1990, pour Login Unix
Basé sur un secret unique Basé sur un pseudo challenge
Challenge pas aléatoire Calcul du « challenge » par « Token Soft »
Ou liste à barrer Utilisation de Hachage
MD4, MD5, etc.
Page 42
Solutions à la clef
S/Key
Base Secret
Hash
Seed
S/KeyResponse
Counter(99, 98, 97, etc.)
digest
Table S/KeyHuman Readable
Page 43
Solutions à la clef
Démo S/Key
CounterSeed
OTP
Base Secret
Page 44
Solutions à la clef
Microsoft NT Lan Manager
Windows NT 4.0 Stockage des password dans la SAM
Security Accounts Manager Utilisation d’un challenge Response
DES et maintenant MD4 Problème de password « Guessing »
Dump SAM (pwdump) Sniffer réseau (SMB sniffer)
Page 45
Solutions à la clef
Protection SAM Microsoft
Utilitaire « Sytem Key » Encryption SAM PIN Code
Boot PIN dans la registry PIN sur une disquette
Page 46
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Authentification indirecte
Page 47
Solutions à la clef
Authentification indirecte
Sécurisation des accès réseaux et systèmes Gestion centralisée des utilisateurs Facilité de gestion des mot de passe Autorisation Archivage des évenements
Utilisation d’un serveur d’authentification tier Protocole standard comme Radius
Page 48
Solutions à la clef
Authentification indirecte
AuthenticationServer
Resource Serveror NAS
Client
LogonRequest
LogonResponseAuthentication
RequestAuthenticationResponse
Applications
Page 49
Solutions à la clef
Contrôle d’accès aux réseaux
Remote Access Point 2 Point Protocol (PPP) Point 2 Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP) IPSEC
Firewall Equipements réseaux
Router, Switch, etc.
Page 50
Solutions à la clef
Serveurs d’authentification OTP tier
Interface entre le serveur OTP et serveur d’authentification
Authentification forte (RAS, Firewall, etc.) Utilisation du mode proxy (Radius, etc.)
SecurID Activcard Etc.
Page 51
Solutions à la clef
Serveurs d’authentification OTP
AuthenticationServerRadius
Router with Agent radius Client
Server OTP
Page 52
Solutions à la clef
Radius
RADIUS Remote Access Dial-In User Service
Standart ouvert Fournit les 3 services (AAA)
Authentification Autorisation Accounting
Utilisé par de nombreux ISP Protocol standard (rfc 2138 et 2139)
Page 53
Solutions à la clef
Radius: authentification
Authentification des utilisateurs Base de données utilisateur en local ou en mode
proxy SAM, NDS, SecurID, etc.
Radius
SAM
Ace Server
Page 54
Solutions à la clef
Radius: autorisation
Contrôle d’accès aux applications (filtrage) Attributs granulaires
Utilisateurs Groupes Protocoles et services (applications) Destination IP
Autres attributs Le temps Nb de sessions Etc.
Page 55
Solutions à la clef
Radius: accounting
Collecte des informations des connexions Temp de la session Nb de bytes Identité de l’utilisateur
Utiliser pour Statistiques Facturation Auditing
Page 56
Solutions à la clef
Démonstration sécurisation des routeurs Cisco
AuthenticationServerRadius
AAA
Router with Agent radius Client
Ace Server
Page 57
Solutions à la clef
Tacacs+
Alternative à Radius 3 x AAA
Protocole dévellopé par Cisco Problème de sécurité Peu d’implémentations « Open Source »
Page 58
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Kerberos
Page 59
Solutions à la clef
Kerberos
Protocole de sécurité pour l’authentification Architecture Single Sign-On Dévellopé par le MIT en 1985
Version 4.0 Version 5.0 (IETF) rfc 1510 et 1964 Open Software pour environement Unix
Page 60
Solutions à la clef
Kerberos
Fournit du chiffrement de session Secure Single Sign-On
Fournit l’authentification mutuelle Entre clients et serveurs
Utilisation du protocole par Windows 2000 Nouvelle vie pour Kerberos
Page 61
Solutions à la clef
Kerberos: concept de base
Utilisation de secret partagé Chiffrement symétrique
Utilisation d’un tier de confiance pour le partage des secret partagés (clés)
Key Distribution Center Utilisation de ticket distribué par le KDC
Credential ou ticket de session Validité des tickets dans le temps
Page 62
Solutions à la clef
Key DistributionCenter
Master KeyDatabase
Unix Server« Kerberized »
Software
Logon Request
TGT
TGT
Unix ServerTicket
Unix ServerRequest
With Ticket Unix ServerResponse
Ka
Ka
Kb
Kb
Page 63
Solutions à la clef
Kerberos et Win 2000
Protocole d’authentification de Windows 2000 Remplacement de NTLM
Utilisation de Active Directory pour le stockage des clés Kerberos
Architecture Single Sign-On Kerberos Version 5.0
Page 64
Solutions à la clef
Extension du protocol Kerberos
Logon initial remplacé par la technologie PKI PKINIT (IETF) Utilisation des smartcards Authentification basé sur un certificat X509
KDC vérifie le certificat « Trust » et les « Path » Validation du certificat (CRL)
Page 65
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Biométrie
Page 66
Solutions à la clef
Biométrie
Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc.
Deux familles Mesure des traits physiques uniques Mesure d’un comportement unique
Page 67
Solutions à la clef
Mesure des traits physiques
Empruntes digitales Géométrie de la main Les yeux
Iris Rétine
Reconnaissance du visage Nouvelles voies
ADN, odeurs, oreille et « thermogram »
Page 68
Solutions à la clef
Mesure d’un comportement
Reconnaissance vocal Signature manuscrite Dynamique de frappe
Clavier
Page 69
Solutions à la clef
Promesses et réalité
Problème de « false rejection » Problème de « false acceptance » « Replay Attacks » et « Spoofing »
Ajout d’un PIN Code ou Smartcard Prix ?
Bon capteur sont très chers (600 CHF/poste)
Page 70
Solutions à la clef
Personaltrait
BiometricReader
FeatureExtraction
1=1272=1263=4564=987
BiometricSignature
dupont: 1=127,2=deraud: 1=878,2=marcus: 1=656,2=
BiometricMatching
BiometricPattern
?
Page 71
Solutions à la clef
Mécanisme de contrôle
Par serveur d’authentification Requêtes par réseau Problème de sécurité Problème de confidentialité Problème de disponibilité
Sur une smartcard Meilleure sécurité Mode « offline » Prix plus élevé MOC = Match On card
Page 72
Solutions à la clef
Précision Biométrique
False Acceptance FAR (False Acceptance Rate) in % Lecteur sale, mauvaise position, etc
False Rejection FRR (False Rejection Rate) in % Usurpation, falsification
Page 73
Solutions à la clef
Equal Error Rate (EER)
Page 74
Solutions à la clef
Authentification forte
Deux facteurs Une carte à puce Un PIN code
Page 75
Solutions à la clef
Quelques Liens
http://www.rsasecurity.com http://www.cesg.gov.uk/technology/biometrics/i
ndex.htm http://www.microsoft.com/technet/default.asp http://web.mit.edu/kerberos/www/
Page 76
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Questions?
Page 77
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
e-Xpert Solutions SAIntégrateur en sécurité informatique
Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel).
Page 78
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Pour plus d’informations
e-Xpert Solutions SASylvain Maret
Route de Pré-Marais 29CH-1233 Bernex / Genève
+41 22 727 05 [email protected]