Authentification Forte Cours UNI 2002

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

[email protected] | www.e-xpertsolutions.com

La citadelle électroniqueSystèmes d’authentifications

Sylvain Maret([email protected])

Novembre 2002Version 1.12

Solutions à la clef

Agenda

Introduction Elements d’un système d’authentification Les attaques Facteurs d’authentifications Que sécuriser ? Quelle technologie d’authentification ?


Agenda

Les « Tokens » Challenge Response Authentification indirecte Kerberos Biométrie



Introduction


Introduction

Tour d’horizon des technologies d’authentification

Clé de voute pour la construction de la citadelle électronique

1er besoin pour la sécurité du système d’information


Authentification…

L’identification et l’authentification sont la base des services de sécurité

Autorisation Auditing Non répudiation Confidentialité


Identification et authentification ?

Identification Qui êtes vous ?

Authentification Prouvez le !



Elements d’un système d’authentification


Les 6 élements d’un système d’authentification

Entité ou personne Charactéristique Unique Propriétaire du système Mécanisme d’authentification Mécanisme de contrôle d’accès Mécanisme d’archivage


Exemple avec Ali Baba …

Entité La personne qui connait le mot de passe

Caractéristique Unique Le mot de passe: « Sésame, ouvre toi ! »

Le propriétaire de la caverne Ali Baba et Les 40 voleurs


Exemple avec Ali Baba

Mécanisme d’authentification Elément magique qui répond au mot de passe

Mécanisme de contrôle d’accès Mécanisme pour rouler la pierre ou les pierres

Mécanisme d’archivage Journal des évenements


Login par mot de passe

Mécanismed’authentification

LoginProcess

Mécanisme de contrôleD’accès

PropriétaireLa personne

Caractéristique uniqueMot de passe

ComputerRessources

MécanismeD’archivage



Les attaques


Les attaques courantes…

Brute force - Password Guessing Network Sniffing

ARP spoofing Environement « Switché »

Cheval de Troie, Back Door (Virus) Social Engineering



Facteurs d’authentifications


Les facteurs d’authentification

Quelque chose que l’on connait PIN, Mot de passe, etc.

Quelque chose que l’on possède Tokens, Carte à puce, badge, etc.

Quelque chose que l’on est Biométrie


Authentification forte

Un minimum de deux facteurs Smartcard + PIN Token + PIN Biométrie avec Smartcard Etc.



Que sécuriser ?


Que sécuriser ?

Equipements réseaux Routeurs, Switchs, etc.

Systèmes d’accès aux réseaux Remote access Firewall

Serveurs du système d’information Unix, NT, Main Frame, AS400, etc.

Postes de travail Windows (NT, 2000, XP, etc.)

Applications Web, ERP, Back office, etc.



Quelle technologie d’authentification ?


Quelle technologie d’authentification ?

Password standard Tokens Challenge Response Authentification indirecte

Radius, Tacacs+ Kerberos Biométrie PKI (Smartcard, Tokens USB) Etc.



Les « tokens »


Les « Tokens »

Quelque chose que vous possédez Généralement authentification forte (PIN+Token)

Deux grande familles Passive Tokens Active Tokens


Passive Tokens

Contient un secret unique (Base Secret) Secret unique partagé

Type de Tokens Badge de proximité Carte magnétique Etc.

Généralement authentification « faible » Pas de deuxième facteur


Mode de fontionement

Token + (PIN)

Base Secret Base Secret=


Active Tokens

Contient un secret unique (Base Secret) Secret unique partagé Facteur commun changeant

Résultat: One Time Password (OTP) Mode de fonctionnement dit synchrone

Counter Based Clock Based Hybride



Token + (PIN)

Base Secret

Facteur communchangeant

Base Secret

Facteur communchangeant=

=


Counter Based Tokens

Base Secret

Hash

Counter

+1

OTP

Facteur commun

Secret uniquepartagé


Clock Based Tokens

Base Secret

Hash

OTPSecretuniquepartagé


Protection des tokens

Deuxième facteur par PIN Personal Identifier Number

Deux solutions PIN externe PIN interne


PIN Code interne

Base Secret

Hash

Clock orCounter

PIN unlockBase Secret

OTP


PIN Code externe

Base Secret

Hash

Clock orCounter

+ PIN

* OTP* Shoud use encryption (SSL, IPSEC, SSH


RSA SecurID

De facto standard Grandes banques, industries, gouvernements

Système basé sur le temps Très portable Grand nombre d’agents (env. 300) Facilité d’utilisation


SeedTime

482392482392

ACE/ACE/ServerServer

TokenToken

Algorithm

SeedTime

482392482392

Algorithm

Same Same SeedSeedSame Same

TimeTime

RSA SecurID


VPN

RSA ACE/Agent

s

Web Server

RSA ACE/AgentFirewall

RAS

DMZDMZ

Internet

RSA ACE/Serve

r (Primary)

RSA ACE/Agent

s

NT/ Unix

Novell

IntranetIntranetFirewall

RSA ACE/Server (Replica)



Challenge Response


Challenge Response

Basé sur un challenge (nonce) Basé sur un secret unique Calcul du challenge avec une fonction de

hachage Mode de fonctionnement dit asynchrone



nonce(adf341gf)

dupont

nonce = adf341gf

response = ff747dgd4

Base SecretBase Secret=


Norme X9.9

Standard ouvert pour Challenge Response US Gouvernement American Bankers Association

Utilisation de « DES » comme Hash Problème de « Password Guessing »

Migration vers « AES »


Norme X9.9

Base Secret

Hash(DES

encrypt)

RandomChallenge

Nonce

OTP Response


S/Key

OTP dévellopé par Bellcore 1990, pour Login Unix

Basé sur un secret unique Basé sur un pseudo challenge

Challenge pas aléatoire Calcul du « challenge » par « Token Soft »

Ou liste à barrer Utilisation de Hachage

MD4, MD5, etc.


S/Key

Base Secret

Hash

Seed

S/KeyResponse

Counter(99, 98, 97, etc.)

digest

Table S/KeyHuman Readable


Démo S/Key

CounterSeed

OTP

Base Secret


Microsoft NT Lan Manager

Windows NT 4.0 Stockage des password dans la SAM

Security Accounts Manager Utilisation d’un challenge Response

DES et maintenant MD4 Problème de password « Guessing »

Dump SAM (pwdump) Sniffer réseau (SMB sniffer)


Protection SAM Microsoft

Utilitaire « Sytem Key » Encryption SAM PIN Code

Boot PIN dans la registry PIN sur une disquette



Authentification indirecte



Sécurisation des accès réseaux et systèmes Gestion centralisée des utilisateurs Facilité de gestion des mot de passe Autorisation Archivage des évenements

Utilisation d’un serveur d’authentification tier Protocole standard comme Radius



AuthenticationServer

Resource Serveror NAS

Client

LogonRequest

LogonResponseAuthentication

RequestAuthenticationResponse

Applications


Contrôle d’accès aux réseaux

Remote Access Point 2 Point Protocol (PPP) Point 2 Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP) IPSEC

Firewall Equipements réseaux

Router, Switch, etc.


Serveurs d’authentification OTP tier

Interface entre le serveur OTP et serveur d’authentification

Authentification forte (RAS, Firewall, etc.) Utilisation du mode proxy (Radius, etc.)

SecurID Activcard Etc.


Serveurs d’authentification OTP

AuthenticationServerRadius

Router with Agent radius Client

Server OTP


Radius

RADIUS Remote Access Dial-In User Service

Standart ouvert Fournit les 3 services (AAA)

Authentification Autorisation Accounting

Utilisé par de nombreux ISP Protocol standard (rfc 2138 et 2139)


Radius: authentification

Authentification des utilisateurs Base de données utilisateur en local ou en mode

proxy SAM, NDS, SecurID, etc.

Radius

SAM

Ace Server


Radius: autorisation

Contrôle d’accès aux applications (filtrage) Attributs granulaires

Utilisateurs Groupes Protocoles et services (applications) Destination IP

Autres attributs Le temps Nb de sessions Etc.


Radius: accounting

Collecte des informations des connexions Temp de la session Nb de bytes Identité de l’utilisateur

Utiliser pour Statistiques Facturation Auditing


Démonstration sécurisation des routeurs Cisco

AuthenticationServerRadius

AAA

Router with Agent radius Client

Ace Server


Tacacs+

Alternative à Radius 3 x AAA

Protocole dévellopé par Cisco Problème de sécurité Peu d’implémentations « Open Source »



Kerberos


Kerberos

Protocole de sécurité pour l’authentification Architecture Single Sign-On Dévellopé par le MIT en 1985

Version 4.0 Version 5.0 (IETF) rfc 1510 et 1964 Open Software pour environement Unix


Kerberos

Fournit du chiffrement de session Secure Single Sign-On

Fournit l’authentification mutuelle Entre clients et serveurs

Utilisation du protocole par Windows 2000 Nouvelle vie pour Kerberos


Kerberos: concept de base

Utilisation de secret partagé Chiffrement symétrique

Utilisation d’un tier de confiance pour le partage des secret partagés (clés)

Key Distribution Center Utilisation de ticket distribué par le KDC

Credential ou ticket de session Validité des tickets dans le temps


Key DistributionCenter

Master KeyDatabase

Unix Server« Kerberized »

Software

Logon Request

TGT

TGT

Unix ServerTicket

Unix ServerRequest

With Ticket Unix ServerResponse

Ka

Ka

Kb

Kb


Kerberos et Win 2000

Protocole d’authentification de Windows 2000 Remplacement de NTLM

Utilisation de Active Directory pour le stockage des clés Kerberos

Architecture Single Sign-On Kerberos Version 5.0


Extension du protocol Kerberos

Logon initial remplacé par la technologie PKI PKINIT (IETF) Utilisation des smartcards Authentification basé sur un certificat X509

KDC vérifie le certificat « Trust » et les « Path » Validation du certificat (CRL)



Biométrie


Biométrie

Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc.

Deux familles Mesure des traits physiques uniques Mesure d’un comportement unique


Mesure des traits physiques

Empruntes digitales Géométrie de la main Les yeux

Iris Rétine

Reconnaissance du visage Nouvelles voies

ADN, odeurs, oreille et « thermogram »


Mesure d’un comportement

Reconnaissance vocal Signature manuscrite Dynamique de frappe

Clavier


Promesses et réalité

Problème de « false rejection » Problème de « false acceptance » « Replay Attacks » et « Spoofing »

Ajout d’un PIN Code ou Smartcard Prix ?

Bon capteur sont très chers (600 CHF/poste)


Personaltrait

BiometricReader

FeatureExtraction

1=1272=1263=4564=987

BiometricSignature

dupont: 1=127,2=deraud: 1=878,2=marcus: 1=656,2=

BiometricMatching

BiometricPattern

?


Mécanisme de contrôle

Par serveur d’authentification Requêtes par réseau Problème de sécurité Problème de confidentialité Problème de disponibilité

Sur une smartcard Meilleure sécurité Mode « offline » Prix plus élevé MOC = Match On card


Précision Biométrique

False Acceptance FAR (False Acceptance Rate) in % Lecteur sale, mauvaise position, etc

False Rejection FRR (False Rejection Rate) in % Usurpation, falsification


Equal Error Rate (EER)


Authentification forte

Deux facteurs Une carte à puce Un PIN code


Quelques Liens

http://www.rsasecurity.com http://www.cesg.gov.uk/technology/biometrics/i

ndex.htm http://www.microsoft.com/technet/default.asp http://web.mit.edu/kerberos/www/



Questions?



e-Xpert Solutions SAIntégrateur en sécurité informatique

Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel).



Pour plus d’informations

e-Xpert Solutions SASylvain Maret

Route de Pré-Marais 29CH-1233 Bernex / Genève

+41 22 727 05 [email protected]

Authentification Forte Cours UNI 2002

Technology

base secret base secret

base secret otp base

ssh base secret

secret unique calcul

secret unique bas sur

pin token

counter pin

tokens quelque