INSA – 5° R.T. Sujet d’examen 21 janvier 2011
Sécurité des systèmes informatiques 2ème partie Exer Ex erci cicce 1 (3 points) Le protoc protocole ole HTTPS HTTPS (HTTP (HTTP sur sur SSL/TL SSL/TLS) S) est est couram couramme ment nt utilis utilisé pour pour sécuris curiser er les commu communic nicati ations ons entre entre un serve serveur ur Web et un navig navigate ateur. ur. Pour Pour cela, cela, une sessi session on HTTPS HTTPS s'ap s'appu puie ie sur sur un certi certifi fica catt diff diffus usé par par le serv serveu eurr perm permet etta tant nt d'ef d'effe fect ctue uerr une une sess sessio ion n d'authentification initiale et ensuite un chiffrement du canal de communication dans lequel transite l'échange HTTP. 1. Lors Lors de l'auth l'authent entifi ificat cation ion,, le protocol protocolee utilis utilisee une une clef clef publiq publique ue contenu contenu dans un certificat que le serveur d étient et diffuse au client à l' établissement de la connexion. Quelles sont les protections offertes par cette utilisation d'un certificat serveur ? 2. Comm Commen entt l'ut l'util ilis isat ateu eurr du navi naviga gate teur ur peut peut-i -ill être assur assuré que cette cette clef clef publiq publique ue correspond bien à l'organisme auquel il souhaite acc éder ? 3. Pourquoi Pourquoi de nombreu nombreux x services services Web, utilisa utilisant nt pourtant pourtant HTTPS, HTTPS, demandent demandent-ils -ils en plus à l'utilisateur de fournir un nom de compte et un mot de passe pour compl éter l'ouverture de session ? 4. Il est possi possible ble d'util d'utilise iserr un certifi certificat cat clien clientt stock stock é sur le navigateur pour l'échange HTTPS HTTPS.. Quel Quel est est l'effe l'effett de l'utili l'utilisa sation tion d'un d'un certi certific ficat at clien clientt sur sur la protec protectio tion n de l'ensemble du service ? 5. Avec un certif rtific icaat clien lient, t, l'ut l'util ilis isat ateeur doit oit quand uand même parf parfoi oiss four fourni nirr une une « passphrase »: de quel mot de passe s'agit-il ? 6. Pens Pensez ez-v -vou ouss qu'il qu'il y ait ait une une « passphase » utilisateur sur la partie priv ée du certificat certificat serveur ? Pourquoi ? Corrigé 1. Le protoc protocole ole SSL avec un certi certific ficat at serveu serveurr offre offre d'abord d'abord une authenti authentific ficati ation on du é par une v é rification étient partenaire accé d dé rification que ce serveur d é t ient bien la clef privé e ée, correspondant à la clef publique diffus é e. e. Ensuite, la communication communication est chiffr é e , on a égrit rit é é de donc des garanties sur la confidentialit é des des é changes changes ainsi que sur l'int é g de la ée. communication communication pendant toute sa dur é e . 2. Le certifi certificat cat n'inclu n'inclutt pas seulem seulement ent la clef clef publiqu publique, e, mais mais é galement galement une signature de cette cette clef clef publiq publique ue par par un autre autre certif certifica icat. t. (Ce (Celui lui-ci -ci pouvan pouvantt é galement galement être un certifica certificatt interm intermé diaire diaire.) .) La racine racine de cette cette chaî ne ne de certif certifica icatio tion n doit doit être un é-install é pendamment éalable lable à la certificat pr é - installé sur sur le navigateur (ou obtenu ind é en pr é a communic communication ation). ). L'utilisate L'utilisateur ur peut alors alors être sûr que que le certi certific ficat at diffus diffusé par le serveur appartient bien à l'organisme indiqu é s'il s'il vé rifie rifie la chaine de certification, s'il a confiance dans le certificat racine et s'il a confiance dans les organismes d é tenteurs tenteurs des certificats interm é diaires diaires pour avoir fait les v é rifications rifications né cessaire cessairess avant de é riv signer les certificats d é rivé s. s. (Il s'agit alors de tiers de confiance ou d'autorit é s de certification.)
é 3. Le certifica certificatt serveur serveur n'offre n'offre qu'une qu'une authentific authentification ation du serveur serveur.. Si le service acc acc é d dé gère une une base base de compt comptes es utilisa utilisateu teurs, rs, ceux ceux-ci -ci doiven doiventt donc donc é gale g aleme ment nt en plus plus s'authen s'authentifier tifier.. Cette authentificatio authentification n du client client peut é ventuell ventuellemen ementt s'effect s'effectuer uer via un nom d'utilisateur et un mot de passe. Cette m é thode thode est moins forte qu'une qu'une technique technique faisant appel à des algorithmes de cryptographie cryptographie asym é triques, triques, mais elle est bé né ficie é et né anmoins anmoins via HTTPS de la protection offerte par le canal chiffr é et signé de de SSL. 4. Dans ce cas, l'a l'auth uthentif ntific icat atio ion n du clie lient, nt, appu appuyy é e sur un certificat et une authentification à clef privé e/clef e/clef publique publique offre des garanties garanties bien plus importante importantess é . Par contre, il faut alors g é rer élivrance en terme de s é curit curit é rer une proc é dure dure de d é l ivrance de ces ces certi certific ficats ats client clientss (inclu (incluant ant leur leur signat signature ure par un tiers tiers de confi confianc ance, e, apr ès é du vé rification rification de l'identit é du demandeur par exemple). ée en clair 5. La cl clef pr privé e associé e à un certificat ne doit être que tr ès rarement stock é clair ég é e par un chiffrement sym é trique (notamment sur disque). Elle est prot é trique dont la « pass passph phra rase se » cons consti titu tuee la clef clef.. C'es C'estt donc donc un mot mot de pass passee perm permet etta tant nt de éverrouiller éger er la clef privé e de l'utilisateur d é v errouiller l'usage du certificat et de prot é g l'utilisateur en cas étecter évoquer de vol (par exemple afin de lui laisser le temps de d é t ecter le vol et de r é v oquer son certificat). 6. Si une une passp passphr hras asee est auss aussii utilis utilisé e sur le serveur, à chaque lancement du service Web, il sera né cessaire cessaire de la fournir au programme afin qu'il puisse acc é der der à la clef clef privé e du certificat serveur. Il est peu probable que ceci soit effectu é de manière émarrage...). arrage...). Il est plus probable qu'en pratique, soit la clef interactive (à chaque red é m ée en clair sur le serveur, soit la passphrase privé e est effectivement stock é passphrase en question ée dans les param ètres de configuration du serveur (ce qui n'est pas mieux). est stock é érogent Ce faisant, les administrateurs Web/syst ème d é r ogent vis à vis du certificat serveur aux r ègles de protection qu'ils recommandent à leurs utilisateurs pour les certificats clients. À mé diter... diter...
Exer Ex erci cicce 2 (7 points) On étudie l'architecture de protection r éseau suivante : Internet
Serveur DNS
.
ni m d a Z M D
DMZ
Server Web public Firewall
Admin. et traces
1
Proxy HTTP
firewall (1&2)
Firewall Poste de
Poste de
travail
travail
2
salle serveurs
Controleur de
Serveur de
domaine AD
fichiers
SGBD
Question 1 (2 poin ts) : Compte Compte tenu tenu du mode mode de foncti fonctionn onneme ement nt sugg suggéré par le schéma, présentez les diff érentes zones de s écurité associées à l'architecture de protection réseau et leurs niveaux de s écurité respectifs. Question 2 (1 po p o in )t : Comm Commen ente tezz les les rôles les resp respec ecti tifs fs du serv serveu eurr DNS DNS situ situé en DMZ DMZ d'administration et du contrôleur de domaine AD vis à vis du service DNS offert globalement par le syst ème d'information aux utilisateurs internes et externes. p o in ts) : On a ici ici une une arch archit itec ectu ture re de prot protec ecti tion on fais faisan antt app appel à deux Question 3 (2 po équipements distincts, l'un tourn é vers Internet et l'autre vers les syst èmes serveurs. Que pensez-vous pensez-vous de ce choix d'architecture en terme de protection, de configuration ? Quelles seront à votre avis les contraintes de fonctionnement respectives de chacun des deux équipements, en particulier du point de vue des flux r éseaux à traiter (nature, débit, etc.). (Mettez notamment en évidence les diff érences.) Question 4 (1 po p o in )t : On suppose que les deux firewall sont de technologie identique et que le serveur d'administration et de gestion des traces est unique pour les deux. Commentez cet aspect vis à vis de l'administration et du positionnement de la DMZ d'administration. p o in )t : Quel avantage et quel inconv énient pourrait-il y avoir au fait d'avoir Question 5 (1 po deux firewall de technologies diff érentes au lieu de deux équipements similaires?
Corrigé Corrigé Question 1: La DMZ Admin est une zone d'administration des é quipements quipements de sé sé curit curit é Elle contient contient un é. Elle serv serveu eurr de gest gestio ion n des des firew firewal alll qui qui stock stockee é galem g alemen entt les trac traces es que que ces ces é quipements quipements collectent. collectent. On trouve é galement galement dans cette zone un serveur DNS, probablement placé plac é là l à car il s'agit d'une zone de haut niveau de sé s é curit curit é é. Ce serveur DNS est alors probablement le serveur principal des zones attribué attribu é es es à l'entreprise ou l'organisme concerné concern é . La DMZ contient un serveur Web accessible de l'ext é r ieur. Elle contient é galement galement un relais érieur. HTTP, qui doit servir à relayer les accè accès internes vers Internet. La zone « salle serveurs » est elle aussi placé plac é e dans une zone de sé s é curit curit é sp é cifique. cifique. Ainsi, Ainsi, é spé l'ensemble des serveurs sont logiquement isolé isolé s au niveau du r é s eau des postes de travail et éseau des autres zones de sé s é curit curit é é. Question 2: On peut supposer supposer que le serveur DNS de la DMZ Admin. correspond correspond au serveur DNS visible sur Internet qui gère en propre la zone DNS de l'entreprise. Par contre, le serveur DNS associ é au serveur AD situé situé en interne gè gère é galeme galement nt des zones zones de nommag nommagee (via (via le DNS) mais qui sont sont associé associé es es aux machines internes du LAN (noms de machines Windows, noms de domaines, etc.). Cette zone n'est a priori pas visible depuis Internet. Par contre, on entrevoit là là une difficult é de fonctionnement. fonctionnement. En effet, les postes de travail peuvent é de avoir besoin d'accé d'acc é der der simultané simultané ment ment aux deux zones de nommage et la configuratio configuration n respective des deux serveurs sera à é tudier tudier plus pr é c isé ment ment (notamment si on souhaite é viter viter que tous les clients clients écisé n'aient à essayer la r é solution de leurs noms aupr ès des deux serveurs tour à tour, ce qui n'est pas é solution vraiment optimal). •
•
•
Question 3: En terme de protection, on dispose ici de deux lignes de d é pour les é lé ments ments de l'organism l'organismee é fense ayant tr ès probablement le plus de valeur dans le syst ème d'information: d'information: ses serveurs serveurs internes. C'est certainement positif du point de vue de la sé s é curit curit é g é r r é é si si les firewall sont gé és correctement. Un point d'administra d'administration tion central central est é galement galement pr é v u, qui semble donc ainsi offrir des fonctions de évu, gestion unifié unifié e des 2 é quipements quipements afin de faciliter leur configuration. Toutefois, on imagine d é j à que que é jà cette configuration sera plus compliqué compliqu é e qu'avec un seul é quipement quipement faisant face seulement à des flux flux frontière avec Internet. à la frontiè Le firewall externe est exposé exposé à l'ensemble d'Internet. Il est donc susceptible de faire face à des menaces extr êmement varié varié es. es. Par contre, les protocoles qui le traversent sont probablement peu nombreux et relativement faciles à pr é c iser et maitri maitriser ser.. C'est C'est finalem finalement ent un cas assez assez classi classique que éciser d'utilisation de ce genre d' é q équipement. uipement. Le firewall interne est essentiellement destiné destiné à assurer une protection des serveurs vis à vis des utilisateurs internes (ou en 2° 2° ligne de protection pour une intrusion externe r é u postes de éussie ssie sur les postes travail). Or, en interne au LAN, les flux r é varié s (impression, partage de éseaux seaux sont parfois tr ès varié fichiers, etc.) et la l a configuration de ce firewall va sans doute être difficile à affiner pr é cisé ment. ment. On é cisé sera sera même sureme surement nt amen amené à faire faire des compro compromis mis sur cette cette config configura uration tion afin afin d' é v iter des des éviter dysfon dysfonctio ctionne nnemen ments. ts. Par ailleur ailleurs, s, la volum volumé trie t rie des des flux flux r é s eaux concern concerné s sera sera certain certaineme ement nt éseaux beaucoup plus importante sur le LAN au niveau du firewall interne que vis à vis d'Internet. La performance de cet é quipement quipement sera donc à surveiller. Question 4: La DMZ d'administration peut être vue comme la zone de plus haut niveau de sé s é curit curit é é dans l'architecture. Il aurait peut-ê peut-être é t t é plus logique dans ce cas de la faire elle aussi b é né ficier du é plus double niveau de protection r é s eau (tout comme les serveurs). On aurait donc pu raccorder cette éseau DMZ d'administration sur le 2° 2° firewall interne au lieu de la connecter directement au 1° 1 ° firewall. (Par contre, dans ce cas, le positionnement du serveur DNS serait à r é tudier.) é- é tudier.)
Peut-ê Peut-être le firewall interne a t'il é t t é installé dans dans un 2° 2° temps, apr ès que le firewall tourné tourné vers vers é installé Internet ait é t té d é ploy ? é d é ployé é ? Question 5: Si les deux deux firew firewal alll sont sont iden identiq tique ues, s, on note note d é j à un risque en cas de faille de s é curit curit é sur é jà é sur l' é q r ents, c'est que mê m ême en cas de équipement uipement en question. L'avantage d'avoir deux firewall diff é érents, vulné vulné rabilit rabilit é grave affectant le firewall en contact avec Internet, le 2° 2° é quipement quipement interne pourra é grave assurer une protection des principaux serveurs. Par contre, en terme de configuration, il sera alors certainement tr ès difficile de disposer d'un moyen moyen de config configura uration tion unifi unifié des deux deux é quip q uipem emen ents. ts. On aura aura donc donc un inco inconv nvé nient (probablement (probablement é des é nient important) vis à vis de la facilit é d'administration de l'architecture. é d'administration