Guide Détection dIntrusion et Contrôle dAccès
Guide Détection d'Intrusion et Contrôle d'Accès Danse (école et cours) ... CONTROLE. Objectif :dissuader l'intrus de continuer son agression.
GUIDE METHODOLOGIQUE POUR LES SYSTEMES DE
Type d'accès / Portes / Verrouillage / Serrure / Obstacle physique. 11. Equipements de l'accès contrôlé. 12. Interface avec d'autres systèmes.
Contrôle daccès
Voir le cours introductif. Le facteur humain est partie prenante dans la sécurité des systèmes. Le cours de contrôle d'accès a pour objectif d'examiner la
Introduction à la sécurité – Cours 3 Contrôle daccès
– UNIX/Linux. – Contrôle d'accès obligatoire – basé sur l'existence d'un Serveur de Sécurité. – Modèles basés sur les rôles
Contrôle daccès : la preuve par lexemple
Son guide d'installation ainsi que toute la documentation mentionnée plus bas
Instructions dutilisation
défectueux au cours de cette période. Bosch Security Systems ne garantit pas et ne peut Pour pouvoir utiliser le logiciel de contrôle d'accès.
Contrôle daccès & Authentification Co ôedaccès& u e ca o Un
besoin de sécurité s'affirme le contrôle des accès réseaux. 7/137 Pr Pascal URIEN
POLITIQUE CERN POUR LE CONTROLE DACCES A SON
Un projet de management des autorisations fortement informatisé ainsi que la productions des cartes. CERN sont en cours d'installation. De nombreuses autres
SYSTÈME BUS 2 FILS PORTIERS & CONTRÔLE DACCÈS
Platine SferaNEW avec contrôle d'accès Vigik® et module GPRS/GSM. connexion est en cours entre la platine de rue et un autre appartement.
Authentification et contrôle daccés
et de contrôle d'accès : Kerberos. • Autres services d'authentification. • Les certificats d'authentification X.509. – Liste de révocation
Introduction à la sécurité – Cours 3 Contrôle d’accès
Contrôle d’accès Une des bases de la sécurité : – On permet à une action d’être exécutée que si elle respecte une certaine politique – Permet de renforcer la con?dentialité ou l’integrité – Contrôle d’accès discrétionnaire – basé sur l’identité et la possesion – UNIX/Linux
Formation au système de contrôle d’accès - niveau débutants
Cette formation requiert des connaissances de base générales en matière d’utilisation de PC ainsi que de configuration (systèmes d’exploitation Windows) et de technique de réseau IP Vous trouverez le formulaire d’inscription en ligne à l’adresse www axis com/academy/classroom-based htm
GUIDE METHODOLOGIQUE POUR LES SYSTEMES DE CONTROLE D’ACCES
Schéma de principe d’un système d’accès résidentiel individuel 4 Schéma de principe d’un système d’accès résidentiel collectif 5 Schéma de principe d’un système d’accès tertiaire/industriel 6 Liste des points à vérifier 7 Généralités 7 Règles / Normes / Réglementations / Directives 8
Quels sont les différents types de contrôle d'accès ?
d'information. On distingue ainsi le contrôle d'accès physique et le contrôle d'accès logique.
Comment faire un contrôle accès ?
La Direction doit donc informer de son intention et demander l'avis des instances représentatives du personnel notamment le Comité d’Entreprise et le Comité d'Hygiène, de Sécurité et des Conditions du travail (CHSCT). La mise en place d'un système de contrôle accès doit aussi respecter la loi "INFORMATIQUE ET LIBERTÉ".
Qu'est-ce que le contrôle d'accès ?
Le contrôle d’accès est une technique qui consiste à soumettre l’entrée d’un établissement ou, de locaux à l’intérieur d’une entreprise, à une autorisation d’accès. Cette autorisation d’accès a pour but de protéger des personnes, des biens ou des informations.
Quels sont les besoins d’un contrôle d’accès ?
Des exigences supplémentaires viennent se greffer à ces besoins comme le déverrouillage à distance ou l’asservissement à la détection incendie. La réussite et le bon usage du contrôle d’accès passent nécessairement par une action de communication, un bon conseil et un bon cahier des charges.
Sécurité des réseaux informatiques 1
Authentification et
contrôle d'accésSécurité des réseaux informatiques 2
PlanPlan
• Les problèmes de sécurité des protocoles d'authentification et de contrôle d'accès • Un exemple de protocole d'authentification et de contrôle d'accès : Kerberos • Autres services d'authentification • Les certificats d'authentification X.509 - Liste de révocationSécurité des réseaux informatiques 3
Service d'authentificationService d'authentification • Service d'authentification - À base de serveur d'authentification • Un tiers ... de confiance • Par ex. Kerberos, AAA, Radius, Diameter -Sans • par ex. SSLSécurité des réseaux informatiques 4
Les problLes problèèmes de smes de séécuritcuritéé • Les services de sécurité nécessaire à la distribution des clefs : -confidentialitéet opportunité(" timeliness") • La confidentialité : - chiffrement des informations d' identification et de la clef de session - Nécessite l'utilisation d'une connexion préalablement sécurisée qui utilise des clefs partagées ou publiques • La justesse/opportunité - Contre les attaques de type rejeu - Fournit par une numérotation, horodatage ou un processus de type "challenge/response "Sécurité des réseaux informatiques 5
KERBEROSKERBEROS
In Greek mythology, a many headed dog, the
guardian of the entrance of HadesSécurité des réseaux informatiques 6
KERBEROSKERBEROS
•But - Contrôle de l'accès aux services d'un serveur • Trois risques existent : - Un client prétend être un autre. - Le client modifie l'adresse IP d'une station. - Le client capture des messages et utilise une attaque par rejeu.Sécurité des réseaux informatiques 7
KERBEROSKERBEROS
• Un serveur d'authentification centralisé - Authentifie les clients vis-à-vis des serveurs et vice versa. • Utilise une technique de chiffrement conventionnel (pas d'utilisation de clef publique) • Deux versions: v4 et v5 - La version 4 utilise DES et est mono domaineSécurité des réseaux informatiques 8
Fonctionnement de KerberosFonctionnement de KerberosUser authentication
UID, password
Access control :
UID, server V
Sécurité des réseaux informatiques 9
Kerberos Version 4Kerberos Version 4
• Les variables : -C = client - AS = authentication server -V = server -ID c = identifier of user on C -ID v = identifier of V -P c = password of user on C -AD c = network address of C -K v = secret encryption key shared by AS and V - TS = timestamp, TTL = lifetime - || = concatenationSécurité des réseaux informatiques 10
Un dialogue simple d'authentificationUn dialogue simple d'authentification (1) CAS: ID
c || P c || ID v (2) AS C: Ticket (3) CV: IDcTicket
Ticket = E
K v [IDc || AD c || IDv] • Le mot de passe est en clair • La durée de vie du ticket est infinie • Surcharge du serveur d'authentification Une clé partagée Kv entre chaque serveur V et AS.Sécurité des réseaux informatiques 11
DeuxiDeuxièème dialogue d' authentificationme dialogue d' authentification (1) C AS: IDc || ID tgs (2) AS C: E Kc [Ticket tgsTicket
tgs = E Ktgs [IDc||ADc||ID tgs ||TS 1 ||TTL 1 (3) CTGS: IDc||ID v ||Ticket tgs (4) TGS C: Ticket vTicket
v = E Kv [IDc||ADc||IDv||TS 2 ||TTL 2 (5) C V: IDcTicket
v •Une clé partagée Kc entre chaque C et AS, issue du mot de passe f(Pc)=Kc •Une clé partagée Ktgs entre chaque TGS et AS •Une clé partagée Kv entre chaque serveur V et son TGS.Sécurité des réseaux informatiques 12
Dialogue d'authentificationDialogue d'authentification •Problèmes: - Un adversaire peut voler un ticket et s'en servir • Un durée de vie est associé au ticket "ticket-granting" - Trop courte demande répétée du mot de passe - Trop longue plus d'opportunité pour une attaque par rejeu - Un adversaire peut voler un ticket et s'en servir avant qu'il n'expire !Sécurité des réseaux informatiques 13
Dialogue d'authentificationDialogue d'authentification Authentication Service Exhange: To obtain Ticket-Granting Ticket (1) C AS: IDc || IDtgs ||TS1 (2) AS C: E Kc [K c,tgs || ID tgs || TS 2 || TTL 2 || Ticket tgsTicket
tgs = E Ktgs [K c,tgs || IDc||ADc||ID tgs ||TS 2 || TTL 2 || Ticket tgs Ticket-Granting Service Echange: To obtain Service-Granting Ticke t (3) C TGS: IDv ||Ticket tgs ||Authenticator c (4) TGS C: E Kc [K c,¨v || IDv || TS 4 || Ticket vTicket
v = E Kv [K c,v || IDc||ADc||IDv||TS 4 || TTL 4 || Ticket tgsAuthenticatorc = E
Kc [K c,¨tgs || IDc || ADc || TS 3 Client/Server Authentication Exhange: To obtain Service (5) C V: Ticket v || Authenticator' c (6) V C: EKc,v[TS5 +1]Authenticator'c = E
Kc,v [IDc || ADc || TS 5Sécurité des réseaux informatiques 14
Fonctionnement de KerberosFonctionnement de KerberosUser authentication
UID, password
Access control :
UID, server V
Sécurité des réseaux informatiques 15
Requêtes entre domaines Requêtes entre domaines KerberosKerberosSécurité des réseaux informatiques 16
DiffDifféérence entre les versions V4 et rence entre les versions V4 et V5 deV5 de KerberosKerberos
• Dépendance vis-à-vis du système de chiffrement - V4 utilise DES • Dépendance vis-à-vis du protocole Internet • L'ordre des octets dans les messages - V5 : ASN1 + BER •"Ticket lifetime" - V5 : "explicit start and end times" • La propagation des crédits - transitivité : C => V1=> V2) • L'authentification entre domaines -N 2 /2 authentificationSécurité des réseaux informatiques 17
Technique de chiffrement de Technique de chiffrement de KerberosKerberosSécurité des réseaux informatiques 18
Le mode PCBC de DESLe mode PCBC de DES
Sécurité des réseaux informatiques 19
Utilisation de Utilisation de KerberosKerberos
•Utiliser la dernière version de Kerberos : - v5 : permet l'authentification entre domaines -Kerberosv5 : • RFC 1510 (septembre 1993), rfc 4120 (juillet 2005) •Pour utiliser Kerberos: - un KDC ("Key Distribution Center") dans votre réseau - Des applications adaptées et utilisant Kerberos dans tout vos systèmesSécurité des réseaux informatiques 20
QqQqsystsystèèmes d'authentificationmes d'authentification •AAA : - "Authentication, Authorization and Accounting" - RFC 2903 (2000) • RADIUS - "Remote Authentication Dial In User Service" - Rfc 2865 (June 2000), m-à-j. par rfc 3373 (2003), en 2001 pour IPv6, etc.Sécurité des réseaux informatiques 21
Le service Le service d'authentificationd'authentificationde de X.509 X.509 • X500 : - Le service de l'OSI pour l'annuaire (equiv. à DNS)directory Service (eq. DNS)• Un ensemble distribué de serveurs qui maintiennent une base de données des noms et de leur attribut (adresse IP)
- Cette base de données peut servir de stockage '"repository") pour les clefs publiques • X.509 :- Historiquement X.509 definissait les certificats nécessaire au service d'authentification de X.500
- Chaque certificat contient la clef publique d'un utilisateur. Ilest signé par la clef privée d'une autorité de certification (CA).
- Utilisé par S/MIME, IPsec, SSL/TLS , SET, etc. - L'utilisation de RSA est initialement prévue. - Les versions de X.509 : • V1 en 1998, V2 en 1993, V3 en 1995 • Une certaine compatibilité ascendanteSécurité des réseaux informatiques 22
Le format X.509Le format X.509
Sécurité des réseaux informatiques 23
Signature numSignature numéérique rique àà base de chiffrement base de chiffrement asym asyméétriquetriqueSécurité des réseaux informatiques 24
L'obtention d'un certificatL'obtention d'un certificat • Les propriétés d'un certificat généré par un CA : - N'importe quel client ayant la clef publique du CA peut obtenir la clef publique d'un client qui aété certifiée.
• Cette association est sûre - le niveau de sûreté est celui accordé au CA • L'association est authentique - Personne hormis le CA peut modifier la certificat sans être détecté : • La clef privée de CA gardée secrète • Intégrité des certificatsSécurité des réseaux informatiques 25
CertificatCertificat
• Notation usuel pour un certificat - Compatible X.509 v1CA<> = CA
KR-CA {Version, Serial Number, AlgorithmIdentifier, CA, Timestamps, A, KU
ASécurité des réseaux informatiques 26
HiHiéérarchie des certificats X.509rarchie des certificats X.509 X<Forward certificate
Reverse certificatesReverse certificates
Sécurité des réseaux informatiques 27
ProcProcééddééd'authentification : mono CAd'authentification : mono CA CA1 B C D ACA1<>
CA1<>
CA1<>
CA1<>
CA1<>
CA1<>
CA1<>
CA1<>
Hypothèses:
• L'autorité de certification (CA1) peut produire un certificat pour n'importe lequel de ses clients
• Chaque client fait confiance à l'autorité de certificationA envoie un message à B (A => B), le message contient un signature numérique produite par A, B veut vérifier l'authenticité
(l'intégrité) du message donc il lui faut un certificat associant l'identité de A et la clef publique de A. B obtient auprès de son
autorité de certification CA1 le certificat de A : CA1<>.B peut vérifier l'authenticité de ce certificat car il fait confiance à CA1 (il a un certificat auto-signé de CA1). B construit (le
début d') une chaîne de confiance qui aboutit à A: CA1<Sécurité des réseaux informatiques 28
ProcProcééddééd'authentification : multi CAd'authentification : multi CA CA1 B C D ACA1<>
CA1<>
CA2<>
CA1<>
CA1<>
Forward certificate
Pour gérer un nombre important de clients, on propose une hiérarchie d'autorité de certification CA(CA1, CA2, etc.).
A envoie un message à H (A => H), le message contient un signature numérique produite par A, H veut vérifier l'authenticité
(l'intégrité) du message donc il lui faut un certificat associant l'identité de A et la clef publique de A. H obtient le certificat de A
auprès de son autorité de certification CAl : CA1<>.H peut vérifier l'authenticité de ce certificat car il fait confiance à CA2 (il a un certificat auto-signé de CA2). H construit une
chaîne de confiance qui aboutit à A: CA2<Hypothèses:
• L'autorité de certification (CA x ) peut produire un certificat pour n'importe lequel de ses clients (ou CA de niveau inf.).• Chaque client (ou CA) fait confiance à l'autorité de certification de niveau supérieur.
CA2 I Jquotesdbs_dbs15.pdfusesText_21[PDF] la naissance de vénus histoire des arts
[PDF] la naissance de vénus cabanel
[PDF] botticelli la naissance de vénus analyse
[PDF] naissance de vénus mythologie
[PDF] naissance de venus histoire
[PDF] la naissance de vénus nombre d'or
[PDF] comment récupérer le gaz d'une boisson gazeuse
[PDF] identification du gaz présent dans les boissons
[PDF] nom de la méthode pour recueillir un gaz
[PDF] recueillir un gaz par déplacement d'eau schéma
[PDF] recueillir un gaz par déplacement d'eau protocole
[PDF] comment enlever le gaz d'une boisson gazeuse
[PDF] comment recueillir un gaz par déplacement d'eau
[PDF] boucle conditionnelle algorithme