[PDF] Authentification et contrôle daccés





Previous PDF Next PDF



Guide Détection dIntrusion et Contrôle dAccès

Guide Détection d'Intrusion et Contrôle d'Accès Danse (école et cours) ... CONTROLE. Objectif :dissuader l'intrus de continuer son agression.



GUIDE METHODOLOGIQUE POUR LES SYSTEMES DE

Type d'accès / Portes / Verrouillage / Serrure / Obstacle physique. 11. Equipements de l'accès contrôlé. 12. Interface avec d'autres systèmes.



Contrôle daccès

Voir le cours introductif. Le facteur humain est partie prenante dans la sécurité des systèmes. Le cours de contrôle d'accès a pour objectif d'examiner la 



Introduction à la sécurité – Cours 3 Contrôle daccès

– UNIX/Linux. – Contrôle d'accès obligatoire – basé sur l'existence d'un Serveur de Sécurité. – Modèles basés sur les rôles 



Contrôle daccès : la preuve par lexemple

Son guide d'installation ainsi que toute la documentation mentionnée plus bas



Instructions dutilisation

défectueux au cours de cette période. Bosch Security Systems ne garantit pas et ne peut Pour pouvoir utiliser le logiciel de contrôle d'accès.



Contrôle daccès & Authentification Co ôedaccès& u e ca o Un

besoin de sécurité s'affirme le contrôle des accès réseaux. 7/137 Pr Pascal URIEN



POLITIQUE CERN POUR LE CONTROLE DACCES A SON

Un projet de management des autorisations fortement informatisé ainsi que la productions des cartes. CERN sont en cours d'installation. De nombreuses autres 



SYSTÈME BUS 2 FILS PORTIERS & CONTRÔLE DACCÈS

Platine SferaNEW avec contrôle d'accès Vigik® et module GPRS/GSM. connexion est en cours entre la platine de rue et un autre appartement.



Authentification et contrôle daccés

et de contrôle d'accès : Kerberos. • Autres services d'authentification. • Les certificats d'authentification X.509. – Liste de révocation 



Introduction à la sécurité – Cours 3 Contrôle d’accès

Contrôle d’accès Une des bases de la sécurité : – On permet à une action d’être exécutée que si elle respecte une certaine politique – Permet de renforcer la con?dentialité ou l’integrité – Contrôle d’accès discrétionnaire – basé sur l’identité et la possesion – UNIX/Linux



Formation au système de contrôle d’accès - niveau débutants

Cette formation requiert des connaissances de base générales en matière d’utilisation de PC ainsi que de configuration (systèmes d’exploitation Windows) et de technique de réseau IP Vous trouverez le formulaire d’inscription en ligne à l’adresse www axis com/academy/classroom-based htm



GUIDE METHODOLOGIQUE POUR LES SYSTEMES DE CONTROLE D’ACCES

Schéma de principe d’un système d’accès résidentiel individuel 4 Schéma de principe d’un système d’accès résidentiel collectif 5 Schéma de principe d’un système d’accès tertiaire/industriel 6 Liste des points à vérifier 7 Généralités 7 Règles / Normes / Réglementations / Directives 8

Quels sont les différents types de contrôle d'accès ?

d'information. On distingue ainsi le contrôle d'accès physique et le contrôle d'accès logique.

Comment faire un contrôle accès ?

La Direction doit donc informer de son intention et demander l'avis des instances représentatives du personnel notamment le Comité d’Entreprise et le Comité d'Hygiène, de Sécurité et des Conditions du travail (CHSCT). La mise en place d'un système de contrôle accès doit aussi respecter la loi "INFORMATIQUE ET LIBERTÉ".

Qu'est-ce que le contrôle d'accès ?

Le contrôle d’accès est une technique qui consiste à soumettre l’entrée d’un établissement ou, de locaux à l’intérieur d’une entreprise, à une autorisation d’accès. Cette autorisation d’accès a pour but de protéger des personnes, des biens ou des informations.

Quels sont les besoins d’un contrôle d’accès ?

Des exigences supplémentaires viennent se greffer à ces besoins comme le déverrouillage à distance ou l’asservissement à la détection incendie. La réussite et le bon usage du contrôle d’accès passent nécessairement par une action de communication, un bon conseil et un bon cahier des charges.

Sécurité des réseaux informatiques 1

Authentification et

contrôle d'accés

Sécurité des réseaux informatiques 2

PlanPlan

• Les problèmes de sécurité des protocoles d'authentification et de contrôle d'accès • Un exemple de protocole d'authentification et de contrôle d'accès : Kerberos • Autres services d'authentification • Les certificats d'authentification X.509 - Liste de révocation

Sécurité des réseaux informatiques 3

Service d'authentificationService d'authentification • Service d'authentification - À base de serveur d'authentification • Un tiers ... de confiance • Par ex. Kerberos, AAA, Radius, Diameter -Sans • par ex. SSL

Sécurité des réseaux informatiques 4

Les problLes problèèmes de smes de séécuritcuritéé • Les services de sécurité nécessaire à la distribution des clefs : -confidentialitéet opportunité(" timeliness") • La confidentialité : - chiffrement des informations d' identification et de la clef de session - Nécessite l'utilisation d'une connexion préalablement sécurisée qui utilise des clefs partagées ou publiques • La justesse/opportunité - Contre les attaques de type rejeu - Fournit par une numérotation, horodatage ou un processus de type "challenge/response "

Sécurité des réseaux informatiques 5

KERBEROSKERBEROS

In Greek mythology, a many headed dog, the

guardian of the entrance of Hades

Sécurité des réseaux informatiques 6

KERBEROSKERBEROS

•But - Contrôle de l'accès aux services d'un serveur • Trois risques existent : - Un client prétend être un autre. - Le client modifie l'adresse IP d'une station. - Le client capture des messages et utilise une attaque par rejeu.

Sécurité des réseaux informatiques 7

KERBEROSKERBEROS

• Un serveur d'authentification centralisé - Authentifie les clients vis-à-vis des serveurs et vice versa. • Utilise une technique de chiffrement conventionnel (pas d'utilisation de clef publique) • Deux versions: v4 et v5 - La version 4 utilise DES et est mono domaine

Sécurité des réseaux informatiques 8

Fonctionnement de KerberosFonctionnement de Kerberos

User authentication

UID, password

Access control :

UID, server V

Sécurité des réseaux informatiques 9

Kerberos Version 4Kerberos Version 4

• Les variables : -C = client - AS = authentication server -V = server -ID c = identifier of user on C -ID v = identifier of V -P c = password of user on C -AD c = network address of C -K v = secret encryption key shared by AS and V - TS = timestamp, TTL = lifetime - || = concatenation

Sécurité des réseaux informatiques 10

Un dialogue simple d'authentificationUn dialogue simple d'authentification (1) C

AS: ID

c || P c || ID v (2) AS C: Ticket (3) CV: IDc

Ticket

Ticket = E

K v [IDc || AD c || IDv] • Le mot de passe est en clair • La durée de vie du ticket est infinie • Surcharge du serveur d'authentification Une clé partagée Kv entre chaque serveur V et AS.

Sécurité des réseaux informatiques 11

DeuxiDeuxièème dialogue d' authentificationme dialogue d' authentification (1) C AS: IDc || ID tgs (2) AS C: E Kc [Ticket tgs

Ticket

tgs = E Ktgs [IDc||ADc||ID tgs ||TS 1 ||TTL 1 (3) CTGS: IDc||ID v ||Ticket tgs (4) TGS C: Ticket v

Ticket

v = E Kv [IDc||ADc||IDv||TS 2 ||TTL 2 (5) C V: IDc

Ticket

v •Une clé partagée Kc entre chaque C et AS, issue du mot de passe f(Pc)=Kc •Une clé partagée Ktgs entre chaque TGS et AS •Une clé partagée Kv entre chaque serveur V et son TGS.

Sécurité des réseaux informatiques 12

Dialogue d'authentificationDialogue d'authentification •Problèmes: - Un adversaire peut voler un ticket et s'en servir • Un durée de vie est associé au ticket "ticket-granting" - Trop courte demande répétée du mot de passe - Trop longue plus d'opportunité pour une attaque par rejeu - Un adversaire peut voler un ticket et s'en servir avant qu'il n'expire !

Sécurité des réseaux informatiques 13

Dialogue d'authentificationDialogue d'authentification Authentication Service Exhange: To obtain Ticket-Granting Ticket (1) C AS: IDc || IDtgs ||TS1 (2) AS C: E Kc [K c,tgs || ID tgs || TS 2 || TTL 2 || Ticket tgs

Ticket

tgs = E Ktgs [K c,tgs || IDc||ADc||ID tgs ||TS 2 || TTL 2 || Ticket tgs Ticket-Granting Service Echange: To obtain Service-Granting Ticke t (3) C TGS: IDv ||Ticket tgs ||Authenticator c (4) TGS C: E Kc [K c,¨v || IDv || TS 4 || Ticket v

Ticket

v = E Kv [K c,v || IDc||ADc||IDv||TS 4 || TTL 4 || Ticket tgs

Authenticatorc = E

Kc [K c,¨tgs || IDc || ADc || TS 3 Client/Server Authentication Exhange: To obtain Service (5) C V: Ticket v || Authenticator' c (6) V C: EKc,v[TS5 +1]

Authenticator'c = E

Kc,v [IDc || ADc || TS 5

Sécurité des réseaux informatiques 14

Fonctionnement de KerberosFonctionnement de Kerberos

User authentication

UID, password

Access control :

UID, server V

Sécurité des réseaux informatiques 15

Requêtes entre domaines Requêtes entre domaines KerberosKerberos

Sécurité des réseaux informatiques 16

DiffDifféérence entre les versions V4 et rence entre les versions V4 et V5 de

V5 de KerberosKerberos

• Dépendance vis-à-vis du système de chiffrement - V4 utilise DES • Dépendance vis-à-vis du protocole Internet • L'ordre des octets dans les messages - V5 : ASN1 + BER •"Ticket lifetime" - V5 : "explicit start and end times" • La propagation des crédits - transitivité : C => V1=> V2) • L'authentification entre domaines -N 2 /2 authentification

Sécurité des réseaux informatiques 17

Technique de chiffrement de Technique de chiffrement de KerberosKerberos

Sécurité des réseaux informatiques 18

Le mode PCBC de DESLe mode PCBC de DES

Sécurité des réseaux informatiques 19

Utilisation de Utilisation de KerberosKerberos

•Utiliser la dernière version de Kerberos : - v5 : permet l'authentification entre domaines -Kerberosv5 : • RFC 1510 (septembre 1993), rfc 4120 (juillet 2005) •Pour utiliser Kerberos: - un KDC ("Key Distribution Center") dans votre réseau - Des applications adaptées et utilisant Kerberos dans tout vos systèmes

Sécurité des réseaux informatiques 20

QqQqsystsystèèmes d'authentificationmes d'authentification •AAA : - "Authentication, Authorization and Accounting" - RFC 2903 (2000) • RADIUS - "Remote Authentication Dial In User Service" - Rfc 2865 (June 2000), m-à-j. par rfc 3373 (2003), en 2001 pour IPv6, etc.

Sécurité des réseaux informatiques 21

Le service Le service d'authentificationd'authentificationde de X.509 X.509 • X500 : - Le service de l'OSI pour l'annuaire (equiv. à DNS)directory Service (eq. DNS)

• Un ensemble distribué de serveurs qui maintiennent une base de données des noms et de leur attribut (adresse IP)

- Cette base de données peut servir de stockage '"repository") pour les clefs publiques • X.509 :

- Historiquement X.509 definissait les certificats nécessaire au service d'authentification de X.500

- Chaque certificat contient la clef publique d'un utilisateur. Ilest signé par la clef privée d'une autorité de certification (CA).

- Utilisé par S/MIME, IPsec, SSL/TLS , SET, etc. - L'utilisation de RSA est initialement prévue. - Les versions de X.509 : • V1 en 1998, V2 en 1993, V3 en 1995 • Une certaine compatibilité ascendante

Sécurité des réseaux informatiques 22

Le format X.509Le format X.509

Sécurité des réseaux informatiques 23

Signature numSignature numéérique rique àà base de chiffrement base de chiffrement asym asyméétriquetrique

Sécurité des réseaux informatiques 24

L'obtention d'un certificatL'obtention d'un certificat • Les propriétés d'un certificat généré par un CA : - N'importe quel client ayant la clef publique du CA peut obtenir la clef publique d'un client qui a

été certifiée.

• Cette association est sûre - le niveau de sûreté est celui accordé au CA • L'association est authentique - Personne hormis le CA peut modifier la certificat sans être détecté : • La clef privée de CA gardée secrète • Intégrité des certificats

Sécurité des réseaux informatiques 25

CertificatCertificat

• Notation usuel pour un certificat - Compatible X.509 v1

CA<> = CA

KR-CA {Version, Serial Number, Algorithm

Identifier, CA, Timestamps, A, KU

A

Sécurité des réseaux informatiques 26

HiHiéérarchie des certificats X.509rarchie des certificats X.509 X<> : certificat d' Y est produit par l'autorité de certification X

Forward certificate

Reverse certificatesReverse certificates

Sécurité des réseaux informatiques 27

ProcProcééddééd'authentification : mono CAd'authentification : mono CA CA1 B C D A

CA1<>

CA1<>

CA1<>

CA1<>

CA1<>

CA1<>

CA1<>

CA1<>

Hypothèses:

• L'autorité de certification (CA1) peut produire un certificat pour n'importe lequel de ses clients

• Chaque client fait confiance à l'autorité de certification

A envoie un message à B (A => B), le message contient un signature numérique produite par A, B veut vérifier l'authenticité

(l'intégrité) du message donc il lui faut un certificat associant l'identité de A et la clef publique de A. B obtient auprès de son

autorité de certification CA1 le certificat de A : CA1<>.

B peut vérifier l'authenticité de ce certificat car il fait confiance à CA1 (il a un certificat auto-signé de CA1). B construit (le

début d') une chaîne de confiance qui aboutit à A: CA1<>CA1<>CA1<>

Sécurité des réseaux informatiques 28

ProcProcééddééd'authentification : multi CAd'authentification : multi CA CA1 B C D A

CA1<>

CA1<>

CA2<>

CA1<>

CA1<>

Forward certificate

Pour gérer un nombre important de clients, on propose une hiérarchie d'autorité de certification CA(CA1, CA2, etc.).

A envoie un message à H (A => H), le message contient un signature numérique produite par A, H veut vérifier l'authenticité

(l'intégrité) du message donc il lui faut un certificat associant l'identité de A et la clef publique de A. H obtient le certificat de A

auprès de son autorité de certification CAl : CA1<>.

H peut vérifier l'authenticité de ce certificat car il fait confiance à CA2 (il a un certificat auto-signé de CA2). H construit une

chaîne de confiance qui aboutit à A: CA2<>CA2<>CA<>CA1<>

Hypothèses:

• L'autorité de certification (CA x ) peut produire un certificat pour n'importe lequel de ses clients (ou CA de niveau inf.).

• Chaque client (ou CA) fait confiance à l'autorité de certification de niveau supérieur.

CA2 I Jquotesdbs_dbs15.pdfusesText_21