CHAP.II : VUE GLOBALE SUR LA SECURITE RESEAU

II.1 définition

La securité est un ensemble de stratégies, conçues et mises en place pour détecter, prévenir et lutter contre une attaque. Actuellement, il existe beaucoup de mécanismes de sécurité.

1) Les objets de la sécurité

Les objets nécessitant une sécurité sont :

ü Les informations

ü Le système

ü Le réseau

ü Etc.

La sécurité n'est pas seulement un problème technique, du fait que les mesures de sécurités amènent des contraintes, les utilisateurs sont gênés et cherchent des moyens pour contourner la sécurité ; d'où il est nécessaire de sensibiliser les utilisateurs d'établir une politique de sécurité.

2) Attaques, Services et Mécanismes

Une Attaque : est une action qui compromet la sécurité des informations.

Mécanismes de Sécurité : est une méthode conçue pour détecter, prévenir et lutter contre une attaque de sécurité.

Service de Sécurité : est un mécanisme qui augmente la sécurité des traitements et des échanges de données d'un système. Un service de sécurité utilise un ou plusieurs mécanismes de sécurité.^9(*)

3) les services de sécurité

Parmi les services de sécurité, nous pouvons citer :

ü Confidentialité : les données (et l'objet et les acteurs) de la communication ne peuvent pas être connues d'un tiers non-autorisé.

ü Authenticité : l'identité des acteurs de la communication est vérifiée.

ü Intégrité : les données de la communication n'ont pas été altérées.

ü Non-répudiation : les acteurs impliqués dans la communication ne peuvent nier y avoir participé.

ü Disponibilité : les acteurs de la communication accèdent aux données dans de bonnes conditions.

chaque attaque est là pour nuire le système, dans les attaques, il y a quatre élément qui vise à compromettre chacun des services de sécurité :

ü Interruption: vise la disponibilité des informations.

ü Interception: vise la confidentialité des informations.

ü Modification: vise l'intégrité des informations.

ü Fabrication: vise l'authenticité des informations.

4) Mécanismes de sécurité en réseau

Nous tenons d'abord à définir un mécanisme de sécurité, comme étant un ensemble de stratégies, conçues et mises en place pour détecter, prévenir et lutter contre une attaque. Avec l'évolution de la technologie, il existe une panoplie de mécanismes de sécurité. Nous ne saurons, cependant, les évoquer en intégralité dans notre travail.

ü Bourrage de trafic : données ajoutées pour assurer la confidentialité, notamment au niveau du volume du trafic.

ü Contrôle d'accès : vérifie les droits d'accès d'un acteur aux données. N'empêche pas l'exploitation d'une vulnérabilité.

ü Contrôle d'accès aux communications : le moyen de communication n'est utilisé que par des acteurs autorisés. Par VPN ou tunnels.

ü Distribution de clefs : distribution sécurisée des clefs entre les entités concernées.

ü L'authentification est un mécanisme de sécurité qui consiste à assurer l'identité d'un utilisateur, ou d'une machine voulant accéder au système, ainsi on vérifie que la station ou la personne, est bien celle qu'elle prétend être. En effet dans la plupart de temps, l'authentification s'agit du couple «nom d'utilisateur/mot de passe», c'est un mécanisme qui constitue une sécurité relativement fiable lorsqu'il est bien mis en oeuvre.

Ce mécanisme pose tout de même certains problèmes, comme par exemple, le cas où un utilisateur a besoin de se connecter sur plusieurs stations différentes, dans ce cas ce mécanisme devient relativement lourd^10(*). Le mécanisme d'authentification permettant un niveau de sécurité élevé, est celui qui fait appelle à un serveur d'authentification, qui centralise, gére et contrôle tous les accès aux ressources du système, c'est le mécanisme que, nous allons implémenter dans notre travail.

ü Le cryptage ou le chiffrement des données, c'est aussi un mécanisme de sécurité, qui consiste à traduire un message clair, dit originel en un message incompréhensible, inintelligible. Le résultat du processus de cryptage est appelé «texte chiffré ou message codé», le processus de cryptage reposent à la fois sur des algorithmes puissant et sur les paramètres appelés clés, c'est ainsi que les techniques de cryptographie sont essentiellement scindée en deux, notamment:

- Le cryptage symétrique : il consiste à utiliser la même clé pour crypter et décrypter un message. Il est important de savoir que le cryptage asymétrique est moins sécurisé, du fait que c'est la seule clé qui est échangée entre les deux entités communicantes. d'où l'interception de la clé lors de l'échange peut compromettre la sécurité du message crypté^11(*).

- Le cryptage asymétrique : Dans ce type de cryptage les clés existent par paire, c'est-à-dire une clé publique pour le cryptage, et une clé dite secrète pour décrypter le message, et seul l'utilisateur à qui le message est destiné possède la clé secrète pour décrypter le message, ce mécanisme est plus sécurisé que le cryptage symétrique^12(*).

NB : Aucun des mécanismes de sécurité ne suffit par lui-même. Il les faut tous.

5) Quelques protocoles de sécurité

a) Le Protocole WEP: C'est un protocole optionnel pour sécuriser un système au niveau de la couche liaison de donnée, couche deux du modèle OSI. En effet, le WEP est un protocole chargé du cryptage des trames 802.11, utilisant l'algorithme symétrique RC4 avec des clés d'une longueur de 64 ou 128 bits. Ce protocole consiste à définir en premier temps une clé secrète de 40 ou 128 bits, laquelle clé doit être déclarée au niveau du point d'accès et des clients. Le WEP n'est donc pas suffisant pour garantir une réelle confidentialité des données. Pour autant, il est vivement conseillé de mettre en oeuvre une protection WEP 128 bits afin d'assurer un niveau de confidentialité minimum et d'éviter de cette façon 90% des risques d' intrusion. Cependant, pour obtenir un niveau de sécurité supérieur, il convient d'utiliser le cryptage WPA ou WPA2.

b) Le protocole EAP (Extended Authentication Protocol), est un protocole défini par l'IETF, qui se charge de transporter les informations d'identifications des utilisateurs, comme nous l'avons déjà dit, il s'appuie sur le standard dont nous parlerons d'une manière plus détaillée un peu plus loin dans ce travail. Le fonctionnement du protocole EAP est basé sur l'utilisation d'un contrôleur d'accès, chargé d'établir ou non l'accès au réseau pour un utilisateur. Le contrôleur d'accès est un simple garde-barrière servant d'intermédiaire entre l'utilisateur et un serveur d'authentification. Il existe différentes méthodes d'authentification pour EAP^13(*).Voici quelques une de ces méthodes sachant qu'il en a plusieurs.

· EAP-MD5: C'est la plus simple des méthodes. Le client est authentifié par le serveur d'authentification en utilisant un mécanisme de défi réponse.

· LEAP: est une méthode propre à Cisco qui repose sur l'utilisation de secrets partagés pour authentifier mutuellement le serveur et le client.

· EAP-TTLS: utilise TLS comme un tunnel pour échanger des couples attribut valeur à la manière de RADIUS se servant ainsi de l'authentification.

· EAP-TLS: C'est la plus sûre. Le serveur et le client possèdent chacun leur certificat qui va leur servir à les authentifier mutuellement, dans notre travail nous utiliserons donc la méthode EAP-TLS qui propose à ce jour le plus de sécurité. avec cette dernière, l'authentification du client d'accès peut se faire de différentes façons:

· - A l'aide d'un certificat personnel associé à la machine du client, l'authentification a lieu au démarrage de la machine.

- A l'aide d'un certificat personnel associé à l'utilisateur, l'authentification a lieu après l'entrée en session de l'utilisateur. Il n'est pas impossible de combiner les méthodes.

Au moment de choisir une méthode d'authentification, essayez de trouver un compromis entre le niveau de sécurité requis et la facilité de déploiement. Pour bénéficier du niveau de sécurité maximal, on peut choisir PEAP avec des certificats (EAP-TLS). PEAP utilise le service TLS pour améliorer la sécurité des autres protocoles d'authentification EAP. Avec PEAP, le service TLS permet de créer un canal crypté de bout en bout entre un client EAP et un serveur EAP.

Bien que les deux protocoles PEAP avec EAP-TLS et EAP-TLS seul offrent une sécurité renforcée grâce à l'utilisation de certificats pour l'authentification du serveur et, d'autre part, l'utilisation de certificats ou de cartes à puce pour l'authentification de l'utilisateur et de l'ordinateur client, lorsque PEAP avec EAP-TLS est utilisé, les informations relatives aux certificats client sont cryptées

Dans notre travail, nous choississons la méthode EAP-TLS qui propose un peu plus de sécurité. Avec cette méthode, l'authentification du client peut se faire de manière différente :

Ø A l'aide d'un certificat personnel associé à la machine, l'authentification a lieu au démarrage de la machine.

Ø A l'aide d'un certificat personnel associé à l'utilisateur, l'authentification a lieu après l'entrée en session de l'utilisateur.^14(*)

Nous optons pour la seconde méthode car elle augmente le niveau de sécurité.

c) Le Certificat : Les algorithmes de chiffrement sont basés sur le partage entre les différents utilisateurs d'une clé publique. Généralement, le partage de cette clé se fait au travers d'un annuaire électronique ou bien d'un site web. Toutefois ce mode de partage a une grande lacune et rien ne garantit que la clé est bien celle de l'utilisateur a qui elle est associée. En effet, une personne malintentionnée peut corrompre la clé publique présente dans l'annuaire en la remplaçant par sa clé publique. Ainsi, la personne sera en mesure de déchiffrer tous les messages ayant été chiffrés avec la clé présente dans l'annuaire.

Ainsi un certificat permet d'associer une clé publique à une entité (une personne, une machine, ...) afin d'en assurer la validité. Le certificat est en quelque sorte la carte d'identité de la clé publique, délivré par un organisme appelé autorité de certification. Les certificats sont des petits fichiers divisés en deux parties : la partie contenant les informations et la partie contenant la signature de l'autorité de certification. Selon le type d'usage on distingue^15(*) :

· le certificat client: stocké sur le poste de travail de l'utilisateur ou embarqué dans un conteneur tel qu'une carte à puce, permet d'identifier un utilisateur et de lui associer des droits.

· Le certificat serveur: installé sur un serveur web, permet d'assurer le lien entre le service et le propriétaire du service. Dans le cas d'un site web, il permet de garantir que l' URL et en particulier le domaine de la page web appartiennent bien à telle ou telle entreprise.

· Le certificat VPN, est un type de certificat installé dans les équipements réseaux, permettant de chiffrer les flux de communication de bout en bout entre deux points (par exemple deux sites d'une entreprise).

L'autorité de certification est chargée de délivrer les certificats, de leur assigner une date de validité (équivalente à la date limite de péremption des produits alimentaires), ainsi que de révoquer éventuellement des certificats avant cette date en cas de compromission de la clé (ou du propriétaire)^16(*).

d) Le protocole RADIUS est un mécanisme de transport des données d'authentification. Quand il a été normalisé en 1997, il visait à fournit aux fournisseurs d'accès Internet un moyen de centraliser leur base de données d'utilisateurs distant, quel que soit le point d'accès auquel se connectaient les utilisateurs, ainsi que les services et applicatifs prenant en charge une authentification Radius (certains routeurs, pare-feu, bornes réseau sans fil, etc.). Le protocole a supporté depuis le début le transfert des informations réseaux pour le client (adresse IP, masque de sous-réseau, etc.), le transfert vers un autre serveur grâce à un mode proxy et des capacités de rappel téléphonique.

Il s'agit d'un protocole client/serveur fonctionnant sur UDP. Ainsi un serveur Radius va permettre l'authentification et l'autorisation pour les clients Radius. Une utilisation type de RADIUS met en jeu 3 acteurs:

· L'utilisateur: un poste de travail, un portable, un PDA, qui émet la requête d'authentification.

· Le client RADIUS: c'est le point d'accès au réseau (firewall, point d'accès Wireless, etc.)

· Le serveur RADIUS: le point central où les données d'authentification sont transmises; le serveur RADIUS a typiquement accès à une base de données d'utilisateurs et de mots de passe.

Fig.7 Authentification radius

Dans notre travail, nous allons utiliser le protocole radius pour l'authentification de nos clients.

* ⁹ Stallings W. Network Security Essentials, 2nd edition. Prentice Hall, 2003

* ¹⁰ http://www.rederio.br/downloads/pdf/nt00700.pdf

* ¹¹MATHON, P., Windows 2003 Server, les services réseaux TCP/IP, Editions ENI, 2003, p. 372

* ¹² http://www.rederio.br/downloads/pdf/nt00700.pdf

* ¹³CHEY COBB, Sécurité réseaux pour les nuls, First Interactive, New York, 2003, p.287 -288

* ¹⁴ http://www-igm.univ-mlv.fr/~dr/XPOSE2008/802.1x/EAP.html

* ¹⁵ http://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification

* ¹⁶ http://www.certigreffe.fr/