WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Conception et déploiement d'une architecture réseau sécurisé à  l'IUT de Ngaoundere.

( Télécharger le fichier original )
par aliou ngoucheme mbouombouo
université de ngaoundéré - ingénieur des travaux en informatique  2012
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

III.9. Le chiffrement des échanges

Naturellement, le besoin de sécurité des échanges impose le cryptage des données. On devrait selon la langue française parler plutôt de chiffrement des données... et de décryptage si l'on ne possède pas la clé du code. Précision linguistique ou pas, l'administrateur réseau se doit d'utiliser une méthode assurant un minimum de confidentialité sur son réseau.

Concevoir et déployer d'une architecture de réseau sécurisée à l'IUT

OpenSSL se compose d'un ensemble de fonctions organisées en librairies implémentant des protocoles de sécurité : les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security). SSL constitue une surcouche indépendance du protocole utilisé. Cela se traduit entre la couche APPLICATION et la couche TRANSPORT du modèle OSI. Depuis 1994 tous les navigateurs Web l'intègre, cela est vérifié par la présence du `s' et avec un cadenas en bas de page (https://).

Le protocole TLS/SSL utilise des certificats sur le serveur, un certificat contenant une clé publique et un certain nombre de renseignements sur le serveur :

- le nom de l'autorité de certification ;

- le nom de l'entité propriétaire du certificat ;

- la date de fin de validité du certificat ;

- l'algorithme de chiffrement utilisé ;

- la signature de l'autorité de certification.

Figure 60 : gestionnaire de certificats de FireFox

III.9.1. L'activité

Nous allons installer la librairie OpenSSL et ses utilitaires sur SVRDMZ afin de pouvoir sécuriser différents services ; dans cette partir on s'intéressera sur le service Apache. Le schéma de réalisation se présente sous la forme (en réalité les deux serveurs autorité de certification et serveur Web sont physiquement confondus)

Rédiger par NGOUCHEME MBOUOMBOUO A. Page 55

Concevoir et déployer d'une architecture de réseau sécurisée à l'IUT

Rédiger par NGOUCHEME MBOUOMBOUO A. Page 56

Figure 61 : Schéma OpenSSL dans le cas d'un serveur Apache III.9.1.1. Création du CA (Autorité de Certification)

On parle d'arbre de confiance de certification ou de chemin de certification, avec au départ une certification racine (CA racine). Dans notre cas de certification privée, il nous faut créer un certificat auto-signé comme pour tous les certificats CA. Pour effectue ceci, le paquetage apporte deux scripts CA.pl et CA.sh équivalents.

- Initialisons le certificat

Figure 62 : initialisation du certificat

Ce qui permet de se positionner dans le bon répertoire et de créer la structure (sous-répertoires, fichiers) propre à une autorité de certification.

Voici en retour un extrait de la création du certificat racine

Rédiger par NGOUCHEME MBOUOMBOUO A. Page 57

Concevoir et déployer d'une architecture de réseau sécurisée à l'IUT

Figure 63 : extrait de la création du certificat racine

III.9.1.2. Configuration du module, création des clés et certificats

- Utilisation d'OpenSSL sur Apache

Pour l'Apache 2, le fichier de configuration du module ssl_conf se trouve dans

/etc/apache2/mode-enabled/ cinq étapes sont cruciaux

? 1ère étape : création de notre clé de serveur

[root]# openssl req -new -nodes -keyout web.key -out web.csr -days 365 Nous disposons maintenant d'un fichier web.key

Et aussi d'un certificat non signé web.csr

Figure 64 : contenu du web.csr

? 2ème étape : création de notre demande de signature

[root]# openssl ca -out web.crt -in web.crs -days 365

Le retour est:

- La signature du certificat: réponse y;

- L'écriture du certificat certifié dans la base de données SSL : réponse y.

? 3ème étape : configuration d'Apache

Réduisons les permissions sur la clé, et copions la clé et le certificat dans le bon répertoire

Ajouter juste la directive <ifModule> (dernière ligne) du fichier /etc/apache2/mods-enabled/ssl.conf

? 4ème étape : configuration de notre hébergement virtuel basé sur sur l'IP

Rédiger par NGOUCHEME MBOUOMBOUO A. Page 58

Concevoir et déployer d'une architecture de réseau sécurisée à l'IUT

Apache et SSL ne s'utilisent qu'avec des hôtes virtuels basés sur l'IP, jamais sur le nom ! Pourquoi ? Parce qu'Apache ne peut pas lire l'en-tête http host avant l'établissement de la connexion chiffrée.

Figure 65 : configuration d'hébergement virrtuelsur IP ? 5ème étape : Test du serveur Web sur un client

Le lancement dans un navigateur dur le client Windows de l'URL https:// secu.virtualiut.fr provoque la demande d'acceptation du certificat car le navigateur ne trouve pas une autorité de certification reconnue

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"La première panacée d'une nation mal gouvernée est l'inflation monétaire, la seconde, c'est la guerre. Tous deux apportent une prospérité temporaire, tous deux apportent une ruine permanente. Mais tous deux sont le refuge des opportunistes politiques et économiques"   Hemingway