Cours les mécanismes de sécurité des réseaux sans fil « Wi-Fi »

Cours les mécanismes de sécurité des réseaux sans fil « Wi-Fi », tutoriel & guide de travaux pratiques en pdf.

Services de sécurité

Les services de sécurité représentent les logiciels et matériels mettant on œuvre les mécanismes dans le but de mettre à la disposition des utilisateurs des fonctions de sécurité dont ils ont besoin.
Il existe cinq notions fondamentales de la sécurité :

Confidentialité

Le service de confidentialité garantie aux deux entités communicantes à être les seules à pouvoir comprendre les données échangées. Ceci implique la mise en œuvre des algorithmes de chiffrement en mode flux, c’est-à-dire octet par octet, ou en mode bloc.
Un message écrit en clair est transformé en un message chiffré, appelé « cryptogramme » grâce aux algorithmes de chiffrement. Cette transformation est fondée sur une ou plusieurs clés. [16]

Chiffrement (la cryptographie)

Le chiffrement consiste à rendre un texte incompréhensible en le codant. On code (crypte ou chiffre) le texte en effectuant une opération sur le texte en clair à partir d’une règle appelée clé de chiffrement. Le texte codé (cryptogramme) peut alors être envoyé à son destinataire. La cryptanalyse consiste à déchiffrer un texte codé en effectuant sur ce texte avec une clé. Il existe trois méthodes de chiffrement : à clé symétrique, à clé asymétrique (ou clé publique), à clé mixte (utilisation des deux précédentes).

Clé symétrique

La clé de chiffrement est identique à la clé de déchiffrement. Ainsi c’est la même clé qui va nous permettre à la fois de chiffrer le message et de permettre aux destinataires de le déchiffrer. Cela ne va pas sans poser un problème majeur: l’échange préalable de la clé entre les protagonistes. Or, ceci est particulièrement difficile à réaliser, puisque, tant que la clé n’est pas transmise, il n’existe pas de moyen sûr d’échange d’information, en dehors d’une rencontre physique qui n’est pas forcément possible.
Le deuxième problème est le nombre de clés nécessaire pour sécuriser un ensemble de relations. En effet, si l’on désire que chaque utilisateur d’un réseau puisse communiquer avec un autre utilisateur de manière sécurisée, une clé différente est alors utilisée pour chaque paire d’utilisateurs du réseau. Le nombre total de clés croît alors suivant un polynôme quadratique. Ainsi, un groupe de 10 utilisateurs met en jeu 45 clés différentes et 100 utilisateurs, 4950 clés.
Figure II.3 : Chiffrement symétrique
Les principes algorithmes de chiffrement symétriques sont :
 DES (Data Encryptions Standard) : a été le plus utilisé, mais n’est plus utilisé depuis 1998 considéré peu sûr. Clé de 40 à 56 bits.
 IDEA (International Data Encryptions Algorithm) : est utilisé par PGP (Pretty Good Privacy), le logiciel de cryptographie le plus utilisé au monde. Clé de 128 bits.
 Série RC (Ron’s Code) RC2 à RC6 : algorithme développé par Ron Rivest, la version RC4 est utilisé dans le protocole WEP d’IEEE 802.11.
 AES (Advanced Encryption Standard) : remplaçant du DES dans l’administration américaine et du RC4 dans la norme 802.11 avec 802.11i. Fondé sur l’algorithme de Rijndael, est considéré comme étant incassable.

Clé Asymétrique

Dans ce cas, les clés de chiffrement et de déchiffrement sont distinctes, et généralement symétriques entres elles: la clé de chiffrement permet de déchiffrer ce qui a été chiffré avec la clé de déchiffrement, et vice versa. Le possesseur d’une telle paire de clés, en rend une (au choix) publique, c’est-à-dire qu’il la donne à tout le monde, dans une sorte d’annuaire. Tout correspondant qui veut envoyer un message, chiffre son message à l’aide de la clé publique du destinataire. Seul le possesseur de la clé secrète correspondant à cette clé publique pourra déchiffrer le message.
Les algorithmes de chiffrement à clé publique permettent aussi à l’envoyeur de signer son message. En effet, il lui suffit de chiffrer le message (ou une partie de ce message) avec sa propre clé secrète. Le destinataire déchiffrera cette fonction avec la clé publique de l’envoyeur et sera ainsi certain de l’identité de l’expéditeur, puisqu’il est le seul à posséder la clé secrète qui permet de faire un tel chiffrement. Ainsi cette méthode permet de réaliser une communication confidentielle sans échanger auparavant de code secret.
Le principal inconvénient de ce type d’algorithme est la lenteur à laquelle s’effectuent les opérations de chiffrement et de déchiffrement.
Figure II.4 : Chiffrement asymétrique
 RSA (Rivest, Shamir, Adelman) : comme le plus connu de ces algorithmes. La sécurité du RSA réside dans l’impossibilité pratique de factoriser un grand nombre de quelques centaines de chiffres en un temps raisonnable. Qui plus est pour assurer sa pérennité il est toujours possible d’augmenter la longueur de la clé qui varie entre 1024 et 2048 bits.
En résumé, une synthèse de ces deux méthodes de cryptographie est décrite dans le tableau ci-après.
Finalement comme nous avons pu le voir précédemment, les deux systèmes de base de la cryptographie (symétrique et asymétrique) souffrent de problèmes complémentaires. Ainsi l’intérêt pour augmenter la sécurité des systèmes de cryptage passe certainement par l’utilisation combinée de ces deux techniques, ce que l’on nomme la cryptographie mixte.

Clé mixte

Ce principe fait appel aux deux techniques précédentes, à clé symétrique et à clé publique, combinant les avantages des deux touts en évitant leurs inconvénients. Le principe général consiste à effectuer le chiffrement des données avec des clés symétriques, mais en ayant effectué au départ l’envoi de la clé symétrique par un algorithme à clé publique. L’un de ces algorithmes est PGP.
 PGP (Pretty Good Privacy)
PGP est un système de cryptographie hybride, utilisant une combinaison des fonctionnalités de la cryptographie à clé publique et de la cryptographie symétrique.
Lorsqu’un utilisateur chiffre un texte avec PGP, les données sont d’abord compressées. Cette compression des données permet de réduire le temps de transmission par tout moyen de communication, d’économiser l’espace disque et, surtout, de renforcer la sécurité cryptographique.
La plupart des cryptanalyses exploitent les modèles trouvés dans le texte en clair pour casser le chiffrement. La compression réduit ces modèles dans le texte en clair, améliorant par conséquent considérablement la résistance à la cryptanalyse.
Ensuite, l’opération de chiffrement se fait principalement en deux étapes :
– PGP crée une clé secrète IDEA de manière aléatoire, et chiffre les données avec cette clé
– PGP crypte la clé secrète IDEA et la transmet au moyen de la clé RSA publique du destinataire.
L’opération de décryptage se fait également en deux étapes :
– PGP déchiffre la clé secrète IDEA au moyen de la clé RSA privée.
– PGP déchiffre les données avec la clé secrète IDEA précédemment obtenue.
Cette méthode de chiffrement associe la facilité d’utilisation du cryptage de clef publique à la vitesse du cryptage conventionnel. Le chiffrement conventionnel est environ 1000 fois plus rapide que les algorithmes de chiffrement à clé publique. Le chiffrement à clé publique résout le problème de la distribution des clés. Utilisées conjointement, ces deux méthodes améliorent la performance et la gestion des clefs, sans pour autant compromettre la sécurité.

Certificats

Un certificat permet d’associer une clé publique à une entité (une personne, une machine, …) afin d’en assurer la validité. Le certificat est en quelque sorte la carte d’identité de la clé publique, délivré par un organisme appelé autorité de certification (souvent notée CA pour Certification Authority). L’autorité de certification est chargée de délivrer les certificats, de leur assigner une date de validité (équivalent à la date limite de péremption des produits alimentaires), ainsi que de révoquer éventuellement des certificats avant cette date en cas de compromission de la clé (ou du propriétaire).
 Structure d’un certificat
Les certificats sont des petits fichiers divisés en deux parties :
– La partie contenant les informations
– La partie contenant la signature de l’autorité de certification
La structure des certificats est normalisée par le standard X.509 de l’UIT (plus exactement
X.509v3), qui définit les informations contenues dans le certificat :
– La version de X.509 à laquelle le certificat correspond ;
– Le numéro de série du certificat ;
– L’algorithme de chiffrement utilisé pour signer le certificat ;
– Le nom (DN, pour Distinguished Name) de l’autorité de certification émettrice ;
– La date de début de validité du certificat ;
– La date de fin de validité du certificat ;
– L’objet de l’utilisation de la clé publique ;
– La clé publique du propriétaire du certificat ;
– La signature de l’émetteur du certificat.
Figure II.5 : Certificat
L’ensemble de ces informations (informations + clé publique du demandeur) est signé par l’autorité de certification, cela signifie qu’une fonction de hachage crée une empreinte de ces informations, puis ce condensé est chiffré à l’aide de la clé privée de l’autorité de certification; la clé publique ayant été préalablement largement diffusée afin de permettre aux utilisateurs de vérifier la signature avec la clé publique de l’autorité de certification.
Lorsqu’un utilisateur désire communiquer avec une autre personne, il lui suffit de se procurer le certificat du destinataire. Ce certificat contient le nom du destinataire, ainsi que sa clé publique est signé par l’autorité de certification. Il est donc possible de vérifier la validité du message en appliquant d’une part la fonction de hachage aux informations contenues dans le certificat, en déchiffrant d’autre part la signature de l’autorité de certification avec la clé publique de cette dernière, et en comparant ces deux résultats.

Service d’authentification

L’authentification a pour but de garantir l’identité des correspondantes. Parmi les solutions simples qui existent, l’utilisation d’un identificateur et d’un mot de passe, une méthode de défi basé sur une fonction cryptographique et un secret, l’authentification peut s’effectuer par un numéro d’identification personnel, comme le numéro inscrit dans une carte à puce, ou code PIN.
L’authentification peut être simple ou mutuelle. Elle consiste surtout à comparer les données provenant de l’utilisateur qui se connecte à des informations, stockées dans un site protégé et susceptibles de piratage. Les sites mémorisant les mots de passe.
 Les protocoles
Un protocole d’authentification est un moyen de contrôle d’accès caractérisé par les 3 A (AAA) qui signifient Authentication, Authorization, Accounting, soit authentication, autorisation et compte en français. La signification de ces termes est la suivante :
– Authentication : consiste à vérifier qu’une personne/équipement est bien celle qu’elle prétend être.
– Autorisation : consiste à permettre l’accès à certains services ou ressources.
– Accounting : le serveur AAA a la possibilité de collecter des informations sur l’utilisation des ressources.
DIAMETER
Diameter est un protocole d’Authentication conçu pour servir de support à l’architecture AAA, successeur du protocole Radius. Ce protocole est défini par la RFC 3588. Il a repris les principales fonctions de Radius (Diameter est compatible avec Radius) et en a rajouté de nouvelles pour s’adapter aux nouvelles technologies (IPv4 Mobile, NASREQ …) et plus particulièrement offrir des services aux applications mobiles. Ce protocole se situe au niveau de la couche transport. Il utilise le port 3868 via le protocole TCP ou bien SCTP.
TACACS+
TACACS+ (Terminal Access Controller Access Control System Plus) est un protocole de sécurité inventé à la fin des années 90 par CISCO Systems. Même s’il a fini par remplacer les protocoles TACACS et XTACACS, TACACS+ n’est pas basé sur ces derniers. Ce protocole se situe au niveau de la couche transport. Il utilise le port 46 via le protocole TCP.
TACACS+ permet de vérifier l’identité des utilisateurs distants mais aussi, grâce au modèle AAA, d’autoriser et de contrôler leurs actions.
PAP
Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en texte brut et constitue le protocole d’authentification le moins sécurisé. Il est généralement négocié lorsque le client d’accès distant et le serveur d’accès distant ne disposent d’aucun moyen de validation plus sûr.
CHAP
Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole d’authentification par stimulation-réponse, qui utilise le modèle de hachage MD5 (Message Digest 5) standard pour crypter la réponse. CHAP est utilisé par de nombreux fournisseurs de clients et de serveurs d’accès réseau. Un serveur exécutant routage et accès distant prend en charge CHAP pour que les clients d’accès distant exigeant CHAP soient authentifiés. Dans la mesure où CHAP exige l’utilisation d’un mot de passe crypté à l’envers, vous devez envisager un autre protocole d’authentification comme MSCHAP version 2.
 Kerberos
Kerberos est un protocole de sécurité originaire de monde Unix, il a pris un nouveau départ lorsqu’il a été choisi par Microsoft pour remplacer NTLM (NT Lan Manager) dans Windows 2000. Kerberos a pour objectif :
– D’authentifier les utilisateurs ;
– De leur allouer des droits d’accès à des applications (sur un serveur) sur le réseau sous forme de ticket ou jetons d’accès périssables dans le temps ;
– D’assurer la transmission sécurisée de ces tickets ou jetons d’accès vers les applications et ressources demandées ;
– De protéger les échanges entre les utilisateurs et les applications.

L’intégrité des données

Dans certaines cas, il peut être nécessaire d’assurer simplement que les données sont intégrés, c’est-à-dire qu’elles n’ont pas été au passage falsifiées par un intrus. Ces données restent claires, au sens ou elles ne sont pas secrètes.

Non répudiation

Elle fournit au récepteur/émetteur une preuve qui empêche l’émetteur/récepteur de l’envoi de message.

Contrôle d’accès

De nos jours, toutes les entreprises possédant un réseau local et aussi un accès à internet, afin d’accéder à la manne d’information disponible sur le réseau, et pouvoir communiquer avec l’extérieur. Cette ouverture vers l’extérieur est indispensable…et dangereuse en même temps.
Ouvrir l’entreprise vers le monde signifie aussi laisser place ouverte aux étrangers pour essayer de pénétrer le réseau local de l’entreprise, et y accomplir des actions douteuse, pour cela une architecture sécurisée est nécessaire.
Le cœur d’une telle architecture est basé sur un firewall (un pare-feu).
Cet outil a pour but de sécuriser au maximum le réseau local de l’entreprise, de détecter les tentatives d’intrusion. Cela représente une sécurité supplémentaires rendant le réseau ouvert sur internet beaucoup plus sur. De plus, il peut permettre de restreindre l’accès interne de l’extérieur et l’accès vers l’extérieur de l’intérieur.
En effet, des employés peuvent s’adonner à des activités (exemple : les jeux en ligne) que l’entreprise ne cautionne pas. En plaçant un firewall, on peut limiter ou interdire l’accès à ces services, l’entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte.
Le firewall propose donc un véritable contrôle sur le trafic réseau de l’entreprise. Il permet d’analyser, de sécurisé et de gérer le trafic réseau, et ainsi d’utiliser le réseau de la façon pour laquelle il a été prévu et sans l’encombrer avec des activités inutiles, et d’empêcher une personne sans autorisation d’accéder à ce réseau de données. Mais il ne fournit pas les services de sécurité tels que (authentification, intégrité, confidentialité, etc.).

Cours gratuitTélécharger le cours complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *