********************************************************************** * OBSERVATOIRE DE LA SECURITE * * DES SYSTEMES D'INFORMATION ET DES RESEAUX * * * * GROUPE SECURITE WINDOWS * * * * COMPTE RENDU DE LA REUNIONDU 12 NOVEMBRE 2001 * ********************************************************************** Rédaction: Maxime de Jabrun (mdejabrun@edelweb.fr) Relecture: Jean Olive (jean.olive@edelweb.fr) La réunion de l'OSSIR – SW a eu lieu le lundi 12 novembre à 14h en présence de 35 personnes à : l'INRA, 11 Rue Jean Nicot Paris 7ème l'ordre du jour était le suivant: - "Le filtrage IP et IPsec dans Windows 2000"(2ème partie) - CAS SignOn (produit de biométrie) - "L'approche Smart Pki" - Dernières vulnérabilités de Windows 2000 - Suite du débat et décisions concernant la production d'un guide de sécurisation Windows 2000 et la mise à disposition d'une base de vulnérabilités. I Le filtrage IP et IPsec dans Windows 2000 (2/2) ************************************************* La première partie de cette présentation a été réalisée par Jean-Baptiste Marchand, du Cabinet HSC, lors de la réunion précédente. Elle s'attachait plus particulièrement au filtrage IP sous Windows 2000. Cette seconde partie et dernière partie est présenté par Ghislaine Labouret (ghislaine.labouret@hsc.fr) du Cabinet HSC et décrit les mécanismes IPsec fourni par Windows 2000. Le support de cette présentation est disponible sur le site: http://www.hsc.fr/ressources/presentations/w2k-ip/index.html.fr La sécurisation des accès distants sous Windows 2000 est prévue avec L2TP + IPsec. Aucun support de mécanismes d'authentification classiques (legacy authentication) n'est prévu pour l'instant. Ceci est en cours de normalisation à l'IETF. Les seules implémentations utilisées sont propriétaires. Les certificats sont associés à des machines, pas à des utilisateurs. Il existe deux modes de fonctionnement pour IPsec: + le mode transport . effectue de la sécurité de bout en bout (configurable via Active Directory). + le mode tunnel. · Le second utilise des adresses IP fixes. · Un tunnel est démonté au bout de 6 minutes d'inutilisation. · Le filtrage en sortie fait le routage avant IPsec. Donc en mode tunnel des problèmes d'adressage MAC peuvent apparaître. Implémentation IPsec dans Windows 2000: + IPsec est mis en oeuvre par un pilote, le driver IPSec (device manager >show hidden >non Plug&Play driver >IPsec Driver) + IKE: service IPsec Policy Agent, implémenté dans LSA Nb:il est possible de redémarrer le service sans rebooter + La définition des stratégies IPsec est dans la clé: HKLM\Software\Policies\Microosft\Windows\IPsec Détails spécifiques à l'implémentation Microsoft: + Il est possible de protéger les échanges Kerberos via IPsec depuis le SP2. + Par contre la traduction d'adresse (NAT) n'est pas disponible dans l'implémentation Microsoft d'IPsec. + Les règles constituent une liste non ordonnée (contraire du protocol) où la priorité est donnée à la plus spécifiques. + Il est possible d'identifier (fingerprint) des machines Windows 2000. En effet, W2K utilise le "commit bit", qui a pour effet d'allonger la phase 2 à 4 messages au lieu de 3. Deux problèmes sont liés à l'IHM: + La case 3DES cochée n'est effective qu'une fois le High Encryption Pack ou le SP2 appliqué sur la machine. + En mode Tunnel, la case Mirror ne fonctionne pas: les règles ne sont pas créées bien que la case soit cochée. II CAS Sign On ************** Jean-Francois Kin de chez Keyware est venu présenter leur produit de biométrie: CAS SignOn- Central Authentication Server. www.keyware.com Il existe plusieurs méthodes d'authentification biométrique. Une combinaison de ces méthodes est en général utilisée pour authentifier une personne; ce qui rend plus sûr le résultat. Keyware fait le constat suivant: les gens préfèrent les méthodes sans contact physique. Les traits caractéristiques utilisés dans le processus s'appellent des minuties. Comment déterminer le seuil d'acceptation d'une épreuve d'authentication? Il suffit de chercher l'intersection de deux courbes: + Courbe de probabilité qu'un faussaire réussisse à s'authentifier en fonction du seuil de tolérance + Courbe de probabilité qu'un utilisateur autorisé n'arrive pas à s'authentifier. Dans le cas de l'empreinte digitale, des senseurs de vie sont rajoutés au relevé de l'empreinte (détection de pression sanguine, de température, etc.). Ces senseurs sont spécifiques à chaque constructeur et ils sont en général non documentés. Implémentation Windows: + Le client consiste en une GINA keyware plus quelques éléments de capture. + Le serveur interroge Active Directory pour l'utilisateur. C'est AD qui stocke les données biométriques. Le CASserver remplace le mot de passe de l'utilisateur par un aléas de 14 caractères avec complexité (non précisée). + Il est possible de chiffrer les échanges avec le client à l'aide d'un bi-clé et d'une clé de session. Limitations actuelles: + Accès web authentifié impossible + Net use impossible + Utilisation de runas impossible Questions posées: Q1 : Si on s'appuie sur le mot de passe d'Active Directory, quelle est la garantie sur sa robustesse ? Q2 : Comment est géré le redémarrage en mode sans échec ? III ATOSignin smart PKI *********************** Michel-Paul BOURDIN (michel-paul.bourdin@atosorigin.com) Directeur Domaine Sécurité chez ATOSOrigin est venu présenter le produit Securicam. http://www.si.fr.atosorigin.com/securicam/ Securicam s’appuie sur le concept SmartPKI, qui offre l’ensemble des services de l’approche PKI avec une notion de confiance sans tiers. Le logiciel Securicam est implanté dans une carte à microprocesseur. Il fournit en natif les fonctions de signature, chiffrement, vérification de signature, déchiffrement. Il se passe d'annuaire de clés, et de gestion de certificats. Le logiciel permet à chaque utilisateur de générer et certifier lui- même ses clés. Cette auto-certification supprime le recours à l’Infrastructure de Gestion des Clés des solutions classiques. L’administrateur inscrit et révoque les membres de sa communauté sans gérer de clés ou de certificats. L ’utilisateur et l’administrateur sont autonomes. L’auto-certification donne de nouveaux pouvoirs à chaque utilisateur : la délégation temporaire à un tiers de sa signature, de l’accès à ses données et du droit (inédit) de déchiffrer ses messages. La fonction chronologique de signature est assurée par numérotation des clés. Les listes de révocations sont diffusées via un annuaire LDAP, un serveur Web, un mail, … A une date donnée (date d'expiration) l'utilisateur doit récupérer la nouvelle liste. L'offre comprend 3 volets : sécurité des accès, des échanges, des données * Sécurité des accès -le produit permet le SSO (Single Sign On ou identification unique) pour l'accès: + au poste de travail (Windows NT, Windows 2000) + Web + aux applications ou au Mainframe * Sécurité des échanges -le produit s'intègre à Outlook et Notes et permet signature et chiffrement des notes et des pièces jointes * Sécurité des données -Fonctions de signature (intégrité authenticité) et de chiffrement (confidentialité) intégrés à l'explorateur Windows. IV Récupération de Demesis ************************** Personne n'étant volontaire pour administrer la base, il est décidé que le Conseil d'Administration doit statuer sur l'éventuelle utilisation, maintenance, mise à niveau de la base de vulnérabilité de Demesis fournie par Mathieu Donzel.