Notion de cryptanalyse
ย ย ย ย ย ย ย ย ย ย ย Une opรฉration de cryptanalyse permet de retrouver le message clair sans connaรฎtre la clรฉ K. La personne qui ne connait pas la clรฉ est appelรฉ le cryptanalyste. Ce dernier peut tenter de cryptanalyser selon diffรฉrentes techniques dโattaques, classรฉes par ordre de difficultรฉs dรฉcroissant :
๏ ร cryptogramme connu : le cryptanalyste connaรฎt une longue portion du cryptogramme ;
๏ ร couples clairs/cryptogrammes connus : le cryptanalyste connaรฎt un morceau du texte clair et du cryptogramme ;
๏ ร clair choisi : le cryptanalyste dispose du mรฉcanisme de chiffrement et chiffre des clairs de son choix pour obtenir des informations sur la clรฉ.
Utilisation dโun certificat dans un contexte symรฉtrique
ย ย ย ย ย ย ย ย ย Dans un contexte symรฉtrique, le but de la certification est dโรฉtablir une communication sรฉcurisรฉe entre deux parties (Alice et Bob) avec preuve de leur identitรฉ lorsquโils ne se connaissent pas. Dans ce cas, tout repose sur lโautoritรฉ de certification (AC), รฉgalement appelรฉe tiers de confiance. LโAC partage une clรฉ secrรจte avec chacun des utilisateurs. Lors dโune demande de communication entre Alice et Bob, lโautoritรฉ de certification va engendrer une nouvelle clรฉ de session. Lโensemble des utilisateurs doivent avoir une confiance absolue dans lโautoritรฉ de certification puisque celle-ci partage une clรฉ secrรจte avec chacun dโentre eux. [1] [3] [4]
VPN et notion de Tunnel
ย ย ย ย ย ย ย ย ย ย ย Un VPN consiste ร la mise en place de tunnel sรฉcurisรฉ sur un rรฉseau peu fiable comme Internet. Dans un tunnel, des paquets IP avec des adresses internes ou privรฉes sont confiรฉs ร un รฉquipement tel quโun routeur ou un pare-feu. Celui-ci les envoie sur un canal souvent public comme lโInternet ร lโextrรฉmitรฉ distante. Pour cela les paquets ยซ internes ยป sont encapsulรฉs dans des paquets IP avec les adresses IP publiques des extrรฉmitรฉs destinataires et sources. Lโรฉquipement distant dรฉsencapsule chaque paquet pour remettre sur le rรฉseau des paquets dotรฉs seulement des adresses locales de la source et de la destination.
Tunnel Sรฉcurisรฉ Le tunnel dรฉcrit prรฉcรฉdemment ne constitue pas un VPN car nous avons vu quโil fallait aussi que le tunnel soit sรฉcurisรฉ. Pour que ceux-ci soit considรฉrรฉ comme sรฉcurisรฉ, nous devons mettre en place des mesures : [3] [4]
– Dโauthentification pour valider lโidentitรฉ de lโรฉmetteur ;
– Dโintรฉgritรฉ pour valider le contenu du message ;
– De confidentialitรฉ pour assurer le secret du message ;
– Dโanti-rejeu pour assurer lโunicitรฉ du message.
Cโest seulement quand toutes ces mesures sont en place dans un tunnel que nous pouvons considรฉrer que celui-ci est en fait un VPN.
Les diffรฉrents types VPN SSL/TLS
On distingue deux types de VPN utilisant le protocole SSL/TLS : [4] [5]
– SSL-based VPN Actuellement, les VPNs les plus couramment utilisรฉs sont les SSL-based VPNs qui utilisent le protocole SSL/TLS. Ces VPN sont souvent appelรฉs clientless VPNs ou encore VPNs basรฉs sur le Web cependant il existe des revendeurs dโรฉquipements qui fournissent des logiciels clients distincts tels que CISCO AnyConnect et Microsoft SSTP (Secure Socket Tunneling Protocol). Aucun standard nโest encore dรฉfini pour ce type de VPN mais la plupart utilise SSL/TLS pour mettre en place une connexion sรฉcurisรฉe en utilisant des certificats X.509 et un couple identifiant/mot de passe afin dโauthentifier la connexion. Comme on peut le voir, sa mise en ลuvre est presque similaire ร un site sรฉcurisรฉ Https, en effet le protocole TCP avec un port 443 est souvent utilisรฉ.
– OpenVPN : Crรฉรฉ en 2002, OpenVPN permet ร des pairs de s’authentifier entre eux ร l’aide d’une clรฉ privรฉe partagรฉe ร l’avance, de certificats รฉlectroniques X.509 ou de couples de noms d’utilisateur/mot depasse. Il utilise de maniรจre intensive une bibliothรจque d’authentification OpenSSL ainsi que le protocole SSL/TLS. Disponible avec une multitude d’environnements tel que Solaris, OpenBSD, FreeBSD, NetBSD, Linux (Debian, Redhat, Ubuntu, etc.), Mac OS X, Windows XP, Vista, 7, 8 et 10, il offre de nombreuses fonctions de sรฉcuritรฉ et de contrรดle. Comme le protocole SSL/TLS est utilisรฉ pour effectuer la sรฉcurisation, certains lโassimilent comme des SSL-based VPNs. Cependant, OpenVPN peut utiliser HMAC en combinaison avec des algorithmes de hachage pour assurer lโintรฉgritรฉ des paquets acheminรฉs. Or ces fonctionnalitรฉs ne sont pas offertes par SSL-based VPNs. Lors de sa mise en oeuvre, OpenVpn utilise des cartes rรฉseaux virtuels (tun/tap devices) comme interface entre le noyau du systรจme et lโapplication usager.
Lโidentifiant dโinterface
La construction du suffixe ou de lโidentifiant dโinterface ID peut รชtre obtenue de plusieurs maniรจres :
– Le suffixe peut รชtre dรฉrivรฉ de lโadresse MAC de lโinterface Ethernet, codรฉe sur 48 bits ou dโun identifiant EUI (Extended Unique Identifier) de lโinterface IEEE 1 394, codรฉ sur 8 octets.
Comme cette adresse est unique, le suffixe le sera รฉgalement.
– La configuration du suffixe est manuelle ;
Cette solution convient aux serveurs comme le DNS (Domain Name System) dont lโadresse est configurรฉe dans les postes utilisateurs. Une modification du suffixe par changement de carte dโinterface Ethernet rend caduque la configuration du poste utilisateur ;
– La dรฉtermination du suffixe peut รชtre faite ร partir dโun calcul dโun nombre alรฉatoire. Cette disposition permet dโempรชcher le suivi dโune machine ร partir du suffixe quel que soit son emplacement et dโรฉviter ainsi toute atteinte ร la vie privรฉe ;
– Le calcul du suffixe peut รชtre liรฉ ร la clรฉ publique gรฉnรฉrant un identifiant CGA (Cryptographic Generated Addresses). Cette disposition permet de sรฉcuriser le mรฉcanisme de dรฉcouverte des voisins. [7] [9] [10]
Le contrรดleur SDN
Dรฉfnition Les contrรดleurs ont pour mission de fournir une couche dโabstraction du rรฉseau et de prรฉsenter ce dernier comme un systรจme. Le contrรดleur SDN permet dโimplรฉmenter rapidement un changement sur le rรฉseau en traduisant une demande globale en une suite dโopรฉrations sur les รฉquipements rรฉseau (requรชtes Netconf, ajouts dโรฉtats Openflow). Les ordres sont donnรฉs au contrรดleur par une application via une API dite ยซ Northbound ยป ou Nord. Les รฉditeurs de logiciels de contrรดleurs publient la documentation de lโAPI afin de permettre dโinterfacer des applications. Le contrรดleur communique avec les รฉquipements via une ou plusieurs API dites ยซ Southbound ยป ou Sud. Openflow se positionne comme une API sud agissant directement sur le plan de donnรฉes. Dโautres API permettent dโagir sur le plan de management ou de contrรดle. Netconf est par exemple une API sud permettant au contrรดleur de configurer un รฉquipement. [11] [13]
Northbound API : REST API La programmation des รฉquipements rรฉseau nรฉcessite sur ces derniers la capacitรฉ de recevoir des directives de lโextรฉrieur. Pour cela des interfaces de programmation sont nรฉcessaires : des API (Application Programming Interface). Il existe de nombreuses API, standards ou propriรฉtaires, pouvant agir sur la couche de control et de management. Actuellement, celle qui est le plus populaire est le REST API, il est utilisรฉ comme Northboud API dans lโarchitecture SDN. On parle de RESTful API quand les directives fournies sont faites via des directives de type HTTP (GET, POST, DELETEโฆ) La principale caractรฉristique dโune API RESTful est quโelleย est sans รฉtat. En outre, chaque requรชte correspond ร une demande. Il nโy a pas de dialogue possible entre les extrรฉmitรฉs de la chaรฎne via une connexion prรฉalablement รฉtablie. [11] [13]
Communication entre Control Layer et Infrastructure layer via OpenFlow Le protocole de communication le plus avancรฉ entre un plan de contrรดle logiquement centralisรฉ (sur un ou plusieurs contrรดleurs) et le plan de donnรฉes est OpenFlow. Il est standardisรฉ par lโONF et implรฉmentรฉ par de nombreux รฉquipementiers, dont HP (crรฉateur avec Stanford university), Cisco(ACI format propriรฉtaire), IBM, Juniper, NEC et Ericsson. La version 1.0 de la spรฉcification date de fรฉvrier 2011. Dans OpenFlow, les dรฉcisions de routage sont prises par le contrรดleur pour chaque flux de donnรฉes et poussรฉes dans les switches sous forme de simples instructions de commutation. [13]
GNS3 et Packet Tracer
ย ย ย ย ย ย ย ย ย ย GNS 3 est un รฉmulateur dโรฉquipement rรฉseau contrairement ร Packet Tracer. En effet, GNS 3 permet de mettre en place des rรฉseaux en utilisant des รฉquipements utilisant un authentique IOS donnant ร lโutilisateur la possibilitรฉ de tester lโรฉquipement comme sโil en a la possession. Or, en Packet tracer, on simule un rรฉseau ainsi que ces รฉquipements de ce fait on est limitรฉ par le programme.
|
Table des matiรจres
REMERCIEMENTS
NOTATIONS ET ABREVIATIONS.
INTRODUCTION GENERALE
CHAPITRE 1 LA CRYPTOLOGIE
1.1 Introduction
1.2 Dรฉfinition
1.3 Notion de cryptanalyse
1.4 Cryptologie ร clรฉ secrรจte robuste AES (Advanced Encryption Standard)
1.4.1 Principe de fonctionnement dโun systรจme ร clรฉ secrรจte
1.4.2 Prรฉsentation de lโAES
1.4.3 Description de lโalgorithme
1.4.4 Mode de fonctionnement
1.5 Cryptographie ร clรฉ publique
1.5.1 Cryptosystรจme ร clรฉ publique
1.5.2 RSA
1.5.3 Protocole dโรฉchange de Clรฉ de Diffie-Hellman
1.5.4 Signature รฉlectronique et Identification
1.5.5 Certificat X.509
1.6 Conclusion
CHAPITRE 2 LA TECHNOLOGIE VPN
2.1 Introduction
2.2 VPN et notion de Tunnel
2.2.1 Tunnel Sรฉcurisรฉ
2.3 Le VPN dโentreprise
2.4 Les Principaux protocoles
2.5 Mise en place dโun VPN avec les protocoles SSL/TLS
2.5.1 Principe de fonctionnement de SSL/TLS
2.5.2 Prรฉsentations des principaux protocoles mise en ลuvre
2.5.3 Etablissement dโune session SSL/TLS
2.5.4 Les diffรฉrents types VPN SSL/TLS
2.6 Fonctionnement de lโOpenVPN
2.6.1 Carte rรฉseau Virtuelle Tun/Tap
2.6.2 Mode de Tunnel
2.6.3 Les canaux de control et de donnรฉe
2.6.4 Les algorithmes de chiffrement et de hachage en OpenVPN
2.6.5 OpenSSL
2.6.6 Les Certificats et PKIs
2.7 Conclusion
CHAPITRE 3 LE PROTOCOLE IPv6 ET LA TECHNOLOGIE SDN
3.1 Introduction
3.2 Le protocole IPv6
3.2.1 Pรฉnurie dโadresse IPv4
3.2.2 En-tรชte IPv6
3.2.3 Les extensions de lโen-tรชte
3.2.4 Adressage IPv6
3.2.5 Adresse unicast
3.2.6 Les adresses multicast
3.2.7 Les adresses anycast
3.2.8 Les protocoles niveau supรฉrieur au Protocole IPv6
3.2.9 Le mรฉcanisme de transition IPv4 vers IPv6
3.3 Software Defined Networking
3.3.1 Dรฉfinition
3.3.2 Les avantages de la technologie
3.3.3 Lโarchitecture SDN
3.3.4 Le contrรดleur SDN
3.3.5 Le protocole Openflow
3.4 Conclusion
CHAPITRE 4 SIMULATION DE LโOpenVPN, LโIPv6 ET SDN SOUS GNS3
4.1 Introduction
4.2 Le logiciel GNS 3
4.2.1 Organisation du logiciel
4.2.2 GNS3 et Packet Tracer
4.2.3 Avantages
4.2.4 Inconvรฉnients
4.3 Les machines virtuelles
4.3.1 Les propriรฉtรฉs des VMs
4.3.2 Connexion au rรฉseau dโune machine virtuelle
4.4 Mise en place de la topologie
4.4.1 Adressage
4.4.2 Transition IPv4 vers IPv6
4.4.3 Mise en place de lโOpenVPN
4.4.4 La mise en place du rรฉseau SDN
4.5 Conclusion
CONCLUSION GENERALE
BIBLIOGRAPHIE
PAGE DE RENSEIGNEMENTS
ABSTRACT
Tรฉlรฉcharger le rapport complet