Solutions de sécurité réseau d’infrastructures de clefs publiques

By 9 August 2012

7. Les principales solutions d’infrastructures de clefs publiques

7.1 La solution de Baltimore

UniCERT est une architecture qui délivre et gère des certificats et fournit des solutions de sécurité pour une organisation.

UniCERT se compose de 3 niveaux de technologie :
* UniCERT core Technology est le cœur de la PKI et fournit des fonctionnalités d’autorité de certification, d’autorité d’enregistrement, et de gestion des certificats.
* * Certificate Authority
* * Certificate Authority Operator
* * Registration Authority
* * Registration Authority Operator
* * Gateway : fonction de réception des demandes de certificats et de renvoi des certificats et informations correspondantes vers le web, les e-mails et les VPN.
* UniCERT Advanced Technology fournit des fonctions d’archivage de clefs, d’enregistrement des fonctions Public Key Infrastructure dans un système.
* UniCERT Extended Technology au sommet des fonctionnalités de la PKI, fournit des services à valeur ajoutée comme l’horodatage.

7.2 La solution d’Entrust

Entrust/PKI est une solution d’infrastructure à clef publique qui gère automatiquement tous les processus de sécurité de l’organisation. Ce logiciel permet l’utilisation des signatures numériques, du chiffrement, des services de gestion de droits pour différentes applications.

* Entrust/AutoRA : gestion des certificats
* Entrust/Roaming : authentification des utilisateurs à partir d’un poste de travail quelconque pour l’accès aux données
* Entrust/Timestamp : assure une non-répudiation des transactions

7.3 La solution de Certplus

Certplus a été créé en 1998 par Gemplus, France Telecom, EADS (Aérospatiale Matra) et VeriSign. Depuis début 2000, la CIBP (Confédération Internationale des Banques Populaires) a rejoint le cercle des fondateurs.

Initiale est une offre PKI pour aider les entreprises à bâtir leur propre infrastructure de gestion de clefs.

Elle propose un cadre pour définir la politique de certification, les procédures d’enregistrement des demandes et de validation, etc.

Elle offre également les techniques de protection des clefs de signature des certificats, gestion des volumétries, personnalisation de cartes à puce, etc.

Différents modules peuvent venir se rajouter :
* Ajout d’administrateur(s)
* Module d’hébergement local
* Module d’administration automatisée
* Module d’intégration aux annuaires LDAP

7.4 La solution de RSA

La gamme RSA Keon est une suite de produits fournissant, gérant et facilitant l’utilisation des certificats numériques pour les applications de commerce électronique, les ERP, les VPN, le courrier électronique et toutes les applications Internet qui se doivent d’être sécurisés.

La technologie utilisée repose sur le standard de chiffrement asymétrique RSA.

* RSA Keon Advanced PKI enrichit les principales fonctionnalités de la Public Key Infrastructure en supportant les certificats numériques émis par les principaux CA.
* RSA Keon Certificate Server est un composant du système qui fournit un moteur de gestion de clefs, de certificats, un annuaire LDAP et une base de certificats révoqués.
* RSA Keon Certificate Authority est une autorité de certification qui délivre, gère et signe des certificats numériques.

Elle est compatible avec les navigateurs Web, des smart cards, des modules de sécurité hardware, des VPN, des programmes de courrier électronique.

Cette autorité travaille avec RSA Keon Registration Authority (RA) pour la prise en compte des demandes de certificats des utilisateurs et la vérification d’identité.

Un module de recouvrement des clefs et certificats peut également être installé dans l’infrastructure.

RSA Keon Web Passport fournit une infrastructure PKI destinée au commerce inter-entreprise.

7.5 La solution de Microsoft

Windows 2000 offre la possibilité de gérer une Public Key Infrastructure intégrée, en interaction avec certaines fonctionnalités d’Active Directory.

Il est donc possible d’émettre des certificats, ou de les révoquer et de définir une stratégie.

Windows 2000 permet de gérer des certificats de type X.509v3. Les extensions standards de la version 3 permettent notamment de stocker des informations relatives à l’utilisation des clefs, à la stratégie de certificats employée, ou encore aux contraintes des chemins d’accès de certification.

Les utilisateurs peuvent se servir de la console MMC pour gérer leur certificat.

Du côté serveur, un composant permet de gérer les certificats. Un autre composant offre des pages d’inscription des Autorités de Certification sur le Web. Ainsi les utilisateurs peuvent soumettre une demande de certificat via un serveur web.

Windows 2000 permet de gérer une hiérarchie d’Autorités de Certification, avec une CA racine et des CA secondaires.

Les CA secondaires sont certifiées par le certificat de la CA racine.

Hiérarchiser les autorités de certification permet de développer des stratégies de certification différentes, en fonction de l’utilisation des certificats, ou des divisions organisationnelles ou géographiques.

Par exemple, si vous voulez donner des certificats pour sécuriser le mail et des certificats pour s’authentifier au réseau, mais que vous voulez des stratégies de certification différentes selon le cas, vous pouvez créer des autorités de certification différentes, ce qui vous permettra entre autre de séparer l’administration.

Windows 2000 permet la prise en charge des cartes à puce pour de l’authentification.

Le système gère l’ouverture d’une session dont l’identification se fait par un certificat stocké sur carte à puce.

Il permet également d’utiliser les cartes à puce pour stocker des informations confidentielles, sécuriser la messagerie ou pour tout type d’activité liée à l’utilisation de clef publique.

Enfin la stratégie de groupe Windows 2000 permet d’automatiser des tâches telles que la distribution des certificats ou l’établissement des listes d’approbation de certificats et des CA communes.

Lire le mémoire complet ==> (Sécurité Informatique au sein de l’entreprise)
Mémoire de fin d’études en Informatique

Index des Figures
Figure 1 : Schéma réseau complet de la maquette
Figure 2 : Diagramme illustrant la cryptographie symétrique
Figure 3 : Diagramme illustrant la cryptographie asymétrique
Figure 4 : Diagramme illustrant la signature numérique
Figure 5 : VPN d’accès
Figure 6 : Intranet VPN
Figure 7 : Extranet VPN
Figure 8 : Position et contenu du champ AH dans un datagramme IP
Figure 9 : Description du champ ESP
Figure 10 : Diagramme d’une négociation IKE
Figure 11 : Diagramme décrivant le fonctionnement des deux modes d’IPSEC
Figure 12 : Exemple de fonctionnement de la commutation par Labels
Figure 13 : Emplacement des routeurs dans une architecture MPLS
Figure 14 : VLAN par Port
Figure 15 : VLAN par Adresse IEEE
Figure 16 : VLAN par sous-réseau
Figure 17 : Confiance entre les tiers grâce à une autorité de certification
Figure 18 : Confiance élargie entre les tiers grâce à la certification réciproque
Figure 19 : Environnement d’un certificat numérique
Figure 20 : Répertoire X.500
Figure 21 : Structure de le standard X.509 v1 et v2
Figure 22 : Format des extensions dans X.509
Figure 23 : Structure du Standard X.509 v3
Figure 24 : Schéma d’une architecture réseau utilisant un Firewall
Figure 25 : Établissement de la connexion entre un Client et un Serveur FTP en passant par un Firewall
Figure 26 : Choix des Firewall dans une architecture réseau
Figure 27 : Position d’une DMZ au sein d’un réseau
Figure 28 : Fonctionnement du NAT
Figure 29 : Une classification des systèmes de détection d’intrusions

Index des Tableaux
Tableau 1 : Liste des organismes étatiques et entreprises marocaines attaqués entre 2001 et 2005
Tableau 2 : Comparaison entre les protocoles MPLS et IPSEC
Tableau 3 : Comparaison entre TACACS+ et RADIUS
Tableau 4 : Avantages et inconvénients d’un Firewall Bridge
Tableau 5 : Avantages et inconvénients d’un Firewall matériel
Tableau 6 : Avantages et inconvénients d’un Firewall personnel
Tableau 7 : Avantages et inconvénients d’un Firewall plus sérieux
Tableau 8 : Approche comportementale ou approche par scénarios ?
Tableau 9 : Les solutions de Firewalls
Tableau 10 : Les solutions d’authentification forte
Tableau 11 : Les solutions de VPN
Tableau 12 : Les principales solutions de systèmes de détection d’intrusions