Rappelle sur Kerberos

 Développé initialement au mit dans le cadre du projet Athéna au début des années 80
 Version courante : Kerberos v5
 V4 et v5 sont non-interopérable

Généralité
Principe

 Basé sur la notion de « ticket »

 Cryptographie a clé secrète « symétrique »
 Authentification mutuelle
 Tickets limités dans le temps
 Mécanisme anti-rejeux

Kerberos v5

 Améliorations par rapport à v4 (tickets transférables, time stamps..)

 Standards IETF : RFCs 1510 et 1964

Architecture
L’architecture Kerberos constitue une architecture 3 tiers

 Un client
 Un serveur de ressources
 Une autorité approuvée

L’autorité approuvée

 Est un serveur dit « de confiance »

 Reconnu comme tel par le client et le serveur
 Et dont on présuppose qu’il est parfaitement sécurisé

Terminologie (1/2)
Un « principal » Kerberos

 Est un client Kerberos identifiable par un nom unique

 Un utilisateur un client un serveur sont des « principaux » Kerberos

Une autorité approuvée

 Stock les informations de sécurité relatives aux principaux

 Génère et gère les clés de session
Terminologie (2/2)
Un « royaume » Kerberos :

 Est une organisation logique dans la quel s’exécute au moins une AA

 Est capables authentifié les principaux déclarés sur se serveur.

Un KDC (key distribution center)

 Est le nom donné dans Windows 2000 à l’autorité approuvée

Fonctionnement de Kerberos
- Étapes 1 : le client demande l’authentification au prêt du serveur AS son mot de passe
es chiffrer avec une clé partager
(Client, AS), le serveur AS décrypte le mot de passe et lui donne un TGT chiffré
- Etapes 2 : le client transmet le TGT au serveur TGS, se dernier décrypte le TGT avec
une clé secrète (AS, TGS) puis il renvoie un token au client (chiffré)
- Etapes 3 : le client se présente aux prés du serveur de fichier qui va décrypter le token
avec une clé secrète (TGS, serveur fichier), le serveur de fichier autorise le client à
télécharger les données demander

Gestion des clés

Key 1 : entre client et AS : chiffre et déchiffre le mot de passe

Key 2 : entre AS et TGS : chiffre et déchiffre TGT

Key 3 : entre file serveur et TGS : chiffre et déchiffre le token

Protocole radius : tp1 authentification Wi-Fi

pour radius

Les approbations dans Windows server

Définition :
Une relation d’approbation est un lien de confiance (trust Relationship) établie entre deux
domaines active directory, voir même entre deux forêt active directory ces relations
permettront de faciliter l’accès aux ressources entre les domaines concernés ce qui permet de
mutualiser les accès bien que les domaines disposent d’une base de données active directory

On crée les relations d’approbations par l’intermédiaire de la console « domaines et

approbations » intégrer à Windows server

A B

1- Cas d’utilisation des relations

d’approbations
Les relations d’approbations peuvent s’avérer utile et sont utilisées dans plusieurs cas de
figure :

- Une entreprise dispose de plusieurs filiales avec des noms différents donc des
domaines différents elle pourras crée des relations de confiance entre ses domaines
- Une multinationale qui scindera son infrastructure en plusieurs domaine on peut
imaginer un par zone géographique (Europe Asie Amérique) il faudra la aussi créer
des relations de confiance pour faciliter l’accès aux ressources
- La fusions de deux entreprises existantes qui utilisent à la base chacune leur domaine
la relation d’approbations permettra de faciliter la fusion au niveau du système
d’information (avant une éventuelle restructuration complète)

2- Direction et transitivité
Lorsque l’on parle de relations d’approbations, on ne peut pas échapper à la notion de
direction et de transitivité, il va falloir s’y faire. Définissons ces termes :

- Direction

Dans le cadre d’une relation d’approbation, la direction peut être unidirectionnelle c’est-à-
dire uniquement dans un sens, ou bidirectionnelle c’est-à-dire dans les deux sens. Qu’est-ce
que cela signifie ?

Une relation d’approbation unidirectionnelle signifie qu’un domaine A approuvé un domaine

B, sans que l’inverse soit appliqué. De ce fait, un utilisateur du domaine B pourra accéder aux
ressources du domaine A, alors que l’inverse ne sera pas possible !
Pour que cela soit possible, il faut que la relation d’approbation soit bidirectionnelle pour que
les deux domaines s’approuvent mutuellement. Un utilisateur du domaine A pourra alors
accéder aux ressources du domaine B, et inversement.

- Transitivité

Une relation d’approbation, en plus d’être unidirectionnelle ou bidirectionnelle, peut être ou

ne pas être transitive.

La transitivité signifie que si un domaine A approuvé un domaine B, et que ce domaine

B approuve un domaine C, alors le domaine A approuvera implicitement le domaine C.
Autrement dit, « comme A approuvé B et que B approuve C, alors A approuvé C ».

Attention tout de même, cette transitivité se limite aux relations d’approbations entre les
domaines, et non entre les forêts.

III. Les approbations prédéfinies

Les approbations prédéfinies sont des relations d’approbations créées automatiquement
lorsque l’on étend une forêt ou un domaine. J’entends par là le fait d’ajouter un domaine
enfant à un domaine existant, par exemple.

Si l’on dispose d’un domaine « it-connect. Local » et que l’on ajoute le domaine enfant
« paris.it-connect. Local », il y aura automatiquement une relation de confiance entre ces deux
domaines. Une relation d’approbation transitive et bidirectionnelle sera créée entre ces deux
domaines. On parlera d’approbation « parent/enfant ».

IV. Les approbations externes

Il est possible de réaliser des relations d’approbations externes, c’est-à-dire entre des
domaines situés dans des forêts différentes. Ces relations sont unidirectionnelles et non
transitives.

Pour que l’approbation soit réciproque, il faut que chaque domaine effectue une relation vers
le domaine cible, ce qui permettra d’arriver indirectement à une relation bidirectionnelle.

Avec une relation d’approbation externe, on donne l’accès uniquement au domaine depuis
lequel la relation est établie. Voici un exemple :
 Les types de relations d’approbations

Prédéfini définies par l’utilisateur

Parent-enfant entre deux domaines

Raccourcis a- de la même forêt

Mixte b- entre deux forêts

Sécuriser un système informatique est une tâche rigoureuse, d’autant plus quand
ledit système est connecté au réseau Internet. En effet, le réseau mondial grouille de
pirates qui nuisent au bon fonctionnement de vos systèmes. Voici comme limiter les
possibilités.

1. Changer le port d’écoute du SSH

Par défaut et conventionnellement, le Secure Shell ou SSH écoute sur le port 22.
Mais cette convention facilite la tâche des pirates. Ainsi, ils testent tout de suite
ce port s’ils veulent accéder au serveur. C’est pourquoi il faut créer une feinte :
déplacer le port d’écoute sur un autre. Au moins, les brute forces automatiques ne
peuvent rien faire.

2. Utiliser exclusivement le TLS en

administration

Pendant que vous administrez votre serveur, des millions de pirates tentent de
soutirer des données sensibles comme votre mot de passe, par exemple. Ainsi, il est
conseillé d’opter exclusivement le TLS (Transport Layer Security) pour
l’administration. Avec des données chiffrées, impossible à cracker.

3. Ne pas administrer n’importe où

Le réseau local peut également s’avérer dangereux. Sélectionnez les réseaux

auxquels vous faites confiance pour administrer vos serveurs. Evitez les Wifi gratuits,
cybercafés, ...
4. Nettoyer les logiciels malveillants sur
votre PC

Les logiciels malveillants comme les virus et les trojans peuvent transmettre vos
informations de connexion aux pirates. Ces derniers les utiliseront ensuite pour
accéder à votre serveur aussi facilement.

6. Maintenir vos propres applications

Vos propres applications et programmes sur vos serveurs doivent être maintenus et
régulièrement mis à jour. Ces derniers peuvent être également à l’origine de failles
de sécurité.

7. Les paramètres de votre PHP

Il existe quelques paramètres PHP qui peuvent menacer la sécurité de votre

serveur :

allow_url_fopen qui permet de traiter tous les URLs comme des fichiers.
Il peut donc être un moyen pour un pirate d’injecter quelque chose dans vos
 serveurs. Désactivez-le, surtout si vous êtes encore sur l’ancienne version de
PHP 4.

allow_url_include qui permet d’inclure des URLs dans votre code PHP et
d’exécuter les scripts PHP par-dessus. Il est vivement conseillé de le
désactiver.

register_globals : une source potentielle d’injection SQL ou à l’exécution

d’un code arbitraire.

8. Les règles Apache ModSecurity

Ce pare-feu logiciel permet d’analyser les requêtes HTTP entrantes et d'identifier les
exploits connus. Il est donc conseillé de l’installer et de le configurer proprement.

9. Désactiver les services inutiles

Vous avez peut-être suivi un tutoriel pour installer votre serveur web. Seulement,
vous n’utilisez pas, par exemple, les services MTA (Mail Transfer Agent) ou
autrement dit vous n’envoyez pas des emails via votre serveur web. Alors, il est plus
prudent de désactiver voire de désinstaller les logiciels responsables.

10. Fail2ban et RKHunter

Ces deux outils protègent vos serveurs des bruteforces et des rootkits, les deux
pratiques préférées des hackers.