2000 Server I.I.S. & SSL.

Présentation au sujet: "2000 Server I.I.S. & SSL."— Transcription de la présentation:

1 2000 Server I.I.S. & SSL

2 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Introduction - Cryptage Les trames circulant sur un réseau n'étant pas cryptées il est donc possible de les intercepter pour en extraire le contenu. Pour des données sensibles, cela n'est pas satisfaisant. Nous allons étudier une solution envisageable pour sécuriser les données circulant sur notre Intranet. Il s'agît du cryptage SSL qui est largement employé sur Internet pour rendre confidentiel les échanges au travers du réseau des réseaux. Internet Information Services propose bien évidemment la prise en charge de ce protocole pour sécuriser les données transmises sur le réseau entre le serveur Web et un client, Ce procédé repose en fait sur l'utilisation de certificats. J.RIDET-BTS ARLE-Windows 2000

3 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 SSL (Secure Sockets Layers) C'est un système qui permet d'échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 choses: Confidentialité : Il est impossible d'espionner les informations échangées. Intégrité : Il est impossible de truquer les informations échangées. Authentification : Il permet de s'assurer de l'identité du programme, de la personne ou de l'entreprise avec lequelle on communique. SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP. SSL a été créé et développé par la société Netscape et RSA Security. On trouve désormais des versions opensource ainsi qu'un protocole libre similaire: TLS Comment ça marche SSL ? SSL consiste en 2 protocoles: SSL Handshake protocol: avant de communiquer, les 2 programmes SSL négocient des clés et des protocoles de chiffrement communs. SSL Record protocol: Une fois négociés, ils chiffrent toutes les informations échangées et effectuent divers contrôles. J.RIDET-BTS ARLE-Windows 2000

4 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Comment SSL fait-il pour protéger les communications ? SSL utilise: un système de chiffrement asymétriques (comme RSA ou Diffie-Hellman). Il est utilisé pour générer la master key (clé principale) qui permettra de générer des clés de session. un système de chiffrement symétrique (DES, 3DES, IDEA, RC4...) en utilisant les clés de session pour chiffrer les données. un système de signature cryptographique des messsages (HMAC, utilisant MD5, SHA...) pour s'assurer que les messages ne sont pas corrompus. C'est lors de la négociation SSL que le client et le serveur choisissent des systèmes communs (chiffrement asymétrique, symétrique, signature et longueur de clé). Dans votre navigateur, vous pouvez voir la liste des systèmes utilisés en plaçant votre curseur sur le petit cadenas quand vous êtes dans une page en HTTPS. J.RIDET-BTS ARLE-Windows 2000

5 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 A quoi servent les certificats ? Lors d'une négociation SSL, il faut s'assurer de l'identité de la personne avec qui on communique. Comment être sûr que le serveur auquel vous parlez est bien celui qu'il prétend être ? C'est là qu'interviennent les certificats. Au moment de vous connecter sur un serveur web sécurisé, ce dernier vous enverra un certificat contenant le nom de l'entreprise, son adresse, etc. C'est une sorte de pièce d'identité. Comment vérifier l'authenticité de cette pièce d'identité ? Ce sont les PKI (Public Key Infrastructure), des sociétés externes (auxquelles vous faites implicitement confiance), qui vont vérifier l'authenticité du certificat. (La liste de ces PKI est incluse dans votre navigateur. Il y a généralement VeriSign, Thawte, etc.) Ces PKI signent cryptographiquement les certificats des entreprises. J.RIDET-BTS ARLE-Windows 2000

6 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Les utilisation de SSL: HTTPS, SSH, FTPS, POPS... SSL peut être utilisé pour sécuriser les protocoles utilisant TCP/IP. Certains protocoles ont été spécialement modifiés pour supporter SSL: HTTPS: c'est HTTP+SSL. Ce protocole est inclus dans pratiquement tous les navigateurs, et vous permet notamment de consulter vos comptes bancaires de façon sécurisée. FTPS est une extension de FTP (File Transfer Protocol) utilisant SSL. SSH (Secure Shell): c'est une sorte de telnet (ou rlogin) sécurisé. Cela permet de se connecter à un ordinateur distant en ligne de commande sécurisée. SSH possède des extensions pour sécuriser d'autres protocoles (FTP, POP3 ou même X Windows). Il est possible de sécuriser des protocoles en créant des tunnels SSL. Une fois le tunnel créé, vous pouvez faire passer n'importe quel protocole dedans (SMTP, POP3, HTTP, NNTP...). Toutes les données échangées sont automatiquement chiffrées. On peut faire cela avec des outils comme STunnel ( ou SSH. J.RIDET-BTS ARLE-Windows 2000

7 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Les utilisation de SSL: (suite) Exemple Protocole POP3 : Avec ce protocole vous pouvez lire votre courrier, les mots de passe et messages transitent en clair sur Internet. Il est possible de voler vos mots de passe et vos messages. Avec le tunnel SSL, et sans rien changer aux logiciels client et serveur, vous pouvez sécuriser la récupération de vos mails: personne ne peut vous volez vos mots de passe ou s puisque tout ce qui passe à travers le tunnel SSL est chiffré. Mais cela nécessite d'installer STunnel sur le client et sur le serveur. STunnel permet ainsi de sécuriser la majorité des protocoles basé sur TCP/IP sans modifier les logiciels. J.RIDET-BTS ARLE-Windows 2000

8 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 J.RIDET-BTS ARLE-Windows 2000

9 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Installation IIS IIS est un composant logiciel enfichable des services Internet donc il faut ajouter/supprimer composants windows. Notre serveur est maintenant opérationnel et apte à délivrer du contenu aux clients s'y connectant. J.RIDET-BTS ARLE-Windows 2000

10 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Localisation IIS J.RIDET-BTS ARLE-Windows 2000

11 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Autorité de certification : Le cryptage des pages Web par SSL s'appuient sur les certificats. Ces derniers permettent d'identifier avec certitude une entité par l'intermédiaire de différentes informations qu'ils intègrent. Ils contienent les clés assurant le cryptage et décryptage des données. Le certificat peut être délivré de deux manières, soit par une société spécialisée en la matière (VeriSign par exemple), soit par une autorité de certification directement installée sur le réseau. C'est le rôle du service de certificat de Windows 2000. Comme la sécurisation à réaliser est celle de l'Intranet il n'est pas nécessaire d'avoir un certificat issu d'une société spécialisée, Comme nous sommes sur un réseau utilisant Active Directory nous allons installer une autorité de certification d'entreprise qui prend en charge cet annuaire. Voici la démarche à suivre pour installer cette autorité: Dans panneau de configuration, "Ajout/Suppr programmes", "Ajout/suppr composants Windows", et cocher "Services Il est alors précisé qu'il ne sera alors plus possible de renommer l'ordinateur, il faut cliquer sur "oui" puis sur "Suivant" Choisir "Autorité de certification d'entreprise" puis cliquer sur "Suivant" Il ne faut pas changer les options de clés, cela n'est pas nécessaire Remplir les informations à propos de l'autorité de certification et cliquer sur Suivant Choisir l'emplacement de la base certificats et journal. Il n'est pas nécessaire de changer l'emplacement par défaut. L'installation et la configuration du service commence J.RIDET-BTS ARLE-Windows 2000

12 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Création certification : Maintenant que nous avons l'autorité de certification nous permettant de délivrer des certificats, il faut en créer un. Un certificat (un fichier en réalité), nous assurera de l'identité du serveur Web et permettra l'établissement d'une communication sécurisée grâce à SSL entre le serveur Web et le client. Voici les étapes à réaliser : Aller dans la console "Gestionnaire des services Internet" puis dans "Propriétés du site Internet", se rendre dans l'onglet "Sécurité du répertoire"> Communications sécurisées > Certificat de serveur > Assistant certificat de serveur Web> Cliquer sur "Suivant" Sélectionner "Créer un certificat" et cliquer sur "Suivant" Sélectionner "Préparer la demande, mais ne pas l'envoyer maintenant" et cliquer sur "Suivant". Donner un nom au certificat, choisir la longueur de la clé et cliquer sur "Suivant" Donner le nom de l'organisation et de l'unité d'organisation, cliquer sur "Suivant" Donner le nom du serveur (ou nom de domaine DNS si il existe) Donner le nom du pays, du département et de la ville. Cliquer sur "Suivant" Mettre le nom et le chemin du fichier de demande Un récapitulatif des informations est donné, Cliquer sur "Terminer" J.RIDET-BTS ARLE-Windows 2000

13 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Voici les étapes à réaliser : (suite) Ensuite, créer le certificat lui-même pour cela utiliser un navigateur Web. Aller sur et sélectionner "Demander un certificat" Sélectionner "Demande avancée". Puis cliquer sur "Suivant". Sélectionnez le type de demande que vous voulez effectuer : créer certificat pour serveur Web. Cliquer sur "Suivant". Sélectionner "Soumettre une demande de certificat en utilisant un fichier crypté en Base64 PKCS #10 ou une demande de renouvellement en utilisant un fichier crypté en Base64 PKCS #7" puis cliquer sur "Suivant". Il faut à ce moment copier le contenu du fichier "demande_certif_test.txt" qui a été créé précédemment, choisir "Serveur Web" comme modèle de certificat et cliquer sur "Soumettre". Le certificat est créé par l'autorité de certification et apparaît alors "Le certificat que vous avez demandé a été émis." Il faut maintenant associer le certificat crée au site Internet en retournant dans la console Gestionnaire des services Internet. Se rendre dans l'onglet "Sécurité du répertoire"> Communications sécurisées > Certificat de serveur Effacer la demande en cours puisque le certificat à été créé. Reprendre l'opération "Communications sécurisées" > "Certificat de serveur". Sélectionner "Attribuer un certificat existant" > "Suivant" > Choisir le bon certificat > "Suivant" > "Suivant" > "Terminer" Le certificat est alors associé au site, il est possible d'utiliser le protocole SSL pour sécuriser la communication. Pour cela, il suffit d'ajouter un "s" après le http, ce qui donne J.RIDET-BTS ARLE-Windows 2000

14 J.RIDET-BTS ARLE-Windows 2000
IIS - Windows2000 Configuration IIS : Nous avons tous les éléments pour sécuriser les échanges entre notre serveur et ses clients. Il s'agît désormais de configurer correctement le serveur, ce qui permettra de sécuriser l'accès au site et d'utiliser uniquement SSL pour se connecter a l'Intranet en entier ou en partie en fonction de ce qui est souhaité. On va ici s'appuyer sur Active Directory pour réglementer les accès. Les autorisations seront donc en relation avec la définition des droits de l'utilisateur dans l'annuaire. Dans "Gestionnaire services Internet", dans les propriétés du site Intranet concerné sur l'onglet "Sécurité du répertoire". Sur "Modifier" de la partie "Accès anonyme et contrôle d'authentification". Il faut décocher "Accès anonyme" et cocher "Authentification intégrée de Windows", ainsi seul les utilisateurs ayant un compte dans l'Active Directory pourront accéder à l'Intranet ou du moins à la partie concernée, puis cliquer sur "Ok" Cliquer sur "Modifier" dans la partie "Communications sécurisées" Cocher "Exiger un canal sécurisé (SSL)" Cliquer sur "Ok", puis de nouveau sur "Ok" J.RIDET-BTS ARLE-Windows 2000