Cyril Bras Journée « Sécu »

Slides:



Advertisements
Présentations similaires
Messagerie collaborative Mobilité et Fonctions avancées du Webmail.
Advertisements

Projet tuteuré 2009 Les clients légers Alexandre Cédric Joël Benjamin.
Séminaire EOLE Dijon Octobre 2008 Eole SSO.
Crypter vos communications : Open PGP : Pretty Good Privacy 14 Mai Ubuntu Natty install Party Michel Memeteau
Votre rayon de soleil ! PROJET EVOLUTION – GMSI 38 Thomas Mouhica, Alexandre Lacombe, Timothé Michel 1.
Séminaire Novembre 2006 Serveur pédagogique : Scribe.
Présentation Scribe NG Serveur pédagogique École Numérique Rurale (Présentation 2009)
Cetiad - Sicep Mars Généralités ➢ Organisation de l'assistance dans l'académie de Dijon ➢ Architecture réseau des établissements ➢ Présentation.
La sécurité. Les limites de l'authentification actuelle - identifiant école ou mairie connu - mot de passe pas toujours modifié - des informations dans.
● Pare-Feu ● Filtrage ● VPN ● Pare-Feu ● VPN ● Filtrage.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
B2i Lycée Pierre Larousse- 1ères S1 et S2 – Juin 2008 Des dangers de l'internet et du BLOGUE.
Recevoir les messages de ma boite mail professionnelle sur mon adresse académique ACADEMIE MARTINIQUE Cellule TICE SVT Novembre.
République algérienne démocratique et populaire Ministère de la Formation Et de l’Enseignement Professionnel Institut National Spécialisé en Formation.
CHARTE INFORMATIQUE à l’usage des élèves du collège Saint-Joseph
Chapitre10 Prise en charge des utilisateurs distants
Diffusion en streaming de vidéos d’assistance au dépannage
Eric b, emmanuel l, damien t
Mise en place d’un système de partage de fichiers
Qu’est-ce un serveur de messagerie?
Le réseau pédagogique de l’établissement
Projet Euratechnologies
Quels outils collaboratifs pour mon association ?
Présentation Scribe NG Serveur pédagogique.
L’ordinateur et les réseaux
Folders Access Manager Capacte
Wifi sécurisé et Windows
Le travail collaboratif dans la formation en alternance
Assises du numérique Quel type de structure pour quelle formation hybride ? Ou comment mettre en place une classe inversée ? CANOPE De Grenoble 09/11/16.
INSIA SRT 3 PAM !.
Sécurisation de l’accès Internet
L'utilisation des certificats à la DR15
Rechercher des articles et des sites web
Réseau informatique Sorenza Laplume 1.
CLUSTER DE BASCULEMENT SERVEUR DHCP
KeePass Introduction - Les services Conseils I6T.
Journée du 19/01/2001 Département Support Agence de Modernisation des
Séminaire EOLE Dijon Octobre 2010
Sécurité Web Protocole HTTPS.
Batterie TSE.
Sécurité - Configuration de -
Module S41 Chapitre 9  Configuration de Microsoft Windows 7 pour fonctionner sur des réseaux Microsoft.
Comment installer Yammer sur son mobile ou sa tablette
Comment fonctionne RADIUS?
Solution de déploiement logiciel
Mise en place d’une stratégie de groupe
Chapitre 7 Configuration de l'environnement du bureau
Windows Server 2012 Objectifs
HTTP DNS NTP FTP R231 RJ45 definition HTTP DNS NTP FTP R231 RJ45.
Certificat en Informatique et Internet D5. Travailler en réseau, communiquer et collaborer Equipe C2I - FSEGS Semestre 2 – Avril 2015 Université de Sfax.
Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory.
Langueauchat - Novembre Jacques Cartier
Mise en œuvre d’une solution de portail
Bureau distant sur Windows Vista /2008 Server
EPREUVE E4: PPE Mise en place d’un portail captif
SERVEUR MICROSOFT. Un serveur pour quoi faire ? Serveur de Fichiers Serveur d’impression Contrôleur de domaine Serveur web Serveur de base de données.
Outils et principes de base. Exemple d’application  Gestion de données d’enquête : Interface de saisie en ligne  insère directement les données dans.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Mots de passe Apprenez à composer.
Guide d’utilisation de l’informatique
Exposé de système / réseaux IR3
La messagerie électronique
Notions de base sécurité
Missions Locales Serveur Mutualisé
Michel Jouvin Comité des utilisateurs 14 Mai 2007
Gestion des photos Des exemples de copier – coller ( vu )
Notions de base sécurité
AUTORITE DE CERTIFICATION SOUS WINDOWS SERVEUR 2012 R2. HISSEIN BANAYE HASSAN
Transcription de la présentation:

Cyril Bras Journée « Sécu » Comment garantir un accès Légitime au SI par l'authentification à double facteur ? Cyril Bras Journée « Sécu »

Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

Contexte Le CERMAV : Unité Propre du CNRS Comment garantirun accès légitime au SI par l'authentification à double facteur ? Contexte Le CERMAV : Unité Propre du CNRS Situé sur le campus universitaire de Grenoble Effectif : ~120 personnes Service SI : 3 personnes 6 correspondants informatique ~200 ordinateurs personnels (y compris instrumentation) Principalement sous Microsoft Windows 10 ~30 serveurs dont certains en DMZ (Sites web, courriels, DNS) Un domaine active directory avec autorité de certification Le CERMAV, centre de recherche sur les macromolécules végétales est une unité propre du CNRS située sur le campus universitaire de Grenoble Il se compose d’un effectif moyen de 120 personnes (chercheurs, IT, stagiaires) Le service SI compte deux informaticiens et s’appuie sur une équipe de 6 correspondants informatique répartis dans chaque équipe de recherche Tout cela représente environ 200 ordinateurs principalement sous Microsoft Windows et une trentaine de serveurs principalement sous linux dont certains en DMZ qui hébergent les sites Internet institutionnels du laboratoire, les boites mails, le DNS…

Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

Pourquoi faire ? Deux facteurs Sans ces deux facteurs impossible Comment garantirun accès légitime au SI par l'authentification à double facteur ? Pourquoi faire ? Deux facteurs Une chose possédée (ex : une carte bancaire), facteur matériel Une chose connue (ex : le code PIN associé), facteur mémoriel Sans ces deux facteurs impossible d’utiliser le service protégé

Pourquoi faire ? Au CERMAV Sécuriser l’ouverture de session Comment garantirun accès légitime au SI par l'authentification à double facteur ? Pourquoi faire ? Au CERMAV Sécuriser l’ouverture de session Garantir un accès légitime au réseau Limiter les possibilités d’usurpation de comptes

Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

Comment ? En s’appuyant sur : Une carte à puce USB Comment garantirun accès légitime au SI par l'authentification à double facteur ? Comment ? En s’appuyant sur : Une carte à puce USB Une structure Active Directory pour la gestion des comptes Une autorité de certification (PKI) Les fonctionnalités d’authentification par carte à puce des postes clients Microsoft Windows

Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

Le matériel Fabriquant : Yubico Modèle : Yubikey 4 Prix : ~40€ Comment garantirun accès légitime au SI par l'authentification à double facteur ? Le matériel Fabriquant : Yubico Modèle : Yubikey 4 Prix : ~40€

Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

Au niveau d’Active Directory Comment garantirun accès légitime au SI par l'authentification à double facteur ? Au niveau d’Active Directory Configurer l’autorité de certification Créer un modèle de certificat pour l’ouverture de session par carte à puce

Au niveau d’Active Directory Comment garantirun accès légitime au SI par l'authentification à double facteur ? Au niveau d’Active Directory Au niveau du compte utilisateur Forcer l’ouverture de session par utilisation de carte à puce

Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

Configuration de la clef Comment garantirun accès légitime au SI par l'authentification à double facteur ? Configuration de la clef Nécessite le logiciel Yubikey PIV Manager Définition d’un code PIN de protection Installation d’un certificat Soit depuis un fichier

Configuration de la clef Comment garantirun accès légitime au SI par l'authentification à double facteur ? Configuration de la clef Soit en générant une demande directement depuis le logiciel

Configuration de la clef Comment garantirun accès légitime au SI par l'authentification à double facteur ? Configuration de la clef

Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

Comment garantirun accès légitime au SI par l'authentification à double facteur ? Résultat

Comment garantirun accès légitime au SI par l'authentification à double facteur ? Résultat La saisie du login et d’un mot de passe ne permet plus l’ouverture de session L’ouverture de session n’est désormais possible que : Si l’on saisit un nom de compte utilisateur valide Si l’on introduit la clef carte à puce USB Si l’on saisit le code PIN associé à la carte à puce En cas de perte de la clef Le code PIN la protège Il suffit de révoquer le certificat

Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

Comment garantirun accès légitime au SI par l'authentification à double facteur ? Limitations Nécessite la présence d’un port USB disponible à l’ouverture de session Une connexion au réseau lors de la première utilisation de la clef Ex : ne fonctionne pas sur une tablette puisque impossible d’avoir un port USB et un accès au réseau simultané Le code PIN est limité à 8 caractères

Comment garantirun accès légitime au SI par l'authentification à double facteur ? Questions ?