La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Cyril Bras Journée « Sécu »

Publié parLiliane Olivier Modifié depuis plus de 5 années

Présentations similaires

Présentation au sujet: "Cyril Bras Journée « Sécu »"— Transcription de la présentation:

1 Cyril Bras Journée « Sécu »
Comment garantir un accès Légitime au SI par l'authentification à double facteur ? Cyril Bras Journée « Sécu »

2 Sommaire Contexte Pourquoi faire ? Comment ? Le matériel
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

3 Sommaire Contexte Pourquoi faire ? Comment ? Le matériel
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

4 Contexte Le CERMAV : Unité Propre du CNRS
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Contexte Le CERMAV : Unité Propre du CNRS Situé sur le campus universitaire de Grenoble Effectif : ~120 personnes Service SI : 3 personnes 6 correspondants informatique ~200 ordinateurs personnels (y compris instrumentation) Principalement sous Microsoft Windows 10 ~30 serveurs dont certains en DMZ (Sites web, courriels, DNS) Un domaine active directory avec autorité de certification Le CERMAV, centre de recherche sur les macromolécules végétales est une unité propre du CNRS située sur le campus universitaire de Grenoble Il se compose d’un effectif moyen de 120 personnes (chercheurs, IT, stagiaires) Le service SI compte deux informaticiens et s’appuie sur une équipe de 6 correspondants informatique répartis dans chaque équipe de recherche Tout cela représente environ 200 ordinateurs principalement sous Microsoft Windows et une trentaine de serveurs principalement sous linux dont certains en DMZ qui hébergent les sites Internet institutionnels du laboratoire, les boites mails, le DNS…

5 Sommaire Contexte Pourquoi faire ? Comment ? Le matériel
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

6 Pourquoi faire ? Deux facteurs Sans ces deux facteurs impossible
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Pourquoi faire ? Deux facteurs Une chose possédée (ex : une carte bancaire), facteur matériel Une chose connue (ex : le code PIN associé), facteur mémoriel Sans ces deux facteurs impossible d’utiliser le service protégé

7 Pourquoi faire ? Au CERMAV Sécuriser l’ouverture de session
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Pourquoi faire ? Au CERMAV Sécuriser l’ouverture de session Garantir un accès légitime au réseau Limiter les possibilités d’usurpation de comptes

8 Sommaire Contexte Pourquoi faire ? Comment ? Le matériel
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

9 Comment ? En s’appuyant sur : Une carte à puce USB
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Comment ? En s’appuyant sur : Une carte à puce USB Une structure Active Directory pour la gestion des comptes Une autorité de certification (PKI) Les fonctionnalités d’authentification par carte à puce des postes clients Microsoft Windows

10 Sommaire Contexte Pourquoi faire ? Comment ? Le matériel
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

11 Le matériel Fabriquant : Yubico Modèle : Yubikey 4 Prix : ~40€
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Le matériel Fabriquant : Yubico Modèle : Yubikey 4 Prix : ~40€

12 Sommaire Contexte Pourquoi faire ? Comment ? Le matériel
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

13 Au niveau d’Active Directory
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Au niveau d’Active Directory Configurer l’autorité de certification Créer un modèle de certificat pour l’ouverture de session par carte à puce

14 Au niveau d’Active Directory
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Au niveau d’Active Directory Au niveau du compte utilisateur Forcer l’ouverture de session par utilisation de carte à puce

15 Sommaire Contexte Pourquoi faire ? Comment ? Le matériel
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

16 Configuration de la clef
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Configuration de la clef Nécessite le logiciel Yubikey PIV Manager Définition d’un code PIN de protection Installation d’un certificat Soit depuis un fichier

17 Configuration de la clef
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Configuration de la clef Soit en générant une demande directement depuis le logiciel

18 Configuration de la clef
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Configuration de la clef

19 Sommaire Contexte Pourquoi faire ? Comment ? Le matériel
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

20 Comment garantirun accès légitime au SI par l'authentification à double facteur ?
Résultat

21 Comment garantirun accès légitime au SI par l'authentification à double facteur ?
Résultat La saisie du login et d’un mot de passe ne permet plus l’ouverture de session L’ouverture de session n’est désormais possible que : Si l’on saisit un nom de compte utilisateur valide Si l’on introduit la clef carte à puce USB Si l’on saisit le code PIN associé à la carte à puce En cas de perte de la clef Le code PIN la protège Il suffit de révoquer le certificat

22 Sommaire Contexte Pourquoi faire ? Comment ? Le matériel
Comment garantirun accès légitime au SI par l'authentification à double facteur ? Sommaire Contexte Pourquoi faire ? Comment ? Le matériel Au niveau d’Active Directory Configuration de la clef Résultat Limitations

23 Comment garantirun accès légitime au SI par l'authentification à double facteur ?
Limitations Nécessite la présence d’un port USB disponible à l’ouverture de session Une connexion au réseau lors de la première utilisation de la clef Ex : ne fonctionne pas sur une tablette puisque impossible d’avoir un port USB et un accès au réseau simultané Le code PIN est limité à 8 caractères

24 Comment garantirun accès légitime au SI par l'authentification à double facteur ?
Questions ?

Télécharger ppt "Cyril Bras Journée « Sécu »"

Présentations similaires

Messagerie collaborative Mobilité et Fonctions avancées du Webmail.

Messagerie collaborative Mobilité et Fonctions avancées du Webmail.
Projet tuteuré 2009 Les clients légers Alexandre Cédric Joël Benjamin.

Projet tuteuré 2009 Les clients légers Alexandre Cédric Joël Benjamin.
Séminaire EOLE Dijon 23-24 Octobre 2008 Eole SSO.

Séminaire EOLE Dijon Octobre 2008 Eole SSO.
Crypter vos communications : Open PGP : Pretty Good Privacy 14 Mai 2011 - Ubuntu Natty install Party Michel Memeteau

Crypter vos communications : Open PGP : Pretty Good Privacy 14 Mai Ubuntu Natty install Party Michel Memeteau
Votre rayon de soleil ! PROJET EVOLUTION – GMSI 38 Thomas Mouhica, Alexandre Lacombe, Timothé Michel 1.

Votre rayon de soleil ! PROJET EVOLUTION – GMSI 38 Thomas Mouhica, Alexandre Lacombe, Timothé Michel 1.
Séminaire 22-23 Novembre 2006 Serveur pédagogique : Scribe.

Séminaire Novembre 2006 Serveur pédagogique : Scribe.
Présentation Scribe NG Serveur pédagogique École Numérique Rurale (Présentation 2009)

Présentation Scribe NG Serveur pédagogique École Numérique Rurale (Présentation 2009)
Cetiad - Sicep Mars 2010. Généralités ➢ Organisation de l'assistance dans l'académie de Dijon ➢ Architecture réseau des établissements ➢ Présentation.

Cetiad - Sicep Mars Généralités ➢ Organisation de l'assistance dans l'académie de Dijon ➢ Architecture réseau des établissements ➢ Présentation.
La sécurité. Les limites de l'authentification actuelle - identifiant école ou mairie connu - mot de passe pas toujours modifié - des informations dans.

La sécurité. Les limites de l'authentification actuelle - identifiant école ou mairie connu - mot de passe pas toujours modifié - des informations dans.
● Pare-Feu ● Filtrage ● VPN ● Pare-Feu ● VPN ● Filtrage.

● Pare-Feu ● Filtrage ● VPN ● Pare-Feu ● VPN ● Filtrage.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.

1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.

Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
B2i Lycée Pierre Larousse- 1ères S1 et S2 – Juin 2008 Des dangers de l'internet et du BLOGUE.

B2i Lycée Pierre Larousse- 1ères S1 et S2 – Juin 2008 Des dangers de l'internet et du BLOGUE.
Recevoir les messages de ma boite mail professionnelle sur mon adresse académique ACADEMIE MARTINIQUE Cellule TICE SVT Novembre.

Recevoir les messages de ma boite mail professionnelle sur mon adresse académique ACADEMIE MARTINIQUE Cellule TICE SVT Novembre.
République algérienne démocratique et populaire Ministère de la Formation Et de l’Enseignement Professionnel Institut National Spécialisé en Formation.

République algérienne démocratique et populaire Ministère de la Formation Et de l’Enseignement Professionnel Institut National Spécialisé en Formation.
CHARTE INFORMATIQUE à l’usage des élèves du collège Saint-Joseph

CHARTE INFORMATIQUE à l’usage des élèves du collège Saint-Joseph
Chapitre10 Prise en charge des utilisateurs distants

Chapitre10 Prise en charge des utilisateurs distants
Diffusion en streaming de vidéos d’assistance au dépannage

Diffusion en streaming de vidéos d’assistance au dépannage
Eric b, emmanuel l, damien t

Eric b, emmanuel l, damien t
Mise en place d’un système de partage de fichiers

Mise en place d’un système de partage de fichiers

Présentations similaires

Annonces Google