spacer
spacer
Sélecteur de couleur : Site bleu Site vert Site orange
spacer
spacer spacer spacer




spacer spacer spacer spacer spacer
spacer spacer

L'auteur Ecrire

Depuis 1993, j'ai occupé les fonctions d'administrateur, de responsable de site, de chef de projet technique et d'architecte de système d'information à la sécurité renforcée.

 

Si vous avez besoin d'une assistance MOA, contactez-moi.

spacer spacer
spacer spacer spacer spacer spacer

Produits chouchous ...

Au sommaire :

1 - Postfix et les certificats

2 - Apache et les certificats

3 - OpenSSH et les certificats

4 - Truecrypt

Postfix

Authentification, Confidentialité

http://www.postfix.org/

Depuis la version 2.2, Postfix inclus nativement l'authentification et le chiffrement (niveau session) par TLS (RFC 3207). De nouveaux éléments issus de ce handshake ont été ajoutés à la requête de délégation de politique SMTP.

Objectif : Bien que cela ne soit pas standard et non recommandé par la RFC, nous pouvons forcer et fabriquer une authentification forte du client de niveau application par certificat numérique, en remontant les éléments de l'authentification TLS et en utilisant un script de délégation de politique SMTP. Cette procédure permettera de vérifier l'@ d'émission et évitera toute usurpation d'identité sans utilisation systèmatique du format S/MIME.

Gain : Supprimer l'authentification par login/mot de passe (SASL) jugée trop faible, éviter la gestion des mots de passe, utiliser une carte à puce pour le stockage des clefs privées et des autorités de certification.

Complément : Dans la rubrique [Productions maison], le script PHP [policyd-fingerprint.php] permet de faire cette corrélation via une requête LDAP.

Apache & mod_ssl

Authentification, Confidentialité

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html

Voilà un couple qui permet encore de fabriquer une authentification forte par certificat x509.

Objectif : Une fois le certificat client vérifié, le DN (ou une partie) peut être utiliser comme utilisateur Apache et ainsi être passé comme paramètre serveur aux sites web.

Gain : Le(s) sites web n'ont plus à gérer une piètre authenfication applicative par login/mot de passe. Couplé avec un annuaire, l'authentification forte réalisée par Apache peut être utilisée tel un SSO local au serveur.

OpenSSH & X.509 patch

Authentification, Confidentialité

http://www.openssh.com/

http://roumenpetrov.info/openssh/

En cours de test et de rédaction.

Objectif : Continuer à utiliser une PKI pour l'authentification et ses bienfaits plutot que les RSA Key.

Gain : authentification fédérer, gestion centraliser des droits d'accès même pour les adminstrateurs. Utilisation exclusivement des méchanismes par clef publique pour supprimer le trou débant des login et des mots de passe passe.

TrueCrypt

Confidentialité

http://www.truecrypt.org/

Objectif : Sécuriser les données sur un disque dur.

J'ai été séduit par cet outil qui correspond à presque toutes mes exigences de sécurité pour le stockages des données sur disque dur. Beaucoup de produits sont décevants car ils utilisent un fichier qui simule une partition chiffrée. On retrouve alors tous les problèmes inhérants aux fichiers :
  • 1 - la limitation de taille ==> stockage d'information multimédia,
  • 2 - la lenteur d'accès sur les fichiers de plus de 100Mo,
  • 3 - le risque de perdre toutes les données lors d'un problème de CRC sur le fichier.

TrueCrypt permet de chiffrer une partition (sauf la partition de boot) !! Finies les restrictions citées ci-dessus. De plus, comme il est expliqué dans la documentation, il existe les "partitions cachées" que l'on place dans une partition déja chiffrée. La partition chiffrée devient un leurre si l'on vous demande la passe-phrase. Bien pratique pour les habitués des avions et des aéroports. Vous ne devriez fournir la passe phrase de la "partition cachée" que sous la torture.

Seul bémol : Le produit est vraiment trop bien, implémentation, ergonomie... Pour les personnes voulant l'utiliser sur des données très sensibles, méfiance. Ce produit à peut-être été fait ou financé par une agence gouvernementale (ex : In-Q-tel).

Ps : J'en profite pour faire un lien sur le rapport du Député Carayon sur l'IE (Intelligence Economique)

Heartbeat

Disponibilité

http://linux-ha.org/

DRBD

Disponibilité

http://www.drbd.org/

 
spacer spacer spacer
spacer authen  chouchou  CV  lien  production  sites  cnil spacer


Valid XHTML 1.0 Transitional  Valid CSS!
spacer