DIIAGE: session 23/03/2018
This commit is contained in:
parent
2aea564151
commit
bee347f833
17
diiage/C3-2_Sécurité_SI/20180323_TLS_SSL/prepa.md
Normal file
17
diiage/C3-2_Sécurité_SI/20180323_TLS_SSL/prepa.md
Normal file
@ -0,0 +1,17 @@
|
||||
# Préparation: TLS/SSL
|
||||
|
||||
## Problématiques
|
||||
|
||||
- Quels sont les principes de fonctionnement du protocole TLS ? Quel est son historique ?
|
||||
- Qu'est ce qu'un certificat ? À quoi sert il ?
|
||||
- Quel est le rôle d'une autorité de certification ?
|
||||
- Qu'est ce que le protocole ACME ? À quoi sert il ? Quels sont ses principes généraux de fonctionnement ?
|
||||
|
||||
## Bibliographie
|
||||
|
||||
- [Transport Security Layer - Wikipédia](https://en.wikipedia.org/wiki/Transport_Layer_Security)
|
||||
- [TLS 1.2 - IETF - RFC 5246](https://tools.ietf.org/html/rfc5246)
|
||||
- [X.509 Public Key Infrastructure Certificate - IETF - RFC5280](https://tools.ietf.org/html/rfc5280)
|
||||
- [ACME Protocol - IETF - Draft](https://datatracker.ietf.org/doc/draft-ietf-acme-acme/)
|
||||
- [Working with OpenSSL](https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs)
|
||||
- [Boulder - An ACME CA - Github](https://github.com/letsencrypt/boulder)
|
62
diiage/C3-2_Sécurité_SI/20180323_TLS_SSL/qcm.md
Normal file
62
diiage/C3-2_Sécurité_SI/20180323_TLS_SSL/qcm.md
Normal file
@ -0,0 +1,62 @@
|
||||
<style>
|
||||
* {
|
||||
font-size: 0.8em !important;
|
||||
}
|
||||
</style>
|
||||
|
||||
# Autorisation: QCM
|
||||
|
||||
- **Nom**
|
||||
- **Prénom**M
|
||||
- **Classe**
|
||||
- **Date**
|
||||
|
||||
## Consigne
|
||||
|
||||
Pour chaque question, entourer **la ou les bonnes réponses**.
|
||||
|
||||
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
|
||||
|
||||
## Questions
|
||||
|
||||
### A. La dernière version du protocole TLS est aujourd'hui
|
||||
|
||||
1. La version 1.2
|
||||
2. La version 3.0
|
||||
3. La version 1.3
|
||||
|
||||
### B. Le protocole SSL...
|
||||
|
||||
1. ... est l'ancêtre du protocole TLS.
|
||||
2. ... a vu son usage "prohibé" dans l'ensemble de ses versions depuis 2015.
|
||||
3. ... est un standard maintenu par l'IETF.
|
||||
|
||||
### C. Une "PKI"...
|
||||
|
||||
1. ... est l'acronyme de "Private Key Information".
|
||||
2. ... est un ensemble de composants logiciels et matériels permettant de gérer une infrastructure de communication basée sur la cryptographie à clé publique/privée.
|
||||
3. ... nécessite obligatoirement l'achat de certificats à des autorités de certifications commerciales.
|
||||
|
||||
### D. Une "CSR"...
|
||||
|
||||
1. ... à pour rôle d'initier une demande de certificat auprès d'une autorité de certification.
|
||||
2. ... comporte les informations de d'identité de l'entité à l'origine de la requête.
|
||||
3. ... nécessite la génération d'une clé privée avant de pouvoir être créée.
|
||||
|
||||
### E. Un certificat "auto signé"...
|
||||
|
||||
1. ... est un certificat qui n'a pas été signé par une autorité de certification.
|
||||
2. ... peut être importé dans un navigateur pour que celui ci ne soulève pas d'alerte.
|
||||
3. ... ne permet pas d'authentifier le serveur.
|
||||
|
||||
### D. Le protocole ACME...
|
||||
|
||||
1. ... permet d'automatiser la création de certificats au sein d'une PKI.
|
||||
2. ... est une spécification appartenant à la société LetsEncrypt.
|
||||
3. ... n'est utilisable que pour les sites Web.
|
||||
|
||||
### F. Parmi ces acronymes, lesquels correspondent à des mécanismes de vérification des révocations de certificats ?
|
||||
|
||||
1. ... "CRL"
|
||||
2. ... "CVS"
|
||||
3. ... "OCSP"
|
23
diiage/C3-2_Sécurité_SI/20180323_TLS_SSL/tp.md
Normal file
23
diiage/C3-2_Sécurité_SI/20180323_TLS_SSL/tp.md
Normal file
@ -0,0 +1,23 @@
|
||||
# TP - Créer son autorité de certification avec les commandes OpenSSL
|
||||
|
||||
## Contexte
|
||||
|
||||
La création d'une autorité de certification "personnelle" peut avoir son avantage au sein d'un réseau intranet.
|
||||
|
||||
Elle permet d'avoir une plus grande marge de manœuvre quant à la génération de certificats pour des services qui n'ont pas pour vocation à être accessibles depuis Internet.
|
||||
|
||||
C'est un bon compromis souplesse/sécurité si la CA est correctement gérée par l'équipe de production et les alertes de sécurité des navigateurs peuvent être supprimées si le certificat racine est déployé sur les postes des salariés.
|
||||
|
||||
Il est également possible via ce mécanisme de générer des certificats clients afin d'authentifier les services et/ou les postes des salariés de l'entreprise.
|
||||
|
||||
## Consignes
|
||||
|
||||
En vous basant sur [ce tutoriel](https://jamielinux.com/docs/openssl-certificate-authority/index.html), créez votre propre autorité de certification en utilisant les commandes OpenSSL.
|
||||
|
||||
Je vous conseille de partir sur une machine Ubuntu 16.04 fraîchement installée pour faire ces opérations.
|
||||
|
||||
Une fois votre CA installée et vos premiers certificats générés, testez les opérations suivantes:
|
||||
|
||||
- Installez et configurer un serveur Apache2 pour qu'il utilise un certificat émis par votre CA. Vous pouvez vous baser sur [ce tutoriel](https://technique.arscenic.org/lamp-linux-apache-mysql-php/apache-le-serveur-http/modules-complementaires/article/installer-et-configurer-le-module-ssl-pour-apache2). Vérifiez que votre certificat est bien présenté par le serveur Apache lorsque vous vous connectez dessus avec votre navigateur.
|
||||
- Installez le certificat racine de votre CA dans votre navigateur et afficher à nouveau la page. L'avertissement du navigateur ne devrait plus s'afficher et votre certificat devrait être "approuvé" dans la barre d'adresse.
|
||||
- Révoquez le certificat du serveur Apache2 sur votre CA. Affichez à nouveau la page. Votre navigateur devrait vous afficher une nouvelle alerte.
|
@ -0,0 +1,17 @@
|
||||
# Préparation: Internet des objets et GNU/Linux embarqué
|
||||
|
||||
## Problématiques
|
||||
|
||||
- Quelles sont aujourd'hui les solutions disponibles pour créer ses propres images système GNU/Linux pour l'IoT ?
|
||||
- Quels sont les avantages/inconvénients liés à la création d'un système d'exploitation dédié à son projet IoT ?
|
||||
- Comment tester les images systèmes/noyaux générés ?
|
||||
|
||||
## Bibliographie
|
||||
|
||||
- [Linux_on_embedded_systems - Wikipédia](https://en.wikipedia.org/wiki/Linux_on_embedded_systems)
|
||||
- [Yocto Project](https://www.yoctoproject.org/)
|
||||
- [buildroot](https://buildroot.org/)
|
||||
- [Linux From Scratch](http://www.linuxfromscratch.org/lfs/view/stable/)
|
||||
- [Qemu](https://www.qemu.org/)
|
||||
- [Créer une image personnalisée pour un Raspberry Pi avec buildroot](https://code4pi.fr/2014/03/creation-dune-custom-image-pour-votre-raspberry-pi/)
|
||||
- [Émuler une Raspberry Pi avec Qemu](https://www.supinfo.com/articles/single/5429-emuler-une-raspberry-pi-linux-avec-qemu)
|
@ -0,0 +1,4 @@
|
||||
https://code4pi.fr/2014/03/creation-dune-custom-image-pour-votre-raspberry-pi/
|
||||
https://github.com/dhruvvyas90/qemu-rpi-kernel
|
||||
http://pressreset.net/2013/09/buildroot-and-qemu-the-quickest-receipe-for-your-own-linux/
|
||||
https://www.supinfo.com/articles/single/5429-emuler-une-raspberry-pi-linux-avec-qemu
|
Loading…
Reference in New Issue
Block a user