Mise en place de la solution d’authentification Radius sous réseau LAN câblé
1. Mise en place de la solution d’authentification
Radius sous réseau LAN câblé
Projet fin d’étude
5éme année en Ingénierie des Réseaux Informatique et Sécurité
INSTITUT SUPERIEUR DU GENIE APPLIQUE
Réalisé par :
- KHRICHFA Charif
Encadré par :
- M. KRAIMI Lahcen
Année universitaire 2016/2017
2. 1
DEDICACES
Je dédie ce travail, comme preuve de respect, de gratitude, et de reconnaissance
à :
Ma chère famille, pour son affection, sa patience, et ses prières.
Mes meilleurs amis pour leur aide, leur temps, leur encouragements, leur
assistance et soutien.
Personnel de la SMT. Qui m’a aidé à améliorer mes connaissances en me
donnant informations et conseils.
A tous ceux qui ont contribué de près ou de loin à la réalisation de ce travail.
Merci infiniment.
3. 2
REMERCIEMENT
Je commence donc mon rapport par un grand merci à Dieu qui me donne le pouvoir, la
santé et la patience pendant toutes ces années d’études, pour atteindre ce niveau.
Ce projet est le résultat d’un travail effectué pendant la durée de stage dans l’entreprise
Société Marocaine des Tabacs, Je tien donc à remercier Monsieur OUAZZINE
Mohamed le chef du département informatique de m’avoir accueillie pour me
permettre de mener à bien ce projet.
Mes remerciements et l’expression de ma grande satisfaction vont également à Mr
KRAIMI Lahcen qui m’a amplement honoré en acceptant de m’encadrer.
Je tiens à remercier, à témoigner de ma reconnaissance pour l’expérience enrichissante
et pleine d’intérêt qu’elles nous ont fait vivre durant la période de mon stage à SMT.
Mes remerciements aux membres du jury pour l’honneur qu’ils m’ont fait en acceptant
d’évaluer ce travail. Je remercie également ma famille, mes parents, et mes amis pour
le soutien permanent, et les encouragements.
Pour finir, je tiens à remercier toute personne ayant contribué de près ou de loin à
l’élaboration du présent travail.
4. 3
TABLE DES MATIERES
Résumé....................................................................................................................................... 5
Introduction ................................................................................................................................ 6
Chapitre 1 : La structure d’accueil ............................................................................................. 7
1. Présentation de la Société Marociane des Tabacs.................................................................. 7
1.1.Historique............................................................................................................................. 7
1.2 Fiche Signalétique................................................................................................................ 9
2. Activités et implantation géographie...................................................................................... 9
2.1 Activités ............................................................................................................................... 9
a. La Fabrication ................................................................................................................ 9
b. La commercialisation ................................................................................................... 10
c. La distribution .............................................................................................................. 10
2.2. Implantation géographique................................................................................................ 11
Chapitre 2 : Authentification sur réseau local.......................................................................... 12
1. Pourquoi une authentification sur réseau local ?.................................................................. 12
2. Léevolution des architectures de réseau............................................................................... 12
3.Nouveau paramétre pour la sécuritè des réseau sans fils ...................................................... 13
4. Les nouvelles solutions de sécuritè ..................................................................................... 14
5. Qu’est-ce que l’authentifcation réseau................................................................................. 15
6. Pourquoi faire de l’authentification réseau .......................................................................... 15
7. Intérêts de l’authentification réseau .................................................................................... 16
a. Intérêt pour un réseau filaire ....................................................................................... 16
b. Intérêt pour un réseau sans fil ..................................................................................... 16
5. 4
c. Eléments pour authentifier .......................................................................................... 16
d. Protocoles d’authentification ....................................................................................... 16
Chapitre 3 : Les protocoles d’authentification ......................................................................... 17
1. RADIUS (Remote Authentication Dial-In User Service).................................................... 17
2. Le fonctionnement de RADIUS........................................................................................... 19
3. L’authentification, l’autorisation et la gestion des connexions d’accès réseau.................... 20
4. Authentification par adresse MAC....................................................................................... 22
5. Authentification 802.1x........................................................................................................ 22
6. Radius et 802.1x................................................................................................................... 23
7. Les protocoles d’authentification......................................................................................... 24
7.1 Les différentes phases (simplifiées) d'une connexion 802.1x............................................ 24
7.2 Et que faire des périphériques non 802.1x ? ...................................................................... 26
Chapitre 4 : Mise en place d’un serveur RADIUS................................................................... 28
1. Pourquoi l'authentification 802.1x ?..................................................................................... 28
2. Configuration ....................................................................................................................... 31
A. Configuration du commutateur «HP ProCurve 2910»................................................. 31
B. Créer des groupes de sécurité Active Directory pour l'accès autorisé et le certificat
inscription..................................................................................................................... 31
C. Créer et inscrire les hôtes sur le réseau pour inscrire un certificat............................... 32
D. Configuration du serveur NPS ..................................................................................... 33
E. Créer un GPO sécurisé de base pour clients Windows 7 ordinateurs .......................... 36
F. Test & dépannage......................................................................................................... 37
CONCLUSION ........................................................................................................................ 39
Webographies........................................................................................................................... 40
6. 5
Résumé
Mon stage professionnel s’inscrit dans le cadre d’un projet de fin d’étude de l’obtention du
diplôme d’ingénieur des réseaux informatique et sécurité, d’une durée de trois mois, a
consisté à mettre en place des outils de la sécurité : la configuration d’un serveur RADIUS.
Ce rapport présente le travail que j’ai effectué lors de mon stage au sein de l’entreprise
Société Marocaine des Tabacs. Pendant la période du stage, je me suis familiarisé avec un
environnement technique et professionnel qui est très complexe et un ensemble d’outils
réseau.
Le projet réalisé s’est avéré très intéressant et très enrichissant pour mon expérience
professionnelle. En effet, ma formation s’inscrit précisément dans ce secteur (Réseaux,
Sécurité et Systèmes Informatique).
Grâce à ce stage, j’ai travaillé sur des projets qui m’ont permis d’entrevoir en quoi consiste la
profession d’un administrateur réseaux dans ce secteur d’activité.
Je vous expose dans ce rapport, premièrement une présentation de la société Marocaine des
Tabacs. Deuxièmes, je vous explique les différents outils que j’ai utilisés pour réaliser mon
projet.
7. 6
Introduction
C’est avec enthousiasme que j’ai effectué mon stage au sein de la société marocaine des
tabacs pour une durée de 3 mois. Pendant cette période, j'ai essayé de prendre le maximum de
connaissances possibles concernant l’activité de l’entreprise et son environnement.
La croissance de la société marocaine des tabacs et la modernisation de son outil de
production ayant mené des changements profonds, l’efficience de la gestion dans tous les
domaines et la recherche de développement ont été les thèmes dominants des vingt dernières
années de l’existence de la Régie.
L’évolution de cette société est remarquable à plusieurs égards. D’abord, au niveau des
structures, un nouvel organigramme, plus conforme à la taille et aux ambitions de la société, a
été mis en place pour permettre une large décentralisation et une répartition des
responsabilités et même d’imprimer une meilleure efficacité aux secteurs clés de son activité.
Le stage est devenu le principal élément de liaison entre la formation pédagogique et le
monde professionnel. C’est dans ce sens que j’ai choisi d’effectuer mon stage à la société
marocaine des tabacs, une entreprise de stature internationale, afin de m’adapter à son
organisation et de bénéficier d’un bon suivi.
8. 7
Chapitre1 : La structure d’accueil
1) Présentation de la Société Marocaine des Tabacs :
1.1.Historique :
Bien qu’originaire d’Amérique, le tabac était connu au Maroc il y a plusieurs siècles.
Il y fut introduit vers la fin du 16ème siècle par les commerçants de Tombouctou.
L’institutionnalisation du commerce de tabacs remonte à l’époque de Moulay Abderrahmane
(1822-1859) qui a le monopole, afin de faire face aux dépenses militaires.
En 1906, l’acte d’Algesiras précise les conditions relatives au monopole des tabacs au
Maroc.
En 1910, l’adjudication est attribuée au sieur Léon Neil. Celui-ci transfère ses droits à la
Société Internationale de Régie des tabacs au Maroc, société de droit français créée en 1911.
Le monopole était attribué en concession, pour une période de 40 ans avec la possibilité
d’achat pour l’Etat marocain au bout de 20 ans. La société commença par l’implantation
d’une usine à Tanger.
En 1931, une convention est conclue entre l’Etat marocain et la société Internationale.
Deux manufactures sont édifiées à Casablanca et Kenitra et une ferme expérimentale à El
Moudzine.
En 1959, le Gouvernement marocain rachète le monopole de l‘ex-zone nord au
concessionnaire espagnol pour le donner en gérance à la Société Internationale.
En 1967, l’Etat marocain a décidé de ne pas renouveler la concession. Il a opté pour la
création d’une société anonyme "Régie des Tabacs" avec laquelle une convention fut
conclue le 31 décembre 1967. Ce faisant et conformément à la politique qu’il a menée
depuis l’indépendance, l’Etat a rompu avec la concession privée pour adopter la
concession publique.
9. 8
C’est ainsi que la Régie des Tabacs est devenue une société anonyme dont le capital est
entièrement souscrit par l’Etat. Cette société a pour objet l’exploitation et la vente des tabacs.
Par la suite, la Régie des Tabacs a connu une vaste extension quant à son infrastructure, ses
équipements productifs, son facteur humain, ses centres de culture et son réseau commercial.
Plusieurs réalisations importantes méritent cependant d’être signalées :
En 1984, l’inauguration de la Manufacture d’Agadir.
En 1994, un projet technologique sans précédent fut entrepris par l’inauguration de la
manufacture d’Ain Harrouda.
En 1995, l’inauguration du centre de battage à El Moudzine.
En 2002, adoption de la forme de Société Anonyme à Directoire et à Conseil de
Surveillance.
En 2003, la privatisation de 80% du capital de la Régie des Tabacs par la société
franco-espagnol Altadis.
En 2006, l’acquisition du 20% du capital restant de la Régie des Tabacs par la société
franco-espagnol Altadis ; à la fin de 2006, la mise en place du SAP au lieu de l’ancien
système d’information BPCS.
Au début de 2007, changement de la dénomination de la Régie des Tabacs devenue
ALTADIS Maroc.
En 2008 : le franco-espagnol Altadis fut racheté par le groupe Imperial Tobacco l’un des
principaux groupes de tabac internationaux (n°4) et le principal fabricant de tabac au
Royaume-Uni.
En 2012 : changement de la dénomination qui est devenue La société Marocaine des
Tabacs.
10. 9
1.2. Fiche signalétique :
2) Activités et implantation géographique :
2.1. Activités :
La Société Marocaine des Tabacs est, par son chiffre d’affaires, la 5ème plus grande
entreprise marocaine et la 1ère du secteur agroalimentaire. Elle opère dans le domaine de la
fabrication et de la commercialisation de produits de tabac, ainsi que dans la distribution.
Depuis son intégration, en 2008, le Groupe Imperial Tobacco, acteur international majeur du
secteur des tabacs, ne cesse de consolider sa contribution à l’économie nationale, à travers ses
activités agricoles industrielles et de distribution.
Première entreprise agro-alimentaire du Royaume, la Société Marocaine des Tabacs est
l’unique débouché de la filière de la tabaculture marocaine. C’est ainsi que la Société
Marocaine des Tabacs fabrique dans son usine d’Ain Harrouda, des marques internationales
qui étaient auparavant importées : 95% des cigarettes vendues officiellement au Maroc, toutes
marques confondues, sont fabriquées localement par la Société Marocaine des Tabacs.
Les activités de la Société Marocaine des Tabacs sont :
a. La fabrication :
L’usine d’Ain Harrouda, l’une des plus grandes d’Afrique et du monde arabe, assure 78,3%
de la production totale. Outre les marques de tabac blond marocaines (Marquise, Marvel,..),
elle fabrique pour le marché marocain les marques internationales du Groupe (Gauloises
Blondes et Fortuna).
11. 10
L’intégration au groupe Imperial Tobacco l’usine d’Ain Harrouda est engagée dans un
processus de développement visant son alignement sur les standards internationaux de qualité
et d’efficience, afin de la positionner comme l’une des meilleures usines du Groupe.
Imperial Tobacco Maroc dispose d’un portefeuille de produits diversifié : plus de 201
références dont 28 fabriqués localement. Les marques marocaines détiennent 82% de parts de
marché.
b. La commercialisation :
Le réseau de distribution de la Société Marocaine des Tabacs comprend plus de 23.000 points
de vente. Il est structuré autour de 8 directions régionales qui coordonnent l’activité de 19
centres de vente. Les débitants sont approvisionnés à hauteur de 45% par les centres de vente,
42% par les fourgons de vente et 13% par les débitants principaux (grossistes).
La gamme des produits commercialisés par la Société Marocaine des Tabacs compte 75
produits dont 23 produits locaux et 52 produits importés. Sept produits locaux figurent parmi
le Top Ten des ventes et réalisent 70% de son chiffre d’affaires.
L’activité Cigare a été introduite au niveau de la société depuis 2004. Cette culture « cigare »
s’installe progressivement sur le marché grâce à une nouvelle politique produit/prix très
attrayante. Les marques du groupe Imperial Tobacco détiennent 77% de parts de marché.
c. La distribution :
- Extension de l’activité aux produits hors tabac : Papier à cigarette, cartes téléphoniques
prépayées, timbres postaux, articles de fumeur.
- Instauration du système de distribution capillaire.
- Informatisation des transactions.
- Développement du partenariat avec les débitants à travers le programme de fidélisation
Wafa.
- Modernisation des équipements.
12. 11
2.2. Implantation géographique :
Les activités de la Société Marocaine des Tabacs couvrent tout le territoire national à travers :
Une usine de fabrication de cigarettes (Ain Harrouda).
Un Centre de Battage de Tabacs (El moudzine).
Deux Centres de Culture de Tabacs (El Hajeb et Ouezzane).
Deux Plateformes de Stockage (Ain Aatik, Lakhyayta).
Quatre Directions Régionales de Distribution et de Vente (Nord, Sud, Est et Ouest).
23.000 points de vente.
19 Centres de Distribution : Casablanca (Nord et Sud), Agadir, El-Jadida, Kénitra,
Khouribga, Laâyoune, Marrakech, Fès-Meknès, Midelt, Mohammedia, Nador, Ouarzazate,
Oujda, Rabat-Salé, Safi, Taza, Tétouan-Tanger, Beni Mellal.
13. 12
Chapitre2 : Authentification sur réseau local
1. Pourquoi une authentification sur réseau local ?
Ce début de XXIe siècle est marqué par l’explosion des réseaux sans fil qui constituent, de
plus en plus, une composante à part entière des réseaux locaux. Cette technologie sans fil était
considérée à l’origine comme un instrument d’appoint. Mais son évolution rapide, celles des
mentalités et des habitudes conduisent les administrateurs réseaux à repenser les relations
entre réseaux sans fil et filaires.
En effet, si le sans-fil se développe, il n’en reste pas moins que le réseau filaire est toujours
bien là et indispensable. On remarquera également qu’un poste de travail qui dispose de la
double connectique sans fil et filaire a la possibilité d’être connecté, simultanément, dans les
deux environnements.
2. L’évolution des architectures de réseau
Les réseaux locaux filaires ont aussi beaucoup évolué ces dernières années, passant
d’une architecture peu structurée à une segmentation en sous-réseaux souvent motivée
par la volonté de mieux maîtriser les flux entre différents utilisateurs ou types d’activités,
notamment grâce à l’utilisation de filtres. Cette évolution est facilitée par l’introduction de
réseaux virtuels (VLAN) dont la multiplication ne coûte rien.
On peut alors être tenté de placer les postes sans fil dans un sous-réseau dédié et les postes
filaires sur un autre.
Mais est-ce une bonne idée ? Pourquoi un poste donné serait-il traité différemment suivant la
méthode d’accès au réseau ? N’est-ce pas le même poste, le même utilisateur ? La logique ne
voudrait-elle pas qu’un même poste soit toujours perçu de la même manière sur le réseau,
quel que soit son mode d’accès ?
Autrement dit, un poste ne doit-il pas être placé sur le même sous-réseau, qu’il se connecte
par le biais du réseau sans fil ou par le biais du réseau filaire ? Cette banalisation du
traitement constitue une intégration logique des deux moyens physiques.
14. 13
À ces questions, on pourrait répondre que la sécurité des réseaux sans fil n’est pas assez
poussée et qu’il vaut mieux ne pas mélanger les torchons avec les serviettes.
Pourtant cet argument est contraire à la sécurité car, si un poste dispose de la double
capacité sans fil/filaire, il a alors la possibilité de faire un pont entre les deux environnements
et de se jouer des filtrages établis entre les réseaux virtuels qui ne servent alors plus à rien.
3. Nouveau paramètre pour la sécurité des réseaux sans fil
Si on sait parfaitement où commence et où finit un réseau filaire, et qu’il faut se connecter sur
une prise physique pour avoir une chance de l’écouter, la difficulté avec les réseaux sans fil
réside dans le fait que leur enveloppe est floue. Il n’y a pas de limites imposables et
contrôlables.
Une borne Wi-Fi émet dans toutes les directions et aussi loin que porte son signal. Bien
souvent, ses limites dépassent les bâtiments de l’établissement et parfois plusieurs réseaux se
recouvrent. Donc, partout dans le volume couvert par une borne, des « espions » peuvent
s’installer et intercepter les communications ou s’introduire dans le réseau et l’utiliser à leur
profit.
Cette situation fut très problématique pour les premières installations Wi-Fi à cause de
l’absence de méthode d’authentification fiable des postes de travail et de mécanismes de
chiffrement fort des communications. Cela n’incitait pas à mélanger les postes filaires et sans
fil.
La première notion de sécurité fut introduite par les clés WEP (de l’anglais Wired Equivalent
Privacy), utilisées à la fois comme droit d’accès au réseau et pour chiffrer les
communications.
Cependant, il ne pouvait s’agir d’une méthode d’authentification sérieuse puisque la seule
connaissance de la clé partagée entre tous les utilisateurs et les bornes donnait accès au
réseau.
Quant au chiffrement, les pirates ont très vite eu raison de l’algorithme utilisé, qui ne résiste
pas à une simple écoute du trafic suivie d’une analyse. Des logiciels spécifiques ont été
développés, tels que Aircrack ou Airsnort, qui permettent d’automatiser ce type d’attaques.
15. 14
4. Les nouvelles solutions de sécurité
Mais depuis, la situation a bien évolué grâce à l’arrivée des protocoles WPA puis WPA2 (Wi-Fi
Protected Access) et par là même des capacités d’authentification plus robustes. Il est désormais
possible d’établir une authentification forte et d’enchaîner sur un chiffrement solide des
communications de données. À partir de là, on peut atteindre un niveau de sécurité satisfaisant et
intégrer plus sereinement réseau sans fil et réseau filaire. Plusieurs écoles s’affrontent au sujet de la
sécurité des communications Wi-Fi. On peut considérer que le chiffrement est une tâche qui peut être
laissée aux applications de l’utilisateur (SSH, HTTPS…). On peut aussi chiffrer grâce à un serveur
VPN (Virtual Private Network). Dans ce dernier cas, un logiciel client doit être installé et configuré
sur chaque poste de travail. Il a pour rôle d’établir une communication chiffrée entre lui et un serveur
VPN, qui assure un rôle de passerelle avec le réseau filaire.
Cela revient donc à ajouter une couche logicielle supplémentaire sur le poste de travail. Pourtant, est-
ce bien nécessaire ? En effet, aujourd’hui, tous les systèmes d’exploitation possèdent déjà une couche
équivalente qui porte le nom de supplicant et qui est complètement intégrée au code logiciel des
fonctions réseau. De plus, ce supplicant est compatible avec WPA, ce qui lui procure à la fois des
fonctions de chiffrement et d’authentification. Afin de répondre aux requêtes des supplicants, il faut
installer, comme chef d’orchestre, un serveur d’authentification qui implémentera le protocole Radius
(Remote Authentication Dial In User Service).
16. 15
5. Qu'est-ce que l'authentification réseau ?
Il s'agit d'authentifier une machine lorsqu'elle se branche sur le réseau afin de lui autoriser
ou refuser l'usage du réseau. On authentifie pour délivrer des autorisations Cette
authentification est indépendante d'autres authentifications vers des systèmes d'exploitation ou
applications.
6. Pourquoi faire de l’authentification réseau ?
•Sécuriser un réseau filaire ou sans-fil.
•Pour interdire les postes inconnus.
•Pour placer les postes connus a des endroits spécifiques du réseau (vlan) de façon
dynamique.
•Pour savoir quelle machine est connectée et où elle est connectée.
17. 16
7. Intérêts de l’authentification réseau ?
a. Intérêt pour un réseau filaire
•Savoir qui se connecte sur quelle prise.
•Eviter une utilisation illicite du réseau par des « inconnus ».
•Affecter les machines sur des réseaux virtuels (cloisonnement).
b. Intérêt pour un réseau sans-fil
•Obligatoire pour intégrer le réseau filaire CAD que les machines sans-fil travaillent comme
les machines filaires.
• Affecter une machine sur le même vlan que lorsqu’elle se connecte sur le réseau filaire.
•Authentification + cryptage.
•Nécessité de gérer un périmètre aérien, flou, incontrôlable.
c. Eléments pour authentifier
•L’adresse MAC de la carte Ethernet
•Une base de login/mot de passe (Windows, LDAP…)
•De certificats (utilisateurs ou machines)
d. Protocoles d’authentification
Protocoles propriétaires => Exemple: VMPS de Cisco
Authentification sur adresse MAC uniquement
Réseau filaire
Protocoles ouverts => Radius et 802.1x
Authentification sur adresse MAC, Login/password
Certificats, cartes à puce...
Réseau filaire et sans-fil
18. 17
Chapitre3 : Les protocoles d’authentification
1. RADIUS (Remote Authentication Dial-In User Service)
RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur
destiné à permettre à des serveurs d'accès de communiquer avec une base de données
centralisée regroupant en un point l'ensemble des utilisateurs distants.
Ce serveur central (appelé serveur RADIUS) va authentifier ces utilisateurs, et leur autoriser
l'accès à telle ou telle ressource. Une autre fonctionnalité importante d'un serveur RADIUS est
la comptabilisation des informations concernant les utilisateurs distants.
RADIUS a été inventé par Livingston, depuis devenu propriété de Lucent, et est un standard
de fait de l'industrie informatique. C'est un protocole ouvert, amendée par RFC, et déposé à
l'IETF.
C'est de loin le protocole le plus largement supporté par l'ensemble des constructeurs
d'équipements réseaux, dont CISCO, pourtant promoteur et inventeur de TACACS. RADIUS
Serveur est distribué librement par Livingston sur de nombreuses plateformes. D'autres
versions existent toutefois: Citons Radius Merit, assez diffusée sur Linux.
RADIUS offre un modularité complète en ce qui concerne le mécanisme d’authentification,
on effet la plus par de méthode actuelle sont supportées (LDAP, PAP, CHAP, MS-CHAP,
EAP, LEAP, ….).
Le protocole RADIUS est donc un protocole d’authentification, d’accounting mais pas
d’autorisation, il fait pourtant parti de la famille des protocoles AAA (Authentication,
Accounting, Authorization). Ceci est dû à sa grande extensibilité, en effet le protocole repose
sur la transmission d’attribut Clef/Valeur. Le liste de ces attributs n’est pas limitée c’est
pourquoi les principaux équipementiers développent leurs propres attributs (AvPairs) dans des
librairies propriétaires (VSA : Vendor Specific Attributes). La fonctionnalité d’autorisation
peut donc être assurer au travers de l’exploitation de ces attributs propriétaires par les
systèmes d’exploitation des équipements. D’où la présence de RADIUS dans la famille des
protocoles AAA.
19. 18
L'ordinateur sur lequel un utilisateur cherche à se connecter au réseau est appelé le
"supplicant". Il est le "client final" de la demande de connexion. Ce peut-être avec toute forme
de terminal portable, de téléphone IP ou d'ordinateur fixe.
Dans la suite, nous garderons l'expression française "client final" à la place de "supplicant".
L'équipement de réseau sur lequel le client final se connecte (un commutateur – ou une borne
Wifi - compatible 802.1x) relaye, en tant que client RADIUS, cette demande de connexion à
un serveur d'authentification, le serveur RADIUS, qui va, par exemple, identifier la personne
en rapprochant le nom de connexion et le mot de passe de ceux stockés dans un annuaire
LDAP ou encore une base de données SQL.
Si l'identification réussit, l'accord est transmis au client RADIUS qui "ouvrira" alors le port de
connexion.
Rôles du serveur RADIUS
En premier lieu, RADIUS doit authentifier les requêtes qui sont issues des clients finals, via
les clients RADIUS. Cette authentification se basera soit sur un couple identifiant/mot de
passe, soit sur un certificat. Cela dépendra du protocole d'authentification négocié avec le
client final.
En deuxième lieu, RADIUS a pour mission de décider quoi faire du client authentifié, et donc
de lui délivrer une autorisation, un "laissez-passer". Pour ce faire, RADIUS envoie des
informations (on parle "d'attributs") aux clients RADIUS. Un exemple typique d'attribut est
un numéro du VLAN dans lequel placer le client authentifié et autorisé.
Enfin, en bon gestionnaire, RADIUS va noter plusieurs données liées à la connexion, comme
la date et l'heure, l'adresse MAC de l'adaptateur réseau du client final, le numéro de VLAN...).
C'est son rôle comptable ou "d'accounting".
RADIUS est donc un serveur d'authentification, d'autorisation et de comptabilité. De façon
imagée, c'est le "chef d'orchestre" des connexions 802.1X et les clients RADIUS sont ses
sbires... En ce sens, il se range dans le modèle AAA (Authentication, Authorization,
Accounting).
NPS (Network Policy Server) est le nom du service RADIUS des systèmes Microsoft
Windows 2008 Server, en remplacement du "Service d'Authentification Internet" de Windows
2003 Server. D'autres solutions propriétaires existent, comme CISCO ACS (Access Control
Server). Différentes versions libres de RADIUS existent également, comme FreeRADIUS
(sous Linux ou Windows) ou OpenRADIUS (sous Linux).
RADIUS peut aussi servir à centraliser les accès sécurisés aux pages ou aux terminaux de
paramétrage de tous les équipements réseau : commutateurs, routeurs, bornes wifi, contrôleurs
wifi, etc.
20. 19
2. Le fonctionnement de RADIUS.
Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les
accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une
base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client
RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre
l'utilisateur final et le serveur.
L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et
authentifiée grâce à un secret partagé.
Le scénario du principe de fonctionnement est le suivant :
Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance.
Le NAS achemine la demande au serveur RADIUS.
Le serveur RADIUS consulte la base de données d'identification afin de connaître le type
de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient,
soit une autre méthode d'identification est demandée à l'utilisateur.
Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :
ACCEPT : l'identification a réussi ;
REJECT : l'identification a échoué ;
CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part
de l'utilisateur et propose un « défi » (en anglais « challenge ») ;
CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau mot de
passe.
Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les
requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5
champs:
21. 20
Code : Définit le type de trame (acceptation, rejet, challenges, requête)
Identifier : Associe les réponses reçues aux requêtes envoyées.
Length : Champ longueur.
Authentificator : Champ d'authentification comprenant les éléments nécessaires.
Attributes : Ensemble de couples (attribut, valeur).
3. L’authentification, l’autorisation et la gestion des connexions d’accès
réseau.
Lorsque NPS est utilisé comme serveur RADIUS, les messages RADIUS fournissent
l’authentification, l’autorisation et la gestion des connexions d’accès réseau de la manière
suivante :
Les serveurs d’accès, tels que les serveurs d’accès réseau à distance, les serveurs et les points
d’accès sans fil reçoivent des demandes de connexion de la part des clients d’accès.
Le serveur d’accès, configuré de façon à utiliser RADIUS comme protocole
d’authentification, d’autorisation et de gestion, crée un message de demande d’accès et
l’envoie au serveur NPS.
22. 21
Le serveur d’accès envoie également des messages de demande de compte durant la période
où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le
serveur d’accès est démarré et arrêté :
1. Le serveur NPS évalue le message de demande d’accès.
2. Si nécessaire, le serveur NPS envoie un message de challenge d’accès au serveur d’accès.
Celui-ci traite le challenge et envoie un message de demande d’accès mis à jour au serveur
NPS.
3. Les informations d’identification utilisateur sont vérifiées et les propriétés de numérotation
du compte d’utilisateur sont obtenues par le biais d’une connexion.
4. sécurisée à un contrôleur de domaine.
5. La tentative de connexion est autorisée avec les propriétés de numérotation du
compte d’utilisateur et avec les stratégies d’accès.
6. Si la tentative de connexion est authentifiée et autorisée, le serveur NPS envoie un message
d’acceptation d’accès au serveur d’accès. Si la tentative de connexion n’est pas authentifiée
ou n’est pas autorisée, le serveur NPS envoie un message de refus d’accès au serveur d’accès.
REMARQUE
Le serveur d’accès envoie également des messages de demande de compte durant la période
où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le
serveur d’accès est démarré et arrêté. Le serveur d’accès achève le processus de connexion
avec le client d’accès et envoie un message de demande de compte au serveur NPS, où le
message est enregistré dans le journal.
Le serveur NPS envoie une réponse de compte au serveur d’accès.
23. 22
.
Pour authentifier au serveur Radius il existe Deux possibilités :
Authentification par adresse MAC (Radius-Mac)
Authentification 802.1x
4. Authentification par adresse MAC :
5. Authentification 802.1x
24. 23
6. Radius et 802.1x
802.1x met en œuvre le protocole EAP pour les communications du client vers le serveur
d'authentification.
EAP (Extensible Authentication Protocol) est un protocole de transport de protocole
d'authentification.
L'intérêt de l'architecture d’EAP est de pouvoir utiliser divers mécanismes d'authentification
sans que l'équipement réseau (NAS) ait besoin de les connaître.
Dans ce cas il agit comme un tunnel transparent vers un serveur qui lui implémente les
mécanismes souhaités. Par exemple: Mot de passe, certificats, carte à puce …
Les principaux types d’EAP :
EAP-TLS (Transport Layer Security) : Authentification par certificat du client et du serveur
EAP-TTLS (Tunneled Transport Layer Security) : Authentification par certificat et mot de
passe grâce à la génération d’un tunnel sécurisé
EAP-MD5 : Authentification avec mot de passe
PEAP (Protected EAP) : Authentification avec mot de passe via une encapsulation sécurisée
LEAP (protocole Cisco) : Authentification avec mot de passe via une encapsulation sécurisée.
25. 24
7. Les protocoles d’authentification
EAP est la couche protocolaire de base de l'authentification. Elle va servir à faire passer un
dialogue d'authentification entre le client final et le serveur RADIUS alors que le port de
connexion est fermé à toute autre forme de communication.
C'est un protocole extensible, au sens où il va permettre l'évolution de méthodes
d'authentification transportées, de plus en plus sûres au cours du temps.
Quelles ont été - et quelles sont - ces méthodes d'authentification ?
Le premier protocole a été PAP (Password Authentification Protocol) avec lequel les mots de
passe circulaient en clair. La sécurité proposée par ce protocole est faible. Le second
protocole qu'ont utilisé les serveurs RADIUS a été CHAP (Challenge Handshake
Authentication Protocol). Il est défini dans la RFC 1994. Avec CHAP, il n'y a pas d'échange
de mots de passe sur le réseau.
Les deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète,
s'authentifient sans échange du mot de passe par une technique de "challenge" (ou "défi")
basée sur une fonction de hachage à sens unique du secret partagé, telle que MD5.
Cette méthode était disponible avec le couple XP/Windows-2003-Server, mais ne l'est plus en
génération Seven/2008.
Au début de la connexion, le serveur réclame la preuve de l’identité du client, en lui
demandant de chiffrer une information. Le client ne peut relever le défi que s’il possède
effectivement la clé unique et secrète partagée.
PEAP est un protocole de transfert sécurisé (P comme "Protected") d'informations
d'authentification. Il a été mis au point par Microsoft, Cisco et RSA. Il ne nécessite pas de
certificat sur les postes clients, contrairement à EAP/TLS. MS-CHAP s'appuie sur PEAP.
7.1. Les différentes phases (simplifiées) d'une connexion 802.1x
Au démarrage de la communication, le client final est prié d'envoyer ses identifiants au
serveur RADIUS. Or, à ce moment-là, le client final ne connaît pas l'adresse du - ou des -
serveurs RADIUS du réseau. Il ne dispose peut-être même pas d'adresse IP. De même, le port
du commutateur sur lequel il est connecté est censé être fermé (état non contrôlé).
En réalité, le port contrôlé du commutateur n'est pas totalement fermé. Il va laisser passer le
protocole EAP Cette communication ne peut donc se faire que par des trames Ethernet de
base et non par des paquets IP.
Le client final peut donc envoyer son identité dans un paquet EAP au commutateur. Celui-ci
le retransmet, encapsulé dans un paquet au format RADIUS, au premier serveur RADIUS de
sa liste (s'il en connaît plusieurs).
26. 25
Le serveur RADIUS reçoit le paquet et interroge sa base de données, Il renvoie le résultat de
cette interrogation au commutateur, sous forme d'un commandement d'ouverture du port,
éventuellement assorti d'un numéro de VLAN dans lequel placer le client final. A partir de ce
moment seulement, il peut y avoir d'autres trames échangées entre le client final et le reste du
réseau, comme une trame de requête DHCP par exemple.
Conséquence de ce fonctionnement général.
L'équipement réseau ne connaît que le protocole RADIUS. Le protocole d'authentification
entre le client final et le serveur RADIUS pourra varier sans que cela soit un blocage pour
l'équipement. En ce sens, on dit que le client RADIUS est "transparent".
27. 26
7.2. Et que faire des périphériques non 802.1x ?
L'objectif de contrôler toutes les prises réseau d'une entreprise en y imposant une
authentification peut se heurter au fait que certains périphériques qui y sont connectés
(comme des imprimantes, des vidéoprojecteurs ...) n'implémentent pas 802.1x.
Il faut donc trouver d'autres solutions pour protéger ces prises : un VLAN spécifique par
exemple réunissant les imprimantes, avec un serveur d'impression situé dans un autre VLAN
joignable au travers d'un routeur filtrant, une protection des ports par adresse MAC, ou encore
une connexion sans-fil des vidéoprojecteurs dans une technologie de cryptage comme WPA2.
Fonctionnement détaillé :
28. 27
Étape 1 - identité externe
L'équipement demande au client final de décliner son identité (trame EAPRequest-Identity),
Le client répond par une trame EAP contenant son nom d'utilisateur (trame EAP-Response-
Identity). Ça tombe bien, les trames EAP sont les seules autorisées à entrer dans l'équipement.
L'équipement fabrique un paquet IP [access-request] encapsulant la trame [EAPresponse
Identity].
Il ajoute d'autres informations comme l'adresse MAC du client final. Ce paquet IP est envoyé
au serveur RADIUS.
Étape 2 - Négociation de protocole.
Le serveur RADIUS reçoit le paquet [Access-Request] et fabrique un paquet [Access-
challenge] encapsulant une trame [EAP-Request] contenant une proposition de protocole
d'identification, comme PEAP.
L'équipement décapsule le paquet pour transmettre la trame EAP au client final. Le client
final répond dans une trame [EAP-response] transmis de la même manière - indirecte par
encapsulation - au serveur RADIUS.
Le client et le serveur étant tombés d'accord sur le protocole d'authentification, on passe à
l'étape suivante.
Étape 3 - TLS handshake
Le serveur RADIUS envoie au client une requête de démarrage [PEAP-START] toujours par
le mécanisme d'encapsulation d'une trame EAP.
Le client final répond par un message [client hello] avec la liste des algorithmes de
chiffrement qu'il connait. Le serveur envoie son choix d'algorithme, ainsi que son certificat et
sa clé publique au client final. Le client final authentifie le serveur. Il génère une "pré-master
key" avec la clé publique du serveur. Le serveur fait de même et un tunnel chiffré est établi
entre eux.
Le tunnel sert à protéger l'échange du mot de passe par rapport à une authentification EAP
simple.
Étape 4 - TLS record
Les échanges liés au protocole de validation du mot de passe vont être effectués dans le tunnel
TLS. Avec MSCHAP-V2, il s'agit des échanges vus au point I.7. Le port s'ouvre lorsque le
serveur envoie au client final un message [Access-Accept] après avoir vérifié le mot de passe
de l'utilisateur et s'être assuré de ses autorisations.
29. 28
Chapitre4 : Mise en place d’un serveur RADIUS
1. Pourquoi l'authentification 802.1x?
Le but est de guider l'administrateur du réseau via la procédure comment activer
l'authentification 802.1x d'ajouter un niveau de sécurité supplémentaire lorsque les
ordinateurs clients se connectent au réseau local SMT. Avant un ordinateur client dispose d'un
accès à notre réseau, les besoins de l'ordinateur client être authentifié. Si l'authentification est
réussie, l'ordinateur client est autorisé à accéder. Si l'authentification échoue, l'ordinateur
client n'a pas accès limité ou inexistant. Les clients peuvent être authentifiés à l'aide d'un mot
de passe ou un certificat.
Sans un accès adéquat à notre réseau, les utilisateurs malveillants peuvent utiliser notre réseau pour
accéder à des données privées ou lancer des attaques vers des serveurs ou des ordinateurs clients sur
notre réseau.
Composants 802.1x :
Suppliante (poste de travail): Est un client qui demande l'accès au réseau local et répondre
aux demandes du commutateur.
Serveur d'authentification (RADIUS / serveur NPS): Ce serveur authentifie fait le client.
Le serveur d'authentification valide l'identité du client et informe le commutateur si le client
est autorisé à accéder au réseau local. Le serveur d'authentification est essentiellement un
serveur RADIUS configuré pour supporter l'authentification EAP.
Authenticator (HP 2900 commutateur PROCURVE): Contrôle d'accès physique au réseau
en fonction du statut d'authentification du client. Ce dispositif relaie les informations
d’identification suppliante au serveur d'authentification.
Processus d'authentification :
30. 29
L'état du port de commutateur détermine si le client est autorisé à accéder au réseau local ou
non. Le port commence dans un état non autorisé. Dans cet état, le port, sauf tout le trafic
interdit pour les cadres 802.1x. Lorsqu'un client est authentifié, le port est dans un état
autorisé et autorise tout le trafic du client au commutateur.
Si un client ne prend pas en charge l'authentification 802.1x et se connecte à un port non
autorisé, le commutateur demande l'identité du client. Dans ce cas, le client ne peut pas
répond à la demande et le port reste dans un état non autorisé. Le client n'a pas accès au
réseau.
Schéma Design «testé dans nos laboratoires»
Pour ce laboratoire, j'utiliser un commutateur HP ProCurve 2910, qui fournit également le
routage inter-VLAN entre les différents réseaux.
31. 30
Etapes de la mise en place
Paramétrages à effectuer concernent le client final, le client RADIUS et le serveur RADIUS
sur lequel on trouve déjà un annuaire Active Directory.
32. 31
2. Configuration
A. Configuration du commutateur «HP ProCurve 2910» .
B. Créer des groupes de sécurité Active Directory pour l'accès autorisé et le certificat
inscription.
a) Créer un groupe d'authentification NPS Certificat Inscription automatique du serveur
«SAC-Inscription automatique»
b) Ajouter des comptes de l'ordinateur client au groupe d'ordinateurs autorisés «CAC
Inscription automatique».
c) Créer un groupe filaire Ordinateurs VLAN «Wired-ordinateur VLAN»
33. 32
C. Créer et inscrire les hôtes sur le réseau pour inscrire un certificat
a) Créer un certificat d'authentification serveur NPS
b) Créer un certificat d'authentification Workstation
c) Ajout des modèles de certificats à l'autorité de certification
34. 33
d) Ajoutez le compte du serveur NPS au groupe d'inscription automatique
e) Ajouter des comptes de l'ordinateur client au groupe d'inscription automatique
f) Ajouter des comptes de l'ordinateur client au groupe d'ordinateurs autorisés
g) Créer un GPO pour l'inscription de certificat de serveur NPS
35. 34
D. Configuration du serveur NPS
a) Configurer les clients RADIUS sur serveur NPS :
b) Configurer la connexion Stratégie de demande
37. 36
E. Créer un GPO sécurisé de base pour clients Windows 7 ordinateurs
a) Configurer les ordinateurs clients Windows 7 pour l'inscription de certificat.
b) Configurer les ordinateurs clients Windows 7 pour activer l'authentification Wired
38. 37
c) Configurer les ordinateurs clients Windows 7 pour l'authentification 802.1x via le centre de
partage de réseau et PEAP-EAP-MSCHAPv2
F. Test & dépannage
Le client envoie une demande d'authentification. Si l'authentification est réussie, l'ordinateur
client reçoit une adresse IP de notre serveur DHCP. Si l'ordinateur client est membre du
VLAN filaire Ordinateurs 20, le client « DUMCA mactacbb » reçoit une adresse IP de la
gamme réseau 192.168.20.20-192.168.10.100.
Si l'authentification échoue « utilisateur externe », le client devient membre du VLAN 30 et
reçoit une adresse IP dans la plage de 192.168.30.20-192.168.30.100.
Si l'ordinateur client est authentifié avec succès, vous recevez une adresse IP du VLAN 20
39. 38
Si l'ordinateur client « sans authentification 802.1X et appartient à un autre domaine
(ame.imptobnet.com) » l'authentification échoue, vous recevez une adresse IP du VLAN 3.
40. 39
Conclusion
Pour proposer un bon mécanisme de sécurité d’un WiFi, comme solution contre les points
faibles dont souffre un réseau académique, il nous a fallu penser à une issue qui s’adapte avec
l’architecture du réseau existant, tout en tenant compte de la durabilité, l’évolution et la
fiabilité de cette solution, assez bien en termes techniques que économiques.
Pour cela, nous avons pensé à mettre en place un serveur Radius, pour sécuriser notre petit
réseau de test, avant de passer à le mettre en œuvre sur le grand réseau de notre société
d’accueil SMT.
Les solutions qui présentent le résultat de nos recherches, exigeaient toujours d’utiliser le
protocole Radius sur un système d’exploitation serveur comme le 2008 ou le 2012 server.
C’est une solution très fiable à nos jours mais ce n’est pas le cas pour toujours, vu la
progression très rapide de l’invention des méthodes d’attaque et d’autres méthodes de défonce
en informatique.