CCNP Résumé AAA PDF [PDF]

Zitiervorschau

BIG SOFT

Architecture Modèle AAA

Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

1

Architecture AAA

• Services de Sécurité & Méthode de contrôle d’accès L’architecture AAA, construit autour de trois principes de base de la sécurité (Authentification, Authorization, Accouting) et fournit des méthodes de contrôle d‘accès à travers de multiples technologies de réseaux (PAP, CHAP, RADIUS, TACACS/TACACS+, Kerberos).

AAA est un cadre fondamental qui permet : • de contrôler qui est autorisé à accéder au réseau (Authenticate), • de contrôler les droits de l’utilisateur sur les différentes ressources (Authorize), • de garder des informations sur l’utilisation des ressources par l’utilisateur (Accounting).

Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

2

Architecture AAA • Services de Sécurité : Authentication La notion d’authentification correspond à l’identification de l’utilisateur, que ce soit une personne physique ou un service. Le contrôle de cette information consiste à vérifier un secret partagé entre l’utilisateur et le serveur d’authentification. Il peut être de plusieurs types : o

o

Statique : information connue du seul individu, dont l'exemple classique et omniprésent est le mot de passe. Dynamique : on passe alors par un challenge (demandes d’informations d’identifications diverses) entre le serveur et l’utilisateur, ce qui permet d’avoir une information différente à chaque nouvelle authentification : un certificat, une technique intégrée dans les PKI (Public Key Infrastructure), une carte à puce, …

o

Chapter 1

Physique : par une caractéristique physique unique de l'individu, telle que définie par les techniques de la biométrie : reconnaissance vocale, empreintes, iris, pupille, ... Préparé par : Younes GUEROUANI

CCNP Security

3

Architecture AAA • Services de Sécurité : Authorization La notion d’autorisation est le fait de déterminer quels sont les droits de l’utilisateur. Dans certaines implémentations, l’identification et l’autorisation sont regroupées en une seule étape. Peu importe la politique utilisée, elle reste basée sur trois principes : o

Classification des informations : chaque information nécessite un certain niveau d’accès pour les consulter.

o

Niveau d’accès des utilisateurs : détermine le niveau d’accès de chaque utilisateur.

o

Permissions de l’utilisateur : détermine quels droits l’utilisateur aura sur les données (lecture, écriture, lecture et écriture).

Une fois l’utilisateur authentifié, il lui sera attribué les droits nécessaires en fonction de la politique de contrôle d’accès. Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

4

Architecture AAA • Services de Sécurité : Accounting La notion d’autorisation est le fait de garder les informations sur l’utilisation des ressources par les utilisateurs authentifiés, elle regroupe l’ensemble des mesures de la consommation d’un utilisateur en termes d’échange réseau, de ressources système,... Ce qui permet d’avoir une vue à la fois les services demandés par l’utilisateur et la quantité de ressources requises. Cette notion peut être rapprochée à celle du monitoring ou de la traçabilité et un administrateur réseaux pourra ainsi, consulter les logs afin de vérifier les actions d’un utilisateur, ou bien retrouver l’auteur de telle ou telle action suspecte. La traçabilité est très importante pour assurer une bonne sécurité et une intervention rapide en cas de problèmes.

Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

5

Architecture AAA • Serveur AAA : RADIUS (RFC 2865) RADIUS (Remote Authentication Dial In User Service) est un protocole basé sur une architecture client/serveur chargé de définir les accès des utilisateurs distants à un réseau. Il a été conçu par Steve Willens pour la société Livingston dans le but de répondre principalement aux besoins des prestataires réseaux tels que les fournisseurs d’accès. Le principe de fonctionnement du protocole réside dans l’utilisation d’un secret qui permet d’authentifier les transactions et d’effectuer le cryptage du mot de passe, ceci à travers de nombreux mécanismes, les plus courants étant PAP, CHAP, LDAP et Kerberos. Contrairement au protocole TACACS +, il n’est possible de chiffrer que le mot de passe au sein de la trame. Le protocole RADIUS exploite UDP au port 1812 (anciennement 1645)

Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

6

Architecture AAA • Serveur AAA (RADIUS) : Principe de fonctionnement

Tous les utilisateurs distants accèdent au réseau au travers d’un NAS (Network Access Server), ou d’un client AAA. Un NAS est une interface qui gère les accès distants à travers une ligne téléphonique ou RNIS (Exemples de protocoles : PPP, SLIP, …). Il transmet les informations au serveur AAA qui valide ou non les connexions distantes. Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

7

Architecture AAA • Serveur AAA (RADIUS) : Mise en place d’un serveur maître

La mise en place de RADIUS repose principalement sur l’utilisation d’un annuaire LDAP/base de données, d’un serveur maître et d’un serveur client. Le serveur maître (RADIUS) fait office d’interface connectée d’une part à un serveur centralisant les informations d’authentification des utilisateurs (base de données, annuaire LDAP, etc.) et, d’autre part, à un NAS, faisant office d'intermédiaire entre l'utilisateur distant et le serveur. Le client RADIUS peut être soit un NAS, soit un routeur ou un firewall. Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

8

Architecture AAA • Serveur AAA (RADIUS) : Etablissement d’une session

1. Le poste utilisateur transmet les informations nécessaires à l’authentification (login, mot de passe, adresse MAC,…) au client RADIUS via une liaison PPP 2. Le client RADIUS envoi un paquet « Access-Request » au serveur RADIUS. Il contient l’ensemble des informations de l’utilisateur (mot de passe, port,…) 3. Le serveur RADIUS reçoit la requête, vérifie l’authenticité du paquet en vérifiant le secret qu’il partage avec le client RADIUS, puis vérifie l’identité de l’utilisateur en comparant les informations contenues au sein d’une base de données ou d’un annuaire LDAP. Le serveur RADIUS peut demander soit de ré-emettre un Accessrequest, soit pour demander des informations complémentaires (Access-Challenge). 4. Le client RADIUS génère ensuite une requête Access-Request contenant les informations d'authentifications demandées par le challenge. 5. Le serveur RADIUS valide ou refuse la requête en transmettant un paquet de type « Access-Accept » ou « Access-Reject » Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

9

Architecture AAA • Serveur AAA : TACACS (Cisco) TACACS (Terminal Access Controller Access Control System) est un protocole d’authentification mis au point par Cisco. Il permet à un serveur d’accès à distance de transmettre les données d’authentification à un serveur d’authentification via TCP. Les données échangées entre le serveur d’accès et le client sont contenues dans des paquets TACACS, eux-mêmes encapsulés dans les champs de données TCP. TACACS n’offre pas la possibilité de chiffrer les données d'identification, ni la gestion de rapports (monitoring). Version améliorée (TACACS+).

Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

10

Architecture AAA • Serveur AAA : TACACS+ (Cisco) TACACS+ a été développé à l’origine par BBN, puis repris par Cisco. Il n’est pas compatible avec ses précédentes versions. Il utilise également la couche de transport TCP. Il met en œuvre la notion de session pour ses communications entre le client et le serveur. Une session TACACS+ qui peut être un échange d’authentification, d’autorisation, ou de rapports, éventuellement chiffrés (l’identifiant des sessions est alors utilisé pour chiffrer l’intégralité des paquets).

Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

11

Architecture AAA • Serveur AAA (TACACS+) : Etablissement d’une session

1. Le serveur d’accès distant reçoit un paquet « Authentication (start) » contenant le couple nom d’utilisateur/mot de passe, puis le renvoie vers le serveur TACACS (Phase d’Authentification)/ TACACS Server : « Reply (finnished) » 2. Si le serveur désire avoir d’avantage d’informations sur l’utilisateur distant, Le NAS envoi un « Authorization (request) » / TACACS Server : « Response (Pass) » 3. Le NAS envoi un « Accounting (start) » pour indiquer que l’utilisateur est bien identifié sur le réseau. (Phase Accounting) / TACACS Server : « Reply (Success) » 4. Lors de la déconnexion de l’utilisateur distant, le NAS envoi un « Accounting (Stop) » incluant des informations telles que le temps de la connexion, la date et l’heure, le nombre d’octets transférés,, … / TACACS Server : « Reply (Success) » Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

12

Chapter 1

Préparé par : Younes GUEROUANI

CCNP Security

13