48 0 2MB
INSTITUT SUPERIEUR DU GENIE APPLIQUE
Mise en place de la solution d’authentification Radius sous réseau LAN câblé Projet fin d’étude
5éme année en Ingénierie des Réseaux Informatique et Sécurité
Réalisé par : -
Encadré par :
KHRICHFA Charif
-
Année universitaire 2016/2017
M. KRAIMI Lahcen
DEDICACES
Je dédie ce travail, comme preuve de respect, de gratitude, et de reconnaissance à: Ma chère famille, pour son affection, sa patience, et ses prières. Mes meilleurs amis pour leur aide, leur temps, leur encouragements, leur assistance et soutien. Personnel de la SMT. Qui m’a aidé à améliorer mes connaissances en me donnant informations et conseils. A tous ceux qui ont contribué de près ou de loin à la réalisation de ce travail. Merci infiniment.
1
REMERCIEMENT
Je commence donc mon rapport par un grand merci à Dieu qui me donne le pouvoir, la santé et la patience pendant toutes ces années d’études, pour atteindre ce niveau.
Ce projet est le résultat d’un travail effectué pendant la durée de stage dans l’entreprise Société Marocaine des Tabacs, Je tien donc à remercier Monsieur OUAZZINE Mohamed le chef du département informatique de m’avoir accueillie pour me permettre de mener à bien ce projet. Mes remerciements et l’expression de ma grande satisfaction vont également à Mr KRAIMI Lahcen qui m’a amplement honoré en acceptant de m’encadrer. Je tiens à remercier, à témoigner de ma reconnaissance pour l’expérience enrichissante et pleine d’intérêt qu’elles nous ont fait vivre durant la période de mon stage à SMT. Mes remerciements aux membres du jury pour l’honneur qu’ils m’ont fait en acceptant d’évaluer ce travail. Je remercie également ma famille, mes parents, et mes amis pour le soutien permanent, et les encouragements. Pour finir, je tiens à remercier toute personne ayant contribué de près ou de loin à l’élaboration du présent travail.
2
TABLE DES MATIERES Résumé ....................................................................................................................................... 5 Introduction ................................................................................................................................ 6 Chapitre 1 : La structure d’accueil ............................................................................................. 7 1. Présentation de la Société Marociane des Tabacs .................................................................. 7 1.1.Historique ............................................................................................................................. 7 1.2 Fiche Signalétique ................................................................................................................ 9 2. Activités et implantation géographie ...................................................................................... 9 2.1 Activités ............................................................................................................................... 9 a. La Fabrication ................................................................................................................ 9 b. La commercialisation ................................................................................................... 10 c. La distribution .............................................................................................................. 10 2.2. Implantation géographique ................................................................................................ 11 Chapitre 2 : Authentification sur réseau local .......................................................................... 12 1. Pourquoi une authentification sur réseau local ? .................................................................. 12 2. Léevolution des architectures de réseau ............................................................................... 12 3.Nouveau paramétre pour la sécuritè des réseau sans fils ...................................................... 13 4. Les nouvelles solutions de sécuritè ..................................................................................... 14 5. Qu’est-ce que l’authentifcation réseau ................................................................................. 15 6. Pourquoi faire de l’authentification réseau .......................................................................... 15 7. Intérêts de l’authentification réseau .................................................................................... 16 a. Intérêt pour un réseau filaire ....................................................................................... 16 b. Intérêt pour un réseau sans fil ..................................................................................... 16
3
c. Eléments pour authentifier .......................................................................................... 16 d. Protocoles d’authentification ....................................................................................... 16 Chapitre 3 : Les protocoles d’authentification ......................................................................... 17 1. RADIUS (Remote Authentication Dial-In User Service) .................................................... 17 2. Le fonctionnement de RADIUS ........................................................................................... 19 3. L’authentification, l’autorisation et la gestion des connexions d’accès réseau .................... 20 4. Authentification par adresse MAC ....................................................................................... 22 5. Authentification 802.1x ........................................................................................................ 22 6. Radius et 802.1x ................................................................................................................... 23 7. Les protocoles d’authentification ......................................................................................... 24 7.1 Les différentes phases (simplifiées) d'une connexion 802.1x ............................................ 24 7.2 Et que faire des périphériques non 802.1x ? ...................................................................... 26 Chapitre 4 : Mise en place d’un serveur RADIUS ................................................................... 28 1. Pourquoi l'authentification 802.1x ?..................................................................................... 28 2. Configuration ....................................................................................................................... 31 A. Configuration du commutateur «HP ProCurve 2910» ................................................. 31 B. Créer des groupes de sécurité Active Directory pour l'accès autorisé et le certificat inscription ..................................................................................................................... 31 C. Créer et inscrire les hôtes sur le réseau pour inscrire un certificat ............................... 32 D. Configuration du serveur NPS ..................................................................................... 33 E. Créer un GPO sécurisé de base pour clients Windows 7 ordinateurs .......................... 36 F. Test & dépannage ......................................................................................................... 37 CONCLUSION ........................................................................................................................ 39 Webographies ........................................................................................................................... 40
4
Résumé Mon stage professionnel s’inscrit dans le cadre d’un projet de fin d’étude de l’obtention du diplôme d’ingénieur des réseaux informatique et sécurité, d’une durée de trois mois, a consisté à mettre en place des outils de la sécurité : la configuration d’un serveur RADIUS. Ce rapport présente le travail que j’ai effectué lors de mon stage au sein de l’entreprise Société Marocaine des Tabacs. Pendant la période du stage, je me suis familiarisé avec un environnement technique et professionnel qui est très complexe et un ensemble d’outils réseau. Le projet réalisé s’est avéré très intéressant et très enrichissant pour mon expérience professionnelle. En effet, ma formation s’inscrit précisément dans ce secteur (Réseaux, Sécurité et Systèmes Informatique). Grâce à ce stage, j’ai travaillé sur des projets qui m’ont permis d’entrevoir en quoi consiste la profession d’un administrateur réseaux dans ce secteur d’activité. Je vous expose dans ce rapport, premièrement une présentation de la société Marocaine des Tabacs. Deuxièmes, je vous explique les différents outils que j’ai utilisés pour réaliser mon projet.
5
Introduction
C’est avec enthousiasme que j’ai effectué mon stage au sein de la société marocaine des tabacs pour une durée de 3 mois. Pendant cette période, j'ai essayé de prendre le maximum de connaissances possibles concernant l’activité de l’entreprise et son environnement. La croissance de la société marocaine des tabacs et la modernisation de son outil de production ayant mené des changements profonds, l’efficience de la gestion dans tous les domaines et la recherche de développement ont été les thèmes dominants des vingt dernières années de l’existence de la Régie. L’évolution de cette société est remarquable à plusieurs égards. D’abord, au niveau des structures, un nouvel organigramme, plus conforme à la taille et aux ambitions de la société, a été mis en place pour permettre une large décentralisation et une répartition des responsabilités et même d’imprimer une meilleure efficacité aux secteurs clés de son activité. Le stage est devenu le principal élément de liaison entre la formation pédagogique et le monde professionnel. C’est dans ce sens que j’ai choisi d’effectuer mon stage à la société marocaine des tabacs, une entreprise de stature internationale, afin de m’adapter à son organisation et de bénéficier d’un bon suivi.
6
Chapitre1 : La structure d’accueil 1) Présentation de la Société Marocaine des Tabacs : 1.1.Historique : Bien qu’originaire d’Amérique, le tabac était connu au Maroc il y a plusieurs siècles. Il y fut introduit vers la fin du 16ème siècle par les commerçants de Tombouctou. L’institutionnalisation du commerce de tabacs remonte à l’époque de Moulay Abderrahmane (1822-1859) qui a le monopole, afin de faire face aux dépenses militaires.
En 1906, l’acte d’Algesiras précise les conditions relatives au monopole des tabacs au Maroc. En 1910, l’adjudication est attribuée au sieur Léon Neil. Celui-ci transfère ses droits à la Société Internationale de Régie des tabacs au Maroc, société de droit français créée en 1911. Le monopole était attribué en concession, pour une période de 40 ans avec la possibilité d’achat pour l’Etat marocain au bout de 20 ans. La société commença par l’implantation d’une usine à Tanger. En 1931, une convention est conclue entre l’Etat marocain et la société Internationale. Deux manufactures sont édifiées à Casablanca et Kenitra et une ferme expérimentale à El Moudzine. En 1959, le Gouvernement marocain rachète le monopole de l‘ex-zone nord au concessionnaire espagnol pour le donner en gérance à la Société Internationale. En 1967, l’Etat marocain a décidé de ne pas renouveler la concession. Il a opté pour la création d’une société anonyme "Régie des Tabacs" avec laquelle une convention fut conclue le 31 décembre 1967. Ce faisant et conformément à la politique qu’il a menée depuis l’indépendance, l’Etat a rompu avec la concession privée pour adopter la concession publique.
7
C’est ainsi que la Régie des Tabacs est devenue une société anonyme dont le capital est entièrement souscrit par l’Etat. Cette société a pour objet l’exploitation et la vente des tabacs. Par la suite, la Régie des Tabacs a connu une vaste extension quant à son infrastructure, ses équipements productifs, son facteur humain, ses centres de culture et son réseau commercial. Plusieurs réalisations importantes méritent cependant d’être signalées :
En 1984, l’inauguration de la Manufacture d’Agadir. En 1994, un projet technologique sans précédent fut entrepris par l’inauguration de la manufacture d’Ain Harrouda. En 1995, l’inauguration du centre de battage à El Moudzine. En 2002, adoption de la forme de Société Anonyme à Directoire et à Conseil de Surveillance. En 2003, la privatisation de 80% du capital de la Régie des Tabacs par la société franco-espagnol Altadis. En 2006, l’acquisition du 20% du capital restant de la Régie des Tabacs par la société franco-espagnol Altadis ; à la fin de 2006, la mise en place du SAP au lieu de l’ancien système d’information BPCS. Au début de 2007, changement de la dénomination de la Régie des Tabacs devenue ALTADIS Maroc. En 2008 : le franco-espagnol Altadis fut racheté par le groupe Imperial Tobacco l’un des principaux groupes de tabac internationaux (n°4) et le principal fabricant de tabac au Royaume-Uni. En 2012 : changement de la dénomination qui est devenue La société Marocaine des Tabacs.
8
1.2. Fiche signalétique :
2) Activités et implantation géographique : 2.1. Activités : La Société Marocaine des Tabacs est, par son chiffre d’affaires, la 5ème plus grande entreprise marocaine et la 1ère du secteur agroalimentaire. Elle opère dans le domaine de la fabrication et de la commercialisation de produits de tabac, ainsi que dans la distribution. Depuis son intégration, en 2008, le Groupe Imperial Tobacco, acteur international majeur du secteur des tabacs, ne cesse de consolider sa contribution à l’économie nationale, à travers ses activités agricoles industrielles et de distribution. Première entreprise agro-alimentaire du Royaume, la Société Marocaine des Tabacs est l’unique débouché de la filière de la tabaculture marocaine. C’est ainsi que la Société Marocaine des Tabacs fabrique dans son usine d’Ain Harrouda, des marques internationales qui étaient auparavant importées : 95% des cigarettes vendues officiellement au Maroc, toutes marques confondues, sont fabriquées localement par la Société Marocaine des Tabacs. Les activités de la Société Marocaine des Tabacs sont : a. La fabrication :
L’usine d’Ain Harrouda, l’une des plus grandes d’Afrique et du monde arabe, assure 78,3% de la production totale. Outre les marques de tabac blond marocaines (Marquise, Marvel,..), elle fabrique pour le marché marocain les marques internationales du Groupe (Gauloises Blondes et Fortuna).
9
L’intégration au groupe Imperial Tobacco l’usine d’Ain Harrouda est engagée dans un processus de développement visant son alignement sur les standards internationaux de qualité et d’efficience, afin de la positionner comme l’une des meilleures usines du Groupe. Imperial Tobacco Maroc dispose d’un portefeuille de produits diversifié : plus de 201 références dont 28 fabriqués localement. Les marques marocaines détiennent 82% de parts de marché.
b. La commercialisation : Le réseau de distribution de la Société Marocaine des Tabacs comprend plus de 23.000 points de vente. Il est structuré autour de 8 directions régionales qui coordonnent l’activité de 19 centres de vente. Les débitants sont approvisionnés à hauteur de 45% par les centres de vente, 42% par les fourgons de vente et 13% par les débitants principaux (grossistes). La gamme des produits commercialisés par la Société Marocaine des Tabacs compte 75 produits dont 23 produits locaux et 52 produits importés. Sept produits locaux figurent parmi le Top Ten des ventes et réalisent 70% de son chiffre d’affaires. L’activité Cigare a été introduite au niveau de la société depuis 2004. Cette culture « cigare » s’installe progressivement sur le marché grâce à une nouvelle politique produit/prix très attrayante. Les marques du groupe Imperial Tobacco détiennent 77% de parts de marché. c. La distribution : - Extension de l’activité aux produits hors tabac : Papier à cigarette, cartes téléphoniques prépayées, timbres postaux, articles de fumeur. - Instauration du système de distribution capillaire. - Informatisation des transactions. - Développement du partenariat avec les débitants à travers le programme de fidélisation Wafa. - Modernisation des équipements.
10
2.2. Implantation géographique :
Les activités de la Société Marocaine des Tabacs couvrent tout le territoire national à travers : Une usine de fabrication de cigarettes (Ain Harrouda). Un Centre de Battage de Tabacs (El moudzine). Deux Centres de Culture de Tabacs (El Hajeb et Ouezzane). Deux Plateformes de Stockage (Ain Aatik, Lakhyayta). Quatre Directions Régionales de Distribution et de Vente (Nord, Sud, Est et Ouest). 23.000 points de vente. 19 Centres de Distribution : Casablanca (Nord et Sud), Agadir, El-Jadida, Kénitra, Khouribga, Laâyoune, Marrakech, Fès-Meknès, Midelt, Mohammedia, Nador, Ouarzazate, Oujda, Rabat-Salé, Safi, Taza, Tétouan-Tanger, Beni Mellal.
11
Chapitre2 : Authentification sur réseau local 1. Pourquoi une authentification sur réseau local ? Ce début de XXIe siècle est marqué par l’explosion des réseaux sans fil qui constituent, de plus en plus, une composante à part entière des réseaux locaux. Cette technologie sans fil était considérée à l’origine comme un instrument d’appoint. Mais son évolution rapide, celles des mentalités et des habitudes conduisent les administrateurs réseaux à repenser les relations entre réseaux sans fil et filaires. En effet, si le sans-fil se développe, il n’en reste pas moins que le réseau filaire est toujours bien là et indispensable. On remarquera également qu’un poste de travail qui dispose de la double connectique sans fil et filaire a la possibilité d’être connecté, simultanément, dans les deux environnements.
2. L’évolution des architectures de réseau Les réseaux locaux filaires ont aussi beaucoup évolué ces dernières années, passant d’une architecture peu structurée à une segmentation en sous-réseaux souvent motivée par la volonté de mieux maîtriser les flux entre différents utilisateurs ou types d’activités, notamment grâce à l’utilisation de filtres. Cette évolution est facilitée par l’introduction de réseaux virtuels (VLAN) dont la multiplication ne coûte rien. On peut alors être tenté de placer les postes sans fil dans un sous-réseau dédié et les postes filaires sur un autre. Mais est-ce une bonne idée ? Pourquoi un poste donné serait-il traité différemment suivant la méthode d’accès au réseau ? N’est-ce pas le même poste, le même utilisateur ? La logique ne voudrait-elle pas qu’un même poste soit toujours perçu de la même manière sur le réseau, quel que soit son mode d’accès ? Autrement dit, un poste ne doit-il pas être placé sur le même sous-réseau, qu’il se connecte par le biais du réseau sans fil ou par le biais du réseau filaire ? Cette banalisation du traitement constitue une intégration logique des deux moyens physiques.
12
À ces questions, on pourrait répondre que la sécurité des réseaux sans fil n’est pas assez poussée et qu’il vaut mieux ne pas mélanger les torchons avec les serviettes. Pourtant cet argument est contraire à la sécurité car, si un poste dispose de la double capacité sans fil/filaire, il a alors la possibilité de faire un pont entre les deux environnements et de se jouer des filtrages établis entre les réseaux virtuels qui ne servent alors plus à rien.
3. Nouveau paramètre pour la sécurité des réseaux sans fil Si on sait parfaitement où commence et où finit un réseau filaire, et qu’il faut se connecter sur une prise physique pour avoir une chance de l’écouter, la difficulté avec les réseaux sans fil réside dans le fait que leur enveloppe est floue. Il n’y a pas de limites imposables et contrôlables. Une borne Wi-Fi émet dans toutes les directions et aussi loin que porte son signal. Bien souvent, ses limites dépassent les bâtiments de l’établissement et parfois plusieurs réseaux se recouvrent. Donc, partout dans le volume couvert par une borne, des « espions » peuvent s’installer et intercepter les communications ou s’introduire dans le réseau et l’utiliser à leur profit. Cette situation fut très problématique pour les premières installations Wi-Fi à cause de l’absence de méthode d’authentification fiable des postes de travail et de mécanismes de chiffrement fort des communications. Cela n’incitait pas à mélanger les postes filaires et sans fil. La première notion de sécurité fut introduite par les clés WEP (de l’anglais Wired Equivalent Privacy), utilisées à la fois comme droit d’accès au réseau et pour chiffrer les communications. Cependant, il ne pouvait s’agir d’une méthode d’authentification sérieuse puisque la seule connaissance de la clé partagée entre tous les utilisateurs et les bornes donnait accès au réseau. Quant au chiffrement, les pirates ont très vite eu raison de l’algorithme utilisé, qui ne résiste pas à une simple écoute du trafic suivie d’une analyse. Des logiciels spécifiques ont été développés, tels que Aircrack ou Airsnort, qui permettent d’automatiser ce type d’attaques.
13
4. Les nouvelles solutions de sécurité Mais depuis, la situation a bien évolué grâce à l’arrivée des protocoles WPA puis WPA2 (Wi-Fi Protected Access) et par là même des capacités d’authentification plus robustes. Il est désormais possible d’établir une authentification forte et d’enchaîner sur un chiffrement solide des communications de données. À partir de là, on peut atteindre un niveau de sécurité satisfaisant et intégrer plus sereinement réseau sans fil et réseau filaire. Plusieurs écoles s’affrontent au sujet de la sécurité des communications Wi-Fi. On peut considérer que le chiffrement est une tâche qui peut être laissée aux applications de l’utilisateur (SSH, HTTPS…). On peut aussi chiffrer grâce à un serveur VPN (Virtual Private Network). Dans ce dernier cas, un logiciel client doit être installé et configuré sur chaque poste de travail. Il a pour rôle d’établir une communication chiffrée entre lui et un serveur VPN, qui assure un rôle de passerelle avec le réseau filaire. Cela revient donc à ajouter une couche logicielle supplémentaire sur le poste de travail. Pourtant, estce bien nécessaire ? En effet, aujourd’hui, tous les systèmes d’exploitation possèdent déjà une couche équivalente qui porte le nom de supplicant et qui est complètement intégrée au code logiciel des fonctions réseau. De plus, ce supplicant est compatible avec WPA, ce qui lui procure à la fois des fonctions de chiffrement et d’authentification. Afin de répondre aux requêtes des supplicants, il faut installer, comme chef d’orchestre, un serveur d’authentification qui implémentera le protocole Radius (Remote Authentication Dial In User Service).
14
5. Qu'est-ce que l'authentification réseau ? Il s'agit d'authentifier une machine lorsqu'elle se branche sur le réseau afin de lui autoriser ou refuser l'usage du réseau. On authentifie pour délivrer des autorisations Cette authentification est indépendante d'autres authentifications vers des systèmes d'exploitation ou applications.
6. Pourquoi faire de l’authentification réseau ? •Sécuriser un réseau filaire ou sans-fil. •Pour interdire les postes inconnus. •Pour placer les postes connus a des endroits spécifiques du réseau (vlan) de façon dynamique. •Pour savoir quelle machine est connectée et où elle est connectée.
15
7. Intérêts de l’authentification réseau ? a. Intérêt pour un réseau filaire •Savoir qui se connecte sur quelle prise. •Eviter une utilisation illicite du réseau par des « inconnus ». •Affecter les machines sur des réseaux virtuels (cloisonnement).
b. Intérêt pour un réseau sans-fil •Obligatoire pour intégrer le réseau filaire CAD que les machines sans-fil travaillent comme les machines filaires. • Affecter une machine sur le même vlan que lorsqu’elle se connecte sur le réseau filaire. •Authentification + cryptage. •Nécessité de gérer un périmètre aérien, flou, incontrôlable.
c. Eléments pour authentifier •L’adresse
MAC de la carte Ethernet
•Une base de login/mot de passe (Windows, LDAP…) •De certificats (utilisateurs ou machines)
d. Protocoles d’authentification Protocoles propriétaires => Exemple: VMPS de Cisco Authentification sur adresse MAC uniquement Réseau filaire
Protocoles ouverts => Radius et 802.1x Authentification sur adresse MAC, Login/password Certificats, cartes à puce... Réseau filaire et sans-fil
16
Chapitre3 : Les protocoles d’authentification 1. RADIUS (Remote Authentication Dial-In User Service) RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur destiné à permettre à des serveurs d'accès de communiquer avec une base de données centralisée regroupant en un point l'ensemble des utilisateurs distants. Ce serveur central (appelé serveur RADIUS) va authentifier ces utilisateurs, et leur autoriser l'accès à telle ou telle ressource. Une autre fonctionnalité importante d'un serveur RADIUS est la comptabilisation des informations concernant les utilisateurs distants. RADIUS a été inventé par Livingston, depuis devenu propriété de Lucent, et est un standard de fait de l'industrie informatique. C'est un protocole ouvert, amendée par RFC, et déposé à l'IETF. C'est de loin le protocole le plus largement supporté par l'ensemble des constructeurs d'équipements réseaux, dont CISCO, pourtant promoteur et inventeur de TACACS. RADIUS Serveur est distribué librement par Livingston sur de nombreuses plateformes. D'autres versions existent toutefois: Citons Radius Merit, assez diffusée sur Linux. RADIUS offre un modularité complète en ce qui concerne le mécanisme d’authentification, on effet la plus par de méthode actuelle sont supportées (LDAP, PAP, CHAP, MS-CHAP, EAP, LEAP, ….). Le protocole RADIUS est donc un protocole d’authentification, d’accounting mais pas d’autorisation, il fait pourtant parti de la famille des protocoles AAA (Authentication, Accounting, Authorization). Ceci est dû à sa grande extensibilité, en effet le protocole repose sur la transmission d’attribut Clef/Valeur. Le liste de ces attributs n’est pas limitée c’est pourquoi les principaux équipementiers développent leurs propres attributs (AvPairs) dans des librairies propriétaires (VSA : Vendor Specific Attributes). La fonctionnalité d’autorisation peut donc être assurer au travers de l’exploitation de ces attributs propriétaires par les systèmes d’exploitation des équipements. D’où la présence de RADIUS dans la famille des protocoles AAA.
17
L'ordinateur sur lequel un utilisateur cherche à se connecter au réseau est appelé le "supplicant". Il est le "client final" de la demande de connexion. Ce peut-être avec toute forme de terminal portable, de téléphone IP ou d'ordinateur fixe. Dans la suite, nous garderons l'expression française "client final" à la place de "supplicant". L'équipement de réseau sur lequel le client final se connecte (un commutateur – ou une borne Wifi - compatible 802.1x) relaye, en tant que client RADIUS, cette demande de connexion à un serveur d'authentification, le serveur RADIUS, qui va, par exemple, identifier la personne en rapprochant le nom de connexion et le mot de passe de ceux stockés dans un annuaire LDAP ou encore une base de données SQL. Si l'identification réussit, l'accord est transmis au client RADIUS qui "ouvrira" alors le port de connexion. Rôles du serveur RADIUS En premier lieu, RADIUS doit authentifier les requêtes qui sont issues des clients finals, via les clients RADIUS. Cette authentification se basera soit sur un couple identifiant/mot de passe, soit sur un certificat. Cela dépendra du protocole d'authentification négocié avec le client final. En deuxième lieu, RADIUS a pour mission de décider quoi faire du client authentifié, et donc de lui délivrer une autorisation, un "laissez-passer". Pour ce faire, RADIUS envoie des informations (on parle "d'attributs") aux clients RADIUS. Un exemple typique d'attribut est un numéro du VLAN dans lequel placer le client authentifié et autorisé. Enfin, en bon gestionnaire, RADIUS va noter plusieurs données liées à la connexion, comme la date et l'heure, l'adresse MAC de l'adaptateur réseau du client final, le numéro de VLAN...). C'est son rôle comptable ou "d'accounting". RADIUS est donc un serveur d'authentification, d'autorisation et de comptabilité. De façon imagée, c'est le "chef d'orchestre" des connexions 802.1X et les clients RADIUS sont ses sbires... En ce sens, il se range dans le modèle AAA (Authentication, Authorization, Accounting). NPS (Network Policy Server) est le nom du service RADIUS des systèmes Microsoft Windows 2008 Server, en remplacement du "Service d'Authentification Internet" de Windows 2003 Server. D'autres solutions propriétaires existent, comme CISCO ACS (Access Control Server). Différentes versions libres de RADIUS existent également, comme FreeRADIUS (sous Linux ou Windows) ou OpenRADIUS (sous Linux).
RADIUS peut aussi servir à centraliser les accès sécurisés aux pages ou aux terminaux de paramétrage de tous les équipements réseau : commutateurs, routeurs, bornes wifi, contrôleurs wifi, etc.
18
2. Le fonctionnement de RADIUS. Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813. Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé. Le scénario du principe de fonctionnement est le suivant : Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance. Le NAS achemine la demande au serveur RADIUS. Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes : ACCEPT : l'identification a réussi ; REJECT : l'identification a échoué ; CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ; CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau mot de passe. Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5 champs:
19
Code : Définit le type de trame (acceptation, rejet, challenges, requête) Identifier : Associe les réponses reçues aux requêtes envoyées. Length : Champ longueur. Authentificator : Champ d'authentification comprenant les éléments nécessaires. Attributes : Ensemble de couples (attribut, valeur).
3. L’authentification, l’autorisation et la gestion des connexions d’accès réseau. Lorsque NPS est utilisé comme serveur RADIUS, les messages RADIUS fournissent l’authentification, l’autorisation et la gestion des connexions d’accès réseau de la manière suivante : Les serveurs d’accès, tels que les serveurs d’accès réseau à distance, les serveurs et les points d’accès sans fil reçoivent des demandes de connexion de la part des clients d’accès. Le serveur d’accès, configuré de façon à utiliser RADIUS comme protocole d’authentification, d’autorisation et de gestion, crée un message de demande d’accès et l’envoie au serveur NPS.
20
Le serveur d’accès envoie également des messages de demande de compte durant la période où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le serveur d’accès est démarré et arrêté : 1. Le serveur NPS évalue le message de demande d’accès. 2. Si nécessaire, le serveur NPS envoie un message de challenge d’accès au serveur d’accès. Celui-ci traite le challenge et envoie un message de demande d’accès mis à jour au serveur NPS. 3. Les informations d’identification utilisateur sont vérifiées et les propriétés de numérotation du compte d’utilisateur sont obtenues par le biais d’une connexion. 4. sécurisée à un contrôleur de domaine. 5. La tentative de connexion est autorisée avec les propriétés de numérotation du compte d’utilisateur et avec les stratégies d’accès. 6. Si la tentative de connexion est authentifiée et autorisée, le serveur NPS envoie un message d’acceptation d’accès au serveur d’accès. Si la tentative de connexion n’est pas authentifiée ou n’est pas autorisée, le serveur NPS envoie un message de refus d’accès au serveur d’accès. REMARQUE Le serveur d’accès envoie également des messages de demande de compte durant la période où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le serveur d’accès est démarré et arrêté. Le serveur d’accès achève le processus de connexion avec le client d’accès et envoie un message de demande de compte au serveur NPS, où le message est enregistré dans le journal. Le serveur NPS envoie une réponse de compte au serveur d’accès.
21
. Pour authentifier au serveur Radius il existe Deux possibilités : Authentification par adresse MAC (Radius-Mac) Authentification 802.1x
4. Authentification par adresse MAC :
5. Authentification 802.1x
22
6. Radius et 802.1x
802.1x met en œuvre le protocole EAP pour les communications du client vers le serveur d'authentification. EAP (Extensible Authentication Protocol) est un protocole de transport de protocole d'authentification. L'intérêt de l'architecture d’EAP est de pouvoir utiliser divers mécanismes d'authentification sans que l'équipement réseau (NAS) ait besoin de les connaître. Dans ce cas il agit comme un tunnel transparent vers un serveur qui lui implémente les mécanismes souhaités. Par exemple: Mot de passe, certificats, carte à puce … Les principaux types d’EAP : EAP-TLS (Transport Layer Security) : Authentification par certificat du client et du serveur EAP-TTLS (Tunneled Transport Layer Security) : Authentification par certificat et mot de passe grâce à la génération d’un tunnel sécurisé EAP-MD5 : Authentification avec mot de passe PEAP (Protected EAP) : Authentification avec mot de passe via une encapsulation sécurisée LEAP (protocole Cisco) : Authentification avec mot de passe via une encapsulation sécurisée.
23
7. Les protocoles d’authentification EAP est la couche protocolaire de base de l'authentification. Elle va servir à faire passer un dialogue d'authentification entre le client final et le serveur RADIUS alors que le port de connexion est fermé à toute autre forme de communication. C'est un protocole extensible, au sens où il va permettre l'évolution de méthodes d'authentification transportées, de plus en plus sûres au cours du temps. Quelles ont été - et quelles sont - ces méthodes d'authentification ? Le premier protocole a été PAP (Password Authentification Protocol) avec lequel les mots de passe circulaient en clair. La sécurité proposée par ce protocole est faible. Le second protocole qu'ont utilisé les serveurs RADIUS a été CHAP (Challenge Handshake Authentication Protocol). Il est défini dans la RFC 1994. Avec CHAP, il n'y a pas d'échange de mots de passe sur le réseau. Les deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète, s'authentifient sans échange du mot de passe par une technique de "challenge" (ou "défi") basée sur une fonction de hachage à sens unique du secret partagé, telle que MD5. Cette méthode était disponible avec le couple XP/Windows-2003-Server, mais ne l'est plus en génération Seven/2008. Au début de la connexion, le serveur réclame la preuve de l’identité du client, en lui demandant de chiffrer une information. Le client ne peut relever le défi que s’il possède effectivement la clé unique et secrète partagée. PEAP est un protocole de transfert sécurisé (P comme "Protected") d'informations d'authentification. Il a été mis au point par Microsoft, Cisco et RSA. Il ne nécessite pas de certificat sur les postes clients, contrairement à EAP/TLS. MS-CHAP s'appuie sur PEAP. 7.1. Les différentes phases (simplifiées) d'une connexion 802.1x Au démarrage de la communication, le client final est prié d'envoyer ses identifiants au serveur RADIUS. Or, à ce moment-là, le client final ne connaît pas l'adresse du - ou des serveurs RADIUS du réseau. Il ne dispose peut-être même pas d'adresse IP. De même, le port du commutateur sur lequel il est connecté est censé être fermé (état non contrôlé). En réalité, le port contrôlé du commutateur n'est pas totalement fermé. Il va laisser passer le protocole EAP Cette communication ne peut donc se faire que par des trames Ethernet de base et non par des paquets IP. Le client final peut donc envoyer son identité dans un paquet EAP au commutateur. Celui-ci le retransmet, encapsulé dans un paquet au format RADIUS, au premier serveur RADIUS de sa liste (s'il en connaît plusieurs).
24
Le serveur RADIUS reçoit le paquet et interroge sa base de données, Il renvoie le résultat de cette interrogation au commutateur, sous forme d'un commandement d'ouverture du port, éventuellement assorti d'un numéro de VLAN dans lequel placer le client final. A partir de ce moment seulement, il peut y avoir d'autres trames échangées entre le client final et le reste du réseau, comme une trame de requête DHCP par exemple.
Conséquence de ce fonctionnement général. L'équipement réseau ne connaît que le protocole RADIUS. Le protocole d'authentification entre le client final et le serveur RADIUS pourra varier sans que cela soit un blocage pour l'équipement. En ce sens, on dit que le client RADIUS est "transparent".
25
7.2. Et que faire des périphériques non 802.1x ? L'objectif de contrôler toutes les prises réseau d'une entreprise en y imposant une authentification peut se heurter au fait que certains périphériques qui y sont connectés (comme des imprimantes, des vidéoprojecteurs ...) n'implémentent pas 802.1x. Il faut donc trouver d'autres solutions pour protéger ces prises : un VLAN spécifique par exemple réunissant les imprimantes, avec un serveur d'impression situé dans un autre VLAN joignable au travers d'un routeur filtrant, une protection des ports par adresse MAC, ou encore une connexion sans-fil des vidéoprojecteurs dans une technologie de cryptage comme WPA2. Fonctionnement détaillé :
26
Étape 1 - identité externe L'équipement demande au client final de décliner son identité (trame EAPRequest-Identity), Le client répond par une trame EAP contenant son nom d'utilisateur (trame EAP-ResponseIdentity). Ça tombe bien, les trames EAP sont les seules autorisées à entrer dans l'équipement. L'équipement fabrique un paquet IP [access-request] encapsulant la trame [EAPresponse Identity]. Il ajoute d'autres informations comme l'adresse MAC du client final. Ce paquet IP est envoyé au serveur RADIUS. Étape 2 - Négociation de protocole. Le serveur RADIUS reçoit le paquet [Access-Request] et fabrique un paquet [Accesschallenge] encapsulant une trame [EAP-Request] contenant une proposition de protocole d'identification, comme PEAP. L'équipement décapsule le paquet pour transmettre la trame EAP au client final. Le client final répond dans une trame [EAP-response] transmis de la même manière - indirecte par encapsulation - au serveur RADIUS. Le client et le serveur étant tombés d'accord sur le protocole d'authentification, on passe à l'étape suivante. Étape 3 - TLS handshake Le serveur RADIUS envoie au client une requête de démarrage [PEAP-START] toujours par le mécanisme d'encapsulation d'une trame EAP. Le client final répond par un message [client hello] avec la liste des algorithmes de chiffrement qu'il connait. Le serveur envoie son choix d'algorithme, ainsi que son certificat et sa clé publique au client final. Le client final authentifie le serveur. Il génère une "pré-master key" avec la clé publique du serveur. Le serveur fait de même et un tunnel chiffré est établi entre eux. Le tunnel sert à protéger l'échange du mot de passe par rapport à une authentification EAP simple. Étape 4 - TLS record Les échanges liés au protocole de validation du mot de passe vont être effectués dans le tunnel TLS. Avec MSCHAP-V2, il s'agit des échanges vus au point I.7. Le port s'ouvre lorsque le serveur envoie au client final un message [Access-Accept] après avoir vérifié le mot de passe de l'utilisateur et s'être assuré de ses autorisations.
27
Chapitre4 : Mise en place d’un serveur RADIUS 1. Pourquoi l'authentification 802.1x? Le but est de guider l'administrateur du réseau via la procédure comment activer l'authentification 802.1x d'ajouter un niveau de sécurité supplémentaire lorsque les ordinateurs clients se connectent au réseau local SMT. Avant un ordinateur client dispose d'un accès à notre réseau, les besoins de l'ordinateur client être authentifié. Si l'authentification est réussie, l'ordinateur client est autorisé à accéder. Si l'authentification échoue, l'ordinateur client n'a pas accès limité ou inexistant. Les clients peuvent être authentifiés à l'aide d'un mot de passe ou un certificat. Sans un accès adéquat à notre réseau, les utilisateurs malveillants peuvent utiliser notre réseau pour accéder à des données privées ou lancer des attaques vers des serveurs ou des ordinateurs clients sur notre réseau.
Composants 802.1x :
Suppliante (poste de travail): Est un client qui demande l'accès au réseau local et répondre aux demandes du commutateur. Serveur d'authentification (RADIUS / serveur NPS): Ce serveur authentifie fait le client. Le serveur d'authentification valide l'identité du client et informe le commutateur si le client est autorisé à accéder au réseau local. Le serveur d'authentification est essentiellement un serveur RADIUS configuré pour supporter l'authentification EAP. Authenticator (HP 2900 commutateur PROCURVE): Contrôle d'accès physique au réseau en fonction du statut d'authentification du client. Ce dispositif relaie les informations d’identification suppliante au serveur d'authentification. Processus d'authentification :
28
L'état du port de commutateur détermine si le client est autorisé à accéder au réseau local ou non. Le port commence dans un état non autorisé. Dans cet état, le port, sauf tout le trafic interdit pour les cadres 802.1x. Lorsqu'un client est authentifié, le port est dans un état autorisé et autorise tout le trafic du client au commutateur. Si un client ne prend pas en charge l'authentification 802.1x et se connecte à un port non autorisé, le commutateur demande l'identité du client. Dans ce cas, le client ne peut pas répond à la demande et le port reste dans un état non autorisé. Le client n'a pas accès au réseau. Schéma Design «testé dans nos laboratoires» Pour ce laboratoire, j'utiliser un commutateur HP ProCurve 2910, qui fournit également le routage inter-VLAN entre les différents réseaux.
29
Etapes de la mise en place Paramétrages à effectuer concernent le client final, le client RADIUS et le serveur RADIUS sur lequel on trouve déjà un annuaire Active Directory.
30
2. Configuration A. Configuration du commutateur «HP ProCurve 2910» .
B. Créer des groupes de sécurité Active Directory pour l'accès autorisé et le certificat inscription. a) Créer un groupe d'authentification NPS Certificat Inscription automatique du serveur «SAC-Inscription automatique» b) Ajouter des comptes de l'ordinateur client au groupe d'ordinateurs autorisés «CAC Inscription automatique». c) Créer un groupe filaire Ordinateurs VLAN «Wired-ordinateur VLAN»
31
C. Créer et inscrire les hôtes sur le réseau pour inscrire un certificat a) Créer un certificat d'authentification serveur NPS b) Créer un certificat d'authentification Workstation c) Ajout des modèles de certificats à l'autorité de certification
32
d) Ajoutez le compte du serveur NPS au groupe d'inscription automatique e) Ajouter des comptes de l'ordinateur client au groupe d'inscription automatique f) Ajouter des comptes de l'ordinateur client au groupe d'ordinateurs autorisés
g) Créer un GPO pour l'inscription de certificat de serveur NPS
33
D. Configuration du serveur NPS a) Configurer les clients RADIUS sur serveur NPS :
b) Configurer la connexion Stratégie de demande
34
c) Configurer une stratégie réseau pour PEAP-EAP-MSCHAPv2
35
E. Créer un GPO sécurisé de base pour clients Windows 7 ordinateurs a) Configurer les ordinateurs clients Windows 7 pour l'inscription de certificat.
b) Configurer les ordinateurs clients Windows 7 pour activer l'authentification Wired
36
c) Configurer les ordinateurs clients Windows 7 pour l'authentification 802.1x via le centre de partage de réseau et PEAP-EAP-MSCHAPv2
F. Test & dépannage Le client envoie une demande d'authentification. Si l'authentification est réussie, l'ordinateur client reçoit une adresse IP de notre serveur DHCP. Si l'ordinateur client est membre du VLAN filaire Ordinateurs 20, le client « DUMCA \ mactacbb » reçoit une adresse IP de la gamme réseau 192.168.20.20-192.168.10.100. Si l'authentification échoue « utilisateur externe », le client devient membre du VLAN 30 et reçoit une adresse IP dans la plage de 192.168.30.20-192.168.30.100. Si l'ordinateur client est authentifié avec succès, vous recevez une adresse IP du VLAN 20
37
Si l'ordinateur client « sans authentification 802.1X et appartient à un autre domaine (ame.imptobnet.com) » l'authentification échoue, vous recevez une adresse IP du VLAN 3.
38
Conclusion Pour proposer un bon mécanisme de sécurité d’un WiFi, comme solution contre les points faibles dont souffre un réseau académique, il nous a fallu penser à une issue qui s’adapte avec l’architecture du réseau existant, tout en tenant compte de la durabilité, l’évolution et la fiabilité de cette solution, assez bien en termes techniques que économiques. Pour cela, nous avons pensé à mettre en place un serveur Radius, pour sécuriser notre petit réseau de test, avant de passer à le mettre en œuvre sur le grand réseau de notre société d’accueil SMT. Les solutions qui présentent le résultat de nos recherches, exigeaient toujours d’utiliser le protocole Radius sur un système d’exploitation serveur comme le 2008 ou le 2012 server. C’est une solution très fiable à nos jours mais ce n’est pas le cas pour toujours, vu la progression très rapide de l’invention des méthodes d’attaque et d’autres méthodes de défonce en informatique.
39
Webographie
http://www.commentcamarche.net/authentification/radius.php3 http://www.journaldunet.com/solutions/0611/061122-qr-radius.shtml http://fr.wikipedia.org/wiki/Radius_(informatique) http://en.wikipedia.org/wiki/Diameter_(protocol) http://en.wikipedia.org/wiki/802.1x http://www.nantes-wireless.org/ http://www.supinfo-projects.com/ http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf http://raisin.u-bordeaux.fr/IMG/pdf/Protocoles-auth-2pages.pdf http://tools.ietf.org/html/rfc2865 http://tools.ietf.org/html/rfc2866
40