Vous êtes sur la page 1sur 46

Scurisationdessystmes

Protocolesutilisantdesmcanismes
d'authentification:TACACS+,RADIUSet
Kerberos

TarikBOUDJEMAA
SadekYAHIAOUI

20072008

Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

L'authentification

L'authentificationestlaprocdurequiconsiste,pourunsystme
informatique,vrifierl'identitd'uneentit(personne,ordinateur...),
afind'autoriserl'accsdecetteentitdesressources(systmes,
rseaux,applications...).

Qu'estcequel'authentificationrseau

Ils'agitd'authentifierunemachinelorsqu'ellesebranchesur
lerseau

Afindeluiautoriserourefuserl'usagedurseau.

2
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

L'authentification

Pourquoifairedelauthentificationrseau?

Scuriserunrseau

Pourviteruneutilisationillicitedurseaupardesinconnus

Pourinterdirelespostesinconnus

Pourdonnerdesautorisationspcifiquessurlerseau
(vlan,application,)

Poursavoirquellemachineestconnecteetoelleestconnecte 3
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+

RADIUS

KERBEROS

4
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+

TACACS+(TerminalAccessControllerAccessControlSystemPlus)

protocoledescuritinventdanslafindesannes90parCISCO
Systems.

ilafiniparremplacerlesprotocolesTACACSetXTACACS,TACACS+
nestpasbassurcesderniers

TACACS+estunserveurdauthentificationpermettantdecentraliserles
autorisationsdaccs(Lesmotsdepasseutilisssontgrsdansune
basededonnescentrale)

TACACS+permetdevrifierlidentitdesutilisateurs
distantsmaisaussi,grceaumodleAAA,dautoriseretde
contrlerleursactionsauseindurseaulocal.
5
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:AAA

TACACS+sebasesurleframeworkAAAquisignifie:

Authentication(authentification)
Authorization(autorisation)
Accounting(Comptabilisation)

Cettesparationpermetunemodularitauniveaudestechnologies
utilisespourchaquefonction.
OnpeutparexemplegrceceprincipechoisirRADIUSpour
lauthentificationetTACACS+pourlerestedesfonctions.

6
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:AAA

Authentification(authentication)
Mcanismepermettantladterminationdelidentitde
lutilisateur.Cetteoprationpeutsefairedediffrentesfaons:

Enutilisantcequelutilisateursait(motdepasse,codePINetc.)
Enutilisantcequelutilisateurpossde(Cartepuce,cl
dauthentification)

Enutilisantcequiconstituephysiquementunutilisateur
(Biomtrie)

7
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:AAA

Autorisation(authorization)
Permetdedterminercequelutilisateuraledroitdefaire,letype
deserviceouderessourcequilpeututiliser.

Autorisation(authorization)

Permetdesavoirlesactionsfaitesparlutilisateurdepuis
lauthentificationjusqu'lafindesasessiondanslesystme

Ilestgnralementutilispourlagnrationdauditsetde
rapportsdansuneoptiquedescurit

8
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:Lesacteurs

3Acteurs

L'utilisateur:metteurdelarequted'authentification
(postedetravail,unportable,unPDA)

LeclientTACACS+:lepointd'accsaurseau


LeserveurTACACS+:reliunebased'authentification
(Basededonnes,annuaireLDAP)

9
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:Architecture

dunutilisateurdistantsouhaitantseconnectersonrseau
dentrepriseparuneconnexionpointpoint

LutilisateurdistantseconnectegrcesonmodemauServeurdaccs
desonentreprise
Leserveurdaccsva,parlasuiteinterroger,leserveurTACACS+
afindedterminer:

lavaliditdelutilisateur(authentification)
lesservicesauqueliladroit(autorisation)etdecontrlerses
actionslintrieurdurseau

CestdoncleserveurdaccsquivaagirentantqueClientTACACS+
etcommuniquerlesinformationsauserveurTACACS+
10
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:Architecture

casdunutilisateurWIFIsouhaitantseconnectersonrseaulocal
dentreprise.

lutilisateurwifiseconnectesonpointdaccsquivajouerlerle
declientTACACS+auprsduserveur.

11
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:Architecture

Casdunutilisateuritinrantsouhaitantseconnecterrseau
dentreprisedistanceenutilisantuncanalVPN

LutilisateurseconnecteicienVPNparInternetauserveurdaccs
desonentreprisequijoueralerledeclientTACACS+.

CasdeladministrationdunmatrielCISCO
lorsquelutilisateurseconnecteetsaisitsesinformations
dauthentificationsurlematrielCISCO,cedernierinterrogeleserveur
TACACS+afindelidentifier.

12
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:Fonctionnement

Descriptiond'unpaquetTACACS+

TACACS+utilisepourcommuniquerleportTCP(port49)
LatailleduneenttedunpaquetTACACS+estde12Octet

FormatdunpaquetTACACS+:

Majorversion:donneleNumrodelaversionMajeuredeTACACS+

Minorversion:donneleNumrodelaversionMineuredeTACAS+

13
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:Fonctionnement

Type:dfinitsilsagitdunpaquetdauthentification,
dautorisation,oudecomptabilisation(conformmentauAAA)

Seq_no:numrodesquencesincrmentantde1pourchaque
paquetenvoylorsdunesession.

lags:diffrentsdrapeauxpermettantentreautredecrypterle
F
paquetentiergrcelalgorithmeMD5.

Length:tailledupaquet.

NousallonsdtaillerlefonctionnementdeTACACS+pourchaque
fonctionAAA:

14
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:Authentification

Laphasedauthentificationpeutsupporterplusieursprotocolescomme
destechniquesdetypeRAPouencoreCHAP
leclientenvoieunpaquetSTARTauserveurTACACS+
despairesdemessagedetypeREQUEST/REPONSEcontenantdes
paires<attributsvaleur>serontchangs
Parexempleilpeutenvoyerunpromptauclientpourluipermettrede
fournirlesinformationssurlenomdutilisateur,ainsiquesonmotde
passe.
serveurTACACS+vrifieetenvoiedansunpaquetREPLYsarponse

15
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:Autorisation

Quandunutilisateurdemandelutilisationdunserviceparticulier,il
passeparlintermdiaireduclientTACACS+quienvoieunpaquet
REQUEST
Cepaquetcomprenddesargumentsdetypesattributsvaleursqui
permettededfinirlescommandesquidoiventtreexcuts

Exemple:silutilisateurveututiliserleprotocoleFTP,leclient
TACACS+enverracommeargumentprotocol=ftp.

serveurTACACS+vrifiedanssabaseetenvoiedansunpaquetRESPONSE
sarponse

16
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:Comptabilisation

Lorsduneactiondelutilisateur,leclientTACACS+envoieunpaquet
REQUESTcomprenanttoujoursdesargumentsattributsvaleurs
quipermettent,entreautres,desavoirledbut,lafinetletypedaction
excutparlutilisateur.

LeserveurTACACS+enregistrealorslesinformationsdanssabaseet
renvoieunpaquetRESPONSEaveclersultatdelenregistrement
(checousuccs).

17
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

TACACS+:ExempledunesessionTACACS+

18
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Protocoles

TACACS+

RADIUS

KERBEROS

19
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS

RemoteAuthenticationDialInUserService

RADIUSestunmcanismedetransportdes
donnesd'authentification
UnmoyenpourlesFAIdecentraliserleursbasesdedonnes
utilisateurs

ProtocoledetypeAAA(AuthenticationAuthorization
Accounting)

DernireversionduprotocoleRADIUSnormalise
parl'IETFdanslaRFC2865

20
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUS,KERBEROSetFORTEZZA

RADIUS:Modeopratoiretype

3Acteurs

L'utilisateur:metteurdelarequted'authentification
(postedetravail,unportable,unPDA)

LeclientRADIUS:lepointd'accsaurseau(NAS,firewall,

pointd'accswireless,etc...)

LeserveurRADIUS:reliunebased'authentification

(Basededonnes,annuaireLDAP)

21
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:Modeopratoiretype

l'utilisateurmetunerequted'authentificationauprsduclientRADIUS
ProtocolecommePPPouTelnet

Leclientradiusdemandel'utilisateursesinformationsd'authentification(
username,password)
DanslecasdePPP:ilutiliselesinformationsdjprsentesdanslepaquet
LeclienttransmetlarequteauserveurRadius
RequtedetypeAccessRequest:(demanirescurise)

LeserveurRadiusretournelunedesrponsessuivantes
AccessAccept:Acceptationlarequteduclient

AccessReject:pourspcifierauclientquesarequteestrejete.

22
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:ModeopratoiretypeL'authentificationmodeChallenge

RADIUSpeututiliserunmodeChallenge
Enfonctiondelazonedaccsdemandeetdesdroitsdelutilisateur,leserveur
RADIUSpeutexigerdesinformationssupplmentairespourlauthentification.

Rponse:AccessCHALLENGE:viterdetransmettrelemotdepasse.

LeclientenvoiealorsuneautrerequterpondantauChallengepours'authentifier

23
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:Couchedetransport

RADIUSutiliseleprotocoleUDPsurleport1812

LasurchargeinduiteparunesessionTCPn'estpasjustifie

LaretransmissionTCPestadapteautransfertdedonnes,
pasl'authentification

Ilpermetd'utiliserdefaontransparenteunautreserveuren
casd'indisponibilit

24
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:Implmentations

PlusieursimplmentationsduprotocoleRADIUSsontdisponibles

Versionscommerciales

NPS(NetworkPolicyServer)pourWindowsServerVista,IASpourWindows
Serveur2000/2003

Versionslibres

CistronRadius,LivingstonRadiusetFreeRadius,OpenRadius

25
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:PaquetsRADIUS
EncapsuldansundatagrammeUDP

Format:

Code Identifier
1 AccessRequest
Pourcorrespondreles

2 AccessAccept requtesetleursrponses
3 AccessRequest Nombrequeleclientincrment
4 AccountingRequest chaquerequte.
5 AccountingResponse Longueur
11 AccessChallenge Longueurtotaledupaquet,enincluant
12 StatusServer(exprimental) lesattributs
13 StatusClient(exprimental) Longueurminimale20octets,maximale

255 Reserved 4096octets


26
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:PaquetsRADIUS

Authentificateur
RequestAuthenticator:requtesduclient

Nombrealatoirede16octets

ResponseAuthenticator:rponsesduserveur
utilispourauthentifilarponseduserveur

ResponseAuth=MD5(Code+ID+Length+RequestAuth+Attributes+Secret).
Leclientestalorsenmesuredevrifierqueleserveurquirpondestbien
celuiqu'ilacontact.

Attributsetvaleurs
Ensembled'attributsetleurvaleurquiindiquequelsservicessont
demandsouautoriss. 27
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:LesattributsRADIUS

Richessedesinformationsquipeuventtretransmisesentreleserveuretle
client
Informationsappelesattributs

ilspermettentauclientdecommuniquerdesinformationsauserveur
(password,MACadresse)

ilspermettentauserveurdecommuniquerlesparamtresdes
autorisationsqu'ildlivre(vlan)oubiendemanderdesinformations
complmentaires.
Incluslafind'unpaquetRADIUS,selonunformatType,Longueur,
Valeur(TLV).
28
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:LesattributsRADIUS

Type
Dfinitlerledel'attribut
Lesattributsquidoiventoupeuventtreinclusdansunpaquetdpendentdu
typedecepaquet
Exemple,unpaquetAccessRequestdoitcontenirlesattributsUser
NameetUserPassword,maisd'autrespeuventtreinclus,comme
l'attributCallbackNumberquiprciselenumrodetlphone
rappeler.
Longueur

longueurtotaledel'attribut,incluantletype,lalongueuretlavaleur.

Valeur
Peuttreunechanedecaractres,donnesbinaires,entiersur32
bits,adresseIPsur32bits,unevaleurdetempssur32bits.
LesattributsVendorSpecificdfinissentleursproprestypesdedonnes.
29
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:lesattributsRadius
AttributsStandards
CalledStationId
Contientl'adresseMACdel'quipementNAS
CallingStationId
Contientl'adresseMACdelamachinede
l'utilisateur.
NASIPAddress
AdresseIPdel'quipementNAS
NASPort
Portsurlequelestconnectlesupplicant
UserName
Chaqueattributpossdeunnumrod'identification.
UserPassword
Seulcenumroesttransmisdanslespaquets.

Lacorrespondanceentrelenomdel'attribut,sonnumroetsontype
estralisdansundictionnaire. 30
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:lesattributsRadius
AttributsVendor
Lesfabricantdematrielrseau(NAS)ontparfoisintgr
leursquipementsdesattributsspcifiquesenplusdesattributs
standardsdfinisdansleRFC.
Cesattributssontencapsulsdansl'attributstandardvendorspecificquia
pournumero26.IlssontappelsVSA=VendorSpecificAttribut

VendorIDNd'immatriculationdufabricant
AttributnumberCommepourlesattributsstandards,lesvendorattributspossdent
unnumrod'identification.Cenumroestrpertoridansundictionnairespcifique
aufabricant.
Longueur
Valeur
31
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:Scurit
Secretpartag
lmentprincipaldelascuritRADIUSentreleclientetleserveur

Secretpartagdiffrentpeuttredfinipourchaqueclient
Possibilitd'avoirunsecretuniquepourtouslesclients(pluspratiquemais
moinsscuris

Cesecretpeuttreden'importequellelongueur,maisilestmieuxd'avoir
unsecretd'aumoins16caractresetd'unebonnecomplexit
Lesecretestutilispourvrifierl'authenticitduserveur:MD5(Code
+ID+Length+RequestAuth+Attributes+Secret).
Lesecretestaussiutilisparleclientpourencrypterlemotdepasseenvoy
pourl'authentification
Pourvitervitelesniffingdumotdepasse

MotdepasseencryptentantquehashMD5dusecretavecleRequest
Authenticator,letoutcombinparunxoraveclemotdepasse.

32
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

RADIUS:Faiblesses
Scuritrelativereposantsurlesecretpartag.Certainesimplmentations
clienteslimitentenplussataille.

Possibilitdetrouverlesecretenutilisantuneattaquebruteforceoupar
dictionnaireeninterceptantlafoisleAccessRequestenvoyparle
clientetlarponseduserveur.

ChiffrementdelattributUserpasswordparunefonctiondehashage
MD5,pluttrservpourdesoprationsdesignature.

Rejeudesrponsesduserveurestpossible

SileclientenvoiedesrequtesutilisantlemmeRequestAuthenticatorque
dansunerequteprcdemmentintercepteavecsarponse

C'estsusceptibledeseproduiresil'implmentationduclientn'utilisepasune
valeuralatoirecommerecommandedanslanorme
33
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Protocoles

RADIUS

TACACS+

KERBEROS

34
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos
Kerberosestapparuaumilieudesannes1980aucoursduprojet
AthenaduMIT

StandardisparlIETF

Buts

Fournirunaccsrseauplusieursmilliersdestationsdetravail
Dchargerlesserveursd'applicationsprsentssurlerseaudela
gestiondel'authentification
Scuriserunchangesurunrseaunonscuris

Afindegarantirlaconfidentialitetl'intgritdesdonnes,toutesles
communicationsquitransitentparleserveurKerberossontchiffres
aveclesystmeDES.

35
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos
Afinderalisercorrectementl'authentificationdesdiffrentsprincipaux(un
principalestuneentitprsentesurlerseaudfinitparunidentifiantunique),
leprotocoleKerberosfaisappel3acteursdiffrents
Leclient:Utilisateurouprogrammeayantbesoind'unservice(ftp,mail,web,
etc)fourniparunserveurdistant.
.
Leserveurd'application:Ilfournileservicedemandparleclientaprsque
celuicisesoitauthentifi.

LeserveurdedistributiondesclsKDC(KeyDistributionCenter):Ilpermet
l'authentificationdetouslesclientssurlerseaudontilalaresponsabilit
Kerberossedcomposeentroissousprotocoles
Serviced'authentification:permetd'authentifierlesclients
LeservicededlivrementdeTGS:permetdefournirl'authentificationauprs
desserveursd'application
Serviced'authentificationClient/Serveurquipermetd'tablirune
communicationscuriseentreleclientetleserveurd'applications

36
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:systmetickets

LauthentificationKerberosreposesurleprincipequechaqueclient
d'unrseaudonndoits'identifiersurunserveurglobal

Leclientdoitprsenterauserveurunticketd'authentificationqueluia
pralablementfournicedernier

Toutclientmunideceticketestconsidrcommeauthentifi

Scurisationdurseaupuisqueaucunedonnesd'authentification
nonchiffrenecirculesurceluici

37
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:Fonctionnementduservicedeticket

Lutilisateurtented'accderunservicefourniparunserveurdistant
ncessitantuneauthentification
unserveurwebouftpparexemple

Leclientenvoieunerequted'authentificationauKDC(serveurkerberos)

Sileclientrussis'authentifierauprsduserveurKDC
Leserveurluirenvoieunticketluipermettantd'accderauservicedemand

Leclientseprsenteauserveurd'applicationavecleticketd'authentification

Leserveurdapplicationfournitauclientleservicedemand
Leserveurd'applicationnepeutenaucuncascontredireunedcision
priseparleserveurd'authentification
Cesystmencessitedoncuneconfianceabsolueenversleserveur
Kerberos.
38
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:LeKDC

LeKDCestbassurdeuxentits
Leserveurdauthentification(AS:AuthenticationServer):prenden
chargelapartieauthentificationduclient.Permetauclientde
communiquerauTGS(grceunticketdaccs).
Leserveurdedistributiondetickets(TGS:TicketGrantingServer)
prendenchargelesdemandesdaccsauxservicesdesclientsdj
authentifis

LensembledesinfrastructuresduserveurKerberosASetTGSest
appellecentrededistributiondecls(KDC:KeyDistribution
Center).Ilssontgnralementregroupssurlemmeserveur.

39
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:Mcanismesdauthentification

LeclientasapropreclpriveKc

LeserveurasapropreclpriveKs.

LeTGSasapropreclpriveKtgset
connatlaclpriveduserveurKs

LASconnatlesclsprivesduclient
etduTGS.

LeTGSetASsontdeuxentitsnormalementde
confiance.

40
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:Mcanismesdauthentification
Leclientdsiraccderauserveurpourobtenir
unservice.(ApplicationServer).

1.AS_REQ:leclientsidentifieauprsde
lASlaidedunmotdepasse

2.LASvrifiedanssabasequele
clientexiste.Ilgnreuneclde
sessionKc,tgs,ilenvoieauclient
AS_REP

UnecldesessionKc,tgschiffreavecKc,qui
feraofficedemotdepassetemporairepour
chiffrerlescommunicationssuivantes.
Unticketd'accsT1auservicededlivrementdeticket,
chiffravecKtgs,Ilcontientnotammentlheurede
lopration,saduredevalidit,ladressedelamachine
clienteainsiquelacldesessionKc,tgs 41
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:Mcanismesdauthentification

3.TGS_REQ:leclientfaitune
demandedeticketauprsdu
TGS.
LeticketdaccsT1quelASlui
avaitdonn.
Unidentifiantcontenantdes
informationssurleclientavecla
datedmission,chiffresavecla
cldesessionKc,tgs

42
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:Mcanismesdauthentification

4.LeTGS:

Dchiffreavecsacl,leticketdaccs
T1.IlobtientlacldesessionKc,tgs.
LeTGSestmaintenantcertainquele
clientabienobtenuleT1delAS.
Dchiffrealorslesinformationsquele
clientavaitprcdemmentchiffr
aveclacldesession.
Ilvrifiequeladuredevaliditestcorrecte.
PuisleTGSenvoieauclientTGS_REPqui
comprend
UnticketT2pouraccderauserveurdapplication.Ilestchiffr
aveclaclprivdeceserveurKs
UnesecondecldesessionKc,spourlescommunicationsentrele
serveurfinaletleclient.CetteclatchiffreaveclaclinitialeKc,tgs.

43
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:Mcanismesdauthentification

5.Leclientdchiffrelasecondeclde
sessionKc,savecKc,tgs
IlenvoieAP_REQauserveurdapplication

UnnouvelidentifiantchiffravecKc,s

LeticketdaccsT2

6.Leserveurdapplicationvrifieque
leticketestvalideendchiffrantT2
avecKs.IlobtientKc,s.
Leserveurvrifielacohrenceentrelesdeux
informations.(exemple:demandeconformecequi
estautorisparleticket.)
UnerponsepositiveoungativeAP_REPestenvoyeauclient.
44
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:Pointsforts

Letransitdesmotsdepassesurlerseauestchiffr.

Ilpermetauxutilisateursdesauthentifierunefoispourtouteslorsdu
login.

Sparationdesrles:lASetleTGT.CestlabasedeKerberos.Mais
danslaralit,cesdeuxrlessontregroupsenunemmeentit
(KDC).

Impossiblederejouerunchangedeuxfoisdelammemanire
(grceautimestamps).
45
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS

Kerberos:Pointsfaibles

LechiffrementsymtriquencessiteunpartagedesclsentrelASetle
client.

Leshorlogesdoiventtreparfaitementsynchronises:eneffet,lanti
rejeusappuiesurletimestamps.

Lauthentificationmutuellenestpasdisponiblelorsdupremierchange
entrelASetleclient.LeclientnepeutpascertifierquelASetbiencelui
quilprtendtre.

46
Master2ProfessionnelSTICInformatiqueScurisationdessystmes