Académique Documents
Professionnel Documents
Culture Documents
Abdelghani MAZOUZI
UFR Informatique
UCB Lyon1
14 décembre 2009
1
Table des matières
1 Introduction 3
2 Authentification 3
2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2 Facteurs d’authentification des personnes . . . . . . . . . . . . . . . . . . 3
2.3 Protocole d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3.1 Protocoles d’authentification Par mot de passe statique . . . . . 4
2.3.2 Protocoles d’authentification Par mot de passe à usage unique . . 4
2.3.3 Protocole S/Key . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3.4 Protocole EAP et ses méthodes . . . . . . . . . . . . . . . . . . . 4
2.3.5 Protocole 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.3.6 Autres protocoles d’authentification . . . . . . . . . . . . . . . . . 5
3 Service d’authentification 5
3.1 Les protocoles AAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.2 Protocole Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.2.1 Principe de fonctionnement d’un service Radius . . . . . . . . . . 6
3.3 Protocole DIAMETER . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.3.1 Composition d’un réseau Diameter . . . . . . . . . . . . . . . . . 7
3.3.2 Comparaisons Diameter / Radius . . . . . . . . . . . . . . . . . . 8
3.4 Protocole TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.4.1 Fonctionnement de Protocole TRACAS+ . . . . . . . . . . . . . . 8
3.5 Protocole Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.5.1 Principe de fonctionnement du service Kerberos . . . . . . . . . . 9
4 Annuaires 10
4.1 NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.2 NIS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.3 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.4 LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.5 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
5 Conclusion 12
2
1 Introduction
Tout d’abord, il faut se souvenir que dans des temps très reculés à l’échelle de l’infor-
matique, dans les années 70, les terminaux étaient reliés au serveur par des liens spécia-
lisés. Pour s’infiltrer, un cracker devait donc obligatoirement se brancher physiquement
sur ces liens.
Lorsque les réseaux ont commencé à utiliser un modèle client - serveur et que les termi-
naux ont été remplacés par les PC, les administrateur s ne pouvaient plus avoir confiance
dans les utilisateurs finaux. En effet, ceux- ci peuvent désormais modifier un logiciel ou
écouter le réseau. Il a donc fallu mettre en place un système permet tant de rétablir cette
confiance sur le réseau. Aujourd’hui, alors que nous consultons tous les jours nos e- mails,
ou que nous échangeons des données que nous souhaiterions confidentielles, les mots de
passe et les données circulent la plupart du temps « en clair » entre notre poste et le
serveur ou le destinataire. Cela signifie que quiconque surveillant nos données pourra lire
nos conversations, nos mots de passe et donc nos données.
La solution proposée est la mise en place d’un système d’authentification, permet tant
d’assurer que deux interlocuteur se connaissent et savent qui est l’autre. Comme les com-
munications peuvent, en principe, être vues par n’importe qui, il a été proposé de les
sécuriser, afin que seules les personnes concernées puissent consulter ces informations
confidentielles.
Avec le développement des réseaux dans les entreprises, les services offerts se sont mul-
tipliés : messagerie, serveur de fichiers, agenda partagé... Pour qu’un utilisateur puisse
accéder à un de ces services, il lui est souvent demandé de s’authentifier, afin de se faire
reconnaître du service en question.
Chaque utilisateur dispose de données spécifiques. Ces données sont, en général, dupli-
quées pour chaque service. Il faut donc les gérer autant de fois qu’il existe d’applications
ce qui n’optimise pas le travail des personnes s’occupant de mettre à jour ces informa-
tions avec les risques d’incohérences que cela entraînent. Plus le réseau est vaste et plus
les services se multiplient. Il est par conséquent difficile, sur un réseau étendu, de contrô-
ler finement et efficacement l’ensemble des ressources. On se retrouve très rapidement
avec des incohérences dans les données entre les différentes informations qui devraient
pourtant être identiques.
C’est là que le concept d’annuaire prend son sens. Un annuaire va permettre de centraliser
les informations des utilisateurs et des services et d’en simplifier l’administration.
2 Authentification
2.1 Définition
L’authentification est la fonction de sécurité qui consiste à apporter et à contrôler la
preuve de l’identité d’une personne, d’un logiciel, d’un equipement ...
3
– Ce que l’on possède (carte à puce ...)
– Ce que l’on sait (mot de passe, login ...)
– Ce que l’on sait faire (signature manuscrite ...)
la combinaison de deux facteurs au minimum est l’une des conditions d’une authentifica-
tion forte
4
2.3.5 Protocole 802.1x
Le protocole 802.1x est une solution de sécurisation d’un réseau mis au point par
par l’organisme de standardisation IEEE en 2001. Il a pour but de contrôler l’accès à
un réseau filaire ou sans fil grâce à un serveur d’authentification. Le standard permet de
mettre en relation le serveur d’authentification et le système à authentifier par des sé-
quences par des échange EAP. Le protocole 802.1x va donc unifier les différents méthodes
d’authentification sous la même bannière : le protocole EAP.
La principale innovation amenée par le standard 802.1x consiste à scinder le port lo-
gique, qui sont connectés en parallèle sur le port physique. le premier port logique est
dit "contrôle", et peut prendre deux "ouvert" ou "fermé". Le deuxième port logique est
lui toujours accessible mais il ne gère que les trames spécifique à 802.1x. Cela permet de
de gérer le dialogue nécessaire à l’authentification au préalable à une connexion réseau.
La connexion initiale est donc limitée à un usage de sécurité qui ouvre ultérieurement le
canal des données en cas d’authentification réussie.[11] [13]
3 Service d’authentification
3.1 Les protocoles AAA
AAA signifie Authentication, Authorization, Accounting, soit authentification, auto-
risation et compte. La signification de ces termes est la suivante :
5
3.2.1 Principe de fonctionnement d’un service Radius
1. Clients Radius ou NAS (Network Access Server) qui sont les équipements réseau
tels que le commutateur ou la borne sans fil
Ils doivent supporter le protocole Radius et un ensemble de protocoles d’authen-
tification pour permettre à l’utilisateur de s’authentifier (IEEE 802.1X , EAP et
ses méthodes ...), le protocole IEEE 802.1Q si l’utilisation des réseau virtuels est
souhaités.
2. Le serveur Radius : Il existe plusieurs solutions sur le marché, certains commer-
ciales, d’autres libres.
– ACS (Access Control Server de Cisco sous Windows)
– Aegis (de MettingHouse sous Linux)
– IAS (Internet authentification Service de Microsoft sous Windows)
– OpenRadius (libre sous Linux)
– FreeRadius (libre sous Linux, BSD, Solaris et Windows)
3. Poste clients qui représente les utilisateurs
Pour permettre le communication entre serveur Radius et la NAS, il existe six types
de requête RADIUS :
– Acces Request, Acces Accept, Acces Reject et Acces Challenge : ces requête
sont utilisées dans les échanges d’authentification/autorisation.
– Accounting-Request et Accounting Response sont utilisés dans les échanges
liés à la comptabilité.
6
3.3 Protocole DIAMETER
Diameter est un protocole d’authentification conçu pour servir de support à l’archi-
tecture AAA, successeur du protocole RADIUS. Ce protocole est défini par la RFC 3588.
Il a repris les principales fonctions de Radius ( Diameter est compatible avec Radius )
et en a rajouté de nouvelles pour s’adapter aux nouvelles technologies ( IPv4 Mobile,
NASREQ ... ) et plus particulièrement offrir des services aux applications mobiles. Ce
protocole se situe au niveau de la couche transport. Il utilise le port 3868 via le protocole
TCP ou bien SCTP. [3] [5]
7
Agent relais dans un réseau DIAMETER [3]
8
technologie de couche 2 utilisée, par l’intermédiaire d’un paquet "REPLY".
En validant les informations qu’il a entré relative à son nom d’utilisateur, le client
en envoi un paquet "CONTINUE" contenant ces informations. Le serveur TACACS
vérifie alors dans sa base si l’utilisateur est présent ou non dans sa base et envoie
dans un paquet "REPLY" afin d’informer le client si l’authentification a été un
succès ou un échec.
2. Autorisation : Quand un utilisateur demande l’utilisation d’un service particulier,
il passe par l’intermédiaire du client TACACS+ qui envoie un paquet " REQUEST
". Ce paquet comprend des arguments de types " attributs-valeurs " qui permette
de définir les commandes qui doivent être exécutés. Par exemple si l’utilisateur veut
utiliser le protocole FTP, le client TACACS+ enverra comme argument protocol =
"ftp".
Après avoir vérifié dans sa base le serveur TACACS+ répond par un paquet "RES-
PONSE" qui autorise ou l’utilisation du service demandé par l’utilisateur.
3. Comptabilisation : La communication de la comptabilisation est similaire à celle
de l’autorisation.
9
précisant la ressource à laquelle il veut accéder. Le KDC est ainsi en mesure de déli-
vrer à l’utilisateur et à la ressource concernée une nouvelle clé de session permettant les
échanges directs entre eux. Le client et le serveur s’authentifie mutuellement par ce biais
et la communication peut se poursuivre entre eux.
Le TGT expire à une date et à une heure déterminé. Il permet au client d’obtenir d’autres
tickets associés à des permissions spéciales d’accés à d’autres services graçe au TGS
(Ticket-Granting Service). Une fois le TGT obtenu, la manipulation des tickets addition-
nels devient transparente pour l’utilisateur. [13]
4 Annuaires
Un annuaire électronique est une base de donnée spécialisée, dont la fonction première
est de retourner un ou plusieurs attributs d’un objet grâce à des fonctions de recherche
multi-critères. Contrairement à un SGBD, un annuaire est très performant en lecture
mais l’est beaucoup moins en écriture. Sa fonction peut être de servir d’entrepôt pour
centraliser des informations et les rendre disponibles, via le réseau à des applications, des
systèmes d’exploitation ou des utilisateurs.
4.1 NIS
Dès 1985 Sun à introduit le Network Information Service (NIS), déjà destiné à centra-
liser l’administration des informations système. NIS n’est pas un standard de l’Internet
mais largement utilisé. Les informations sont stockées sous forme de map contenant des
paires "mots_clef/valeurs" stockées sur une machine "hôte" (Serveur), dans de simples
bases de données distribuée, accessibles par des appels RPC (Remote Procedure Call).
NIS fonctionne sur le principe "clients-serveur". L’objectif de NIS est de réduire le temps
d’administration d’un parc de machine, en simplifiant la gestion des comptes, des mots
de passe sous Linux. Il suffit de créer chaque un nouvel utilisateur sur le serveur NIS pour
que chaque machine client NIS ait accés aux informations de cet utilisateur. [9]
10
4.2 NIS+
Sun à réagit aux défauts de NIS par l’introduction dans solaris 2 des NIS+. Ils ré-
pondent aux trois remarques ci-dessus en introduisant un propagation des données entre
maître-esclave de manière incrémentale, en ajoutant la notion de root domain master en
haut de l’arbre hiérarchique sous lequel de trouvent des subdmain master pouvant eux-
mêmes être au-dessus d’autres subdomain-master. Enfin la notion de “certificat, identité”
(credential) via une paire de clé privée/publique vient combler le problème de sécurité.
L’imposition d’une architecture hiérarchique de haut en bas des nis+ qui implique une
coopération entre les administrateurs systèmes des différents départements d’une organi-
sation, ainsi que la gestion des paires clé privée/public fut finalement un frein au passage
des nis aux nis+. Pourtant ces derniers préfigurent beaucoups de concepts utilisés par la
suite dans LDAP.
4.3 DNS
Le Domain Name System (DNS) est un service permettant d’établir une correspon-
dance entre une adresse IP et un nom de domaine. C’est un annuaire spécialisé.
4.4 LDAP
LDAP (Lightweight Directory Access Protocol, traduisez Protocole d’accès aux an-
nuaires léger) est un protocole standard permettant de gérer des annuaires, c’est-à-dire
d’accèder à des bases d’informations sur les utilisateurs d’un réseau par l’intermédiaire
de protocoles TCP/IP.
Les bases d’informations sont généralement relatives à des utilisateurs, mais elles sont
parfois utilisées à d’autres fins comme pour gérer du matériel dans une entreprise.
Le protocole LDAP, développé en 1993 par l’université du Michigan, avait pour but
de supplanter le protocole DAP (servant à accéder au service d’annuaire X.500 de l’OSI),
en l’intégrant à la suite TCP/IP. A partir de 1995, LDAP est devenu un annuaire natif
(standalone LDAP), afin de ne plus servir uniquement à accéder à des annuaires de type
X500. LDAP est ainsi une version allégée du protocole DAP, d’où son nom de Lightweight
Directory Access Protocol.
Le protocole LDAP définit la méthode d’accès aux données sur le serveur au niveau du
client, et non la manière de laquelle les informations sont stockées.
Le protocole LDAP en est actuellement à la version 3 et a été normalisé par l’IETF
(Internet Engineering Task Force). Ainsi, il existe une RFC pour chaque version de LDAP,
constituant un document de référence : [7] [12] [6]
– RFC 1487 pour LDAP v.1 standard
– RFC 1777 pour LDAP v.2 standard (1994)
– RFC 2251 pour LDAP v.3 standard (1997)
11
Protocole LDAP [4]
5 Conclusion
Que ce soit pour un accès à des réseau locaux ou étendue, que ces réseau soit filaires ou
sans fil, que ces réseaux soit en architecture client/serveur ou répartis, l’authentification
des équipements, des services et des personnes est nécessaire.
Or, les procédures d’authentification classique par identifiant et mot de passe ne suf-
fisent plus. l’écoute de ligne est l’attaque numéro un qui permet de récupérer facilement
l’identité d’un utilisateur. La deuxième catégorie d’attaque consiste à espionner, simu-
ler, copier ou voler le moyen d’authentification des utilisateurs. La troisième concerne la
12
récupération des éléments d’authentification des utilisateurs stockés du coté du serveur
d’authentification. La quatrième est l’ingénierie sociale qui vise à tromper la vigilance de
l’utilisateurs en l’amenant astucieusement à révéler volontairement ses mots de passe, ses
codes ou ses secrets. Enfin, La sinquième est l’attaque dite "à force brute" qui consiste
par exemple à essayer systématiquement et automatiquement tous les mots de passe pour
arriver au bon.
L’enjeu est d’autant plus considérable que ces menaces qui pèsent sur les particuliers,
les entreprises, les organisations les administrations et leur système d’information sont
bien réels. C’est lâ ou se montre le rôles des service d’authentification et annuaire pour
controler à bien les utilisateurs.
L’authentification n’est donc pas une fonction de sécurité à négliger, bien au contraire.
Elle occupe une place centrale dans la sécurité des réseaux d’aujourd’hui.
13
Références
[1] Active directory, http ://fr.wikipedia.org/wiki/active_directory.
[2] http ://upload.wikimedia.org/wikipedia/commons/5/53/drawing_radius.png.
[3] http ://wapiti.telecom-lille1.eu/commun/ens/peda/options/st/rio/pub/exposes/exposesrio2004/ba
duchemin/diameter.htm.
[4] http ://www-igm.univ-mlv.fr/ dr/xpose2006/caillaud_hassler_jorry/concepts.html#securite.
[5] Introduction to diameter, http ://www.ibm.com/developerworks/wireless/library/wi-
diameter/.
[6] Le protocole ldap, http ://linagora.org/contrib/annuaires/formations/protocole.
[7] Le protocole ldap, http ://www.commentcamarche.net/contents/internet/ldap.php3.
[8] Le protocole tacacs+, http ://www.supinfo-projects.com/fr/2006/tacacsp/.
[9] Nis, http ://cern91.tuxfamily.org/linux/indexnet.php ?page=nis.
[10] Tacacs+ and radius comparison, http ://www.cisco.com/en/us/tech/tk59/technologies_tech_note
[11] Serge Bordères. Authentification réseau avec Radius. EYROLLES, 2007.
[12] Marcel Rizcallah. Annuaires LDAP. EYROLLES, septembre 2004.
[13] Pascal THONIEL. Sécurité des systèmes d’information. Technique de l’ingénieur,
Avril à Octobre 2009.
14