BIG SOFT

Architecture
-
Modèle AAA

Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 1
Architecture AAA

• Services de Sécurité & Méthode de contrôle d’accès

L’architecture AAA, construit autour de trois principes de base de la
sécurité (Authentification, Authorization, Accouting) et fournit des méthodes
de contrôle d‘accès à travers de multiples technologies de réseaux (PAP,
CHAP, RADIUS, TACACS/TACACS+, Kerberos).

AAA est un cadre fondamental qui permet :

• de contrôler qui est autorisé à accéder au réseau (Authenticate),
• de contrôler les droits de l’utilisateur sur les différentes ressources (Authorize),
• de garder des informations sur l’utilisation des ressources par l’utilisateur
(Accounting).

Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 2
Architecture AAA
• Services de Sécurité : Authentication
La notion d’authentification correspond à l’identification de l’utilisateur, que
ce soit une personne physique ou un service.
Le contrôle de cette information consiste à vérifier un secret partagé entre
l’utilisateur et le serveur d’authentification. Il peut être de plusieurs types :
o Statique : information connue du seul individu, dont l'exemple
classique et omniprésent est le mot de passe.
o Dynamique : on passe alors par un challenge (demandes
d’informations d’identifications diverses) entre le serveur et l’utilisateur,
ce qui permet d’avoir une information différente à chaque nouvelle
authentification : un certificat, une technique intégrée dans les PKI (Public
Key Infrastructure), une carte à puce, …
o Physique : par une caractéristique physique unique de l'individu, telle
que définie par les techniques de la biométrie : reconnaissance vocale,
empreintes, iris, pupille, ...

Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 3
Architecture AAA
• Services de Sécurité : Authorization
La notion d’autorisation est le fait de déterminer quels sont les droits de
l’utilisateur. Dans certaines implémentations, l’identification et l’autorisation
sont regroupées en une seule étape.
Peu importe la politique utilisée, elle reste basée sur trois principes :
o Classification des informations : chaque information nécessite un
certain niveau d’accès pour les consulter.
o Niveau d’accès des utilisateurs : détermine le niveau d’accès de
chaque utilisateur.
o Permissions de l’utilisateur : détermine quels droits l’utilisateur aura
sur les données (lecture, écriture, lecture et écriture).

Une fois l’utilisateur authentifié, il lui sera attribué les droits nécessaires en
fonction de la politique de contrôle d’accès.

Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 4
Architecture AAA
• Services de Sécurité : Accounting
La notion d’autorisation est le fait de garder les informations sur l’utilisation
des ressources par les utilisateurs authentifiés, elle regroupe l’ensemble
des mesures de la consommation d’un utilisateur en termes d’échange
réseau, de ressources système,... Ce qui permet d’avoir une vue à la fois
les services demandés par l’utilisateur et la quantité de ressources
requises.

Cette notion peut être rapprochée à celle du monitoring ou de la traçabilité

et un administrateur réseaux pourra ainsi, consulter les logs afin de vérifier
les actions d’un utilisateur, ou bien retrouver l’auteur de telle ou telle action
suspecte.

La traçabilité est très importante pour assurer une bonne sécurité et une
intervention rapide en cas de problèmes.

Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 5
Architecture AAA
• Serveur AAA : RADIUS (RFC 2865)
RADIUS (Remote Authentication Dial In User Service) est un protocole
basé sur une architecture client/serveur chargé de définir les accès des
utilisateurs distants à un réseau.
Il a été conçu par Steve Willens pour la société Livingston dans le but de
répondre principalement aux besoins des prestataires
réseaux tels que les fournisseurs d’accès.
Le principe de fonctionnement du protocole réside dans l’utilisation d’un
secret qui permet d’authentifier les transactions et d’effectuer le cryptage
du mot de passe, ceci à travers de nombreux
mécanismes, les plus courants étant PAP, CHAP, LDAP et Kerberos.
Contrairement au protocole TACACS +, il n’est possible de chiffrer que le
mot de passe au sein de la trame.
Le protocole RADIUS exploite UDP au port 1812 (anciennement 1645)

Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 6
Architecture AAA
• Serveur AAA (RADIUS) : Principe de fonctionnement

Tous les utilisateurs distants accèdent au réseau au travers d’un NAS (Network
Access Server), ou d’un client AAA.
Un NAS est une interface qui gère les accès distants à travers une ligne
téléphonique ou RNIS (Exemples de protocoles : PPP, SLIP, …). Il transmet les
informations au serveur AAA qui valide ou non les connexions distantes.
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 7
Architecture AAA
• Serveur AAA (RADIUS) : Mise en place d’un serveur maître

La mise en place de RADIUS repose principalement sur l’utilisation d’un annuaire

LDAP/base de données, d’un serveur maître et d’un serveur client.
Le serveur maître (RADIUS) fait office d’interface connectée d’une part à un
serveur centralisant les informations d’authentification des utilisateurs (base de
données, annuaire LDAP, etc.) et, d’autre part, à un NAS, faisant office
d'intermédiaire entre l'utilisateur distant et le serveur.
Le client RADIUS peut être soit un NAS, soit un routeur ou un firewall.
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 8
Architecture AAA
• Serveur AAA (RADIUS) : Etablissement d’une session

1. Le poste utilisateur transmet les informations nécessaires à l’authentification (login,

mot de passe, adresse MAC,…) au client RADIUS via une liaison PPP
2. Le client RADIUS envoi un paquet « Access-Request » au serveur RADIUS.
Il contient l’ensemble des informations de l’utilisateur (mot de passe, port,…)
3. Le serveur RADIUS reçoit la requête, vérifie l’authenticité du paquet en vérifiant le
secret qu’il partage avec le client RADIUS, puis vérifie l’identité de l’utilisateur en
comparant les informations contenues au sein d’une base de données ou d’un
annuaire LDAP. Le serveur RADIUS peut demander soit de ré-emettre un Access-
request, soit pour demander des informations complémentaires (Access-Challenge).
4. Le client RADIUS génère ensuite une requête Access-Request contenant les
informations d'authentifications demandées par le challenge.
5. Le serveur RADIUS valide ou refuse la requête en transmettant un paquet de type
« Access-Accept » ou « Access-Reject »
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 9
Architecture AAA
• Serveur AAA : TACACS (Cisco)
TACACS (Terminal Access Controller Access Control System) est un
protocole d’authentification mis au point par Cisco. Il permet à un serveur
d’accès à distance de transmettre les données d’authentification à un
serveur d’authentification via TCP.

Les données échangées entre le serveur d’accès et le client sont

contenues dans des paquets TACACS, eux-mêmes encapsulés dans les
champs de données TCP.

TACACS n’offre pas la possibilité de chiffrer les données d'identification, ni

la gestion de rapports (monitoring).

Version améliorée (TACACS+).

Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 10
Architecture AAA
• Serveur AAA : TACACS+ (Cisco)
TACACS+ a été développé à l’origine par BBN, puis repris par Cisco. Il
n’est pas compatible avec ses précédentes versions. Il utilise également la
couche de transport TCP. Il met en œuvre la notion de session pour ses
communications entre le client et le serveur.

Une session TACACS+ qui peut être un échange d’authentification,

d’autorisation, ou de rapports, éventuellement chiffrés (l’identifiant des
sessions est alors utilisé pour chiffrer l’intégralité des paquets).

Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 11
Architecture AAA
• Serveur AAA (TACACS+) : Etablissement d’une session

1. Le serveur d’accès distant reçoit un paquet « Authentication (start) » contenant le

couple nom d’utilisateur/mot de passe, puis le renvoie vers le serveur TACACS (Phase
d’Authentification)/ TACACS Server : « Reply (finnished) »
2. Si le serveur désire avoir d’avantage d’informations sur l’utilisateur distant, Le NAS
envoi un « Authorization (request) » / TACACS Server : « Response (Pass) »
3. Le NAS envoi un « Accounting (start) » pour indiquer que l’utilisateur est bien identifié
sur le réseau. (Phase Accounting) / TACACS Server : « Reply (Success) »
4. Lors de la déconnexion de l’utilisateur distant, le NAS envoi un « Accounting (Stop) »
incluant des informations telles que le temps de la connexion, la date et l’heure, le
nombre d’octets transférés,, … / TACACS Server : « Reply (Success) »
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 12
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 13