Académique Documents
Professionnel Documents
Culture Documents
Architecture
-
Modèle AAA
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 1
Architecture AAA
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 2
Architecture AAA
• Services de Sécurité : Authentication
La notion d’authentification correspond à l’identification de l’utilisateur, que
ce soit une personne physique ou un service.
Le contrôle de cette information consiste à vérifier un secret partagé entre
l’utilisateur et le serveur d’authentification. Il peut être de plusieurs types :
o Statique : information connue du seul individu, dont l'exemple
classique et omniprésent est le mot de passe.
o Dynamique : on passe alors par un challenge (demandes
d’informations d’identifications diverses) entre le serveur et l’utilisateur,
ce qui permet d’avoir une information différente à chaque nouvelle
authentification : un certificat, une technique intégrée dans les PKI (Public
Key Infrastructure), une carte à puce, …
o Physique : par une caractéristique physique unique de l'individu, telle
que définie par les techniques de la biométrie : reconnaissance vocale,
empreintes, iris, pupille, ...
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 3
Architecture AAA
• Services de Sécurité : Authorization
La notion d’autorisation est le fait de déterminer quels sont les droits de
l’utilisateur. Dans certaines implémentations, l’identification et l’autorisation
sont regroupées en une seule étape.
Peu importe la politique utilisée, elle reste basée sur trois principes :
o Classification des informations : chaque information nécessite un
certain niveau d’accès pour les consulter.
o Niveau d’accès des utilisateurs : détermine le niveau d’accès de
chaque utilisateur.
o Permissions de l’utilisateur : détermine quels droits l’utilisateur aura
sur les données (lecture, écriture, lecture et écriture).
Une fois l’utilisateur authentifié, il lui sera attribué les droits nécessaires en
fonction de la politique de contrôle d’accès.
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 4
Architecture AAA
• Services de Sécurité : Accounting
La notion d’autorisation est le fait de garder les informations sur l’utilisation
des ressources par les utilisateurs authentifiés, elle regroupe l’ensemble
des mesures de la consommation d’un utilisateur en termes d’échange
réseau, de ressources système,... Ce qui permet d’avoir une vue à la fois
les services demandés par l’utilisateur et la quantité de ressources
requises.
La traçabilité est très importante pour assurer une bonne sécurité et une
intervention rapide en cas de problèmes.
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 5
Architecture AAA
• Serveur AAA : RADIUS (RFC 2865)
RADIUS (Remote Authentication Dial In User Service) est un protocole
basé sur une architecture client/serveur chargé de définir les accès des
utilisateurs distants à un réseau.
Il a été conçu par Steve Willens pour la société Livingston dans le but de
répondre principalement aux besoins des prestataires
réseaux tels que les fournisseurs d’accès.
Le principe de fonctionnement du protocole réside dans l’utilisation d’un
secret qui permet d’authentifier les transactions et d’effectuer le cryptage
du mot de passe, ceci à travers de nombreux
mécanismes, les plus courants étant PAP, CHAP, LDAP et Kerberos.
Contrairement au protocole TACACS +, il n’est possible de chiffrer que le
mot de passe au sein de la trame.
Le protocole RADIUS exploite UDP au port 1812 (anciennement 1645)
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 6
Architecture AAA
• Serveur AAA (RADIUS) : Principe de fonctionnement
Tous les utilisateurs distants accèdent au réseau au travers d’un NAS (Network
Access Server), ou d’un client AAA.
Un NAS est une interface qui gère les accès distants à travers une ligne
téléphonique ou RNIS (Exemples de protocoles : PPP, SLIP, …). Il transmet les
informations au serveur AAA qui valide ou non les connexions distantes.
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 7
Architecture AAA
• Serveur AAA (RADIUS) : Mise en place d’un serveur maître
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 10
Architecture AAA
• Serveur AAA : TACACS+ (Cisco)
TACACS+ a été développé à l’origine par BBN, puis repris par Cisco. Il
n’est pas compatible avec ses précédentes versions. Il utilise également la
couche de transport TCP. Il met en œuvre la notion de session pour ses
communications entre le client et le serveur.
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 11
Architecture AAA
• Serveur AAA (TACACS+) : Etablissement d’une session