Académique Documents
Professionnel Documents
Culture Documents
Sous le thème
JURY
par
Youssef ZAHIR
Mohammedia , Maroc
Juin, 2019
FSTM – 2019
REMERCIEMENTS
Je remercie également toute l'équipe de la direction des systèmes d’information pour leur
accueil, leur esprit d'équipe et en particulier M. Mohammed EL MADANI, le directeur du
service, qui m'a beaucoup aidé à comprendre les différentes tâches et procédures.
Toutefois, j'espère que personne ne se sentira offusqué d'avoir été omis et j'espère que
l'émotion d'avoir terminé ce travail justifiera quelques oublis s'il y en a.
Enfin, je tiens à remercier toutes les personnes qui m'ont conseillé et relu lors de la
rédaction de ce rapport de stage : ma famille, mon ami Hamza SOHAB camarade de
promotion.
Ce modeste travail, présenté par ce document, constitue le fruit d’une expérience très
enrichissante qui a durée 2 mois au sein de la société La Voie Express, ou la mission
qui m’a été confiée consiste à réaliser une étude et la mise en place de la solution
d’authentification RADIUS sous le réseau Wi-Fi local. Assurant le contrôle des accès
des utilisateurs, pour cela, nous avons choisi le protocole RADIUS qui est l’un des
protocoles d’authentification les plus performant.
Pour la réalisation de ce travail, mon projet a été organiser de manière à respecter une
démarche bien organisée. Après avoir conçu une étude préliminaire de l’existant ayant
pour objectif d’identifier l’état de l‘existant et comment la relie avec cette solution.
J’ai ainsi commencé la procédure pour finaliser la mise en place et le posage de la
solution, et pour l’implémentation de la solution nous avons choisi le contrôle du
serveur par MS 2012 qui inclut le serveur d’authentification RADIUS et la base de
données AD pour l’enregistrement des comptes utilisateurs.
Ce rapport se propose de décrire les différentes étapes par lesquelles le projet a passé
dans le but d’atteindre la solution actuelle.
ABSTRACT
Nowadays, computer security is almost essential for the proper functioning of a wired
or wireless network, for this network administrators must implement mechanisms
more robust.
This modest work, presented by this document, is the fruit of a very rewarding
experience that lasted 2 months inside the company “La Voie Express”, or the mission
that was entrusted to us place of the authentication solution RADIUS under the local
Wi-Fi network. To ensure the control of the access of the users, for that, we chose the
RADIUS protocol which is one of the most efficient authentication protocols.
For the work of this study, my work to summer has organized a way to respect a well-
organized approach. After a preliminary study of the existence of the identifier of the
existing and the commentary with this solution. So I started the process to finalize the
implementation and positioning of the solution, and for the implementation of the
solution, we chose to control the server by MS 2012 which includes the RADIUS
authentication server and the AD database for registering users accounts.
This report aims to describe the different stages of the project in the past, in the object
to reach the current solution.
Table des matières
Introduction ....................................................................................................... 1
Première Partie : Contexte Général du projet
Chapitre 1 : Structure d’accueil ....................................................................... 3
1. Présentation de la structure d’accueil ............................................................................... 3
1.1.Presentation de société La Voie Express ....................................................................... 3
1.1.1. Historique ........................................................................................................... 4
1.1.2. Fiche signalétique ................................................................................................ 4
1.1.3. Organigramme ..................................................................................................... 5
1.1.4. Moyens................................................................................................................. 5
1.1.5. Engagements ....................................................................................................... 6
1.1.6. Service qualité ..................................................................................................... 6
1.2 Présentation de la direction des systèmes d’information .............................................. 7
2. Activités et implantation géographique ............................................................................ 7
2.1 Activités ........................................................................................................................ 7
1. Affrètement ........................................................................................................... 7
2. Messagerie ............................................................................................................ 8
3. Logistique ............................................................................................................. 8
2.2. Implantation géographique ........................................................................................... 9
1.Historique ........................................................................................................................... 36
2. RADIUS ............................................................................................................................. 36
3. Le fonctionnement de RADIUS ....................................................................................... 38
4. L’authentification, l’autorisation et la gestion des connexions d’accès réseau ........... 39
4.1 Authentification par adresse MAC .............................................................................. 40
4.2 Authetification 802.1x ................................................................................................ 40
5. RADIUS et 802.1x ............................................................................................................. 41
6. Les méthodes d’authentification ...................................................................................... 41
6.1 Les différentes phases (simplifiées) d'une connexion 802.1x ...................................... 42
7. Le protocole RADIUS dans le modèle OSI ..................................................................... 42
8. Successeur de RADIUS ..................................................................................................... 43
9. Avantages et Inconvénients du RADIUS ........................................................................ 43
9.1 Avantages ..................................................................................................................... 43
9.2 Inconvénients ............................................................................................................... 43
10.Conclusion ........................................................................................................................ 43
Bibliographie .................................................................................................... 64
Annexes ............................................................................................................. 66
Annexe A : Diagramme de Gantt ........................................................................................ 66
Annexe B : Analyse SWOT ................................................................................................ 67
Table des Tableaux
et Liste des Figures
Table des Tableaux
Figure 1.6 Prix d’abonnement mensuel des débit par ADSL pro IAM
OSI ( Open Systems Interconnection) : Le modèle OSI est une norme précisant comment
les machines doivent communiquer entre elles. C'est un modèle théorique, le modèle
réellement utilisé étant le modèle TCP/IP& . Chaque couche a un rôle particulier à accomplir.
Les couches 1 à 4 sont les couches réseau.
NPS (Network Policy Server) : Est une implémentation de Microsoft d'un serveur et d'un
proxy RADIUS (Remote Authentication User Service). C'est le successeur du service
d'authentification Internet (IAS).
LDAP (Lightweight Directory Access Protocol) : Protocole d'accès aux annuaires léger et
prononcez "èl-dap") est un protocole standard permettant de gérer des annuaires, c'est-à-dire
d'accéder à des bases d'informations sur les utilisateurs d'un réseau par l'intermédiaire de
protocoles TCP/IP.
WEP (Wired Equivalent Privacy ) : Est un protocole pour sécuriser les réseaux sans fil de
type Wi-Fi. ... Le WEP tient son nom du fait qu'il devait fournir aux réseaux sans fil une
confidentialité comparable à celle d'un réseau local filaire classique.
WPA/WPA2 (Wi-Fi Protected Access) : Est un mécanisme pour sécuriser les réseaux sans-
fil de type Wi-Fi. Il a été créé au début des années 2000 en réponse aux nombreuses et sévères
faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP
& , l'ensemble des protocoles utilisés pour le transfert des données sur Internet.
1
INTRODUCTION
La première solution à ce problème fut l’apparition des clés WEP qui étaient
utilisées à la fois pour authentifier et chiffrer les échanges. Elles deviennent très
vite obsolètes car l’algorithme a été rapidement cassé et la méthode
d’authentification n’était pas fiable (basée sur une clé́ partagée). Mais
l’avènement du WPA et du WPA2 en 2004 a été d’un grand secours pour les
réseaux sans fil. Aujourd’hui on peut parler d’un niveau de sécurité enlevé car
de nombreuses technologies sont nées depuis lors, visant à améliorer cet aspect :
VPN, SSL,...
Pratiquement tous les postes utilisateurs sont équipés d’une couche logicielle
appelée qui prend en compte le WPA qui offre ainsi les fonctions
d’authentification et de chiffrement. Pour pouvoir s’authentifier, le supplicant
doit envoyer des requêtes à un serveur dédié qui se charge de vérifier les
informations et d’accepter ou refuser les demandes : le serveur RADIUS.
Bonne lecture !!
2
Première partie
Contexte Général du projet
3
CHAPITRE 1
Structure d’accueil
Sommaire
1. Présentation de la structure d’accueil ............................................................................... 3
1.1.Presentation de société La Voie Express ....................................................................... 3
1.1.1. Historique ........................................................................................................... 4
1.1.2. Fiche signalétique ................................................................................................ 4
1.1.3. Organigramme ..................................................................................................... 5
1.1.4. Moyens................................................................................................................. 5
1.1.5. Engagements ....................................................................................................... 6
1.1.6. Service qualité ..................................................................................................... 6
1.2 Présentation de la direction des systèmes d’information .............................................. 7
Grace à son expertise, La Voie Express dispose d’une certaine maîtrise des flux de
marchandises et d’informations, au service des donneurs d’ordres aux exigences de plus en plus
pointues. La Voie Express se positionne aujourd’hui comme un prestataire logistique intégré
couvrant la chaîne logistique, elle reste incontestablement le leader de la logistique de
messagerie au Maroc et ceux grâce au développement de trois métiers à savoir : la messagerie,
le transport, la logistique. En commandite action avec un capital de 15.000.000 de Dirhams, sa
notoriété ne dépasse pas les frontières nationales, elle dispose de 300 véhicules (exclus ceux du
personnel) et emploie 600 personnes au niveau national.
La Voie Express est ainsi le seul premier prestataire intégrateur 3PL& sur le marché marocain,
l’entreprise qui opère sur le secteur du transport et de la logistique diversifie l’offre de ses
produits et services en proposant une solution intégrée drainant un nombre de plus en plus
important de donneurs d’ordre : PME/PMI et multinationales.
Elle accompli ainsi toutes les opérateurs attachées à la gestion de la chaine logistique,
ramassage, le transport, l’entreposage, la préparation des commandes, et jusqu’au retour de
fonds. Ce qui constitue le panier des principaux produits, elle assure trois activités principales :
Ø Affrètement
Ø Messagerie
Ø Logistique
05-22-34-42-64
Adresse 19, Rue Abou Bakr Ibnou Koutaia, Ain Sebaâ -
Casablanca
Site Internet www.lavoieexpress.com
Directeur général
1.1.4. Moyens
Humains
Se sont plus de 600 femmes et hommes qui sont au service des clients tous les jours, en
donnant le meilleur d’eux même en cherchent constamment à se surpasser, avec un souci
constant du respect des normes qualité. C’est cela l’esprit et la culture ‘VEX’.
Matériels
La Voie Express dispose d’un important parc de plus de 280 véhicules de tous types :
• Utilitaires 500 Kg – 1,
• Camions 3,5T ou 5,5T- 20,
• Camions 8T,14T - 30,
• Semi-remorques 25T-80: fourgon, totliner, bâchées, savoyardes, plateaux, col de signe,
surbaissée, etc...
Cette variété de véhicules permet à La Voie Express d’offrir à sa clientèle des solutions
transports adaptées à leurs besoins. Dans le but constant d’optimiser les couts transport en
arbitrant sur le couple délai-coût.
Plusieurs critères et contraintes sont intégrés dans le choix de la solution logistique. Les coûts,
les délais, le volume et la quantité des marchandises, l’encombrement, le temps de
chargement/déchargement, les moyens des manutention, ainsi que le lieu de la
livraison(centre-ville, rues étroites, etc...).
6 P1/Chapitre 1 : Structure d’accueil
1.1.5. Engagements
Sécurité des entrepôts des agences
Les preuves
Sécurité routière
• Donner les moyens aux conducteurs d’être exemplaires en matière de sécurité routière.
• La sécurité routière est une priorité permanente qui s’inscrit dans le cadre d’une politique
responsable de prévention de risques partagés par tous les collaborateurs de la Voie Express.
la Voie Express recrute, forme et responsabilise ses collaborateurs pour agir en équipe et
construire un environnement de travail performant. Par des actions de sensibilisation et de
recrutement.
La Voie Express a mis en place une politique de diversité et d’intégration, qui fait de
l’entreprise un lieu de travail où la culture d’entreprise reconnaît et valorise les compétences.
Figure 1.3 Logo d’AFNOR certification Figure 1.4 Logo de la certification ISO 9001.
La Voie EXPRESS opère depuis de nombreuses années en affrètement sur le marché national.
Cette solution garantit des services compétitifs et de qualité tout en permettant de faire face à
de forte variation de demandes. Le service appuyons sur un parc roulant comprenant différents
types de véhicules :
5t5, 8t, 14t, semi-remorques 25t : totliner, bâchées, surbaissée, col de signe…
Pour garantir une prestation optimale, les cahiers des charges sont élaborés en équipe (client,
techniciens, exploitants, conducteurs).
8 P1/Chapitre 1 : Structure d’accueil
Cette solution sur-mesure comprend :
- L'analyse des flux et des variations d'activités (saisonnalité, arrêts techniques…).
- La prise en compte des modes opératoires.
- Un interlocuteur unique qui prend en charge et suit les dossiers au quotidien
(prise de commande, planification des moyens, cadencement des véhicules, suivi des délais
de livraison, remontée d'information…).
- La prise de rendez-vous au chargement ou chez le destinataire.
- La gestion des non-conformités.
- La possibilité d'échanges de données : le service informatique s'adapte à tous les systèmes
d'information.
Messagerie
La solution pour livrer des colis ou marchandises en faible quantité ou sur des destinations
éloignées en un temps record, et surtout à faible coût, livraison de tous types de produits
manufacturés ou industriels sans limite de poids de 1kg à 5tonnes pour une livraison sur tout
le Maroc.
La Voie Express développe et met régulièrement en place de nouveaux services, avec toujours
comme réel objectif la satisfaction de ces client :
Logistique
Le service qui met en disposition la gestion de nos stocks en répondant à des marchés de plus en
Plus exigeants. Quelle que soit la taille de l’entreprise et la nature des produits et
conditionnement, les équipes de La Voie Express élaborent des solutions logistiques optimales
et évolutives, Grâce à implémentations régionales.
ils proposent des services à la hauteur de vos exigences en terme de :
- GESTION RÉCEPTION
- STOCKAGE
- PRÉPARATION DE COMMANDES
- PICKING
- EXPÉDITIONS
9 P1/Chapitre 1 : Structure d’accueil
La Voie Express offre un réseau très développé avec des Agences de distribution en propre, et
ce, sur les principales villes du Maroc. Ce réseau d'agences comprend des hubs permettent de
livrer quotidiennement sur plus de 129 destinations au Maroc, soit plus de 6 400 destinataires
Par jour (entreprises, particulier, grande et moyenne surface, etc...).
CHAPITRE 2
Objectifs et Solutions Adoptée
Sommaire
1. Objectifs du projet ............................................................................................................ 10
1.1 Problématique général du projet .............................................................................. 10
1.2 Étude de l’existant ................................................................................................... 11
1.2.1 Préambule .................................................................................................... 11
1.2.2 Analyse au sujet de débit ............................................................................... 11
1.2.2.1 L’état actuelle ........................................................................................ 11
1.2.2.2 Solution adopté ...................................................................................... 12
1.2.3 Analyse au sujet de la sécurité .................................................................... 14
3.Conclusion .......................................................................................................................... 14
C
ompte tenu des problèmes rencontrés précédemment et dans le souci de trouver des
solutions appropriées. Nous avons proposé d’implémenter un protocole
d’authentification pour gérer l’accès des utilisateurs au réseau Wi-Fi dans le siège de
La Voie Express. Authentification : Le fait de s'authentifier permet d'accéder à des
informations personnalisées en fonction du profil de la personne. Cette personnalisation de
l'information est aussi un gage de confidentialité des données.
1. Objectifs du projet
1.1 Problématique général du projet
Ouvrir l’entreprise vers le monde extérieur signifie laisser une porte ouverte à divers acteurs
étrangers. Cette porte peut être exploité pour la destruction des données ou pour le piratage
des données C’est pourquoi on doit sécuriser notre réseau en utilisant :
• VPN –Firewall& ,
• Serveur d’Authentification
& , Firewall ou pare-feu est outil informatique (matériel et/ou logiciel) conçu pour protéger les données d'un réseau
(protection d'un ordinateur personnel relié à Internet par exemple, ou protection d'un réseau d'entreprise).
11 P1/Chapitre 2 : Objectifs et solutions adoptée
Dans cette section, nous présentons une étude sur le passage vers un nouveau type de
connexion pour améliorer le débit, c’est le passage vers la connexion par fibre optique.
Après l’étude et l’analyse on trouve que le type de connexion à l’internet par la société est
pris depuis sa naissance via les lignes ADSL avec plusieurs abonnement, et un débit plus au
moins faible qui monte jusqu’à 12Mb/s sur une seule ligne.
Dans ce point la société a trouvé une contrainte qui s’ajoute au problématiques précèdent lié à
l’utilisation des utilisateurs du réseau Wi-Fi.
Les analyses sur ce sujet nous a donner une proposition qui peuvent limité le problème. cette
proposition est bien définis dans les parties suivantes.
Pour détaillé le contenu de la figure précédente on trouve que la connexion à l’internet est
faite avec double liaison une par le fournisseur IAM et l’autre par INWI ceci est pour qu’une
raison est le backup ou la procédure de la continuité d’activités prise par la société. Et dans la
partie à droite décrit comment l’architecture de la liaison dans le siège entre les différentes
étages du bâtiment et les autres lieu du siège, on voit bien que les points d’accès qui concerne
notre travaille sont les 3 celle dans le premier, deuxième et le quatrième étage. Le nombre des
lignes ADSL sont 4 lignes ADSL pro.
Dans le contexte de ce sujet et après la recherche dans les sites web des fournisseurs d’accès à
internet ISP, ici au Maroc et notamment ceux qui sont déjà en abonnement avec la société La
Voie Express. On trouve après la comparaison du prix, que le passage vers cette solution peut
être établi pour améliorer le débit.
Figure 1.6 Prix d’abonnement mensuel des débit par ADSL pro IAM
• Une plus grande bande passante et une vitesse plus élevée. Le câble à fibre optique prend
en charge une bande passante et une vitesse extrêmement élevée ; jusqu’à 10Gbps. La
quantité d’informations qui peut être transmise par unité de câble à fibre optique est son
avantage le plus significatif.
• Les fibres optiques sont aussi plus minces et plus légères. Ainsi, cela leur permet d’offrir
un meilleur ajustement, là où l’espace est un problème.
• Une capacité de charge plus élevée. Les fibres optiques étant beaucoup plus minces que
les fils de cuivre, davantage de fibres peuvent être regroupées dans un câble d’un même
diamètre. Cela permet à plus de lignes téléphoniques de passer par le même câble.
• La fibre optique a une meilleure durée de vie. Les fibres optiques ont généralement un
cycle de vie plus long ; plus de 100 ans.
• Les sources d’émission de faible puissance-lumière sont limitées à une faible puissance.
Bien que des émetteurs de forte puissance soient disponibles pour améliorer l’alimentation
électrique ; mais cela implique aussi un coût supplémentaire.
• Fragilité : la fibre optique est plutôt fragile et plus vulnérable aux dommages par rapport
aux fils de cuivre. Vous feriez mieux de ne pas tordre ou plier les câbles à fibres optiques ;
à vos risques et périls. Attention, ça n’est pas le cas du câble qui est beaucoup plus résistant.
• Distance : la distance entre l’émetteur et le récepteur doit rester courte ; ou alors des
répéteurs sont nécessaires pour amplifier le signal.
Remarque
Cette analyse n’est qu’une proposition qui peuvent être en place après l’étude par l’équipe de
la société, cette proposition a une liaison avec plusieurs solution selon l’administrateur, qui
peuvent être s’implémenter en même temps : RNIS, Visioconférence, TOIP...
14 P1/Chapitre 2 : Objectifs et solutions adoptée
Mon objectif dans ce projet est de réaliser ou de mettre en place la solution avec un
protocole d’authentification RADIUS sous le réseau Wi-Fi.
3. Conclusion
Dans ce chapitre qui présente les objectifs et les solutions adoptée, on a inauguré le chapitre
par une présentation du projet ou on a évoqués les problématiques, et une étude de l’existant,
puis on a cité le cahier de charge du projet. Pour la gestion du projet la démarche que nous
avions suivie pendant la gestion du projet ainsi que la planification de ce dernier sera évoqué
dans ( Annexe A).
La partie suivante est une deuxième partie du corps de la mémoire sera consacré pour une
étude théorique sur toute les parties qui décrit notre sujet de stage. Et par la suite nous allons
dévoiler une étude sur la solution qu’on va utiliser dans notre travail.
15
Seconde partie
Étude théorique de la solution
16
CHAPITRE 1
Authentification sur réseau local
Sommaire
1. Pourquoi une authentification sur réseau local ?............................................................ 17
8. Conclusion ......................................................................................................................... 20
A
vant toute chose, il est important de savoir de quoi on parle lorsqu'on traite
l'authentification dans le domaine de l'informatique. L'authentification est la
procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité
(personne, ordinateur...), afin d'autoriser l'accès de cette entité à des ressources (systèmes,
réseaux, applications...). L'authentification permet donc de valider l'authenticité de l'entité en
question.
Dans le cas d'un individu, l'authentification consiste, en général, à vérifier que celui- ci
possède une preuve de son identité ou de son statut, sous l'une des formes (éventuellement
combinées) suivantes :
En effet, si le sans-fil se développe, il n’en reste pas moins que le réseau filaire est toujours
bien là et indispensable. On remarquera également qu’un poste de travail qui dispose de la
double connectique sans fil et filaire a la possibilité́ d’être connecté, simultanément, dans les
deux environnements.
On peut alors être tenté de placer les postes sans fil dans un sous-réseau dédié et les postes
filaires sur un autre.
Mais est-ce une bonne idée ? Pourquoi un poste donné serait-il traité différemment suivant la
méthode d’accès au réseau ? N’est-ce pas le même poste, le même utilisateur ? La logique ne
voudrait-elle pas qu’un même poste soit toujours perçu de la même manière sur le réseau,
quel que soit son mode d’accès ?
Autrement dit, un poste ne doit-il pas être placé sur le même sous-réseau, qu’il se connecte
par le biais du réseau sans fil ou par le biais du réseau filaire ? Cette banalisation du
traitement constitue une intégration logique des deux moyens physiques.
À ces questions, on pourrait répondre que la sécurité des réseaux sans fil n’est pas assez
poussée et qu’il vaut mieux ne pas mélanger les torchons avec les serviettes.
Pourtant cet argument est contraire à la sécurité car, si un poste dispose de la double capacité
sans fil/filaire, il a alors la possibilité́ de faire un pont entre les deux environnements et de se
jouer des filtrages établis entre les réseaux virtuels qui ne servent alors plus à rien.
Une borne Wi-Fi émet dans toutes les directions et aussi loin que porte son signal. Bien
souvent, ses limites dépassent les bâtiments de l’établissement et parfois plusieurs réseaux se
recouvrent. Donc, partout dans le volume couvert par une borne, des « espions » peuvent
s’installer et intercepter les communications ou s’introduire dans le réseau et l’utiliser à leur
profit. Cette situation fut très problématique pour les premières installations Wi-Fi à cause de
l’absence de méthode d’authentification fiable des postes de travail et de mécanismes de
chiffrement fort des communications. Cela n’incitait pas à mélanger les postes filaires et sans
fil.
La première notion de sécurité fut introduite par les clés WEP, utilisées à la fois comme droit
d’accès au réseau et pour chiffrer les communications.
Cependant, il ne pouvait s’agir d’une méthode d’authentification sérieuse puisque la seule
connaissance de la clé partagée entre tous les utilisateurs et les bornes donnait accès au
réseau. Quant au chiffrement, les pirates ont très vite eu raison de l’algorithme utilisé, qui ne
résiste pas à une simple écoute du trafic suivie d’une analyse. Des logiciels spécifiques ont été
développés, tels que Aircrack ou Airsnort, qui permettent d’automatiser ce type d’attaques.
• Pour placer les postes connus à des endroits spécifiques du réseau (VLAN) de façon
dynamique.
• Affecter une machine sur le même VLAN que lorsqu’elle se connecte sur le réseau filaire.
• Authentification + cryptage.
8. Conclusion
Dans ce chapitre on présente la réponse pour la première question qui tombe dans la tête qui
s’interroge sur pourquoi l’authentification du réseau.
La partie suivante est un deuxième chapitre vise à détailler le modèle AAA qui englobe
l’authentification notre sujet, l’autorisation, la comptabilité ou la traçabilité.
21
CHAPITRE 2
Modèle AAA
Sommaire
1. Authentification ................................................................................................................ 22
1.1 Définition .................................................................................................................. 22
1.2 Utilisateur – AAA serveur ........................................................................................ 22
1.3 NAS – AAA Serveur Communications .................................................................... 23
1.4 Utilisateur – Communications NAS ......................................................................... 23
2. Autorisation ...................................................................................................................... 23
2.1 En quoi est-ce différent de l'authentification?............................................................ 24
3. Comptabilité ..................................................................................................................... 24
3.1. Quelles ressources ont été consultées, à quelle heure, par qui et quelles commandes
ont été émises? ........................................................................................................................ 24
3.2 Définition ................................................................................................................... 25
3.3 Sécurité de comptabilité ............................................................................................ 25
3.4 Fiabilité de comptabilité ........................................................................................... 26
3.4.1 Protocoles de transport......................................................................................... 26
3.4.2 Mécanismes de basculement ............................................................................... 26
5. Conclusions ........................................................................................................................ 27
L’
authentification, l’autorisation et la comptabilité (AAA) font référence à un cadre
de sécurité commun pour l’accès au réseau et aux applications en médiation. AAA
contrôle intelligemment l'accès aux ressources informatiques en appliquant des
règles strictes en matière d'accès et d'audit. Ce processus garantit que l'accès aux ressources
du réseau et des applications logicielles peut être limité à des utilisateurs légitimes
spécifiques.
AAA a un rôle à jouer dans presque toutes les manières dont nous accédons aux réseaux
aujourd'hui. Historiquement AAA a établi la référence. Bien que le surnom AAA soit
couramment utilisé en référence à RADIUS ou à Diameter (protocoles de réseau), le concept
est également largement utilisé pour la sécurité des applications logicielles. Cela est
particulièrement vrai des produits SaaS et des architectures de microservices& . Nous
détaillerons ces protocoles aux chapitres 3 et 4.
& , est une méthode de développement d'applications logicielles en tant que suite de services modulables et indépendamment,
dans lesquels chaque service exécute un processus unique et communique à travers un mécanisme léger et bien défini pour
atteindre un objectif commercial.
22 P2/Chapitre 2 : Modèle AAA
1. Authentification
1.1 Définition
Selon le dictionnaire, le mot "authentique" fait référence à quelque chose qui n'est pas faux, ni
une fausse imitation, mais qui mérite d'être accepté comme une vérité ou un fait. Depuis les
débuts des civilisations, où les gens ont parcouru 26 kilomètres pour transmettre un message,
puis s'effondrer et mourir, jusqu'à aujourd'hui, où les informations peuvent parcourir le monde
en quelques fractions de minute en un clic de souris, preuve de l'authenticité est la première
chose que le destinataire d’un message vérifie.
2. Autorisation
L'autorisation fait référence au processus d'application des règles, tel que la détermination des
qualités des activités, des ressources ou des services qu'un utilisateur est autorisé à utiliser.
L'autorisation intervient généralement dans le contexte de l'authentification. Une fois que
vous avez été authentifié, l'autorisation AAA assemble l'ensemble des attributs qui décrivent
ce que vous êtes autorisé à exécuter. Les utilisateurs se voient attribuer des niveaux
d'autorisation qui définissent leur accès à un réseau et aux ressources associées. Par exemple,
un utilisateur peut être capable de taper des commandes, mais seulement être autorisé à
afficher, exécuter certaines commandes. Cela peut être basé sur des restrictions
d'emplacement géographique, de date ou d'heure, de fréquence de connexion ou de
connexions multiples par un seul utilisateur. Les autres types d'autorisation incluent les
affectations de route, le filtrage des adresses IP, la gestion du trafic en bande passante et le
cryptage. Un administrateur peut avoir un accès privilégié, mais même certaines actions
peuvent être restreintes. Par exemple, dans les architectures d'applications plus sécurisées, les
mots de passe sont stockés sans aucun processus de déchiffrement. Ces applications
sécurisées permettent de modifier les mots de passe (en remplaçant les mots de passe
existants), mais en ne les récupérant jamais. L'autorisation AAA vous permet d'appliquer cette
restriction. [PerS19]
24 P2/Chapitre 2 : Modèle AAA
2.1 En quoi est-ce différent de l'authentification?
Le problème de l'autorisation et ses distinctions par rapport au problème de l'authentification
peuvent être facilement expliqués à l'aide de l'exemple suivant.
Ex : Exemple commercial où l'autorisation est importante concerne les réseaux qui
fournissent des services aux utilisateurs ayant acheté des cartes prépayées. Un utilisateur de
téléphone cellulaire achète une carte prépayée censée lui permettre de téléphoner pendant
trois heures. Chaque fois que cet utilisateur demande à passer un appel téléphonique, le réseau
doit vérifier s’il reste du crédit sur la carte de l’utilisateur avant de lui permettre de se
connecter.
Maintenant que nous avons établi qu'il existe une différence entre authentification et
autorisation, discutons d'un autre exemple extrême de la vie réelle, où l'autorisation est en
réalité plus importante que l'authentification.
3. Comptabilité
3.1. Quelles ressources ont été consultées, à quelle heure,
par qui et quelles commandes ont été émises?
La comptabilité mesure les ressources consommées par les utilisateurs lors de l'accès à un
réseau ou à une application, en enregistrant les statistiques de session et les informations
utilisateur, y compris la durée de la session, ainsi que les données envoyées et reçues. Les
informations d'utilisation sont utilisées pour le contrôle des autorisations, la facturation,
l'analyse des tendances, l'utilisation des ressources et la planification de la capacité. La
comptabilité garantit qu'un audit permettra aux administrateurs de se connecter et de
visualiser les actions effectuées, par qui et à quelle heure. L'une des restrictions du composant
de comptabilité de AAA est qu'il nécessite un serveur de sécurité AAA externe pour stocker
les enregistrements de comptabilité réels. Une comptabilité appropriée permet aux
administrateurs réseau et système de déterminer qui a tenté d'accéder à quoi et si l'accès a été
accordé.
25 P2/Chapitre 2 : Modèle AAA
3.2. Définition
Le dernier «A» dans «AAA» concerne la comptabilité. Même si une majorité d'ingénieurs
pense que les termes comptabilité et facturation ont le même sens, la comptabilité implique
davantage que le suivi du nombre total de minutes d'appels téléphoniques ou de paquets de
données d'un utilisateur. Diverses applications sont définies pour la comptabilité:
● Secret des méthodes comptables et des données comptables: les entités non autorisées ne
devraient pas être en mesure de lire ou de modifier les méthodes comptables ou les
enregistrements comptables.
● Authentification des données comptables et des sources de règles comptables: vous
devez vous assurer que les données proviennent de la source d'origine. L'authentification de la
source peut être réalisée à l'aide de signatures numériques.
● Protection de l'intégrité des méthodes et des enregistrements comptables: il convient de
s'assurer que les données ne sont pas modifiées entre l'expéditeur et le destinataire.
L'authentification des données peut également être réalisée avec des signatures numériques.
● Vérification de l'exactitude des données comptables générées: l'exactitude des données
comptables générées par un prestataire de services doit être garantie. Un fournisseur peut
générer des enregistrements comptables incorrects, délibérément ou non, en raison d’une
configuration erronée. Ces enregistrements comptables incorrects ont probablement pour
conséquence des factures incorrectes. Les clients peuvent vérifier l'exactitude des données
comptables au moyen de leurs mesures et / ou de données recueillies par un tiers de
confiance. Un tiers de confiance peut être un fournisseur de services de comptabilité
indépendant ou une entité plus générale fournissant un service d'audit.
26 P2/Chapitre 2 : Modèle AAA
3.4 Fiabilité de la comptabilité
Dans cette section, nous décrivons les exigences de fiabilité pour les protocoles de
comptabilité. En règle générale, les erreurs de comptabilité incluent la perte de paquets, les
pannes de serveur de comptabilité, les pannes de réseau et les redémarrages de serveur. Il est
donc important que les systèmes de gestion de la comptabilité soient évolutifs et fiables.
Cependant, différentes applications de comptabilité peuvent imposer des exigences différentes
au protocole de comptabilité. Dans des applications telles que la facturation, l’allocation des
coûts et l’audit sensibles à l’utilisation, la perte de données comptables peut se traduire par
une perte de revenus et une incitation à concevoir un degré élevé de résilience aux pannes.
Certaines des exigences de fiabilité spécifiques à l'application sont énumérées ci-dessous :
● Facturation: lorsque les données comptables sont utilisées à des fins de facturation, les
exigences varient selon que le processus de facturation est sensible à l'utilisation ou non. La
facturation non liée à l'utilisation ne nécessite pas d'informations d'utilisation; en théorie,
toutes les données comptables peuvent être perdues sans affecter le processus de facturation.
Cela aurait toutefois une incidence sur d'autres tâches telles que l'analyse des tendances,
l'audit et les données sur les informations de gros. Les processus de facturation sensibles à
l'utilisation dépendent des informations d'utilisation; par conséquent, la perte de paquets peut
se traduire directement par une perte de revenus. Par conséquent, il se peut que le processus
de facturation doive être conforme aux exigences financières et aux obligations en matière
d'information financière. Par conséquent, une approche de comptabilité archivistique peut être
nécessaire.
● Analyse des tendances et planification de la capacité: dans l'analyse des tendances et la
planification de la capacité, les prévisions sont intrinsèquement imparfaites, une fiabilité
élevée n'est généralement pas requise et une perte de paquets modérée peut être tolérée.
Le contrôle de la congestion est un autre problème dans lequel, sans stockage non volatile, la
combinaison de la désactivation de l’encombrement et de l’épuisement de la mémoire tampon
peut entraîner une perte des données comptables. Le basculement du serveur de comptabilité
est un outil puissant de résilience aux pannes. En cas de défaillance d’un serveur de
comptabilité principal, il est souhaitable que le périphérique bascule sur un serveur
secondaire, qui peut assumer les responsabilités du périphérique principal de manière
transparente. Fournir un ou plusieurs serveurs secondaires peut éliminer une grande partie du
risque de défaillance du serveur de comptabilité. Les serveurs de basculement secondaires
sont devenus monnaie courante.
27 P2/Chapitre 2 : Modèle AAA
4.Avantages de l'utilisation du AAA
AAA permet une sécurité mobile et dynamique. Sans AAA, un réseau doit être configuré de
manière statique pour pouvoir contrôler l'accès. Les adresses IP doivent être fixes, les
systèmes ne peuvent pas être déplacés et les options de connectivité doivent être bien définies.
La prolifération des appareils mobiles et le réseau diversifié de consommateurs avec leurs
méthodes d'accès au réseau variées génèrent une forte demande d'AAA.
AAA est conçu pour vous permettre de configurer de manière dynamique le type
d'autorisation et d'authentification souhaité en créant une liste de méthodes pour des services
et des interfaces spécifiques. AAA signifie davantage de flexibilité et de contrôle sur la
configuration d'accès et l'évolutivité, l'accès aux méthodes d'authentification standardisées
telles que RADIUS, TACACS + et Kerberos, ainsi que l'utilisation de plusieurs systèmes de
sauvegarde.
L’augmentation du nombre de violations de la sécurité, telles que le vol d’identité, indique
qu’il est crucial de mettre en place de saines pratiques pour authentifier les utilisateurs
autorisés afin de limiter les menaces à la sécurité des réseaux et des logiciels.
5. Conclusions
Dans ce chapitre, nous avons étudié et détaillé le modèle AAA qui décrit comment marche les
protocoles qui utilise à la fois l’authentification, autorisation et la comptabilité. L’étude
théorique a mis en évidence les trois parties de ce modèle. Cette étude pour un protocole à
deux échange peut être appliquée à d’autres protocoles avec un nombre quelconque
d’échanges.
28
CHAPITRE 3
Protocoles d’authentification
Sommaire
1.Protocoles d’authentification sous AAA .......................................................................... 29
4.Diameter .............................................................................................................................. 31
4.1 Historique et Définition ................................................................................................ 32
4.2 Différence entre RADIUS et Diameter ........................................................................ 32
4.3 Avantages et Inconvénients du Diameter ..................................................................... 32
4.3.1 Avantages ............................................................................................................. 32
4.3.2 Inconvénients ........................................................................................................ 33
5.Kerberos .............................................................................................................................. 33
5.1 Les différences acteurs du Kerberos ................................................................................. 33
5.2 Avantages et Inconvénients du Kerberos .......................................................................... 34
5.2.1 Avantages ................................................................................................................. 34
5.2.2 Inconvénients ........................................................................................................... 34
6.Conclusion .......................................................................................................................... 34
Voilà quelque un :
2. TACACS+ (RFC1492): Terminal Access Controller Access Control System par Cisco.
2. Modèle Client/serveur
Dans une relation client/serveur, un programme (le client) demande un service ou une
ressource à un autre programme (le serveur).
Le modèle client/serveur peut être utilisé par des programmes d'un même ordinateur, mais le
concept est surtout utile dans le cadre d'un réseau. Dans ce cas, le client établit une connexion
au serveur sur un réseau local LAN ou étendu WAN, tel qu'Internet. Lorsque le serveur a
répondu à la demande du client, la connexion est terminée.
Ex : Un navigateur Internet est un programme client qui demande un service à un serveur. Le
service et la ressource fournis par le serveur donnent lieu à l'affichage d'une page Web.
Les transactions informatiques dans lesquelles le serveur répond à une demande d'un client
sont très courantes et le modèle client/serveur est devenu l'un des concepts pivots de
l'informatique en réseau. La plupart des progiciels utilisent le modèle client/serveur, de même
que le principal programme d'Internet, TCP/IP& ..
Les programmes client et serveur font souvent partie d'un programme ou d'une application de
plus grande envergure.
Il existe d'autres modèles de relations entre programmes, comme la relation maître/esclave et
la relation de gré-à-gré (ou Peer-to-Peer, P2P). Dans le modèle P2P, chaque nœud du réseau
peut fonctionner comme serveur et comme client. Dans le modèle maître/esclave, un
périphérique ou un processus (appelé maître) contrôle un ou plusieurs autres périphériques ou
processus (appelés esclaves). Lorsque la relation maître/esclave est établie, le contrôle est
toujours unilatéral, du maître à l'esclave. [WiTT19]
& ,TCP/IP
30 P2/Chapitre 3 : Protocoles d’authentification
3. TACACS / TACACS+
Terminal Access Controller Access Control System ou TACACS est un protocole
d'authentification et est couramment utilisé dans les réseaux UNIX permettant à un serveur
d'accès distant de transférer le mot de passe de connexion d'un utilisateur à un serveur
d'authentification afin de déterminer si l'accès peut être autorisé à un système donné. [Davi04]
3.1 Historique
il y a eu 3 versions de protocole d'authentification chez Cisco. La 1ère version est
"TACACS". Open source, ce protocole est issu du monde Linux. C'était il y a très longtemps
au siècle dernier, ça n'est plus utilisé de nos jours et en effet, il ne doit pas y avoir beaucoup
de documents sur cette vieillerie.
Dans les années 1990, Cisco a amélioré le code TACACS en y ajoutant des extensions. Cet
"Extended TACACS" a été la 2ème version, nom de code "XTACACS". Pour en savoir plus,
(RFC1492). [RFCT12]
Puis, avec notamment l'explosion des accès distants, XTACACS montra très vite ses
limitations. Cisco a donc conçu un nouveau protocole, 3ème et dernière version, qui s'appelle
TACACS+ (on l'appelle aussi TACACS+). Complètement réécrit et "released" en 1995,
TACACS+ n'est pas compatible avec les 1ères et 2èmes versions. [TDGT97]
3.2 Définition
Terminal système de contrôle d'accès du contrôleur d'accès. Protocole de sécurité standard
utilisé pour authentifier l'identité d'un ordinateur ou d'un périphérique recherchant un accès à
distance à des données privilégiées (telles que celles protégées par un pare-feu). Sa version
améliorée (TACACS +) fournit des services complets (authentification, autorisation et
comptabilité) d'un serveur AAA pour le commerce électronique. Développé par ‘’Cisco
Systems’’, il constitue une alternative à RADIUS.
3.4.1 Avantages
Les avantages de TACACS/TACACS+ sont comme suit :
• TACACS accomplit la mission d’authentification via un identifiant et un mot de passe
fourni par l’utilisateur.
• TACACS sépare les processus d’authentification, d’autorisation et de comptabilité, offrant
un niveau de granularité et de flexibilité ne trouve pas dans RADIUS.
• TACACS chiffre également le nom d’utilisateur et mot de passe , offrant un niveau de
sécurité plus élevé .
• TACACS fournit une gestion centralisée d’autorisation et de renforcement de la sécurité en
vérifiant chaque commande émise contre la base de données de configuration de
l’autorisation, Cela garantit que l’utilisateur est seulement autorisé à exécuter des
commandes , il est autorisé à émettre .
• La fonctionnalité de comptabilité de TACACS , TACACS + est soutenu par de nombreux
fournisseurs d’équipement de réseau.
• TACACS étendues ( XTACACS ) fournit également des services de comptabilité et de
soutien de protocole multiple, et n'est pas propriétaire, comme c'est TACACS + .
3.4.2 Inconvénients
Les inconvénients de TACACS/TACACS+ sont comme suit :
• Cette méthode nécessite plus de bande passante et , parce que TACACS utilise le protocole
TCP , les frais généraux inhérents . Cela pourrait provoquer des problèmes de performances si
TACACS est largement utilisé .
• Auditeurs réseau nécessitent des parcours ludiques pour faire leur travail correctement, ce
qui signifie qu'ils ont besoin de journaux d'activité .
• Inconvénient majeur TACACS, est qu'il manque des services de comptabilité. Cet
inconvénient critique peut être surmonté en utilisant TACACS + ou XTACACS, versions
améliorées qui offrent des services de comptabilité.
• Puisque la base de données de l’utilisateur ne réside pas sur le serveur TACACS + , la
performance peut être lente.
4.Diameter
Cette partie a pour objectif de présente le protocole AAA Diameter (RFC6733 ). C'est un
protocole de niveau application qui tient son nom d'un jeu de mots avec le protocole RADIUS
qui lui est l'acronyme de Remote Authentication Dial-In User Service. Diameter a été créé en
1998 pour compenser les limites de RADIUS. En effet, ce dernier ne suffisait plus pour
répondre aux besoins en termes d'authentification, d'autorisation et de traçabilité de certains
réseaux complexes et conséquents. Parmi eux, les réseaux mobiles de quatrième
génération : AAA. [IGUM12]
32 P2/Chapitre 3 : Protocoles d’authentification
4.1 Historique et Définition
Le protocole Diameter est un protocole utilisé par les applications informatiques en réseau
pour activer l'authentification utilisateur sécurisée , d'autorisation et de comptabilité (AAA).
Ceci est un facteur extrêmement important pour permettre à l' Internet et les réseaux privés de
stimuler l'économie électronique et d'affaires pour le 21e siècle. Histoire et développement
Diamètre née d'une norme précédente , le protocole RADIUS , pour faire face aux
mécanismes de contrôle d'accès plus complexes et une sécurité accrue exigée par la
génération actuelle d'appareils mobiles IP et les réseaux sans fil. RADIUS était insuffisant
pour faire face aux nouvelles exigences. Diamètre est conçu pour permettre une extension si
nécessaire.
Au fond, le protocole Diameter est sur l'échange de message. Le diamètre est réalisé sous la
forme d'une architecture pair- à-pair, où chaque noeud peut être un client, le serveur ou
l'agent . Les agents de relais des messages entre les clients et les serveurs. Un message de
diamètre est l'unité de base utilisée pour envoyer des commandes ou envoyer des notifications
à d'autres nœuds.
Diamètre gère l'authentification et l'autorisation par voie de passage de messages généralisée
qui est personnalisé par l'application utilisée . De cette façon , Diameter permet aux
applications individuelles pour exécuter des fonctions applicables à leur utilisation . [QPDi18]
4.3.1 Avantages
5. Kerberos
Kerberos a été conçu dans le but de proposer un protocole d'authentification multiplateformes,
disposant d'un système de demande d'identification unique, et permettant de contacter ensuite
autant de services que souhaité. Il s'agit d'un protocole sécurisé, dans le sens où il ne transmet
jamais de mot de passe en clair sur le réseau. Il transmet des messages cryptés à durée de vie
limitée. Le terme « single sign-on », décrit le fait que l'utilisateur final n'a besoin de
s'authentifier qu'une fois pour utiliser toutes les ressources du réseau supportant Kerberos au
cours de sa journée de travail (en réalité, au cours du temps de session spécifié par
l'administrateur : environ vingt heures, en général). Le système Kerberos repose sur un « tiers
de confiance » (Trusted third party), dans le sens où il s'appuie sur un serveur
d'authentification centralisé dans lequel tous les systèmes du réseau ont confiance. [BTun04]
• Client : Entité pouvant obtenir un ticket auprès du KDC pour utiliser les différents services
et ressources d’un réseau.
• KDC (Key Distributing Center) : C’est le serveur qui assure l’authenticité des utilisateurs
et des services. Il délivre la clé de session pour l’accès au serveur TGS sous forme d’un ticket
TGT (Ticket Granting Ticket).
• TGT : C’est un ticket délivré par le serveur KDC lors de la première authentification d’un
client donné. Sa durée de vie est relativement longue, pour que le client puisse demander
accès à plusieurs services différents sans avoir à fournir à plusieurs reprises ses paramètres
d’authentification.
• TGS (Ticket Granting Service) : C’est le serveur qui assure le contrôle d’accès des
utilisateurs. Il délivre la clé de session pour l’accès à un serveur applicatif sous forme d’un
ticket.
• Ticket d’accès : C’est un ticket délivré à un client donné par le serveur TGS ce qui signifie
que le client possède le droit d’accès au service demandé.
• Clé de session : C’est une clé symétrique temporaire générée entre un client et un service.
34 P2/Chapitre 3 : Protocoles d’authentification
5.2.1 Avantages
Les avantages de Kerberos sont comme suit [RMLL12] :
5.2.2 Inconvénients
Les inconvénients de Kerberos sont comme suit :
• Il faut que toutes les machines du réseau soient synchronisées, sinon l’utilisation des
‘’timesstamp’’ et la durée de vie des tickets risquent d’être faussées et plus aucune
authentification ne sera possible.
• Si l’AS de Kerberos est compromis, un attaquant pourra accéder à tous les services avec un
unique login.
• Kerberos chiffre uniquement la phase d’authentification, il ne chiffre pas les données qui
seront transmises lors de la session.
6. Conclusion
Dans ce chapitre nous avons mentionné quelques protocoles d’authentifications qui utilise le
modèle AAA, et nous avons cité leurs avantages et leurs inconvénients, afin de pouvoir
choisir les meilleurs protocoles qui conviennent à notre projet. Par des exigences
d’administrateur réseaux de la société La Voie Express le choix est fixé sur le protocole
RADIUS qui sera bien détaillé dans le prochain chapitre.
35
CHAPITRE 4
RADIUS
Sommaire
1.Historique ........................................................................................................................... 36
2. RADIUS ............................................................................................................................. 36
10.Conclusion ........................................................................................................................ 43
Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les
accès d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs
d'accès à internet car il est relativement standard et propose des fonctionnalités de comptabili-
té permettant aux FAI (Fournisseur d’Accès Internet) de facturer précisément leurs clients.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une
base d'identification et un client RADIUS, appelé NAS, faisant office d'intermédiaire entre
l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le
serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé
36 P2/Chapitre 4 : RADIUS
1.Historique
RADIUS a été conçu dans le but initial de contrôler l'authentification à distance. Ce besoin est
né de la société « Merit Network » qui souhaitait identifier ses utilisateurs via la liaison
téléphonique afin de fournir un accès distant à son réseau informatique.
L'organisation à but non lucratif « Merit Network » a publié en 1991 une demande
d'information ou « Request for Information » (RFI) qui spécifiait les fondements du protocole
RADIUS. Après quelques mois, la société « Livingston Enterprises » répondit à cette
demande par une description d'un serveur RADIUS. La proposition fut retenue par « Merit
Network » qui donna le contrat à « Livingstone Enterprises ».
Le protocole RADIUS « Remote Authentication Dial-in User Service » traduit littéralement
par Authentification à distance composée par le service utilisateur est publié par l'IETF4 en
Janvier 1997 dans la (RFC2058) et la (RFC2059). Cette même année, la société « Livingstone
Enterprises » leader dans l'accès à distance des réseaux informatiques, fut rachetée par
Alcatel-Lucent. Le standard RADIUS a subi plusieurs évolutions au fil des années et à l'heure
d'aujourd'hui, est maintenant le protocole le plus célèbre pour l'authentification des postes de
travail, des terminaux mobiles, des équipements réseaux, etc...
La description actualisée du standard se trouve désormais dans la (RFC2865) et la (RFC2866)
datant de Juin 2000. [Dirk11]
2. RADIUS
RADIUS est un protocole client/serveur destiné à permettre à des serveurs d'accès de
communiquer avec une base de données centralisée regroupant en un point l'ensemble des
utilisateurs distants.
Ce serveur central (appelé serveur RADIUS) va authentifier ces utilisateurs, et leur autoriser
l'accès à telle ou telle ressource. Une autre fonctionnalité importante d'un serveur RADIUS
est la comptabilisation des informations concernant les utilisateurs distants.
C'est de loin le protocole le plus largement supporté par l'ensemble des constructeurs
d'équipements réseaux, dont CISCO, pourtant promoteur et inventeur de TACACS. RADIUS
Serveur est distribué librement par Livingston sur de nombreuses plateformes. D'autres
versions existent toutefois: Citons Radius Merit, assez diffusée sur Linux.
Dans la suite, nous garderons l'expression française "client final" à la place de "supplicant".
L'équipement de réseau sur lequel le client final se connecte (un commutateur – ou une borne
Wifi - compatible 802.1x), en tant que client RADIUS, cette demande de connexion à un
serveur d'authentification, le serveur RADIUS, qui va, par exemple, identifier la personne en
rapprochant le nom de connexion et le mot de passe de ceux stockés dans un annuaire LDAP
ou encore une base de données SQL.
En premier lieu, RADIUS doit authentifier les requêtes qui sont issues des clients finals, via
les clients RADIUS. Cette authentification se basera soit sur un couple identifiant/mot de
passe, soit sur un certificat. Cela dépendra du protocole d'authentification négocié avec le
client final.
En deuxième lieu, RADIUS a pour mission de décider quoi faire du client authentifié, et donc
de lui délivrer une autorisation, un "laissez-passer". Pour ce faire, RADIUS envoie des
informations (on parle "d'attributs") aux clients RADIUS. Un exemple typique d'attribut est
un numéro du VLAN dans lequel placer le client authentifié et autorisé.
Enfin, en bon gestionnaire, RADIUS va noter plusieurs données liées à la connexion, comme
la date et l'heure, l'adresse MAC de l'adaptateur réseau du client final, le numéro de VLAN...).
C'est son rôle comptabilité ou "d'accounting". RADIUS est donc un serveur
d'authentification, d'autorisation et de comptabilité. De façon imagée, c'est le "chef
d'orchestre" des connexions 802.1X et les clients RADIUS sont ses sbires... En ce sens, il se
range dans le modèle AAA.
NPS est le nom du service RADIUS des systèmes Microsoft Windows 2012 Server, en
remplacement du "Service d'Authentification Internet" de Windows 2003 Server. D'autres
solutions propriétaires existent, comme CISCO ACS (Access Control Server). Différentes
versions libres de RADIUS existent également, comme FreeRADIUS (sous Linux ou
Windows) ou OpenRADIUS (sous Linux).
RADIUS peut aussi servir à centraliser les accès sécurises aux pages ou aux terminaux de
paramétrage de tous les équipements réseau : commutateurs, routeurs, bornes wifi, contrôleurs
wifi, etc.
38 P2/Chapitre 4 : RADIUS
3. Le fonctionnement de RADIUS
Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les
accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une
base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client
RADIUS, appelé NAS, faisant office d'intermédiaire entre l'utilisateur final et le serveur.
L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et
authentifiée grâce à un secret partagé.
ü Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance.
ü Le NAS achemine la demande au serveur RADIUS.
ü Le serveur RADIUS consulte la base de données d'identification afin de connaître le
type
de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit
une autre méthode d'identification est demandée à l'utilisateur.
Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les
requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5
champs:
Les serveurs d’accès, tels que les serveurs d’accès réseau à distance, les serveurs et les points
d’accès sans fil reçoivent des demandes de connexion de la part des clients d’accès. Le
serveur d’accès, configuré de façon à utiliser RADIUS comme protocole d’authentification,
d’autorisation et de gestion, crée un message de demande d’accès et l’envoie au serveur NPS.
Le serveur d’accès envoie également des messages de demande de compte durant la période
où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le
serveur d’accès est démarré et arrêté :
Le serveur d’accès envoie également des messages de demande de compte durant la période
où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le
serveur d’accès est démarré et arrêté. Le serveur d’accès achève le processus de connexion
avec le client d’accès et envoie un message de demande de compte au serveur NPS, où le
message est enregistré dans le journal.
Ø Authentification 802.1x
Dans ce cas il agit comme un tunnel transparent vers un serveur qui lui implémente les
mécanismes souhaités. Par exemple: Mot de passe, certificats, carte à puce ...
Le premier protocole a été PAP avec lequel les mots de passe circulaient en clair. La sécurité
proposée par ce protocole est faible. Le second protocole qu'ont utilisé les serveurs RADIUS
a été CHAP. Il est défini dans la (RFC1994). Avec CHAP, il n'y a pas d'échange de mots de
passe sur le réseau.
Les deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète,
s'authentifient sans échange du mot de passe par une technique de "challenge" (ou "défi")
basée sur une fonction de hachage à sens unique du secret partagé, telle que MD5.
Cette méthode était disponible avec le couple XP/Windows-2003-Server, mais ne l'est plus en
génération Seven/2008.
8. Successeur de RADIUS
Diameter est le successeur de RADIUS, il est généralement compatibles avec RADIUS et
EAP.
9.2 Inconvénients
Les limitations du protocole RADIUS sont comme suit :
• RADIUS a été conçu pour des identifications par modem, sur des liaisons lentes et peu
sûres, c’est la raison du choix du protocole UDP.
• Il base son identification sur le seul principe du couple (nom, mot de passe).
• Il assure un transport en claire, seul le mot de passe est chiffré par hachage.
• Il est strictement client-serveur.
• Il n’assure pas des mécanismes d’identification du serveur.
• Lourd à mettre en place.
• Limité à 254 octets par attribute.
10. Conclusion
Dans ce chapitre nous avons mentionné quelques protocoles d’authentifications ainsi que
quelques protocoles de partage de clés, et nous avons cité leurs avantages et leurs inconvé-
nients, afin de pouvoir choisir les meilleurs protocoles qui conviennent à notre projet.
44
Troisième Partie
Mise en place
de la solution d’authentification
RADIUS
45
CHAPITRE 1
Étude Préalable
Sommaire
1. Architecture cible .............................................................................................................. 45
3. Conclusion ......................................................................................................................... 47
A
près toute les études qu’on a fait théorique sur le sujet de la solution, il reste toujours
une étude qui sert à développé et compléter l’idée de ce projet dans son contexte, pour
objectifs de définir les différentes éléments qui constitue l’architecture du réseau
cible, et du réseau test qui est un point clé du projet. Ce chapitre est designer pour développer
les idées dans ce terme.
1.Architecture cible
Architecture cible consiste d’ajouter un serveur RADIUS dans la salle technique du siège, qui
peuvent gérer les différents points d’accès du siège, comme suit :
2.Réseau test
2.1 Éléments du réseau test
Notre architecture réseau test, nous permettre de tester une authentification sur réseau Wi-Fi
du premier étage décrit dans la Figure 1.4, par l’utilisation de :
- Un serveur d’authentification à base de Windows Server 2012 dans une virtuelle machine
‘’VirtualBox’’.
2.2 Contraintes
Le serveur RADIUS devra pouvoir répondre à un certain nombre de contrainte lié aux
différents utilisateurs de RADIUS. Après l'analyse de l'environnement, nous avons pu mettre
en avant 4 types de profils utilisateurs:
• Profil « VPN »: NAS distant demandant une connexion VPN via RADIUS.
Le serveur RADIUS doit donc pouvoir répondre aux différentes attentes d'identification des
profils listes ci-dessus.
3. Conclusion
Dans ce chapitre nous avons étudié en préalable la structure de l’architecture cible et les
différentes éléments qui constitue le réseau test, afin de pouvoir contrôler la configuration de
la solution dans le réseau. Ceci est fait par des exigences d’administrateur réseaux de la
société La Voie Express au but de laisser une étape de vérification avant la mise en place final
qui sera fait par eux même.
48
CHAPITRE 2
Configurations et test de la solution
Sommaire
1. Configuration du point d’accès « UBIQUITI nanostation M2 » .................................. 48
5. Conclusion ....................................................................................................................... 61
Pour faire cette étape on entre dans l’interface qui figure dans la Figure 3.19, et on suive ces
étapes pour atteindre l’objectif de cette section
Dans ‘’l’active directory users and computer’’ et dans le ‘’Domaine Name ‘’ LVE.com
• on ajoute le groupe avec le nom ‘’Radiugrp’’
• et une unité organisationnel qui organise les utilisateurs.
Après l’ajout des utilisateurs, on configure chaque utilisateur par l’option Dial-in.
58 P3/Chapitre 2 : Configurations et test de la solution
Relié le serveur avec le point d’accès, avec l’ajout de l’adresse IP du point d’accès qui est
192.168.1.157
Pour ajouter la méthode de protection dans l’étape suivante, on doit ajouter le groupe qui va
utiliser cette méthode, la figure ci-dessous décrit cela.
Après qu’on entre les données d’utilisateur u1 comme designer dans la figure ci-
dessus, la connexion est bien établie et l’accès à l’internet aussi.
5.Conclusion
Mettre en place un réseau sans fil sécurisé avec serveur RADIUS, permet de centraliser et
optimiser la gestion et la sécurité du dit réseau. Seuls les utilisateurs présents dans la base de
données peuvent joindre le réseau et ainsi bénéficier de ses fonctionnalités. Dans ce chapitre
consiste la configuration de la solution et le test dans notre réseau test.
62
Conclusions et Perspectives
Pour proposer un bon mécanisme de sécurité d’un Wi-Fi, comme solution contre les points
faibles dont souffre un réseau académique, il nous a fallu penser à une issue qui s’adapte avec
l’architecture du réseau existant, tout en tenant compte de la durabilité, l’évolution et la
fiabilité de cette solution, assez bien en termes techniques que économiques.
Pour cela, nous avons pensé à mettre en place un serveur RADIUS, pour sécuriser notre petit
réseau de test, avant de passer à le mettre en place sur le grand réseau de notre société
d’accueil La Voie Express.
Synthèse
Dans ce modeste travail nous avons consacré la première partie à une étude du contexte
générale du projet et les différentes analyses et aspects pour atteindre l’objectif du sujet, après
dans la deuxième partie nous avons énuméré quelques systèmes d’authentification et
protocoles clés les plus utilisés. La troisième partie est, quant à elle, consacrée à l’étape finale
de la mise en place de la solution d’authenfication par RADIUS qui est l’objet de notre
thématique.
Les différentes tâches que j'ai effectuées au sein de la société La Voie Express m'ont permis
de m'enrichir sur les aspects techniques où j'ai pu aborder de nombreux sujets sur les réseaux
et la sécurisation de ceux-ci.
Les différentes interactions que j'ai eues avec mon encadrant de stage et les autres membres
du service des systèmes d’information m'ont également enseigné de nombreux aspects
notamment sur le comportement à adopter en dans le monde professionnel, la collaboration et
l'esprit d'équipe.
L'ambiance au sein du stage était de rigueur puisque j'étais dans un cadre agréable avec une
véritable entraide entre les membres du LVE.
Sur le plan technique, j'ai exploré de manière détaillée de nombreuses facettes du monde des
réseaux informatiques mais aussi du système d’exploitation ‘’Windows server’’. Je retiens de
nombreuses notions au sein de ce stage et, en particulier :
Pour résumer, je qualifierai ce stage d'une réelle opportunité et je suis très reconnaissant de
toute l'équipe du La Voie Express et notamment mon encadrant de stage M. Abderrahmane
RAKI ainsi que le directeur de la direction des systèmes d’information M. Mohammed EL
MADANI qui m'ont apporté le savoir nécessaire pour mener à bien l'ensemble du projet.
Perspectives
Les solutions qui présentent le résultat de nos recherches, exigeaient toujours d’utiliser le
protocole RADIUS sur un système d’exploitation serveur comme le 2008 ou le 2012 server.
C’est une solution très fiable à nos jours mais ce n’est pas le cas pour toujours, vu la
progression très rapide de l’invention des méthodes d’attaque et d’autres méthodes de défonce
en informatique.
64
[MadM05] Madjid Nakhjiri, Mahsa Nakhjiri. AAA and network security for mobile access :
Radius, Diameter, EAP, PKI and IP Mobility, 2005 — ISBN: 9780470017463
[ViBP10] Vivek Santuka, Brandon Carroll, Premdeep Banga. AAA Identity Management
Security 2010 — ISBN: 908766784435
[RFCT12] RFC1492
Disponible dans : https://tools.ietf.org/html/rfc1492 (07/06/2019)
[IGUM12] Diameter
Disponible dans : http://igm.univ-mlv.fr/~dr/XPOSE2012/Diameter/ (07/06/2019)
ANNEXE A
ANNEXE B
L’analyse SWOT est une analyse faite pour analyser les forces et les faiblesses concernant
l’interne ainsi que les opportunités et les menaces concernant l’externe.
J’ai établi une analyse SWOT basée sur mes observations dans la plateforme messagerie et
dans l’entrepôt logistique ainsi que l’avis du personnel, des agents et des responsables afin de
construire une analyse décrivant de façon générale la situation de l’entreprise.
Forces Faiblesses
Opportunités Menaces
v L’ouverture du Maroc sur le marché africain. v Concurrence nationale.
v Concurrence internationale.
v Infrastructure nationale .
v L’informel.
par
Youssef ZAHIR
Mohammedia , Maroc
Juin, 2019
FSTM – 2019