Vous êtes sur la page 1sur 81

Département Génie Électrique

Mémoire de Fin d’Études


Pour l’obtention de la

LICENCE SCIENCES ET TECHNIQUES


DE L’UNIVERSITE HASSAN-II DE CASABLANCA
Délivré par la Faculté des Sciences et Techniques de Mohammedia
Filière : Génie des Télécommunications

Sous le thème

Mise en place de la solution d’authentification RADIUS


sous réseau Wi-Fi

Présentée et soutenue par Youssef ZAHIR


Le 13/06/2019

Tuteur Entreprise : M. Abderrahmane RAKI Nom de l’Entreprise : La Voie Express

JURY

M. Yassine SAYOUTI Professeur, FSTM Président


M. Youssef EL KOUARI Professeur, FSTM Encadrant
Mme. Aicha SAHEL Professeur, FSTM Examinateur

Année Universitaire 2018/2019


Mise en place de la solution d’authentification RADIUS sous réseau Wi-Fi

par

Youssef ZAHIR

Mémoire de fin d’études en vue de l'obtention du titre Licence en Sciences et Techniques


de l'université́ de Hassan II-FST

Mohammedia , Maroc

Juin, 2019

FSTM – 2019
REMERCIEMENTS

Ah ! Les remerciements ! Ça permet à chaque Étudiant en fin de son année d’étude de


remémorer les moments importants qui ont ponctué l’année et particulièrement la période du
stage, ainsi que les personnes qui l'ont accompagné et encouragé. Ce stage été l'occasion pour
moi de rencontrer de nombreuses personnes qui m'ont beaucoup apporté du point de vue
technique, mais également de partager des amitiés fortes et inoubliables.

En ouverture, avant toute considération subjective, je tiens à remercier très chaleureusement


les membres du jury. Merci à M. Yassine SAYOUTI , Professeur à FSTM et Président du
soutenance et à Mme. Aicha SAHEL, Professeur à FSTM pour m'avoir fait l'honneur
d'accepter d’examiner ce travail. J'aimerais aussi souligner la gentillesse particulièrement
touchante de M. Youssef EL KOUARI, Encadrant FSTM qui m’a encadré tout au long de
cette période de stage.

Tout d'abord, j'adresse mes remerciements à mon professeur, M. Abdennacceur


BAGHDAD, Chef de filière et Professeur à la FSTM, qui m'a beaucoup aidé dans ma
recherche de stage et son aide m'a permis de postuler dans cette entreprise. Son écoute et ses
conseils m'ont permis de cibler mes candidatures, et de trouver ce stage qui était en totale
adéquation avec mes attentes. Je tiens à remercier toutes les personnes qui ont contribué au
succès de mon stage et qui m'ont aidé lors de la rédaction de ce rapport de PFE, et à remercier
vivement mon encadrant de stage, M. Abderrahmane RAKI , administrateur systèmes,
réseaux et télécom au sein de l'entreprise La Voie Express, pour son accueil, le temps
passé ensemble et le partage de son expertise au quotidien. Grâce aussi à sa confiance j'ai pu
m'accomplir totalement dans mes missions. Il fut d'une aide précieuse dans les moments les
plus délicats.

Je remercie également toute l'équipe de la direction des systèmes d’information pour leur
accueil, leur esprit d'équipe et en particulier M. Mohammed EL MADANI, le directeur du
service, qui m'a beaucoup aidé à comprendre les différentes tâches et procédures.

Toutefois, j'espère que personne ne se sentira offusqué d'avoir été omis et j'espère que
l'émotion d'avoir terminé ce travail justifiera quelques oublis s'il y en a.

Enfin, je tiens à remercier toutes les personnes qui m'ont conseillé et relu lors de la
rédaction de ce rapport de stage : ma famille, mon ami Hamza SOHAB camarade de
promotion.

A vous tous, merci !


RÉSUMÉ

De nos jours, la sécurité informatique est quasi-indispensable pour le bon


fonctionnement d’un réseau filaire ou non filaire, pour cela les administrateurs réseau
entreprise doivent mettre des mécanismes de plus robustes.

Ce modeste travail, présenté par ce document, constitue le fruit d’une expérience très
enrichissante qui a durée 2 mois au sein de la société La Voie Express, ou la mission
qui m’a été confiée consiste à réaliser une étude et la mise en place de la solution
d’authentification RADIUS sous le réseau Wi-Fi local. Assurant le contrôle des accès
des utilisateurs, pour cela, nous avons choisi le protocole RADIUS qui est l’un des
protocoles d’authentification les plus performant.

Pour la réalisation de ce travail, mon projet a été organiser de manière à respecter une
démarche bien organisée. Après avoir conçu une étude préliminaire de l’existant ayant
pour objectif d’identifier l’état de l‘existant et comment la relie avec cette solution.
J’ai ainsi commencé la procédure pour finaliser la mise en place et le posage de la
solution, et pour l’implémentation de la solution nous avons choisi le contrôle du
serveur par MS 2012 qui inclut le serveur d’authentification RADIUS et la base de
données AD pour l’enregistrement des comptes utilisateurs.

Ce rapport se propose de décrire les différentes étapes par lesquelles le projet a passé
dans le but d’atteindre la solution actuelle.
ABSTRACT

Nowadays, computer security is almost essential for the proper functioning of a wired
or wireless network, for this network administrators must implement mechanisms
more robust.

This modest work, presented by this document, is the fruit of a very rewarding
experience that lasted 2 months inside the company “La Voie Express”, or the mission
that was entrusted to us place of the authentication solution RADIUS under the local
Wi-Fi network. To ensure the control of the access of the users, for that, we chose the
RADIUS protocol which is one of the most efficient authentication protocols.

For the work of this study, my work to summer has organized a way to respect a well-
organized approach. After a preliminary study of the existence of the identifier of the
existing and the commentary with this solution. So I started the process to finalize the
implementation and positioning of the solution, and for the implementation of the
solution, we chose to control the server by MS 2012 which includes the RADIUS
authentication server and the AD database for registering users accounts.

This report aims to describe the different stages of the project in the past, in the object
to reach the current solution.
Table des matières
Introduction ....................................................................................................... 1
Première Partie : Contexte Général du projet
Chapitre 1 : Structure d’accueil ....................................................................... 3
1. Présentation de la structure d’accueil ............................................................................... 3
1.1.Presentation de société La Voie Express ....................................................................... 3
1.1.1. Historique ........................................................................................................... 4
1.1.2. Fiche signalétique ................................................................................................ 4
1.1.3. Organigramme ..................................................................................................... 5
1.1.4. Moyens................................................................................................................. 5
1.1.5. Engagements ....................................................................................................... 6
1.1.6. Service qualité ..................................................................................................... 6
1.2 Présentation de la direction des systèmes d’information .............................................. 7
2. Activités et implantation géographique ............................................................................ 7
2.1 Activités ........................................................................................................................ 7
1. Affrètement ........................................................................................................... 7
2. Messagerie ............................................................................................................ 8
3. Logistique ............................................................................................................. 8
2.2. Implantation géographique ........................................................................................... 9

Chapitre 2 : Objectifs et Solutions Adoptée ................................................ 10


1. Objectifs du projet ............................................................................................................ 10
1.1 Problématique général du projet .............................................................................. 10
1.2 Étude de l’existant ................................................................................................... 11
1.2.1 Préambule .................................................................................................... 11
1.2.2 Analyse au sujet de débit ............................................................................... 11
1.2.2.1 L’état actuelle ........................................................................................ 11
1.2.2.2 Solution adopté ...................................................................................... 12
1.2.3 Analyse au sujet de la sécurité .................................................................... 14
2. Cahier des charges ............................................................................................................ 14
3.Conclusion .......................................................................................................................... 14

Seconde Partie : Étude Théorique de la solution


Chapitre 1 : Authentification sur réseau local .............................................. 16

1. Pourquoi une authentification sur réseau local ?............................................................ 17


2. L’évolution des architectures de réseau .......................................................................... 17
3.Nouveau paramètre pour la sécurité̀ des réseau sans fils ............................................... 17
4. Les nouvelles solutions de sécurité .................................................................................. 18
5. Qu’est-ce que l’authentification réseau .......................................................................... 18
6. Pourquoi faire de l’authentification réseau .................................................................... 19
7. Intérêts de authentification réseau .................................................................................. 19
7.1 Intérêt pour un réseau filaire ...................................................................................... 19
7.2 Intérêt pour un réseau sans fil .................................................................................... 20
7.3 Éléments pour authentifier ......................................................................................... 20
8. Conclusion ......................................................................................................................... 20

Chapitre 2 : Modèle AAA .............................................................................. 21


1. Authentification ................................................................................................................ 22
1.1 Définition .................................................................................................................. 22
1.2 Utilisateur – AAA serveur ........................................................................................ 22
1.3 NAS – AAA Serveur Communications .................................................................... 23
1.4 Utilisateur – Communications NAS ......................................................................... 23
2. Autorisation ...................................................................................................................... 23
2.1 En quoi est-ce différent de l'authentification?............................................................ 24
3. Comptabilité ..................................................................................................................... 24
3.1. Quelles ressources ont été consultées, à quelle heure, par qui et quelles commandes
ont été émises? .......................................................................................................... 24
3.2 Définition ................................................................................................................... 25
3.3 Sécurité de comptabilité ............................................................................................ 25
3.4 Fiabilité de comptabilité ........................................................................................... 26
3.4.1 Protocoles de transport......................................................................................... 26
3.4.2 Mécanismes de basculement ............................................................................... 26
4. Avantages de l’utilisation du AAA .................................................................................. 27
5. Conclusion ......................................................................................................................... 27

Chapitre 3 : Les protocoles d’authentification ............................................. 28


1.Protocoles d’authentification sous AAA .......................................................................... 29
2.Modèle Client/serveur ........................................................................................................ 29
3.TACACS / TACACS+ ....................................................................................................... 30
3.1 Historique ..................................................................................................................... 30
3.2 Définitions .................................................................................................................... 30
3.3 Différence entre TACACS et TACACS+ .................................................................... 30
3.4 Avantages et Inconvénient ........................................................................................... 31
3.4.1 Avantages ........................................................................................................... 31
3.4.2 Inconvénient ....................................................................................................... 31
4.Diameter .............................................................................................................................. 31
4.1 Historique et Définition ............................................................................................... 32
4.2 Différence entre RADIUS et Diameter ........................................................................ 32
4.3 Avantages et Inconvénients du Diameter ..................................................................... 32
4.3.1 Avantages ............................................................................................................ 32
4.3.2 Inconvénients ...................................................................................................... 33
5.Kerberos .............................................................................................................................. 33
5.1 Les différences acteurs du Kerberos ................................................................................. 33
5.2 Avantages et Inconvénients du Kerberos .......................................................................... 34
5.2.1 Avantages ................................................................................................................. 34
5.2.2 Inconvénients ........................................................................................................... 34
6.Conclusion .......................................................................................................................... 34
Chapitre 4 : RADIUS ...................................................................................... 35

1.Historique ........................................................................................................................... 36
2. RADIUS ............................................................................................................................. 36
3. Le fonctionnement de RADIUS ....................................................................................... 38
4. L’authentification, l’autorisation et la gestion des connexions d’accès réseau ........... 39
4.1 Authentification par adresse MAC .............................................................................. 40
4.2 Authetification 802.1x ................................................................................................ 40
5. RADIUS et 802.1x ............................................................................................................. 41
6. Les méthodes d’authentification ...................................................................................... 41
6.1 Les différentes phases (simplifiées) d'une connexion 802.1x ...................................... 42
7. Le protocole RADIUS dans le modèle OSI ..................................................................... 42
8. Successeur de RADIUS ..................................................................................................... 43
9. Avantages et Inconvénients du RADIUS ........................................................................ 43
9.1 Avantages ..................................................................................................................... 43
9.2 Inconvénients ............................................................................................................... 43
10.Conclusion ........................................................................................................................ 43

Troisième Partie : Mise en place de la solution d’authentification RADIUS

Chapitre 1 : Étude Préalable .......................................................................... 45

1. Architecture cible .............................................................................................................. 45


2. Réseau test ......................................................................................................................... 46
2.1 Éléments du réseau test ................................................................................................. 46
2.2 Contraintes .................................................................................................................... 47
3. Conclusion ......................................................................................................................... 47

Chapitre 2 : Configurations et Test de la solution ....................................... 48

1. Configuration du point d’accès « UBIQUITI nanostation M2 » .................................. 48


2. Installation de Windows server 2012 ........................................................................ 50
3. Configuration du RADIUS dans Windows Server 2012 ............................................... 51
3.1 Additionnement des ‘’roles and features’’ ......................................................... 52
3.2 Configuration du RADIUS NPS serveur ................................................................... 58
4. Test du résultat .................................................................................................................. 61
5. Conclusion ....................................................................................................................... 61

Conclusions et Perspectives ............................................................................ 62

Bibliographie .................................................................................................... 64

Annexes ............................................................................................................. 66
Annexe A : Diagramme de Gantt ........................................................................................ 66
Annexe B : Analyse SWOT ................................................................................................ 67
Table des Tableaux
et Liste des Figures
Table des Tableaux

Tableau 1.1 Fiche Signalétique ................................................................................................ 4

Tableau 1.2 Adresse des agences de La Voie Express ............................................................ 9

Tableau 2.1 Différence entre TACACS et TACACS+ .......................................................... 30

Tableau A.1 Découpage du projet ......................................................................................... 66

Tableau B.1 Analyse SWOT ................................................................................................ 67

Liste des Figures

Figure 1.1 Logo de la Société La Voie Express

Figure 1.2 Organigramme Général de La Voie Express

Figure 1.3 Logo d’AFNOR certification

Figure 1.4 Logo de la certification ISO 9001

Figure 1.5 Architecture de liaison Internet et la répartition du réseau siège

Figure 1.6 Prix d’abonnement mensuel des débit par ADSL pro IAM

Figure 1.7 Prix d’abonnement mensuel par la Fibre Optique

Figure 2.1 Type d’authentification

Figure 2.2 Architecture entre le client finale et le serveur d’authentification

Figure 2.3 Processus d’authentification avec Kerberos

Figure 2.4 Architecture d’une liaison client/serveur RADIUS

Figure 2.5 L’ en-tête du paquet RADIUS

Figure 2.6 Modèle de liaison NPS serveur RADIUS

Figure 2.7 Authentification par adresse MAC


Figure 2.8 Authentification 802.1x

Figure 3.1 Architecture après l’installation du serveur

Figure 3.2 Logo du logiciel ‘’VirtualBox’’

Figure 3.3 UBIQUITI NanoStation M2

Figure 3.4 Réseau test architecture

Figure 3.5 Ping sur l’adresse IP 192.168.1.10

Figure 3.6 Interface du point d’accès

Figure 3.7 Menu Wireless du point d’accès

Figure 3.8 Ajout d’adresse IP du serveur d’authentification

Figure 3.9 Installation Windows Server 2012 R2

Figure 3.10 Menu des utilisateurs

Figure 3.11 Informations sur le système WS 2012

Figure 3.12 L’ajout de l’adresse IP

Figure 3.13 Server Manager interface

Figure 3.14 Add active ‘’Directory Domain Services’’

Figure 3.15 Sélection du ‘’Role-based’’

Figure 3.16 Sélection du serveur local avec le nom ‘’WIN-13594KI4UN5’’

Figure 3.17 Choix du rôle

Figure 3.18 L’installation d’Active Directory Domain Services

Figure 3.19 Ajout du ‘’Domain Name’’

Figure 3.20 LVE.com

Figure 3.21 Installation du ‘’Domain Name’’

Figure 3.22 Redémarrage du système

Figure 3.23 Nouveau groupe

Figure 3.24 Radiugrp

Figure 3.25 Unité organisationnel


Figure 3.26 Wifi Users

Figure 3.27 Utilisateur u1

Figure 3.28 L’ajout d’utilisateur u1

Figure 3.29 Paramétrer les utilisateurs

Figure 3.30 Dial-in paramètre

Figure 3.31 Option ‘’nps.msc’’ dans ‘’Run’’

Figure 3.32 Choix du type de configuration du NPS

Figure 3.33 Configuration 802.1x -1-

Figure 3.34 Configuration 802.1x -2-

Figure 3.35 L’ajout de l’adresse IP du point d’accès

Figure 3.36 Précision d’un nom pour le NAS

Figure 3.37 Type d’authentification EAP(PEAP)

Figure 3.38 Sélection du groupe des utilisateurs

Figure 3.39 Liste des réseau Wi-Fi dans La Voie Express

Figure 3.40 Confirmation du type de sécurité

Figure 3.41 coordonné d’utilisateur ‘’u1’’


Liste des acronymes
Liste des sigles et abréviations
AAA : Authentication, Authorization, Accounting/Auditing
AD : Active Directory
ADSL : Asymmetric Digital Subscriber Line
AS : Authentication Service
EAP : Extensible Authentication Protocol
EDI : Electronic Data Interchange
FSTM : Faculté des Sciences et Techniques Mohammedia
HTTPS : HyperText Transfer Protocol Secure
ISO : International Organization for Standarization
ISP : Internet Service Provider
LDAP : Lightweight Directory Access Protocol
LVE : La Voie Express
LAN : Local Area Network
MAC : Media Access Control
MS 2012 : Microsoft Server 2012
NAS : Network Attached Storage
PAP : Password Authentication Protocol
PFE : Projet de Fin d’Étude
PME/ PMI: les Petites et Moyennes Entreprises/ les Petites et Moyennes Industries
PPP : Point-to-Point Protocol
TCP : Transmission Control Protocol
RADIUS : Remote Authentication Dial-In User Service
RFC : Requests For Comments
SaaS : Software as a Service
SI : Systems d’Information
SQL : Structured Query Language
SSH : Secure SHell
SSL : Secure Sockets Layer
STCP : Stream Control Transmission Protocol
SWOT : Strengths, Weaknesses, Opportunities, Threats
TACACS+ : Terminal Access Controller Access-Control System+
TMS : Transport Management System
UDP : User Datagram Protocol
VLAN : Virtual Local Area Network
VPN : Virtual Private Network
WAN : Wide Area Network
WEP : Wired Equivalent Privacy
Wi-Fi : Wireless Fidelity
WLAN : Wireless Local Area Network
WMS : Warehouse Management System
WPA/WPA2 : Wi-Fi Protected Access/ Wi-Fi Protected Access2
Glossaire
VPN (Virtual Private Network) : Réseau Virtual Privé en français. L'objectif d'un VPN est
de permettre de lier deux réseaux d'appareils comme des PC, tablettes ou
smartphones…géographiquement éloignés et connectés sur un réseau public (internet par
exemple), via un tunnel sécurisé et encrypté.

NAS (Network Attached Storage) : Un serveur de stockage en réseau, également


appelé stockage en réseau NAS, boîtier de stockage en réseau ou plus simplement NAS (de
l'anglais Network Attached Storage), est un serveur de fichiers autonome, relié à
un réseau dont la principale fonction est le stockage de données en un volume centralisé pour
des clients réseau hétérogènes.

OSI ( Open Systems Interconnection) : Le modèle OSI est une norme précisant comment
les machines doivent communiquer entre elles. C'est un modèle théorique, le modèle
réellement utilisé étant le modèle TCP/IP& . Chaque couche a un rôle particulier à accomplir.
Les couches 1 à 4 sont les couches réseau.

NPS (Network Policy Server) : Est une implémentation de Microsoft d'un serveur et d'un
proxy RADIUS (Remote Authentication User Service). C'est le successeur du service
d'authentification Internet (IAS).

EAP(Extensible Authentication Protocol) : Est un protocole de communication réseau


embarquant de multiples méthodes d'authentification, pouvant être utilisé sur les liaisons
point à point ( RFC 2284), les réseaux filaires et les réseaux sans fil ( RFC 3748, RFC 5247)
tels que les réseaux Wi-Fi.

LDAP (Lightweight Directory Access Protocol) : Protocole d'accès aux annuaires léger et
prononcez "èl-dap") est un protocole standard permettant de gérer des annuaires, c'est-à-dire
d'accéder à des bases d'informations sur les utilisateurs d'un réseau par l'intermédiaire de
protocoles TCP/IP.

PPP (Point-to-Point Protocol ) : (protocole point à point) Est un protocole de transmission


pour internet, décrit par le standard RFC 1661, fortement basé sur HDLC, qui permet d'établir
une connexion entre deux hôtes sur une liaison point à point. Il fait partie de la couche liaison
de données (couche 2) du modèle OSI.

PAP (Password Authentication Protocol) : Est un protocole d'authentification pour PPP.


Les données sont transmises en texte clair sur le réseau ce qui le rend par conséquent non
sécurisé.

WEP (Wired Equivalent Privacy ) : Est un protocole pour sécuriser les réseaux sans fil de
type Wi-Fi. ... Le WEP tient son nom du fait qu'il devait fournir aux réseaux sans fil une
confidentialité comparable à celle d'un réseau local filaire classique.

WPA/WPA2 (Wi-Fi Protected Access) : Est un mécanisme pour sécuriser les réseaux sans-
fil de type Wi-Fi. Il a été créé au début des années 2000 en réponse aux nombreuses et sévères
faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP

& , l'ensemble des protocoles utilisés pour le transfert des données sur Internet.
1

INTRODUCTION

Si les réseaux filaires, en évoluant, conservent leurs performances et leur


efficacité côté sécurité, cet aspect reste encore sensible pour les réseaux sans fil
dont la gestion peut paraitre parfois fastidieuse. En effet, un point d’accès émet
dans toutes les directions et aussi loin que porte son signal : un réseau sans fil
n’a aucune limite, contrairement aux réseaux filaires dont on connait le début et
la fin. Les premiers réseaux sans fil faisaient donc l’objet de nombreux soucis
liés à l’authentification des utilisateurs et au chiffrement des communications.

La première solution à ce problème fut l’apparition des clés WEP qui étaient
utilisées à la fois pour authentifier et chiffrer les échanges. Elles deviennent très
vite obsolètes car l’algorithme a été rapidement cassé et la méthode
d’authentification n’était pas fiable (basée sur une clé́ partagée). Mais
l’avènement du WPA et du WPA2 en 2004 a été d’un grand secours pour les
réseaux sans fil. Aujourd’hui on peut parler d’un niveau de sécurité enlevé car
de nombreuses technologies sont nées depuis lors, visant à améliorer cet aspect :
VPN, SSL,...

Pratiquement tous les postes utilisateurs sont équipés d’une couche logicielle
appelée qui prend en compte le WPA qui offre ainsi les fonctions
d’authentification et de chiffrement. Pour pouvoir s’authentifier, le supplicant
doit envoyer des requêtes à un serveur dédié qui se charge de vérifier les
informations et d’accepter ou refuser les demandes : le serveur RADIUS.

La présente étude se place dans le cadre du projet de fin d’études pour


l’obtention du diplôme Licence sciences et Techniques en Génie des
Télécommunication, dont le but est de la solution d’authentification RADIUS
sous le réseau Wi-Fi.

L’étude s’est effectuée sur trois principales étapes :

1. Contexte générale du projet;

2. Une étude théorique de la solution;

3. La dernière consiste l’étape de la mise en place.

Bonne lecture !!
2

Première partie
Contexte Général du projet
3

CHAPITRE 1
Structure d’accueil
Sommaire
1. Présentation de la structure d’accueil ............................................................................... 3
1.1.Presentation de société La Voie Express ....................................................................... 3
1.1.1. Historique ........................................................................................................... 4
1.1.2. Fiche signalétique ................................................................................................ 4
1.1.3. Organigramme ..................................................................................................... 5
1.1.4. Moyens................................................................................................................. 5
1.1.5. Engagements ....................................................................................................... 6
1.1.6. Service qualité ..................................................................................................... 6
1.2 Présentation de la direction des systèmes d’information .............................................. 7

2. Activités et implantation géographique ............................................................................ 7


2.1 Activités ........................................................................................................................ 7
1. Affrètement ........................................................................................................... 7
2. Messagerie ............................................................................................................ 8
3. Logistique ............................................................................................................. 8
2.2. Implantation géographique ............................................................................................ 9

1. Présentation de la structure d’accueil


1.1 Présentation de la Société La Voie Express
La Voie Express est une SA, et premier prestataire logistique marocain , s’appuyant sur un
solide réseau d’agences régionales, elle propose une offre logistique globale et complète qui
répond aux spécificités du marché national.

Grace à son expertise, La Voie Express dispose d’une certaine maîtrise des flux de
marchandises et d’informations, au service des donneurs d’ordres aux exigences de plus en plus
pointues. La Voie Express se positionne aujourd’hui comme un prestataire logistique intégré
couvrant la chaîne logistique, elle reste incontestablement le leader de la logistique de
messagerie au Maroc et ceux grâce au développement de trois métiers à savoir : la messagerie,
le transport, la logistique. En commandite action avec un capital de 15.000.000 de Dirhams, sa
notoriété ne dépasse pas les frontières nationales, elle dispose de 300 véhicules (exclus ceux du
personnel) et emploie 600 personnes au niveau national.

Figure 1.1 Logo de la société La Voie Express


4 P1/Chapitre 1 : Structure d’accueil
1.1.1. Historique
La Voie Express fondée en 1997 par M. Mohamad TALAL, la société comptait à son
démarrage, une dizaine de véhicules d’occasion et s’est lancé dans l’affrètement jouait
l’intermédiaire entre clients exportateurs ou importateurs et les frontières maritimes.
• En 2000 l’entreprise décide de mettre en place un service messagerie.
• Dés 2005, l’entreprise a lancé un plan de ‘‘conduite citoyenne’’, un programme de maitrise
du risque routier, ce dispositif complet s’étale tout au long de la carrière du conducteur.

La Voie Express est ainsi le seul premier prestataire intégrateur 3PL& sur le marché marocain,
l’entreprise qui opère sur le secteur du transport et de la logistique diversifie l’offre de ses
produits et services en proposant une solution intégrée drainant un nombre de plus en plus
important de donneurs d’ordre : PME/PMI et multinationales.

Elle accompli ainsi toutes les opérateurs attachées à la gestion de la chaine logistique,
ramassage, le transport, l’entreposage, la préparation des commandes, et jusqu’au retour de
fonds. Ce qui constitue le panier des principaux produits, elle assure trois activités principales :
Ø Affrètement
Ø Messagerie
Ø Logistique

1.1.2. Fiche signalétique


Dénomination La Voie Express
Directeur général TALAL Mohammed
Date de création 1997
Statut Juridique Société anonyme de droit marocain régie par les
dispositions de la loi n° 17-95 promulguée par
le Dahir n° 1-96-124 du 30 août 1996 relative
aux sociétés anonymes.
Capital social 23 077 000,00
Secteur d’activité Transport, Logistique
Activité Affrètement
Messagerie
Logistique
Téléphone 05-22-34-43-16

05-22-34-42-64
Adresse 19, Rue Abou Bakr Ibnou Koutaia, Ain Sebaâ -
Casablanca
Site Internet www.lavoieexpress.com

Tableau 1.1 Fiche Signalétique

& ,‘’Third-party logistics’’, est l'externalisation de la chaîne d'approvisionnement d'une entreprise


5 P1/Chapitre 1 : Structure d’accueil
1.1.3 Organigramme
On présente dans la figure ci-dessous une vue d’ensemble de l’organisation fonctionnelle de
la direction au sein de La Voie Express :

Directeur général

Direction des Direction des Direction Finance


Direction Direction Direction
systemes resources et Administration
Transport d'exploitation commerciale
d'information humaines de vente

Figure 1.2 Organigramme général de La Voie Express

1.1.4. Moyens
Humains

Se sont plus de 600 femmes et hommes qui sont au service des clients tous les jours, en
donnant le meilleur d’eux même en cherchent constamment à se surpasser, avec un souci
constant du respect des normes qualité. C’est cela l’esprit et la culture ‘VEX’.

Matériels

La Voie Express dispose d’un important parc de plus de 280 véhicules de tous types :

• Utilitaires 500 Kg – 1,
• Camions 3,5T ou 5,5T- 20,
• Camions 8T,14T - 30,
• Semi-remorques 25T-80: fourgon, totliner, bâchées, savoyardes, plateaux, col de signe,
surbaissée, etc...

Cette variété de véhicules permet à La Voie Express d’offrir à sa clientèle des solutions
transports adaptées à leurs besoins. Dans le but constant d’optimiser les couts transport en
arbitrant sur le couple délai-coût.

Plusieurs critères et contraintes sont intégrés dans le choix de la solution logistique. Les coûts,
les délais, le volume et la quantité des marchandises, l’encombrement, le temps de
chargement/déchargement, les moyens des manutention, ainsi que le lieu de la
livraison(centre-ville, rues étroites, etc...).
6 P1/Chapitre 1 : Structure d’accueil

1.1.5. Engagements
Sécurité des entrepôts des agences

• Identifier, auditer et traiter les situations à risques.


• Sensibiliser l’ensemble des collaborateurs à la prévention et la gestion de risques majeurs.
• Assurer les formations initiales et continues des collaborateurs aux comportements
sécuritaires par actes et par reflexes.
• Entretenir, et auditer les équipements ainsi que les installations techniques en vu de prévenir
tous types de risques.

Les preuves

• Travailler en conformité avec les exigences légales.


• Mettre en place le matériel nécessaire pour garantir la sécurité des personnes et des
marchandises tout en observant une maximisation des productivités et de qualité...
• Évalue et analyser très régulièrement les performances sécurités pour en faire progresser le
niveau.

Sécurité routière

• Donner les moyens aux conducteurs d’être exemplaires en matière de sécurité routière.
• La sécurité routière est une priorité permanente qui s’inscrit dans le cadre d’une politique
responsable de prévention de risques partagés par tous les collaborateurs de la Voie Express.

• Recrutement sélectif = test de conduite + entretien d’embauche.


• Prise en charge du nouveau conducteur par un moniteur-parrain.
• Une semaine de formation accompagnée par formateur interne.
• Une séance de qualification et d’audit tous les 9 mois.

Les hommes et les femmes : au centre de l’activité

la Voie Express recrute, forme et responsabilise ses collaborateurs pour agir en équipe et
construire un environnement de travail performant. Par des actions de sensibilisation et de
recrutement.

La Voie Express a mis en place une politique de diversité et d’intégration, qui fait de
l’entreprise un lieu de travail où la culture d’entreprise reconnaît et valorise les compétences.

1.1.6. Service qualité


La Voie Express se démarque par son haut degré d’exigence envers ses clients, en termes de
‘‘Qualité de service’’. Cet engagement repose sur une maîtrise opérationnelle au quotidien, et
une rigueur à toute épreuve observe par chacun des collaborateurs.
7 P1/Chapitre 1 : Structure d’accueil
La Voie Express se différencie par son haut degré d'exigence Qualité, au profit de ses clients.
Cet engagement repose sur la maîtrise opérationnelle au quotidien de ces collaborateurs, ainsi
qu’un souci permanent de la satisfaction client. Cette approche se voit récompensé tous les ans
par le renouvellement de notre certification AFNOR ISO 9001 version 2008.

Figure 1.3 Logo d’AFNOR certification Figure 1.4 Logo de la certification ISO 9001.

1.2 Présentation de la direction des systèmes d’information


la direction des SI est chargé de gérer le système d’information global de toute l’entreprise, il
est dirigé par M. EL MADANI Mohammed.
le service informatique ou j’ai effectué mon stage a pour principales missions :

L’installation et la maintenance des logiciels ainsi que leurs mises à jour,


L’installation et la maintenance des matériels informatiques,
La gestion du parc informatique,
L’affectation du matériel informatique,
L’administration du réseau,
Le lancement et l’étude des marchés via les appels d’offre,
Le développement et l’intégration, du système d’information,
La gestion de la sécurité du système d’information,

2. Activités et implantation géographique


2.1 Activités
Affrètement

La Voie EXPRESS opère depuis de nombreuses années en affrètement sur le marché national.
Cette solution garantit des services compétitifs et de qualité tout en permettant de faire face à
de forte variation de demandes. Le service appuyons sur un parc roulant comprenant différents
types de véhicules :
5t5, 8t, 14t, semi-remorques 25t : totliner, bâchées, surbaissée, col de signe…

Pour garantir une prestation optimale, les cahiers des charges sont élaborés en équipe (client,
techniciens, exploitants, conducteurs).
8 P1/Chapitre 1 : Structure d’accueil
Cette solution sur-mesure comprend :
- L'analyse des flux et des variations d'activités (saisonnalité, arrêts techniques…).
- La prise en compte des modes opératoires.
- Un interlocuteur unique qui prend en charge et suit les dossiers au quotidien
(prise de commande, planification des moyens, cadencement des véhicules, suivi des délais
de livraison, remontée d'information…).
- La prise de rendez-vous au chargement ou chez le destinataire.
- La gestion des non-conformités.
- La possibilité d'échanges de données : le service informatique s'adapte à tous les systèmes
d'information.
Messagerie

La solution pour livrer des colis ou marchandises en faible quantité ou sur des destinations
éloignées en un temps record, et surtout à faible coût, livraison de tous types de produits
manufacturés ou industriels sans limite de poids de 1kg à 5tonnes pour une livraison sur tout
le Maroc.

La Voie Express développe et met régulièrement en place de nouveaux services, avec toujours
comme réel objectif la satisfaction de ces client :

- RAMASSAGE, COLLECTE ET LIVRAISON À DOMICILE


- RETOUR DE FOND ESPÈCE, CHÈQUE TRAITE, OU BON DE LIVRAISONS :
A DOMICILE
- ETAT DE SOUFFRANCE COLIS ET CONTRE PAIEMENT AUTOMATIQUE
- ASSURANCE MARCHANDISE TRANSPORTÉE
- ETATS STATISTIQUES VARIES
- ECHANGES EDI
- ARCHIVAGE PHYSIQUE DES DOCUMENTS

Logistique

Le service qui met en disposition la gestion de nos stocks en répondant à des marchés de plus en
Plus exigeants. Quelle que soit la taille de l’entreprise et la nature des produits et
conditionnement, les équipes de La Voie Express élaborent des solutions logistiques optimales
et évolutives, Grâce à implémentations régionales.
ils proposent des services à la hauteur de vos exigences en terme de :

- GESTION RÉCEPTION
- STOCKAGE
- PRÉPARATION DE COMMANDES
- PICKING
- EXPÉDITIONS
9 P1/Chapitre 1 : Structure d’accueil

2.2. Implantation géographique


Les activités de la société de La Voie Express couvrent tout le territoire national à travers :

§ Un siège qui gère tous les différentes agences (Casablanca).


§ 16 Agences Entrepôts en propre à travers le Maroc.

La Voie Express offre un réseau très développé avec des Agences de distribution en propre, et
ce, sur les principales villes du Maroc. Ce réseau d'agences comprend des hubs permettent de
livrer quotidiennement sur plus de 129 destinations au Maroc, soit plus de 6 400 destinataires
Par jour (entreprises, particulier, grande et moyenne surface, etc...).

Agence Adresse Tél.


Agadir 17 rue rue titou, quartiert el quods 05.28.22.38.22
Ait melloul 18, lot guicharde, avenue med VI 05.28.24.68.24
Casablanca 19, rue abou bakr ibnou koutia, Oukacha, Ain Sebaa 05.22.34.43.16
El jadida 19, lot ennassim, rue essafa 05.23.39.03.04
Fes Qt sidi brahim rue 806 05.35.65.81.03
Kenitra 10 rue ibnou al banna, ville nouvelle 05.37.37.98.21
Marrakech 514 quartier industriel sidi ghanem 05.24.33.61.74
Meknes 201 avenue des far ville nouvelle 05.35.51.11.41
Nador bd niama n 79, quartier ouled mimoun 05.36.60.31.60
Oujda 13 angle rass foughal et abdellah ben Yassine 05.36.70.51.96
Rabat 77 rue london, l'ocean 05.37.26.25.97
Safi 56 route de l’aviation kodiat si hamza 05.24.46.22.26
Tanger 103 alle n 3 zone industrielle mghougha 05.39.35.24.55
Tetouan nahj el baraka el kheniores en face college ibn Sina 05.39.71.31.55
Taza 272, bloc 2 adarissa 05.35.28.50.78
Larache Avenue du Caire N° 116 05.39.91.41.22
Tableau 1.2 Adresse des agences de La Voie Express
10

CHAPITRE 2
Objectifs et Solutions Adoptée
Sommaire
1. Objectifs du projet ............................................................................................................ 10
1.1 Problématique général du projet .............................................................................. 10
1.2 Étude de l’existant ................................................................................................... 11
1.2.1 Préambule .................................................................................................... 11
1.2.2 Analyse au sujet de débit ............................................................................... 11
1.2.2.1 L’état actuelle ........................................................................................ 11
1.2.2.2 Solution adopté ...................................................................................... 12
1.2.3 Analyse au sujet de la sécurité .................................................................... 14

2. Cahier des charges ............................................................................................................ 14

3.Conclusion .......................................................................................................................... 14

C
ompte tenu des problèmes rencontrés précédemment et dans le souci de trouver des
solutions appropriées. Nous avons proposé d’implémenter un protocole
d’authentification pour gérer l’accès des utilisateurs au réseau Wi-Fi dans le siège de
La Voie Express. Authentification : Le fait de s'authentifier permet d'accéder à des
informations personnalisées en fonction du profil de la personne. Cette personnalisation de
l'information est aussi un gage de confidentialité des données.

1. Objectifs du projet
1.1 Problématique général du projet
Ouvrir l’entreprise vers le monde extérieur signifie laisser une porte ouverte à divers acteurs
étrangers. Cette porte peut être exploité pour la destruction des données ou pour le piratage
des données C’est pourquoi on doit sécuriser notre réseau en utilisant :

• VPN –Firewall& ,

• Serveur d’Authentification

& , Firewall ou pare-feu est outil informatique (matériel et/ou logiciel) conçu pour protéger les données d'un réseau
(protection d'un ordinateur personnel relié à Internet par exemple, ou protection d'un réseau d'entreprise).
11 P1/Chapitre 2 : Objectifs et solutions adoptée

1.2 Étude de l’existant


1.2.1 Préambule
Le but de l’étude de l’existant est de déterminer les points faibles et les points forts d’un
produit actuel pour pouvoir déterminer les besoins du client, en vue d’en prendre en
considération lors de la mise en place de la solution. Dans cette section, nous présentons une
analyse des parties qui sont en relation avec le sujet. Ensuite, nous formulerons une solution
de la problématique.

1.2.2 Analyse au sujet de débit

Dans cette section, nous présentons une étude sur le passage vers un nouveau type de
connexion pour améliorer le débit, c’est le passage vers la connexion par fibre optique.
Après l’étude et l’analyse on trouve que le type de connexion à l’internet par la société est
pris depuis sa naissance via les lignes ADSL avec plusieurs abonnement, et un débit plus au
moins faible qui monte jusqu’à 12Mb/s sur une seule ligne.
Dans ce point la société a trouvé une contrainte qui s’ajoute au problématiques précèdent lié à
l’utilisation des utilisateurs du réseau Wi-Fi.

Les analyses sur ce sujet nous a donner une proposition qui peuvent limité le problème. cette
proposition est bien définis dans les parties suivantes.

1.2.2.1 L’état actuelle

l’architecture ci-dessous décrit la connexion relie les fournisseurs de l’accès à l’internet et


comment il se situe avant et après l’entrée de la société.

Figure 1.5 Architecture de liaison Internet et la répartition du réseau siège


12 P1/Chapitre 2 : Objectifs et solutions adoptée

Pour détaillé le contenu de la figure précédente on trouve que la connexion à l’internet est
faite avec double liaison une par le fournisseur IAM et l’autre par INWI ceci est pour qu’une
raison est le backup ou la procédure de la continuité d’activités prise par la société. Et dans la
partie à droite décrit comment l’architecture de la liaison dans le siège entre les différentes
étages du bâtiment et les autres lieu du siège, on voit bien que les points d’accès qui concerne
notre travaille sont les 3 celle dans le premier, deuxième et le quatrième étage. Le nombre des
lignes ADSL sont 4 lignes ADSL pro.

1.2.2.2 Solution adoptée

Dans le contexte de ce sujet et après la recherche dans les sites web des fournisseurs d’accès à
internet ISP, ici au Maroc et notamment ceux qui sont déjà en abonnement avec la société La
Voie Express. On trouve après la comparaison du prix, que le passage vers cette solution peut
être établi pour améliorer le débit.

La liaison par ADSL pro Actuelle :

Figure 1.6 Prix d’abonnement mensuel des débit par ADSL pro IAM

La liaison par Fibre Optique :

Figure 1.7 Prix d’abonnement mensuel par la Fibre Optique

1.2.2.3 Avantages et inconvénients de la fibre optique


Malgré sa vitesse et sa bande passante, par-rapport à celle du câble en cuivre, la fibre optique
présente également certains inconvénients. Voici donc quelques avantages et inconvénients de
la fibre optique.
13 P1/Chapitre 2 : Objectifs et solutions adoptée
Avantages de la fibre optique

• Une plus grande bande passante et une vitesse plus élevée. Le câble à fibre optique prend
en charge une bande passante et une vitesse extrêmement élevée ; jusqu’à 10Gbps. La
quantité d’informations qui peut être transmise par unité de câble à fibre optique est son
avantage le plus significatif.
• Les fibres optiques sont aussi plus minces et plus légères. Ainsi, cela leur permet d’offrir
un meilleur ajustement, là où l’espace est un problème.
• Une capacité de charge plus élevée. Les fibres optiques étant beaucoup plus minces que
les fils de cuivre, davantage de fibres peuvent être regroupées dans un câble d’un même
diamètre. Cela permet à plus de lignes téléphoniques de passer par le même câble.
• La fibre optique a une meilleure durée de vie. Les fibres optiques ont généralement un
cycle de vie plus long ; plus de 100 ans.

Inconvénients de la fibre optique

• Les sources d’émission de faible puissance-lumière sont limitées à une faible puissance.
Bien que des émetteurs de forte puissance soient disponibles pour améliorer l’alimentation
électrique ; mais cela implique aussi un coût supplémentaire.
• Fragilité : la fibre optique est plutôt fragile et plus vulnérable aux dommages par rapport
aux fils de cuivre. Vous feriez mieux de ne pas tordre ou plier les câbles à fibres optiques ;
à vos risques et périls. Attention, ça n’est pas le cas du câble qui est beaucoup plus résistant.
• Distance : la distance entre l’émetteur et le récepteur doit rester courte ; ou alors des
répéteurs sont nécessaires pour amplifier le signal.

Remarque
Cette analyse n’est qu’une proposition qui peuvent être en place après l’étude par l’équipe de
la société, cette proposition a une liaison avec plusieurs solution selon l’administrateur, qui
peuvent être s’implémenter en même temps : RNIS, Visioconférence, TOIP...
14 P1/Chapitre 2 : Objectifs et solutions adoptée

1.2.3 Analyse au sujet de la sécurité


Cette partie est notre sujet du projet qui consiste à mettre en place la solution
d’authentification pour les raisons de sécurité avec l’un des protocoles célèbre dans le
domaine de la sécurité informatique. Par la suite des parties et des chapitres on va détaillé
cette solution, pour la mettre en place.

2. Cahier des charges


Après avoir validé le cahier des charges avec l’encadrant de la société d’accueil La
Voie Express, il paraît que la solution d’authentification des utilisateurs qui seront
connecte au réseau Wi-Fi local de la société va offrir :

• une nouvelle étape dans la sécurité du réseau locale


• une facilite dans la gestion des utilisateurs
• une limitation dans le débit qu’on les utilisateurs se connecte,
• Avoir de la traçabilité dans les différentes tâche de chaque utilisateurs
•...

Mon objectif dans ce projet est de réaliser ou de mettre en place la solution avec un
protocole d’authentification RADIUS sous le réseau Wi-Fi.

3. Conclusion
Dans ce chapitre qui présente les objectifs et les solutions adoptée, on a inauguré le chapitre
par une présentation du projet ou on a évoqués les problématiques, et une étude de l’existant,
puis on a cité le cahier de charge du projet. Pour la gestion du projet la démarche que nous
avions suivie pendant la gestion du projet ainsi que la planification de ce dernier sera évoqué
dans ( Annexe A).
La partie suivante est une deuxième partie du corps de la mémoire sera consacré pour une
étude théorique sur toute les parties qui décrit notre sujet de stage. Et par la suite nous allons
dévoiler une étude sur la solution qu’on va utiliser dans notre travail.
15

Seconde partie
Étude théorique de la solution
16

CHAPITRE 1
Authentification sur réseau local
Sommaire
1. Pourquoi une authentification sur réseau local ?............................................................ 17

2. L’évolution des architectures de réseau .......................................................................... 17

3.Nouveau paramètre pour la sécurité̀ des réseau sans fils ............................................. 17

4. Les nouvelles solutions de sécurité .................................................................................. 18

5. Qu’est-ce que l’authentification réseau .......................................................................... 18

6. Pourquoi faire de l’authentification réseau .................................................................... 19

7. Intérêts de authentification réseau .................................................................................. 19


7.4 Intérêt pour un réseau filaire ...................................................................................... 19
7.5 Intérêt pour un réseau sans fil .................................................................................... 20
7.6 Éléments pour authentifier ......................................................................................... 20

8. Conclusion ......................................................................................................................... 20

A
vant toute chose, il est important de savoir de quoi on parle lorsqu'on traite
l'authentification dans le domaine de l'informatique. L'authentification est la
procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité
(personne, ordinateur...), afin d'autoriser l'accès de cette entité à des ressources (systèmes,
réseaux, applications...). L'authentification permet donc de valider l'authenticité de l'entité en
question.

Dans le cas d'un individu, l'authentification consiste, en général, à vérifier que celui- ci
possède une preuve de son identité ou de son statut, sous l'une des formes (éventuellement
combinées) suivantes :

● Ce qu'il sait (nom d’utilisateur/mot de passe).

● Ce qu'il possède (carte à puce, certificat électronique, clé-USB, etc.).

● Ce qu'il est (caractéristique physique, biométrie).


17 P2/Chapitre 1 : Authentification sur réseau local

1. Pourquoi une authentification sur réseau local ?


Ce début de XXIe siècle est marqué par l’explosion des réseaux sans fil qui constituent, de
plus en plus, une composante à part entière des réseaux locaux. Cette technologie sans fil était
considérée à l’origine comme un instrument d’appoint. Mais son évolution rapide, celles des
mentalités et des habitudes conduisent les administrateurs réseaux à repenser les relations
entre réseaux sans fil et filaires.

En effet, si le sans-fil se développe, il n’en reste pas moins que le réseau filaire est toujours
bien là et indispensable. On remarquera également qu’un poste de travail qui dispose de la
double connectique sans fil et filaire a la possibilité́ d’être connecté, simultanément, dans les
deux environnements.

2. L’évolution des architectures de réseau


Les réseaux locaux filaires ont aussi beaucoup évolué ces dernières années, passant d’une
architecture peu structurée à une segmentation en sous-réseaux souvent motivée par la volonté́
de mieux maîtriser les flux entre différents utilisateurs ou types d’activités, notamment grâce
à l’utilisation de filtres. Cette évolution est facilitée par l’introduction de réseaux virtuels
(VLAN) dont la multiplication ne coûte rien.

On peut alors être tenté de placer les postes sans fil dans un sous-réseau dédié et les postes
filaires sur un autre.

Mais est-ce une bonne idée ? Pourquoi un poste donné serait-il traité différemment suivant la
méthode d’accès au réseau ? N’est-ce pas le même poste, le même utilisateur ? La logique ne
voudrait-elle pas qu’un même poste soit toujours perçu de la même manière sur le réseau,
quel que soit son mode d’accès ?

Autrement dit, un poste ne doit-il pas être placé sur le même sous-réseau, qu’il se connecte
par le biais du réseau sans fil ou par le biais du réseau filaire ? Cette banalisation du
traitement constitue une intégration logique des deux moyens physiques.

À ces questions, on pourrait répondre que la sécurité des réseaux sans fil n’est pas assez
poussée et qu’il vaut mieux ne pas mélanger les torchons avec les serviettes.

Pourtant cet argument est contraire à la sécurité car, si un poste dispose de la double capacité
sans fil/filaire, il a alors la possibilité́ de faire un pont entre les deux environnements et de se
jouer des filtrages établis entre les réseaux virtuels qui ne servent alors plus à rien.

3. Nouveau paramètre pour la sécurité des réseaux


sans fil
Si on sait parfaitement où commence et où finit un réseau filaire, et qu’il faut se connecter sur
une prise physique pour avoir une chance de l’écouter, la difficulté avec les réseaux sans fil
réside dans le fait que leur enveloppe est floue. Il n’y a pas de limites imposables et
contrôlables.
18 P2/Chapitre 1 : Authentification sur réseau local

Une borne Wi-Fi émet dans toutes les directions et aussi loin que porte son signal. Bien
souvent, ses limites dépassent les bâtiments de l’établissement et parfois plusieurs réseaux se
recouvrent. Donc, partout dans le volume couvert par une borne, des « espions » peuvent
s’installer et intercepter les communications ou s’introduire dans le réseau et l’utiliser à leur
profit. Cette situation fut très problématique pour les premières installations Wi-Fi à cause de
l’absence de méthode d’authentification fiable des postes de travail et de mécanismes de
chiffrement fort des communications. Cela n’incitait pas à mélanger les postes filaires et sans
fil.
La première notion de sécurité fut introduite par les clés WEP, utilisées à la fois comme droit
d’accès au réseau et pour chiffrer les communications.
Cependant, il ne pouvait s’agir d’une méthode d’authentification sérieuse puisque la seule
connaissance de la clé partagée entre tous les utilisateurs et les bornes donnait accès au
réseau. Quant au chiffrement, les pirates ont très vite eu raison de l’algorithme utilisé, qui ne
résiste pas à une simple écoute du trafic suivie d’une analyse. Des logiciels spécifiques ont été
développés, tels que Aircrack ou Airsnort, qui permettent d’automatiser ce type d’attaques.

4. Les nouvelles solutions de sécurité


Mais depuis, la situation a bien évolué grâce à l’arrivée des protocoles WPA puis WPA2 et
par là même des capacités d’authentification plus robustes. Il est désormais possible d’établir
une authentification forte et d’enchaîner sur un chiffrement solide des communications de
données. À partir de là, on peut atteindre un niveau de sécurité satisfaisant et intégrer plus
sereinement réseau sans fil et réseau filaire. Plusieurs écoles s’affrontent au sujet de la
sécurité des communications Wi-Fi. On peut considérer que le chiffrement est une tâche qui
peut être laissée aux applications de l’utilisateur (SSH, HTTPS...). On peut aussi chiffrer
grâce à un serveur VPN. Dans ce dernier cas, un logiciel client doit être installé et configuré
sur chaque poste de travail. Il a pour rôle d’établir une communication chiffrée entre lui et un
serveur VPN, qui assure un rôle de passerelle avec le réseau filaire.
Cela revient donc à ajouter une couche logicielle supplémentaire sur le poste de travail.
Pourtant, est- ce bien nécessaire ? En effet, aujourd’hui, tous les systèmes d’exploitation
possèdent déjà une couche équivalente qui porte le nom de supplicant et qui est complètement
intégrée au code logiciel des fonctions réseau. De plus, ce supplicant est compatible avec
WPA, ce qui lui procure à la fois des fonctions de chiffrement et d’authentification. Afin de
répondre aux requêtes des supplicants, il faut installer, comme chef d’orchestre, un serveur
d’authentification qui implémentera le protocole RADIUS.

5. Qu'est-ce que l'authentification réseau ?


Il s'agit d'authentifier une machine lorsqu'elle se branche sur le réseau afin de lui autoriser ou
refuser l'usage du réseau. On authentifie pour délivrer des autorisations. Cette authentification
est indépendante d'autres authentifications vers des systèmes d'exploitation ou applications.
19 P2/Chapitre 1 : Authentification sur réseau local

Figure 2.1 Type d’authentification

6. Pourquoi faire de l’authentification réseau ?

• Sécuriser un réseau filaire ou sans-fil.

• Pour interdire les postes inconnus.

• Pour placer les postes connus à des endroits spécifiques du réseau (VLAN) de façon
dynamique.

•Pour savoir quelle machine est connectée et où elle est connectée.

7. Intérêts d’authentification réseau ?


7.1 Intérêt pour un réseau filaire
• Savoir qui se connecte sur quelle prise.

• Éviter une utilisation illicite du réseau par des « inconnus ».

• Affecter les machines sur des réseaux virtuels (cloisonnement).


20 P2/Chapitre 1 : Authentification sur réseau local

7.2 Intérêt pour un réseau sans-fil


• Obligatoire pour intégrer le réseau filaire CAD que les machines sans-fil travaillent comme
les machines filaires.

• Affecter une machine sur le même VLAN que lorsqu’elle se connecte sur le réseau filaire.

• Authentification + cryptage.

• Nécessité de gérer un périmètre aérien, flou, incontrôlable.

7.3 Éléments pour authentifier


• L’adresse MAC de la carte Ethernet.

• Une base de login/mot de passe (Windows, LDAP...) .

• De certificats (utilisateurs ou machines) .

8. Conclusion
Dans ce chapitre on présente la réponse pour la première question qui tombe dans la tête qui
s’interroge sur pourquoi l’authentification du réseau.
La partie suivante est un deuxième chapitre vise à détailler le modèle AAA qui englobe
l’authentification notre sujet, l’autorisation, la comptabilité ou la traçabilité.
21

CHAPITRE 2
Modèle AAA
Sommaire
1. Authentification ................................................................................................................ 22
1.1 Définition .................................................................................................................. 22
1.2 Utilisateur – AAA serveur ........................................................................................ 22
1.3 NAS – AAA Serveur Communications .................................................................... 23
1.4 Utilisateur – Communications NAS ......................................................................... 23

2. Autorisation ...................................................................................................................... 23
2.1 En quoi est-ce différent de l'authentification?............................................................ 24

3. Comptabilité ..................................................................................................................... 24
3.1. Quelles ressources ont été consultées, à quelle heure, par qui et quelles commandes
ont été émises? ........................................................................................................................ 24
3.2 Définition ................................................................................................................... 25
3.3 Sécurité de comptabilité ............................................................................................ 25
3.4 Fiabilité de comptabilité ........................................................................................... 26
3.4.1 Protocoles de transport......................................................................................... 26
3.4.2 Mécanismes de basculement ............................................................................... 26

4. Avantages de l’utilisation du AAA .................................................................................. 27

5. Conclusions ........................................................................................................................ 27

L’
authentification, l’autorisation et la comptabilité (AAA) font référence à un cadre
de sécurité commun pour l’accès au réseau et aux applications en médiation. AAA
contrôle intelligemment l'accès aux ressources informatiques en appliquant des
règles strictes en matière d'accès et d'audit. Ce processus garantit que l'accès aux ressources
du réseau et des applications logicielles peut être limité à des utilisateurs légitimes
spécifiques.

AAA a un rôle à jouer dans presque toutes les manières dont nous accédons aux réseaux
aujourd'hui. Historiquement AAA a établi la référence. Bien que le surnom AAA soit
couramment utilisé en référence à RADIUS ou à Diameter (protocoles de réseau), le concept
est également largement utilisé pour la sécurité des applications logicielles. Cela est
particulièrement vrai des produits SaaS et des architectures de microservices& . Nous
détaillerons ces protocoles aux chapitres 3 et 4.

& , est une méthode de développement d'applications logicielles en tant que suite de services modulables et indépendamment,
dans lesquels chaque service exécute un processus unique et communique à travers un mécanisme léger et bien défini pour
atteindre un objectif commercial.
22 P2/Chapitre 2 : Modèle AAA
1. Authentification
1.1 Définition
Selon le dictionnaire, le mot "authentique" fait référence à quelque chose qui n'est pas faux, ni
une fausse imitation, mais qui mérite d'être accepté comme une vérité ou un fait. Depuis les
débuts des civilisations, où les gens ont parcouru 26 kilomètres pour transmettre un message,
puis s'effondrer et mourir, jusqu'à aujourd'hui, où les informations peuvent parcourir le monde
en quelques fractions de minute en un clic de souris, preuve de l'authenticité est la première
chose que le destinataire d’un message vérifie.

L'authentification consiste en deux actes: premièrement, fournir la preuve de l'authenticité des


informations livrées ou stockées et, ensuite, vérifier la preuve de l'authenticité des
informations reçues ou récupérées. Aux premiers âges, un empereur utilisait son sceau
personnel sur ses lettres pour assurer son authenticité. La lettre pourrait alors être portée par
n'importe quel messager dont l'identité serait sans importance. Le seigneur local reconnaîtrait
le sceau de l’empereur et ferait confiance à l’authenticité de la lettre. Il serait brisé le sceau,
lire la lettre, lancer une attaque ou percevoir les impôts en conséquence. À l'époque de la
diffusion de l'information numérique, fournir une preuve d'authenticité est tout aussi
important, mais pose ses propres défis, comme nous le verrons.

Aujourd’hui, les deux formes d’authentification mentionnées, c’est-à-dire l’intégrité de


l’information et la vérification de l’identité, font partie des mécanismes de sécurité les plus
fondamentaux nécessaires pour fournir un accès aux utilisateurs et aux clients du réseau.
[MadM05]

Figure 2.2 Architecture entre le client finale et le serveur d’authentification

1.2 Utilisateur – AAA serveur


Comme mentionné précédemment, il n'y a pas de communication directe entre l'utilisateur et
le serveur AAA. Le protocole AAA le plus répandu aujourd’hui, RADIUS (signifie service
d’accès distant à un utilisateur), a été conçu pour permettre à un NAS de transférer la
demande d’un utilisateur et ses informations d’accès au serveur, puis de renvoyer la réponse
du serveur à l’utilisateur. La structure de message Access-Request, Access-Challenge dans
RADIUS montre qu'elle a été conçue pour prendre en charge les méthodes d'authentification
par mot de passe, de sorte que le NAS puisse transférer un message de demande
d'authentification de l'utilisateur au serveur d'authentification et émettre les éventuels défis
créés par le réseau et présenter à l'utilisateur.
23 P2/Chapitre 2 : Modèle AAA

1.3 NAS – AAA Server Communications


Comme mentionné précédemment, cette communication est généralement effectuée sur une
partie privée du réseau. Un protocole AAA, tel que le protocole RADIUS, est utilisé à cette
fin. L'hypothèse de départ était qu'il n'y a qu'un saut entre le NAS et le serveur AAA.
Cependant, plusieurs sauts déployant des proxies AAA peuvent être requis. Il est important de
noter que, lorsque des proxies sont impliqués, la communication serveur NAS-AAA peut ne
plus se faire via un réseau privé. Cela signifie que les informations acheminées entre le
serveur NAS et le serveur AAA via le protocole AAA peuvent nécessiter une protection de
sécurité particulière.

1.4 Utilisateur - Communications NAS


Cette communication s'effectue généralement via un lien à un seul saut appelé lien d'accès,
car il fait partie d'un réseau d'accès. Le lien d'accès fournit un canal physique et un protocole
de couche liaison. Le canal physique ne fournit que le codage et la modulation des bits
d'information en signaux électriques. Ni les anciennes connexions par ligne téléphonique ni
les systèmes cellulaires récents ne fournissaient de services de couche 2, tels que des
mécanismes de formatage, de trame et d’accès multiples, ni de protocoles de couche 2
spécifiques, tels que le protocole point à point à cette fin. Les nouvelles technologies d'accès
sans fil telles que 802.11 WLAN ont leurs propres mécanismes de trame et ne nécessitent pas
de protocoles supplémentaires tels que PPP pour le transport de messages de couche 2.
Toutefois, comme nous l’avons déjà mentionné, le service de niveau IP doit être établi après
l’authentification initiale. Par conséquent, l’échange de messages d’authentification entre
utilisateurs et NAS doit s’exécuter directement sur un protocole de couche 2 spécifique à la
technologie d’accès.

2. Autorisation
L'autorisation fait référence au processus d'application des règles, tel que la détermination des
qualités des activités, des ressources ou des services qu'un utilisateur est autorisé à utiliser.
L'autorisation intervient généralement dans le contexte de l'authentification. Une fois que
vous avez été authentifié, l'autorisation AAA assemble l'ensemble des attributs qui décrivent
ce que vous êtes autorisé à exécuter. Les utilisateurs se voient attribuer des niveaux
d'autorisation qui définissent leur accès à un réseau et aux ressources associées. Par exemple,
un utilisateur peut être capable de taper des commandes, mais seulement être autorisé à
afficher, exécuter certaines commandes. Cela peut être basé sur des restrictions
d'emplacement géographique, de date ou d'heure, de fréquence de connexion ou de
connexions multiples par un seul utilisateur. Les autres types d'autorisation incluent les
affectations de route, le filtrage des adresses IP, la gestion du trafic en bande passante et le
cryptage. Un administrateur peut avoir un accès privilégié, mais même certaines actions
peuvent être restreintes. Par exemple, dans les architectures d'applications plus sécurisées, les
mots de passe sont stockés sans aucun processus de déchiffrement. Ces applications
sécurisées permettent de modifier les mots de passe (en remplaçant les mots de passe
existants), mais en ne les récupérant jamais. L'autorisation AAA vous permet d'appliquer cette
restriction. [PerS19]
24 P2/Chapitre 2 : Modèle AAA
2.1 En quoi est-ce différent de l'authentification?
Le problème de l'autorisation et ses distinctions par rapport au problème de l'authentification
peuvent être facilement expliqués à l'aide de l'exemple suivant.
Ex : Exemple commercial où l'autorisation est importante concerne les réseaux qui
fournissent des services aux utilisateurs ayant acheté des cartes prépayées. Un utilisateur de
téléphone cellulaire achète une carte prépayée censée lui permettre de téléphoner pendant
trois heures. Chaque fois que cet utilisateur demande à passer un appel téléphonique, le réseau
doit vérifier s’il reste du crédit sur la carte de l’utilisateur avant de lui permettre de se
connecter.

Historiquement, une entreprise privée propriétaire des réseaux informatiques ou radio


autorisait simplement ses employés ou ses filiales à utiliser ses ressources, dans la mesure où
ils pouvaient prouver leur affiliation à l'entreprise. Les informations d'identification pour la
preuve d'affiliation sont les informations d'authentification qui ont été fournies à l'utilisateur
au moment de son lancement dans l'entreprise. Une fois l’utilisateur authentifié, le service lui
était également autorisé. En d’autres termes, non seulement l’autorisation était assimilée à une
authentification, mais les informations d’identité présentées pour l’authentification étaient
également utilisées pour l’autorisation. Ce modèle existe toujours dans de nombreux réseaux
d'entreprise: le deuxième A (autorisation) est associé au premier A (authentification) dans
AAA. Dans les réseaux commerciaux, l’autorisation est basée sur l’acquisition de revenus. En
d’autres termes, si le fournisseur de réseau sait qu’il peut collecter le paiement de l’utilisateur
du service, celui-ci sera autorisé à le faire. Ici, le deuxième A est couplé au troisième A
(comptabilité). L'utilisateur s'abonne à un service et accepte de payer des frais pour ce service
et le fournisseur de réseau s'engage à lui fournir le service. Cependant, même si nous avons
dit que l'autorisation est associée à la comptabilité et à la facturation, il ne s'agit que de théorie
(travail sur contrat). En pratique, l'opérateur de réseau met en œuvre cet accord en fournissant
à l'utilisateur les informations d'authentification et base à nouveau l'autorisation sur
l'authentification.

Maintenant que nous avons établi qu'il existe une différence entre authentification et
autorisation, discutons d'un autre exemple extrême de la vie réelle, où l'autorisation est en
réalité plus importante que l'authentification.

3. Comptabilité
3.1. Quelles ressources ont été consultées, à quelle heure,
par qui et quelles commandes ont été émises?
La comptabilité mesure les ressources consommées par les utilisateurs lors de l'accès à un
réseau ou à une application, en enregistrant les statistiques de session et les informations
utilisateur, y compris la durée de la session, ainsi que les données envoyées et reçues. Les
informations d'utilisation sont utilisées pour le contrôle des autorisations, la facturation,
l'analyse des tendances, l'utilisation des ressources et la planification de la capacité. La
comptabilité garantit qu'un audit permettra aux administrateurs de se connecter et de
visualiser les actions effectuées, par qui et à quelle heure. L'une des restrictions du composant
de comptabilité de AAA est qu'il nécessite un serveur de sécurité AAA externe pour stocker
les enregistrements de comptabilité réels. Une comptabilité appropriée permet aux
administrateurs réseau et système de déterminer qui a tenté d'accéder à quoi et si l'accès a été
accordé.
25 P2/Chapitre 2 : Modèle AAA
3.2. Définition
Le dernier «A» dans «AAA» concerne la comptabilité. Même si une majorité d'ingénieurs
pense que les termes comptabilité et facturation ont le même sens, la comptabilité implique
davantage que le suivi du nombre total de minutes d'appels téléphoniques ou de paquets de
données d'un utilisateur. Diverses applications sont définies pour la comptabilité:

● Audit: vérification de l'exactitude d'une facture soumise par un fournisseur de services ou


de la conformité à la politique d'utilisation, aux consignes de sécurité, etc.
● Affectation des coûts: avec la convergence de la téléphonie et des communications de
données, la structure de coûts associée à chacune des parties téléphonie et données suscite un
intérêt croissant.
● Analyse de tendance: généralement utilisé pour prévoir l'utilisation future à des fins de
planification de la capacité.
Chacune des applications ci-dessus peut être traitée par une entité de gestion logique
différente. Mais en règle générale, la comptabilité concerne la collecte d’informations sur la
consommation de ressources à l’ensemble ou à des parties spécifiques du réseau. Ces
informations sont généralement appelées données comptables ou métriques comptables.
Généralement, le périphérique réseau fournissant des services à un utilisateur collecte des
informations sur la consommation de ressources de cet utilisateur en fonction des besoins de
l’application de comptabilité. [ViBP10]

3.3 Sécurité comptabilité


Dans un cadre comptable, deux types de communication de données sont nécessaires:
l’échange de méthodes comptables et la collecte des enregistrements comptables. Les deux
communications présentent des risques potentiels pour la sécurité. Cependant, les documents
comptables constituent la base de la facturation. Par conséquent, les motifs et le potentiel de
fraude sont extrêmement élevés dans la collecte des données comptables. Ainsi, différentes
applications de comptabilité peuvent imposer des exigences différentes en matière de sécurité
du protocole de comptabilité. Dans cette section, nous décrivons les exigences de sécurité
pour les protocoles de comptabilité:

● Secret des méthodes comptables et des données comptables: les entités non autorisées ne
devraient pas être en mesure de lire ou de modifier les méthodes comptables ou les
enregistrements comptables.
● Authentification des données comptables et des sources de règles comptables: vous
devez vous assurer que les données proviennent de la source d'origine. L'authentification de la
source peut être réalisée à l'aide de signatures numériques.
● Protection de l'intégrité des méthodes et des enregistrements comptables: il convient de
s'assurer que les données ne sont pas modifiées entre l'expéditeur et le destinataire.
L'authentification des données peut également être réalisée avec des signatures numériques.
● Vérification de l'exactitude des données comptables générées: l'exactitude des données
comptables générées par un prestataire de services doit être garantie. Un fournisseur peut
générer des enregistrements comptables incorrects, délibérément ou non, en raison d’une
configuration erronée. Ces enregistrements comptables incorrects ont probablement pour
conséquence des factures incorrectes. Les clients peuvent vérifier l'exactitude des données
comptables au moyen de leurs mesures et / ou de données recueillies par un tiers de
confiance. Un tiers de confiance peut être un fournisseur de services de comptabilité
indépendant ou une entité plus générale fournissant un service d'audit.
26 P2/Chapitre 2 : Modèle AAA
3.4 Fiabilité de la comptabilité
Dans cette section, nous décrivons les exigences de fiabilité pour les protocoles de
comptabilité. En règle générale, les erreurs de comptabilité incluent la perte de paquets, les
pannes de serveur de comptabilité, les pannes de réseau et les redémarrages de serveur. Il est
donc important que les systèmes de gestion de la comptabilité soient évolutifs et fiables.
Cependant, différentes applications de comptabilité peuvent imposer des exigences différentes
au protocole de comptabilité. Dans des applications telles que la facturation, l’allocation des
coûts et l’audit sensibles à l’utilisation, la perte de données comptables peut se traduire par
une perte de revenus et une incitation à concevoir un degré élevé de résilience aux pannes.
Certaines des exigences de fiabilité spécifiques à l'application sont énumérées ci-dessous :
● Facturation: lorsque les données comptables sont utilisées à des fins de facturation, les
exigences varient selon que le processus de facturation est sensible à l'utilisation ou non. La
facturation non liée à l'utilisation ne nécessite pas d'informations d'utilisation; en théorie,
toutes les données comptables peuvent être perdues sans affecter le processus de facturation.
Cela aurait toutefois une incidence sur d'autres tâches telles que l'analyse des tendances,
l'audit et les données sur les informations de gros. Les processus de facturation sensibles à
l'utilisation dépendent des informations d'utilisation; par conséquent, la perte de paquets peut
se traduire directement par une perte de revenus. Par conséquent, il se peut que le processus
de facturation doive être conforme aux exigences financières et aux obligations en matière
d'information financière. Par conséquent, une approche de comptabilité archivistique peut être
nécessaire.
● Analyse des tendances et planification de la capacité: dans l'analyse des tendances et la
planification de la capacité, les prévisions sont intrinsèquement imparfaites, une fiabilité
élevée n'est généralement pas requise et une perte de paquets modérée peut être tolérée.

3.4.1 Protocoles de transport


Les protocoles de comptabilité traitant des données de session doivent être résilients contre
les pertes de paquets, en particulier dans la comptabilité entre domaines, où les paquets
passent souvent par des points d'accès réseau. La résilience à la perte de paquets peut être
obtenue via la mise en œuvre d'un mécanisme de nouvelle tentative au-dessus d'UDP, ou
l'utilisation de TCP ou de SCTP. Le transport basé sur UDP est fréquemment utilisé dans les
applications de comptabilité. Lors de la mise en œuvre de la retransmission UDP, il convient
de garder à l'esprit un certain nombre de problèmes. L'un d'entre eux est le comportement de
retransmission. Il est important que les temporisateurs de nouvelles tentatives se rapportent au
temps d'aller-retour, de sorte que les retransmissions ne se produisent pas généralement des
accusés de réception peuvent être attendus.

3.4.2 Mécanismes de basculement

Le contrôle de la congestion est un autre problème dans lequel, sans stockage non volatile, la
combinaison de la désactivation de l’encombrement et de l’épuisement de la mémoire tampon
peut entraîner une perte des données comptables. Le basculement du serveur de comptabilité
est un outil puissant de résilience aux pannes. En cas de défaillance d’un serveur de
comptabilité principal, il est souhaitable que le périphérique bascule sur un serveur
secondaire, qui peut assumer les responsabilités du périphérique principal de manière
transparente. Fournir un ou plusieurs serveurs secondaires peut éliminer une grande partie du
risque de défaillance du serveur de comptabilité. Les serveurs de basculement secondaires
sont devenus monnaie courante.
27 P2/Chapitre 2 : Modèle AAA
4.Avantages de l'utilisation du AAA
AAA permet une sécurité mobile et dynamique. Sans AAA, un réseau doit être configuré de
manière statique pour pouvoir contrôler l'accès. Les adresses IP doivent être fixes, les
systèmes ne peuvent pas être déplacés et les options de connectivité doivent être bien définies.
La prolifération des appareils mobiles et le réseau diversifié de consommateurs avec leurs
méthodes d'accès au réseau variées génèrent une forte demande d'AAA.

AAA est conçu pour vous permettre de configurer de manière dynamique le type
d'autorisation et d'authentification souhaité en créant une liste de méthodes pour des services
et des interfaces spécifiques. AAA signifie davantage de flexibilité et de contrôle sur la
configuration d'accès et l'évolutivité, l'accès aux méthodes d'authentification standardisées
telles que RADIUS, TACACS + et Kerberos, ainsi que l'utilisation de plusieurs systèmes de
sauvegarde.
L’augmentation du nombre de violations de la sécurité, telles que le vol d’identité, indique
qu’il est crucial de mettre en place de saines pratiques pour authentifier les utilisateurs
autorisés afin de limiter les menaces à la sécurité des réseaux et des logiciels.

5. Conclusions
Dans ce chapitre, nous avons étudié et détaillé le modèle AAA qui décrit comment marche les
protocoles qui utilise à la fois l’authentification, autorisation et la comptabilité. L’étude
théorique a mis en évidence les trois parties de ce modèle. Cette étude pour un protocole à
deux échange peut être appliquée à d’autres protocoles avec un nombre quelconque
d’échanges.
28

CHAPITRE 3
Protocoles d’authentification
Sommaire
1.Protocoles d’authentification sous AAA .......................................................................... 29

2.Modèle Client/serveur ........................................................................................................ 29

3.TACACS / TACACS+ ....................................................................................................... 30


3.1 Historique ..................................................................................................................... 30
3.2 Définitions .................................................................................................................... 30
3.3 Différence entre TACACS et TACACS+ .................................................................... 30
3.4 Avantages et Inconvénient ........................................................................................... 31
3.4.1 Avantages ........................................................................................................... 31
3.4.2 Inconvénient ....................................................................................................... 31

4.Diameter .............................................................................................................................. 31
4.1 Historique et Définition ................................................................................................ 32
4.2 Différence entre RADIUS et Diameter ........................................................................ 32
4.3 Avantages et Inconvénients du Diameter ..................................................................... 32
4.3.1 Avantages ............................................................................................................. 32
4.3.2 Inconvénients ........................................................................................................ 33

5.Kerberos .............................................................................................................................. 33
5.1 Les différences acteurs du Kerberos ................................................................................. 33
5.2 Avantages et Inconvénients du Kerberos .......................................................................... 34
5.2.1 Avantages ................................................................................................................. 34
5.2.2 Inconvénients ........................................................................................................... 34

6.Conclusion .......................................................................................................................... 34

L orsque les réseaux ont commencé à adopter le modèle de communication client-


serveur et que les terminaux ont été remplacés par les ordinateurs personnels, les
administrateurs ne pouvaient pas avoir confiance aux utilisateurs finaux, car les
informations échangées au cours des communications ne sont pas sécurisées et quiconque
peut les intercepter, pour cela il a fallu mettre en place un système d’authentification
permettant de rétablir cette confiance dans le réseau.
Dans ce chapitre, nous présentons et détaillons quelques protocoles d’authentification et
précisément RADIUS qui constituera par la suite la brique de base de notre implémentation.
29 P2/Chapitre 3 : Protocoles d’authentification
1. Protocoles d’authentification sous AAA
Après avoir décrit dans le chapitre précèdent le AAA qui est un modèle qui englobe plusieurs
protocole, je vais élaborer dans ce chapitre une étude sur les protocoles qui utilise le AAA qui
permettra de conclure notre solution qu’on va utiliser par la suite.
Les protocoles AAA tels que RADIUS (RFC2865) et TACACS+, qui a été développé par
Cisco, ont été créés pour faire face à ces défis. L’architecture AAA permet aux utilisateurs
d’accéder aux périphériques en réseau qui leur ont été attribués et protège le réseau contre les
accès non autorisés. [PerS19]

Voilà quelque un :

1. RADIUS (RFC2865): Remote Authentication Dial In User Service.

2. TACACS+ (RFC1492): Terminal Access Controller Access Control System par Cisco.

3. Diameter (RFC3588): Diameter n'est pas un acronyme. Diameter est un successeur de


RADIUS qui devrait corriger certaines faiblesses de RADIUS. Diameter utilise des
connexions de transport fiables,
Ex. Travail sur TCP or SCTP.

4. Kerberos (RFC1510): The Kerberos Network Authentication Service

2. Modèle Client/serveur
Dans une relation client/serveur, un programme (le client) demande un service ou une
ressource à un autre programme (le serveur).
Le modèle client/serveur peut être utilisé par des programmes d'un même ordinateur, mais le
concept est surtout utile dans le cadre d'un réseau. Dans ce cas, le client établit une connexion
au serveur sur un réseau local LAN ou étendu WAN, tel qu'Internet. Lorsque le serveur a
répondu à la demande du client, la connexion est terminée.
Ex : Un navigateur Internet est un programme client qui demande un service à un serveur. Le
service et la ressource fournis par le serveur donnent lieu à l'affichage d'une page Web.

Les transactions informatiques dans lesquelles le serveur répond à une demande d'un client
sont très courantes et le modèle client/serveur est devenu l'un des concepts pivots de
l'informatique en réseau. La plupart des progiciels utilisent le modèle client/serveur, de même
que le principal programme d'Internet, TCP/IP& ..
Les programmes client et serveur font souvent partie d'un programme ou d'une application de
plus grande envergure.
Il existe d'autres modèles de relations entre programmes, comme la relation maître/esclave et
la relation de gré-à-gré (ou Peer-to-Peer, P2P). Dans le modèle P2P, chaque nœud du réseau
peut fonctionner comme serveur et comme client. Dans le modèle maître/esclave, un
périphérique ou un processus (appelé maître) contrôle un ou plusieurs autres périphériques ou
processus (appelés esclaves). Lorsque la relation maître/esclave est établie, le contrôle est
toujours unilatéral, du maître à l'esclave. [WiTT19]

& ,TCP/IP
30 P2/Chapitre 3 : Protocoles d’authentification
3. TACACS / TACACS+
Terminal Access Controller Access Control System ou TACACS est un protocole
d'authentification et est couramment utilisé dans les réseaux UNIX permettant à un serveur
d'accès distant de transférer le mot de passe de connexion d'un utilisateur à un serveur
d'authentification afin de déterminer si l'accès peut être autorisé à un système donné. [Davi04]

3.1 Historique
il y a eu 3 versions de protocole d'authentification chez Cisco. La 1ère version est
"TACACS". Open source, ce protocole est issu du monde Linux. C'était il y a très longtemps
au siècle dernier, ça n'est plus utilisé de nos jours et en effet, il ne doit pas y avoir beaucoup
de documents sur cette vieillerie.

Dans les années 1990, Cisco a amélioré le code TACACS en y ajoutant des extensions. Cet
"Extended TACACS" a été la 2ème version, nom de code "XTACACS". Pour en savoir plus,
(RFC1492). [RFCT12]

Puis, avec notamment l'explosion des accès distants, XTACACS montra très vite ses
limitations. Cisco a donc conçu un nouveau protocole, 3ème et dernière version, qui s'appelle
TACACS+ (on l'appelle aussi TACACS+). Complètement réécrit et "released" en 1995,
TACACS+ n'est pas compatible avec les 1ères et 2èmes versions. [TDGT97]

3.2 Définition
Terminal système de contrôle d'accès du contrôleur d'accès. Protocole de sécurité standard
utilisé pour authentifier l'identité d'un ordinateur ou d'un périphérique recherchant un accès à
distance à des données privilégiées (telles que celles protégées par un pare-feu). Sa version
améliorée (TACACS +) fournit des services complets (authentification, autorisation et
comptabilité) d'un serveur AAA pour le commerce électronique. Développé par ‘’Cisco
Systems’’, il constitue une alternative à RADIUS.

3.3 Différence entre TACCS et TACACS+


Le tableau ci-dessous décrit les différences entre TACACS et TACACS+.

Paramètre TACACS TACACS+


Abréviation de Terminal Access Controller Access Terminal Access Controller
Control System Access Control System Plus
Standard Open Standard Cisco propriété
Protocoles supporter Utilise le TCP et le UDP Utilise TCP
Numéro du port 49 49
Incorporé dans 1984 1993
Kerberos secret Key Non supporter Supporter
Authentification

Tableau 2.1 Différence entre TACACS et TACACS+


31 P2/Chapitre 3 : Protocoles d’authentification
3.4 Avantages et Inconvénient
Le ministère américain de la Défense développés Service Controller Access Control d'accès
au terminal à résoudre certains des problèmes avec les serveurs d'accès à distance RADIUS.
Les deux systèmes offrent des services d'authentification et d'autorisation , mais RADIUS est
orientée plus à l'utilisateur du service, tandis que TACACS est conçu pour les administrateurs
réseau qui doivent se connecter à distance aux périphériques réseau . [Ordi19]

3.4.1 Avantages
Les avantages de TACACS/TACACS+ sont comme suit :
• TACACS accomplit la mission d’authentification via un identifiant et un mot de passe
fourni par l’utilisateur.
• TACACS sépare les processus d’authentification, d’autorisation et de comptabilité, offrant
un niveau de granularité et de flexibilité ne trouve pas dans RADIUS.
• TACACS chiffre également le nom d’utilisateur et mot de passe , offrant un niveau de
sécurité plus élevé .
• TACACS fournit une gestion centralisée d’autorisation et de renforcement de la sécurité en
vérifiant chaque commande émise contre la base de données de configuration de
l’autorisation, Cela garantit que l’utilisateur est seulement autorisé à exécuter des
commandes , il est autorisé à émettre .
• La fonctionnalité de comptabilité de TACACS , TACACS + est soutenu par de nombreux
fournisseurs d’équipement de réseau.
• TACACS étendues ( XTACACS ) fournit également des services de comptabilité et de
soutien de protocole multiple, et n'est pas propriétaire, comme c'est TACACS + .

3.4.2 Inconvénients
Les inconvénients de TACACS/TACACS+ sont comme suit :
• Cette méthode nécessite plus de bande passante et , parce que TACACS utilise le protocole
TCP , les frais généraux inhérents . Cela pourrait provoquer des problèmes de performances si
TACACS est largement utilisé .
• Auditeurs réseau nécessitent des parcours ludiques pour faire leur travail correctement, ce
qui signifie qu'ils ont besoin de journaux d'activité .
• Inconvénient majeur TACACS, est qu'il manque des services de comptabilité. Cet
inconvénient critique peut être surmonté en utilisant TACACS + ou XTACACS, versions
améliorées qui offrent des services de comptabilité.
• Puisque la base de données de l’utilisateur ne réside pas sur le serveur TACACS + , la
performance peut être lente.

4.Diameter
Cette partie a pour objectif de présente le protocole AAA Diameter (RFC6733 ). C'est un
protocole de niveau application qui tient son nom d'un jeu de mots avec le protocole RADIUS
qui lui est l'acronyme de Remote Authentication Dial-In User Service. Diameter a été créé en
1998 pour compenser les limites de RADIUS. En effet, ce dernier ne suffisait plus pour
répondre aux besoins en termes d'authentification, d'autorisation et de traçabilité de certains
réseaux complexes et conséquents. Parmi eux, les réseaux mobiles de quatrième
génération : AAA. [IGUM12]
32 P2/Chapitre 3 : Protocoles d’authentification
4.1 Historique et Définition
Le protocole Diameter est un protocole utilisé par les applications informatiques en réseau
pour activer l'authentification utilisateur sécurisée , d'autorisation et de comptabilité (AAA).
Ceci est un facteur extrêmement important pour permettre à l' Internet et les réseaux privés de
stimuler l'économie électronique et d'affaires pour le 21e siècle. Histoire et développement
Diamètre née d'une norme précédente , le protocole RADIUS , pour faire face aux
mécanismes de contrôle d'accès plus complexes et une sécurité accrue exigée par la
génération actuelle d'appareils mobiles IP et les réseaux sans fil. RADIUS était insuffisant
pour faire face aux nouvelles exigences. Diamètre est conçu pour permettre une extension si
nécessaire.
Au fond, le protocole Diameter est sur l'échange de message. Le diamètre est réalisé sous la
forme d'une architecture pair- à-pair, où chaque noeud peut être un client, le serveur ou
l'agent . Les agents de relais des messages entre les clients et les serveurs. Un message de
diamètre est l'unité de base utilisée pour envoyer des commandes ou envoyer des notifications
à d'autres nœuds.
Diamètre gère l'authentification et l'autorisation par voie de passage de messages généralisée
qui est personnalisé par l'application utilisée . De cette façon , Diameter permet aux
applications individuelles pour exécuter des fonctions applicables à leur utilisation . [QPDi18]

4.2 Différences entre RADIUS et Diameter


Le protocole RADIUS identifie l'utilisateur plus rapide et avec moins de paquets que le
diamètre protocole. Cependant, son inconvénient est le fait que est incapable de contrôler son
trafic et ses pairs dans la chaîne de communication, et a donc été prouvé inefficace dans les
réseaux trop encombrés où une réauthentification fréquente du client est requise. Le protocole
RADIUS peut être amélioré dans le trafic et segment de contrôle homologue. Le protocole
Diameter est recommandé pour réseaux de congestion, car il peut contrôler leur le trafic, ainsi
que la communication entre leurs les pairs. En raison de ce contrôle développé sur les pairs, le
diamètre résout le serveur problèmes d’inaccessibilité beaucoup plus rapidement et dans ce
cas, authentifiez le client beaucoup plus tôt que le protocole RADIUS. Par rapport à
RADIUS, le protocole Diameter est meilleur équipé pour traiter des problèmes qui sont
rencontrés dans les réseaux actuels. Au cas où RADIUS assume de nouvelles fonctions, tandis
que en gardant ses bonnes propriétés, il pourrait devenir compétitif avec le protocole
Diameter. En cela cas, il n'y aurait pas besoin de remplacer RADIUS avec protocole de
diamètre.

4.3 Avantages et Inconvénients du Diameter

4.3.1 Avantages

Les avantages de Diameter sont comme suit :


• Offre de nombreux avantages par rapport à RADIUS.
• Offre un service AAA interdomaine.
• Il permet d’autoriser un utilisateur à se connecter sans pour autant nécessiter son
authentification.
• Il est possible de ré authentifier et/ou ré autoriser un utilisateur en cours de connexion.
è Pour toutes ces raisons, le protocole Diameter est présenter comme le protocole AAA de
demain. [MaLM03]
33 P2/Chapitre 3 : Protocoles d’authentification
4.3.2 Inconvénients
Il reste quelque inconvénient comme celle du RADIUS qui ne sont pas développé jusqu'à
l’instant, sont comme suit :
• Il base son identification sur le seul principe du couple (nom, mot de passe).
• Il assure un transport en claire, seul le mot de passe est chiffré par hachage.
• Il est strictement client-serveur.

5. Kerberos
Kerberos a été conçu dans le but de proposer un protocole d'authentification multiplateformes,
disposant d'un système de demande d'identification unique, et permettant de contacter ensuite
autant de services que souhaité. Il s'agit d'un protocole sécurisé, dans le sens où il ne transmet
jamais de mot de passe en clair sur le réseau. Il transmet des messages cryptés à durée de vie
limitée. Le terme « single sign-on », décrit le fait que l'utilisateur final n'a besoin de
s'authentifier qu'une fois pour utiliser toutes les ressources du réseau supportant Kerberos au
cours de sa journée de travail (en réalité, au cours du temps de session spécifié par
l'administrateur : environ vingt heures, en général). Le système Kerberos repose sur un « tiers
de confiance » (Trusted third party), dans le sens où il s'appuie sur un serveur
d'authentification centralisé dans lequel tous les systèmes du réseau ont confiance. [BTun04]

5.1 Les différents acteurs de Kerberos


Dans le système Kerberos, les acteurs principaux qui interviennent dans son architecture sont
les suivants :

• Client : Entité pouvant obtenir un ticket auprès du KDC pour utiliser les différents services
et ressources d’un réseau.
• KDC (Key Distributing Center) : C’est le serveur qui assure l’authenticité des utilisateurs
et des services. Il délivre la clé de session pour l’accès au serveur TGS sous forme d’un ticket
TGT (Ticket Granting Ticket).
• TGT : C’est un ticket délivré par le serveur KDC lors de la première authentification d’un
client donné. Sa durée de vie est relativement longue, pour que le client puisse demander
accès à plusieurs services différents sans avoir à fournir à plusieurs reprises ses paramètres
d’authentification.
• TGS (Ticket Granting Service) : C’est le serveur qui assure le contrôle d’accès des
utilisateurs. Il délivre la clé de session pour l’accès à un serveur applicatif sous forme d’un
ticket.
• Ticket d’accès : C’est un ticket délivré à un client donné par le serveur TGS ce qui signifie
que le client possède le droit d’accès au service demandé.
• Clé de session : C’est une clé symétrique temporaire générée entre un client et un service.
34 P2/Chapitre 3 : Protocoles d’authentification

Figure 2.3 Processus d’authentification avec Kerberos

5.2 Avantages et inconvénients du Kerberos

5.2.1 Avantages
Les avantages de Kerberos sont comme suit [RMLL12] :

• Très largement déployé.


• Préinstallé sur beaucoup de systèmes d’exploitation.
• Bien intégré au système.
• Kerberos permet en outre de réaliser une authentification mutuelle.
• Il n’y a pas de transmission de mot de passe du service sur le réseau.
• Il offre le mécanisme SSO (Single Signe On), l’utilisateur n’a ainsi qu’un seul mot de
passe à se souvenir et ne l’entre typiquement qu’une seule fois par jour.

5.2.2 Inconvénients
Les inconvénients de Kerberos sont comme suit :

• Il faut que toutes les machines du réseau soient synchronisées, sinon l’utilisation des
‘’timesstamp’’ et la durée de vie des tickets risquent d’être faussées et plus aucune
authentification ne sera possible.
• Si l’AS de Kerberos est compromis, un attaquant pourra accéder à tous les services avec un
unique login.

• Kerberos chiffre uniquement la phase d’authentification, il ne chiffre pas les données qui
seront transmises lors de la session.

6. Conclusion
Dans ce chapitre nous avons mentionné quelques protocoles d’authentifications qui utilise le
modèle AAA, et nous avons cité leurs avantages et leurs inconvénients, afin de pouvoir
choisir les meilleurs protocoles qui conviennent à notre projet. Par des exigences
d’administrateur réseaux de la société La Voie Express le choix est fixé sur le protocole
RADIUS qui sera bien détaillé dans le prochain chapitre.
35

CHAPITRE 4
RADIUS
Sommaire
1.Historique ........................................................................................................................... 36

2. RADIUS ............................................................................................................................. 36

3. Le fonctionnement de RADIUS ....................................................................................... 38

4. L’authentification, l’autorisation et la gestion des connexions d’accès réseau ........... 39


4.1 Authentification par adresse MAC .............................................................................. 40
4.2 Authetification 802.1x ................................................................................................ 40

5. RADIUS et 802.1x ............................................................................................................. 41

6. Les méthodes d’authentification ...................................................................................... 41


6.1 Les différentes phases (simplifiées) d'une connexion 802.1x ...................................... 42

7. Le protocole RADIUS dans le modèle OSI ..................................................................... 42

8. Successeur de RADIUS ..................................................................................................... 43

9. Avantages et Inconvénients du RADIUS ........................................................................ 43


9.1 Avantages ..................................................................................................................... 43
9.2 Inconvénients ............................................................................................................... 43

10.Conclusion ........................................................................................................................ 43

L e protocole RADIUS, mis au point initialement par Livingston, est un protocole


d'authentification standard, défini par un certain nombre de RFC.

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les
accès d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs
d'accès à internet car il est relativement standard et propose des fonctionnalités de comptabili-
té permettant aux FAI (Fournisseur d’Accès Internet) de facturer précisément leurs clients.

Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une
base d'identification et un client RADIUS, appelé NAS, faisant office d'intermédiaire entre
l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le
serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé
36 P2/Chapitre 4 : RADIUS
1.Historique
RADIUS a été conçu dans le but initial de contrôler l'authentification à distance. Ce besoin est
né de la société « Merit Network » qui souhaitait identifier ses utilisateurs via la liaison
téléphonique afin de fournir un accès distant à son réseau informatique.
L'organisation à but non lucratif « Merit Network » a publié en 1991 une demande
d'information ou « Request for Information » (RFI) qui spécifiait les fondements du protocole
RADIUS. Après quelques mois, la société « Livingston Enterprises » répondit à cette
demande par une description d'un serveur RADIUS. La proposition fut retenue par « Merit
Network » qui donna le contrat à « Livingstone Enterprises ».
Le protocole RADIUS « Remote Authentication Dial-in User Service » traduit littéralement
par Authentification à distance composée par le service utilisateur est publié par l'IETF4 en
Janvier 1997 dans la (RFC2058) et la (RFC2059). Cette même année, la société « Livingstone
Enterprises » leader dans l'accès à distance des réseaux informatiques, fut rachetée par
Alcatel-Lucent. Le standard RADIUS a subi plusieurs évolutions au fil des années et à l'heure
d'aujourd'hui, est maintenant le protocole le plus célèbre pour l'authentification des postes de
travail, des terminaux mobiles, des équipements réseaux, etc...
La description actualisée du standard se trouve désormais dans la (RFC2865) et la (RFC2866)
datant de Juin 2000. [Dirk11]

2. RADIUS
RADIUS est un protocole client/serveur destiné à permettre à des serveurs d'accès de
communiquer avec une base de données centralisée regroupant en un point l'ensemble des
utilisateurs distants.

Ce serveur central (appelé serveur RADIUS) va authentifier ces utilisateurs, et leur autoriser
l'accès à telle ou telle ressource. Une autre fonctionnalité importante d'un serveur RADIUS
est la comptabilisation des informations concernant les utilisateurs distants.

C'est de loin le protocole le plus largement supporté par l'ensemble des constructeurs
d'équipements réseaux, dont CISCO, pourtant promoteur et inventeur de TACACS. RADIUS
Serveur est distribué librement par Livingston sur de nombreuses plateformes. D'autres
versions existent toutefois: Citons Radius Merit, assez diffusée sur Linux.

RADIUS offre un modularité complète en ce qui concerne le mécanisme d’authentification,


on effet la plupart de méthode actuelle sont supportées (LDAP, PAP, CHAP, MS-CHAP,
EAP, LEAP, ....).

Le protocole RADIUS est donc un protocole d’authentification, de comptabilisation mais pas


d’autorisation. Ceci est dû à sa grande extensibilité, en effet le protocole repose sur la
transmission d’attribut Clef/Valeur. La liste de ces attributs n’est pas limitée c’est pourquoi
les principaux équipementiers développent leurs propres attributs (AvPairs) dans des librairies
propriétaires (VSA : Vendor Specific Attributes). La fonctionnalité d’autorisation peut donc
être assurer au travers de l’exploitation de ces attributs propriétaires par les systèmes
d’exploitation des équipements. D’où la présence de RADIUS dans la famille des protocoles
AAA.
37 P2/Chapitre 4 : RADIUS

Figure 2.4 Architecture d’une liaison client/serveur RADIUS

L'ordinateur sur lequel un utilisateur cherche à se connecter au réseau est appelé le


"supplicant". Il est le "client final" de la demande de connexion. Ce peut-être avec toute forme
de terminal portable, de téléphone IP ou d'ordinateur fixe.

Dans la suite, nous garderons l'expression française "client final" à la place de "supplicant".
L'équipement de réseau sur lequel le client final se connecte (un commutateur – ou une borne
Wifi - compatible 802.1x), en tant que client RADIUS, cette demande de connexion à un
serveur d'authentification, le serveur RADIUS, qui va, par exemple, identifier la personne en
rapprochant le nom de connexion et le mot de passe de ceux stockés dans un annuaire LDAP
ou encore une base de données SQL.

Rôles du serveur RADIUS

En premier lieu, RADIUS doit authentifier les requêtes qui sont issues des clients finals, via
les clients RADIUS. Cette authentification se basera soit sur un couple identifiant/mot de
passe, soit sur un certificat. Cela dépendra du protocole d'authentification négocié avec le
client final.

En deuxième lieu, RADIUS a pour mission de décider quoi faire du client authentifié, et donc
de lui délivrer une autorisation, un "laissez-passer". Pour ce faire, RADIUS envoie des
informations (on parle "d'attributs") aux clients RADIUS. Un exemple typique d'attribut est
un numéro du VLAN dans lequel placer le client authentifié et autorisé.

Enfin, en bon gestionnaire, RADIUS va noter plusieurs données liées à la connexion, comme
la date et l'heure, l'adresse MAC de l'adaptateur réseau du client final, le numéro de VLAN...).
C'est son rôle comptabilité ou "d'accounting". RADIUS est donc un serveur
d'authentification, d'autorisation et de comptabilité. De façon imagée, c'est le "chef
d'orchestre" des connexions 802.1X et les clients RADIUS sont ses sbires... En ce sens, il se
range dans le modèle AAA.

NPS est le nom du service RADIUS des systèmes Microsoft Windows 2012 Server, en
remplacement du "Service d'Authentification Internet" de Windows 2003 Server. D'autres
solutions propriétaires existent, comme CISCO ACS (Access Control Server). Différentes
versions libres de RADIUS existent également, comme FreeRADIUS (sous Linux ou
Windows) ou OpenRADIUS (sous Linux).

RADIUS peut aussi servir à centraliser les accès sécurises aux pages ou aux terminaux de
paramétrage de tous les équipements réseau : commutateurs, routeurs, bornes wifi, contrôleurs
wifi, etc.
38 P2/Chapitre 4 : RADIUS
3. Le fonctionnement de RADIUS
Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les
accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une
base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client
RADIUS, appelé NAS, faisant office d'intermédiaire entre l'utilisateur final et le serveur.

L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et
authentifiée grâce à un secret partagé.

Le scénario du principe de fonctionnement est le suivant

ü Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance.
ü Le NAS achemine la demande au serveur RADIUS.
ü Le serveur RADIUS consulte la base de données d'identification afin de connaître le
type

de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit
une autre méthode d'identification est demandée à l'utilisateur.

Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

üACCEPT : l'identification a réussi;

üREJECT : l'identification a échoué;

üCHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de


la part de l'utilisateur et propose un ‘’défi’’;

üCHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau


mot de passe.

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les
requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5
champs:

Figure 2.5 L’ en-tête du paquet RADIUS

üCode : Définit le type de trame (acceptation, rejet, challenges, requête)


üIdentifier : Associe les réponses reçues aux requêtes envoyées.
üLength : Champ longueur.
üAuthentificator : Champ d'authentification comprenant les éléments nécessaires.
üAttributes : Ensemble de couples (attribut, valeur).
39 P2/Chapitre 4 : RADIUS
4. L’authentification, l’autorisation et la gestion des
connexions d’accès réseau
Lorsque NPS est utilisé comme serveur RADIUS, les messages RADIUS fournissent
l’authentification, l’autorisation et la gestion des connexions d’accès réseau de la manière
suivante :

Les serveurs d’accès, tels que les serveurs d’accès réseau à distance, les serveurs et les points
d’accès sans fil reçoivent des demandes de connexion de la part des clients d’accès. Le
serveur d’accès, configuré de façon à utiliser RADIUS comme protocole d’authentification,
d’autorisation et de gestion, crée un message de demande d’accès et l’envoie au serveur NPS.

Figure 2.6 Modèle de liaison NPS serveur RADIUS

Le serveur d’accès envoie également des messages de demande de compte durant la période
où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le
serveur d’accès est démarré et arrêté :

1. Le serveur NPS évalue le message de demande d’accès.


2. Si nécessaire, le serveur NPS envoie un message de challenge d’accès au serveur d’accès.
Celui-ci traite le challenge et envoie un message de demande d’accès mis à jour au serveur
NPS.
3. Les informations d’identification utilisateur sont vérifiées et les propriétés de numérotation
du compte d’utilisateur sont obtenues par le biais d’une connexion.
4. sécurisée à un contrôleur de domaine.
5. La tentative de connexion est autorisée avec les propriétés de numérotation du compte
d’utilisateur et avec les stratégies d’accès.
6. Si la tentative de connexion est authentifiée et autorisée, le serveur NPS envoie un message
d’acceptation d’accès au serveur d’accès. Si la tentative de connexion n’est pas authentifiée
ou n’est pas autorisée, le serveur NPS envoie un message de refus d’accès au serveur d’accès.
40 P2/Chapitre 4 : RADIUS
Remarque

Le serveur d’accès envoie également des messages de demande de compte durant la période
où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le
serveur d’accès est démarré et arrêté. Le serveur d’accès achève le processus de connexion
avec le client d’accès et envoie un message de demande de compte au serveur NPS, où le
message est enregistré dans le journal.

Le serveur NPS envoie une réponse de compte au serveur d’accès.


Pour authentifier au serveur Radius il existe Deux possibilités :

Ø Authentification par adresse MAC

Ø Authentification 802.1x

4.1 Authentification par adresse MAC

Figure 2.7 Authentification par adresse MAC

4.2 Authentification 802.1x


L’identifiant est soit un login/password soit un certificat.

Figure 2.8 Authentification 802.1x


41 P2/Chapitre 4 : RADIUS
5. RADIUS et 802.1x
802.1x met en œuvre le protocole EAP pour les communications du client vers le serveur
d'authentification. EAP est un protocole de transport de protocole d'authentification. L'intérêt
de l'architecture d’EAP est de pouvoir utiliser divers mécanismes d'authentification sans que
l'équipement réseau (NAS) ait besoin de les connaître.

Dans ce cas il agit comme un tunnel transparent vers un serveur qui lui implémente les
mécanismes souhaités. Par exemple: Mot de passe, certificats, carte à puce ...

Les principaux types d’EAP :

EAP-TLS (Transport Layer Security) : Authentification par certificat du client et du serveur.


EAP-TTLS (Tunneled Transport Layer Security) : Authentification par certificat et mot de
passe grâce à la génération d’un tunnel sécurisé.
EAP-MD5 : Authentification avec mot de passe.
PEAP (Protected EAP) : Authentification avec mot de passe via une encapsulation sécurisée.
LEAP (protocole Cisco) : Authentification avec mot de passe via une encapsulation
sécurisée.

6. Les méthodes d’authentification


EAP est la couche protocolaire de base de l'authentification. Elle va servir à faire passer un
dialogue d'authentification entre le client final et le serveur RADIUS alors que le port de
connexion est fermé à toute autre forme de communication.

C'est un protocole extensible, au sens où il va permettre l'évolution de méthodes


d'authentification transportées, de plus en plus sûres au cours du temps.

Quelles ont été et quelles sont ces méthodes d'authentification ?

Le premier protocole a été PAP avec lequel les mots de passe circulaient en clair. La sécurité
proposée par ce protocole est faible. Le second protocole qu'ont utilisé les serveurs RADIUS
a été CHAP. Il est défini dans la (RFC1994). Avec CHAP, il n'y a pas d'échange de mots de
passe sur le réseau.

Les deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète,
s'authentifient sans échange du mot de passe par une technique de "challenge" (ou "défi")
basée sur une fonction de hachage à sens unique du secret partagé, telle que MD5.

Cette méthode était disponible avec le couple XP/Windows-2003-Server, mais ne l'est plus en
génération Seven/2008.

Au début de la connexion, le serveur réclame la preuve de l’identité du client, en lui


demandant de chiffrer une information. Le client ne peut relever le défi que s’il possède
effectivement la clé unique et secrète partagée.

PEAP est un protocole de transfert sécurisé (P comme "Protected") d'informations


d'authentification. Il a été mis au point par Microsoft, Cisco et RSA. Il ne nécessite pas de
certificat sur les postes clients, contrairement à EAP/TLS. MS-CHAP s'appuie sur PEAP.
42 P2/Chapitre 4 : RADIUS
6.1. Les différentes phases (simplifiées) d'une connexion
802.1x
Au démarrage de la communication, le client final est prié d'envoyer ses identifiants au
serveur RADIUS. Or, à ce moment-là, le client final ne connaît pas l'adresse du - ou des -
serveurs RADIUS du réseau. Il ne dispose peut-être même pas d'adresse IP. De même, le port
du commutateur sur lequel il est connecté est censé être fermé (état non contrôlé).
En réalité, le port contrôlé du commutateur n'est pas totalement fermé. Il va laisser passer le
protocole EAP Cette communication ne peut donc se faire que par des trames Ethernet de
base et non par des paquets IP.
Le client final peut donc envoyer son identité dans un paquet EAP au commutateur. Celui-ci
le retransmet, encapsulé dans un paquet au format RADIUS, au premier serveur RADIUS de
sa liste (s'il en connaît plusieurs).

Le serveur RADIUS reçoit le paquet et interroge sa base de données, Il renvoie le résultat de


cette interrogation au commutateur, sous forme d'un commandement d'ouverture du port,
éventuellement assorti d'un numéro de VLAN dans lequel placer le client final. A partir de ce
moment seulement, il peut y avoir d'autres trames échangées entre le client final et le reste du
réseau, comme une trame de requête DHCP par exemple.

Conséquence de ce fonctionnement général

L'équipement réseau ne connaît que le protocole RADIUS. Le protocole d'authentification


entre le client final et le serveur RADIUS pourra varier sans que cela soit un blocage pour
l'équipement. En ce sens, on dit que le client RADIUS est "transparent".

7. Le protocole RADIUS dans le modèle OSI


Le modèle OSI, développé par l'ISO, est un standard commun afin de normaliser les
communications entre ordinateurs et plus généralement entre les systèmes informatiques. Il
définit une architecture décomposée en plusieurs couches, où chacune a une fonctionnalité
spécifique. Cela a permis d'établir un accord entre les différents constructeurs d'équipements
informatiques pour ainsi homogénéiser l'interconnexion des systèmes hétérogènes. Les
couches du modèle OSI sont les suivantes :
• Application
• Présentation
• Session
• Transport
• Réseau
• Liaison
• Physique
Le protocole RADIUS se situe au niveau des couches hautes, dans la couche applicative du
modèle OSI. Il se place au-dessus de la couche transport. Les données du protocole RADIUS
sont acheminées par des segments du protocole UDP et encapsulées dans des paquets IP.
Les ports d'écoute UDP utilisés pour accéder aux services proposés par le protocole RADIUS
sont les suivants :
• 1812, reçoit les requêtes d'authentification et d'autorisations ;
• 1813, reçoit les requêtes ‘’d'accounting’’ (comptabilité)
43 P2/Chapitre 4 : RADIUS

8. Successeur de RADIUS
Diameter est le successeur de RADIUS, il est généralement compatibles avec RADIUS et
EAP.

Quelques différences avec RADIUS :


- Utilise le protocole TCP
- Peut utiliser le transport réseau sécurisé (IPsec ou TLS)
- La taille des attributs est augmentée
- Mieux adapté au roaming
- Diameter contient certains attributs qui sont dans EAP-TTLS

9. Avantages et Inconvénients du RADIUS


9.1 Avantages
Les avantages du protocole RADIUS sont comme suit :

• Fonctionnement basé sur un système client/serveur chargé de définir les accès


d’utilisateurs distants à un réseau.
• Le protocole RADIUS permet de faire la liaison entre des besoins d’identification et
une base d’utilisateurs en assurant le transport des données d’authentification de façon
normalisée.
• L’ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré.
• RADIUS permet le respect des trois A : AAA(Authentication, Authorization et
Accounting) ou Authentification, autorisation et comptabilisation.
• L’utilisation du protocole UDP qui simplifie la mise en œuvre du serveur.

9.2 Inconvénients
Les limitations du protocole RADIUS sont comme suit :

• RADIUS a été conçu pour des identifications par modem, sur des liaisons lentes et peu
sûres, c’est la raison du choix du protocole UDP.
• Il base son identification sur le seul principe du couple (nom, mot de passe).
• Il assure un transport en claire, seul le mot de passe est chiffré par hachage.
• Il est strictement client-serveur.
• Il n’assure pas des mécanismes d’identification du serveur.
• Lourd à mettre en place.
• Limité à 254 octets par attribute.

10. Conclusion
Dans ce chapitre nous avons mentionné quelques protocoles d’authentifications ainsi que
quelques protocoles de partage de clés, et nous avons cité leurs avantages et leurs inconvé-
nients, afin de pouvoir choisir les meilleurs protocoles qui conviennent à notre projet.
44

Troisième Partie
Mise en place
de la solution d’authentification
RADIUS
45

CHAPITRE 1
Étude Préalable

Sommaire
1. Architecture cible .............................................................................................................. 45

2. Réseau test ......................................................................................................................... 46


2.1 Éléments du réseau test .............................................................................................. 46
2.2 Contraintes ................................................................................................................. 47

3. Conclusion ......................................................................................................................... 47

A
près toute les études qu’on a fait théorique sur le sujet de la solution, il reste toujours
une étude qui sert à développé et compléter l’idée de ce projet dans son contexte, pour
objectifs de définir les différentes éléments qui constitue l’architecture du réseau
cible, et du réseau test qui est un point clé du projet. Ce chapitre est designer pour développer
les idées dans ce terme.

1.Architecture cible
Architecture cible consiste d’ajouter un serveur RADIUS dans la salle technique du siège, qui
peuvent gérer les différents points d’accès du siège, comme suit :

Figure 3.1 Architecture après l’installation du serveur


46 P3/Chapitre 1 : Étude Préalable

2.Réseau test
2.1 Éléments du réseau test
Notre architecture réseau test, nous permettre de tester une authentification sur réseau Wi-Fi
du premier étage décrit dans la Figure 1.4, par l’utilisation de :

- Un serveur d’authentification à base de Windows Server 2012 dans une virtuelle machine
‘’VirtualBox’’.

Figure 3.2 Logo du logiciel ‘’VirtualBox’’

- Un point d’accès UBIQUITI (supportant bien sur l’authentification 802.1x) .

Figure 3.3 UBIQUITI NanoStation M2

- Utilisateur qui est un ordinateur sous le système MAC OS.


47 P3/Chapitre 1 : Étude Préalable

Figure 3.4 Réseau test architecture

2.2 Contraintes
Le serveur RADIUS devra pouvoir répondre à un certain nombre de contrainte lié aux
différents utilisateurs de RADIUS. Après l'analyse de l'environnement, nous avons pu mettre
en avant 4 types de profils utilisateurs:

• Profil « dot1x » : Client se connectant en 802.1x PEAP.

• Profil « cli » : NAS administrables avec identification RADIUS.

• Profil « VPN »: NAS distant demandant une connexion VPN via RADIUS.

Le serveur RADIUS doit donc pouvoir répondre aux différentes attentes d'identification des
profils listes ci-dessus.

3. Conclusion
Dans ce chapitre nous avons étudié en préalable la structure de l’architecture cible et les
différentes éléments qui constitue le réseau test, afin de pouvoir contrôler la configuration de
la solution dans le réseau. Ceci est fait par des exigences d’administrateur réseaux de la
société La Voie Express au but de laisser une étape de vérification avant la mise en place final
qui sera fait par eux même.
48

CHAPITRE 2
Configurations et test de la solution
Sommaire
1. Configuration du point d’accès « UBIQUITI nanostation M2 » .................................. 48

2. Installation de Windows server 2012 ........................................................................ 50

3. Configuration du RADIUS dans Windows Server 2012 ............................................... 51


3.1 Additionnement des ‘’roles and features’’ ......................................................... 52
3.2 Configuration du RADIUS NPS serveur ................................................................... 58

4. Test du résultat .................................................................................................................. 61

5. Conclusion ....................................................................................................................... 61

1. Configuration du point d’accès « UBIQUITI


NanoStation M2 »
Cette étape est vise à donner au point d’accès l’adresse IP du serveur RADIUS, pour
qu’il puisse se connecter avec lui dans les demandes des utilisateurs.

• Après le test de l’adresse IP : 192.168.1.10 via le terminal et la commande ping on


trouve qu’elle est libre.

Figure 3.5 Ping sur l’adresse IP 192.168.1.10


49 P3/Chapitre 2 : Configurations et test de la solution
• On accède à l’interface du point d’accès via l’adresse 192.168.1.157, puis on entre
Login :lve1
Password : lve190

Figure 3.6 Interface du point d’accès

• On entre dans le menu Wireless pour changer le type de la sécurité et donner


l’adresse IP de serveur authentification RADIUS

Figure 3.7 Menu Wireless du point d’accès

• Dans la partie ‘’Wireless Securtiy’’ du menu ‘’Wireless’’ on change ‘’Security’’


vers WPA-AES
et on attribue l’adresse IP du serveur d’authentification suivante : 192.168.1.1
50 P3/Chapitre 2 : Configurations et test de la solution

Figure 3.8 Ajout d’adresse IP du serveur d’authentification


Puis on sauvegarde le changement pour passer vers la configuration du serveur
RADIUS.

2. Installation de Windows server 2012


Dans l’installation du Windows server 2012 j’ai utilisé la machine virtuel pour être capable de
manipuler le serveur et le client final de mon réseau test, tous les deux sont dans la même
machine.
J’ai travaillé avec le logiciel de virtuelle machine ‘’VirtualBox’’, dont les étapes suivante
décrit l’installation.

Figure 3.9 Installation Windows Server 2012 R2

Figure 3.10 Menu des utilisateurs


51 P3/Chapitre 2 : Configurations et test de la solution

Figure 3.11 Informations sur le système WS 2012

On ajoute l’adresse IP fixe dans le serveur dont le système WS 2012


@IP :192.168.1.10

Figure 3.12 L’ajout de l’adresse IP

Après l’installation du Windows Server 2012, dans la prochaine partie on débute la


configuration du RADIUS dans ce système d’exploitation.

3. Configuration du RADIUS dans Windows Server


2012
Pour commencer le travail on entre dans le ‘’Server Manager’’ mentionner ci-
dessous :
52 P3/Chapitre 2 : Configurations et test de la solution

Figure 3.13 Server Manager interface

3.1 Additionnement des ‘’roles and features’’


• Active Directory Domain Services
Depuis l’interface ‘’Server Manager’’, en click sur ‘’add roles and features’’, et en continue
jusqu'à ce qu’il montre un menu qui offre le choix des rôles figurer dans la Figure 3.17.

Figure 3.14 Add active ‘’Directory Domain Services’’

Étape prochaine a pour objectif de préciser le type d’installation.


53 P3/Chapitre 2 : Configurations et test de la solution

Figure 3.15 Sélection du ‘’Role-based’’

Figure 3.16 Sélection du serveur local avec le nom ‘’WIN-13594KI4UN5’’

On coche le bouton ‘’d’Active Directory Domain Services’’

Figure 3.17 Choix du rôle


54 P3/Chapitre 2 : Configurations et test de la solution

Figure 3.18 L’installation d’Active Directory Domain Services

Après le succès de l’installation, on passe vers l’ajout du ‘’domaine name’’.

• Additionner ‘’Domaine name’’

Pour faire cette étape on entre dans l’interface qui figure dans la Figure 3.19, et on suive ces
étapes pour atteindre l’objectif de cette section

Figure 3.19 Ajout du ‘’Domain Name’’

On ajoute le domaine name dan ‘’l’Active Directory Services Configuration Wizard’’

Le domaine name prise est ‘’LVE.com’’.


55 P3/Chapitre 2 : Configurations et test de la solution

Figure 3.20 LVE.com

Figure 3.21 Installation du ‘’Domain Name’’

Après le redémarrage du système, la poursuite du travail est l’additionnement du groupe et les


utilisateurs RADIUS dans la base de donnée du serveur

Figure 3.22 Redémarrage du système


56 P3/Chapitre 2 : Configurations et test de la solution
• Additionner ‘’Group and users’’ dans ‘’AD users & computers’’

Dans ‘’l’active directory users and computer’’ et dans le ‘’Domaine Name ‘’ LVE.com
• on ajoute le groupe avec le nom ‘’Radiugrp’’
• et une unité organisationnel qui organise les utilisateurs.

Figure 3.23 Nouveau groupe

Figure 3.24 Radiugrp

Figure 3.25 Unité organisationnel


57 P3/Chapitre 2 : Configurations et test de la solution

Figure 3.26 Wifi Users

On ajoute les utilisateurs ici, qui sont :


u1-u2-u3-u4 comme dans les figures suivantes

Figure 3.27 Utilisateur u1

Figure 3.28 L’ajout d’utilisateur u1

Après l’ajout des utilisateurs, on configure chaque utilisateur par l’option Dial-in.
58 P3/Chapitre 2 : Configurations et test de la solution

Figure 3.29 Paramétrer les utilisateurs

Figure 3.30 Dial-in paramètre

3.2 Configuration du RADIUS NPS serveur


Cette étape consiste à créer le NPS qui le but de notre projet, par l’entrer dans ‘’nps.msc’’
dans le ‘’Run’’ service du WS 2012

Figure 3.31 Option ‘’nps.msc’’ dans ‘’Run’’

Figure 3.32 Choix du type de configuration du NPS


59 P3/Chapitre 2 : Configurations et test de la solution
Le choix de ce type de configuration est pour objet de préciser que la configuration concerne
la connexion Wireless.

Figure 3.33 Configuration 802.1x -1-

Figure 3.34 Configuration 802.1x -2-

Relié le serveur avec le point d’accès, avec l’ajout de l’adresse IP du point d’accès qui est
192.168.1.157

Figure 3.35 L’ajout de l’adresse IP du point d’accès


60 P3/Chapitre 2 : Configurations et test de la solution

Figure 3.36 Précision d’un nom pour le NAS

Figure 3.37 Type d’authentification EAP(PEAP)

Pour ajouter la méthode de protection dans l’étape suivante, on doit ajouter le groupe qui va
utiliser cette méthode, la figure ci-dessous décrit cela.

Figure 3.38 Sélection du groupe des utilisateurs


61 P3/Chapitre 2 : Configurations et test de la solution
4.Test du résultat
Après toute les configurations précédente le rôle de cette partie est de tester la solution, pour
cela on entre depuis l’utilisateur qu’est un système MAC OS.
On voit bien que le point d’accès c’est bien du nom ‘’ LVE_Etage1’’

Figure 3.39 Liste des réseau Wi-Fi dans La Voie Express

Figure 3.40 Confirmation du type de sécurité

Figure 3.41 coordonné d’utilisateur ‘’u1’’

Après qu’on entre les données d’utilisateur u1 comme designer dans la figure ci-
dessus, la connexion est bien établie et l’accès à l’internet aussi.

5.Conclusion
Mettre en place un réseau sans fil sécurisé avec serveur RADIUS, permet de centraliser et
optimiser la gestion et la sécurité du dit réseau. Seuls les utilisateurs présents dans la base de
données peuvent joindre le réseau et ainsi bénéficier de ses fonctionnalités. Dans ce chapitre
consiste la configuration de la solution et le test dans notre réseau test.
62

Conclusions et Perspectives

Pour proposer un bon mécanisme de sécurité d’un Wi-Fi, comme solution contre les points
faibles dont souffre un réseau académique, il nous a fallu penser à une issue qui s’adapte avec
l’architecture du réseau existant, tout en tenant compte de la durabilité, l’évolution et la
fiabilité de cette solution, assez bien en termes techniques que économiques.

Pour cela, nous avons pensé à mettre en place un serveur RADIUS, pour sécuriser notre petit
réseau de test, avant de passer à le mettre en place sur le grand réseau de notre société
d’accueil La Voie Express.

Synthèse
Dans ce modeste travail nous avons consacré la première partie à une étude du contexte
générale du projet et les différentes analyses et aspects pour atteindre l’objectif du sujet, après
dans la deuxième partie nous avons énuméré quelques systèmes d’authentification et
protocoles clés les plus utilisés. La troisième partie est, quant à elle, consacrée à l’étape finale
de la mise en place de la solution d’authenfication par RADIUS qui est l’objet de notre
thématique.

Les différentes tâches que j'ai effectuées au sein de la société La Voie Express m'ont permis
de m'enrichir sur les aspects techniques où j'ai pu aborder de nombreux sujets sur les réseaux
et la sécurisation de ceux-ci.

Les différentes interactions que j'ai eues avec mon encadrant de stage et les autres membres
du service des systèmes d’information m'ont également enseigné de nombreux aspects
notamment sur le comportement à adopter en dans le monde professionnel, la collaboration et
l'esprit d'équipe.

L'ambiance au sein du stage était de rigueur puisque j'étais dans un cadre agréable avec une
véritable entraide entre les membres du LVE.

Sur le plan technique, j'ai exploré de manière détaillée de nombreuses facettes du monde des
réseaux informatiques mais aussi du système d’exploitation ‘’Windows server’’. Je retiens de
nombreuses notions au sein de ce stage et, en particulier :

• La prise en main de la distribution Windows server 2012.


• Les caractéristiques d'un portail captif.
• L'authentification.
• Le fonctionnement des équipements réseau (commutateurs, bornes WIFI).
• Les attaques sur les réseaux informatiques.
63 Conclusions et Perspectives

Pour résumer, je qualifierai ce stage d'une réelle opportunité et je suis très reconnaissant de
toute l'équipe du La Voie Express et notamment mon encadrant de stage M. Abderrahmane
RAKI ainsi que le directeur de la direction des systèmes d’information M. Mohammed EL
MADANI qui m'ont apporté le savoir nécessaire pour mener à bien l'ensemble du projet.

Étant à présent au Licence Sciences et Techniques GT (Génie des Télécommunications) de la


FSTM, j'ai pour ambition de poursuivre dans le domaine de la sécurité informatique dont le
facteur de départ a été ce stage.

Perspectives
Les solutions qui présentent le résultat de nos recherches, exigeaient toujours d’utiliser le
protocole RADIUS sur un système d’exploitation serveur comme le 2008 ou le 2012 server.

C’est une solution très fiable à nos jours mais ce n’est pas le cas pour toujours, vu la
progression très rapide de l’invention des méthodes d’attaque et d’autres méthodes de défonce
en informatique.
64

BIBLIOGRAPHIE & WEBOGRAPHIE


[Davi04] David Wall. Managing and Securing a Cisco Structured Wireless - Aware Network,
2004 — ISBN:9781932266917

[MadM05] Madjid Nakhjiri, Mahsa Nakhjiri. AAA and network security for mobile access :
Radius, Diameter, EAP, PKI and IP Mobility, 2005 — ISBN: 9780470017463

[ViBP10] Vivek Santuka, Brandon Carroll, Premdeep Banga. AAA Identity Management
Security 2010 — ISBN: 908766784435

[Dirk11] Dirk van der Walt. FreeRADIUS Beginner's Guide, 2011 —


ISBN: 9781849514088

[PerS19] Application de la sécurité AAA à l’Administration d’Équipements de Connectivité.


Disponible dans : https://www.perlesystems.fr/supportfiles/aaa-security.shtml ( 06/06/2019)

[RMLL12] Simplifier l'authentification avec Kerberos : du mono-poste à la PME.


Disponible dans : https://rmll.ubicast.tv/videos/simplifier-lauthentification-avec-kerberos/
(06/06/2019)

[WiTT19] Architecture client/serveur (ou modèle client/serveur)


Disponible dans : https://whatis.techtarget.com/fr/definition/Architecture-client-serveur-ou-
modele-client-serveur (06/06/2019)

[BTun04] B. TUNG. Kerberos, a Network Authentication System – Edition Addison –


Wesley, 2004 — ISBN: 97818462839292

[Duva04] C. DUVALLET. le protocole radius remote authentification dial-in user service,


2000 — ISBN: 73628492637193

[Ordi19] Avantages et inconvénients de TACACS


Disponible dans : http://www.ordinateur.cc/r%C3%A9seaux/s%C3%A9curit%C3%A9-des-
r%C3%A9seaux/75591.html (07/06/2019)

[RFCT12] RFC1492
Disponible dans : https://tools.ietf.org/html/rfc1492 (07/06/2019)

[TDGT97] The TACACS+ Protocol, Version 1.78


Disponible dans : https://tools.ietf.org/html/draft-grant-tacacs-02 (07/06/2019)
65 BIBLIOGRAPHIE & WEBOGRAPHIE

[QPDi18] Quel est le protocole Diameter


Disponible dans : http://www.ordinateur.cc/r%C3%A9seaux/Autre-R%C3%A9seaux-
informatiques/78179.html (07/06/2019)

[IGUM12] Diameter
Disponible dans : http://igm.univ-mlv.fr/~dr/XPOSE2012/Diameter/ (07/06/2019)

[MaLM03] Maryline LAURENT-MAKNAVICIUS. Conclusions sur les perspectives


d’exploitation de Diameter Gestion du roaming par AAA pour les services PPP et
Mobile P, 2003
66 Annexes

ANNEXE A

Annexe A : Diagramme de 𝐆𝐚𝐧𝐭𝐭 𝟏

Le déroulement classique d’un projet suit un enchaînement logique de phases et d’étapes,


depuis l’identification du besoin jusqu'à la mise en place de la solution, selon l’ampleur du
projet, du délai imparti et des ressources disponibles, les phases seront détaillées plus au
moins de précision, voire regroupé afin de ne pas perdre de temps et d’énergie dans un
formalisme abusif.
La planification est un outil incontournable pour la gestion efficace et pertinente d’un projet,
elle permet de :

• Définir les travaux et les objectifs à atteindre,


• Coordonner les actions et maîtriser les moyens,
• Diminuer les risques,
• Suivre les actions en cours,
• Rendre en compte de l’état d’avancement du projet.

à Voici la planification adopté pour mon projet :

Tableau A.1. Découpage du projet

àEn voici le diagramme de Gantt

Figure A.1 Diagramme de Gantt du projet sous EdrawMax


& , Outil utilisé en ordonnancement et en gestion de projet et permettant de visualiser dans le temps les diverses tâches
composant un projet.
67 Annexes

ANNEXE B

Annexe B : Analyse SWOT

L’analyse SWOT est une analyse faite pour analyser les forces et les faiblesses concernant
l’interne ainsi que les opportunités et les menaces concernant l’externe.
J’ai établi une analyse SWOT basée sur mes observations dans la plateforme messagerie et
dans l’entrepôt logistique ainsi que l’avis du personnel, des agents et des responsables afin de
construire une analyse décrivant de façon générale la situation de l’entreprise.
Forces Faiblesses

v La part la plus importante du marché de la v Absence de notion d’algorithme et


messagerie au niveau national. d’heuristique pour optimisation.

v Grande capacité de transport et d’espace de v Nécessité de maintenance.


stockage.
v Problème de choix de facturation
v Bonne organisation administrative des entre le poids et le volume.
services.
v Beaucoup de temps d’attente mort.
v Disponibilité des équipements de protection
individuelle. v Manque d’engins de manutention
dans la plateforme messagerie.
v Grand nombre d’agences regroupant des
plateformes et des entrepôts.

v Présence des technologies d’information :


EDI, WMS, TMS

Opportunités Menaces
v L’ouverture du Maroc sur le marché africain. v Concurrence nationale.
v Concurrence internationale.
v Infrastructure nationale .
v L’informel.

Tableau B.1 Analyse SWOT


Mise en place de la solution d’authentification RADIUS sous réseau Wi-Fi

par

Youssef ZAHIR

Mémoire de fin d’études en vue de l'obtention du titre Licence en Sciences et Techniques


de l'université́ de Hassan II-FST

Mohammedia , Maroc

Juin, 2019

FSTM – 2019