Mémoire

Mémoire
Etude comparative des solutions FREERADIUS et de

Port-Security, installation pour authentification par MAC
à BUF Compagnie.
Mémoire présenté par MISSIAMENOU Stéphanie
Année universitaire 2020/2021

2
Remerciements :
Je remercie ma famille pour leur soutien indéfectible. Je montre ma reconnaissance envers mon
meilleur ami et sa mère pour leur aide qui m’a été très bénéfique.
Je tiens à remercier Mr. Pierre BUFFIN qui m’a accueillie dans son entreprise afin de réaliser
mon année de formation. Je remercie toute l’équipe de BUF Compagnie, pour l’ambiance
régnant dans l’entreprise, pour avoir pris soin de moi, permis on épanouissement et tout
particulièrement Charles GOYARD, mon tuteur de stage qui a supervisé ma formation, donné
beaucoup de conseils, encadré tout au long de l’année.
J’adresse aussi mes remerciements à mon professeur Mr Amirouche qui m’a donné des
conseils et contrôlé l’avancée de mon mémoire.
3
Glossaire :
TIC (Technologies de l’Information et de la Communication) : Moyens mis en place afin

d’acheminer, produire, manipuler, convertir, stocker, gérer, transmettre, retrouver,
communiquer une information d’un point A à un point B sans compromettre certains critères
de l’information : fiabilité, pertinence, actualité, originalité et accessibilité. Lorsqu’on parle
de TIC, on parle aussi bien de protocoles, machines, que de personnes.
RAID 5 (Redundant Array of Independent Disks) : Virtualisation pour répartir les données sur
plusieurs disques augmentant la sécurité, la performance et la résistance aux pannes. Il existe
multiples techniques de RAID comme le 0, le 1, le 5, le 10, le 50.
NAS (Network Attached Storage) : Périphérique de stockage proposant plusieurs services et
une connexion aux fichiers via un navigateur ou des applications.
NAS (Network Attached Server) (dans le cas de RADIUS) : c’est une machine dont le rôle sera
de rentrer en communication avec RADIUS. Ça peut être un routeur, un commutateur …
DNS (Domain Name Service) : Service liant un nom de domaine à une adresse IP.
DHCP (Dynamic Host Configuration Protocol) : Attribue dynamiquement (au hasard) une
adresse IP ainsi que son masque de sous-réseau à une machine.
LDAP (Lightweight Directory Access Protocol): Annuaire recensant les utilisateurs ainsi que
les objet dans un Active Directory.
NTP (Network Time Protocol) : Service synchronisant les heures des ordinateurs. Très utilisé
dans des techniques comme le GPS.
Bassin : Est l’ensemble des fermes de rendus disponibles sur un site (bâtiment) de BUF
Compagnie.
Actif : Le résultat obtenu pendant l’une des étapes de l’opération de rendu d’un modèle 3D en
une image 2D avec effets spéciaux.
Matériel : Se sont tous les documents requis afin d’exécuter un rendu. On parle des modèles 3D
mais aussi des scripts, synopsis, storyboads, briefs … dans le but de réaliser des calculs par les
fermes de rendu pour avoir les images puis, des plans qui soient le plus proche possible du
script. Les actifs font aussi parti du matériel.
IEEE (Institute of Electrical and Electronics Engineers) : c’est un standard permettant de contrôler
les infrastructures réseaux. Le standard 802.1X est mis en place avec le contrôle de point d’accès
802.1X. Il est imposé sur la plupart des appareils en circulation actuellement.
Protocole standard (aussi appelé standard ouvert, norme ouverte, spécification

ouverte ou format libre ou format ouvert) : tout protocole de communication,
d'interconnexion ou d'échange et tout format de données interopérable et dont les spécifications
techniques sont publiques et sans restriction d'accès ni de mise en œuvre.
EAP (Extensible Authentication Protocol) : Protocole réseau pour multiples authentifications
secondant le protocole RADIUS pour ajouter des méthodes d’authentifications complexes.
4
RADIUS (Remote Authentication Dial-In User Service) : Protocole client/serveur pour

centraliser les donnes d’authentification. Le but de ce serveur est de connecter les utilisateurs à
distance.
Trunk : processus liant plusieurs appareils en un seul, sur lequel passe les trames de plusieurs
vlan. Cela augmente la bande passante.
AAA (Authentication, Authorization and Accounting : Authentication, Autorisation, Comptes
; Service, protocole à 3 fonctions qui sert à la traçabilité.
Telnet (terminal network ou telecommunication network, ou encore teletype network) :
Protocole du réseau TCP/IP servant à communiquer avec un serveur distant. Les réponses
reçues par ce protocole sont en clair.
TOTP (Time-based One-Time Password) : un algorithme basé sur le temps réel qui élabore un
mot de passe à partir d’un nombre et de l’heure en calculant la minute à laquelle le mot de passe
créé ainsi que celle d’avant et celle d’après. Ces mots de passe ont une durée d’une minute après
quoi, il n’est plus valable.
PSK Pre Shared Key (clé partagée préalablement) : une sécurité qui repose sur un code partagé.
L’un connu par l’application et l’autre par le serveur.
EAP (Extensible Authentication Protocol) : protocole de niveau 2 intervenant dans le transport
des paquets, surtout des protocoles d’authentification comme MSCHAP v2.
PEAP (Protected Extensible Authentication Protocol): Protocole pour le transfert
d’informations notamment identifiants et mot de passe de manière sécurisée. Lui aussi
beaucoup utilisé pour MSCHAP v2.
5
Abréviations :
DMZ: DeMilitarized Zone

FTP: File Transfert Protocol
MAC: Media Access Control
NAS: Network Attached Storage
NAS: Network Access Server
NFS: Network File System
RAM: Random Access Memory
SFTP: Secure File Transfert Protocol
UPS: Uninterruptible Power Supply
VLAN: Virtual Local Area Network
TTLS: Tunneled Transport Layer Security
6
< A
Introduction :
Afin de transmettre les informations rapidement sans altérer leur intégrité, les entreprises ont
développé un réseau informatique intérieur, couramment appelé intranet. Mais si ce réseau
permet un gain de temps non-négligeable dans la transmission des données, les risques de cela,
notamment lors du transit de ces dernières sont une préoccupation première. Des risques
d’altération, en allant vers la perte ou le vol et passant vers la panne. Avec l’accroissement
exponentiel des appareils connectés, l’augmentation de la demande, la digitalisation des
sociétés, le réseau informatique a désormais une place prépondérante et fais partie intégrante
de la stratégie d’entreprise. Mais les attaques extérieures dont on parle très souvent ne sont pas
les seules menaces. Les attaques et mauvaises manipulations internes sont elles aussi un
problème pour les sociétés. Dans le but de les limiter et d’amoindrir les dommages qu’elles
pourraient provoquer, les entreprises mettent en place divers protocoles. Supervisions des droits
alloués au salariés, sauvegardes des fichiers, maintenances des serveurs … sont des coûts
monétaire, humains et temporel.
Le système d’information de BUF se base sur plusieurs réseaux qui communiquent entre eux
et doivent être mis-à-jour régulièrement pour minimiser et réduire les vulnérabilités et assurer
la maintenance.
Afin que le système soit le plus possible optimisé, nous avons audité, documenté et mis-à-
jour les systèmes et les applications puis, dressé une liste de tâche basée sur le résultat de l’audit
et ordonnée par les critères urgence, temps et coûts.
Nous avons intégré de nouvelles solutions à l’infrastructure de l’entreprise dans le but de
répondre aux besoins de l’entreprise, mais aussi de ses clients tout en garantissant la sécurité et
la disponibilité des données.
7
Recontextualisation :
J’ai effectué pendant 2 ans, de 2018 à 2020 un BTS SIO option SLAM (Solution Logicielle
Application Métier) que j’ai obtenu. Après mon BTS, voulant voir d’autres aspects de
l’informatique, je me suis engagée dans un Bachelor Informatique Réseaux et Sécurité (IRS)
en alternance dans l’entreprise BUF Compagnie.
BUF Compagnie est une entreprise d’effets spéciaux dans la synthèse d’image pour les fils,
clips vidéo et publicités. Mes missions dans l’entreprise concernaient la sécurité, notamment
celle des réseaux de l’entreprise comme l’assistance utilisateurs, maintenance du parc
informatique, accueil et gestion des utilisateurs et de leurs droits.
En résultat d’un audit de sécurité de TPN, il a été demandé à l’entreprise d’installer dans son
infrastructure une solution qui gérait les MAC des machines de la société, pour interdire l’accès
aux ports non utilisés, qui sont une porte d’entrée. Ma mission principale était d’étudier et
comparer puis installer une solution de contrôle des adresses MAC sur les ports de switches.
Cette expérience m’a apprise et a renforcé mes connaissances sur le réseau. Cela m’a apporté
une réelle expérience de travail, bien loin de stages effectués précédemment. Cela m’a permis
de conjuguer la théorie des cours avec la pratique lors des périodes d’entreprise.
Ce document présente mes projets réalisés dans le cadre de mon contrat d’alternance dans la
société BUF du 2 Novembre 2020 au 31 Juillet 2021.
8
SOMMAIRE
Remerciements .......................................................................................................................................2
Glossaire ..................................................................................................................................................3
Abréviations ............................................................................................................................................5
Introduction ............................................................................................................................................6
Recontextualisation ................................................................................................................................7
Chapitre 1 -- Présentation de l’entreprise ..............................................................................................9
Mes missions ..................................................................................................................................... 12
Restructuration de l’infrastructure informatique ............................................................................. 13
Objectifs ............................................................................................................................................ 15
Contexte ............................................................................................................................................ 15
Problématique .................................................................................................................................. 15
Démarche ......................................................................................................................................... 15
Chapitre 2 -- Présentation de l’infrastructure informatique ............................................................... 18
T.I.C .................................................................................................................................................... 20
Rôle des services ............................................................................................................................... 20
Flux de données de Paris ................................................................................................................... 21
Fermes de rendu ............................................................................................................................... 23
Logiciels de gestion............................................................................................................................ 24
Politiques et procédures de sécurité................................................................................................. 25
Sécurité intranet ................................................................................................................................ 26
Sauvegardes et restaurations ........................................................................................................... 27
Sécurité des locaux ............................................................................................................................ 28
Chapitre 3 -- Analyse des solutions retenues ..................................................................................... 29
L’adresse MAC ................................................................................................................................... 29
MAC-Flooding .................................................................................................................................... 30
MAC-Spoofing.................................................................................................................................... 30
Port-Security ...................................................................................................................................... 30
Freeradius .......................................................................................................................................... 33
Intégration de la solution retenue .................................................................................................... 36
Solution retenue ................................................................................................................................ 36
9
Prérequis ........................................................................................................................................... 38
Matériel demandé ............................................................................................................................. 38
Chapitre 4 -- Installation et tests de Freeradius ................................................................................. 39
Etapes ............................................................................................................................................... 39
Déroulé ............................................................................................................................................. 39
Authentification des utilisateurs ...................................................................................................... 40
Authentification des adresses MAC ................................................................................................. 42
Sur le serveur Freeradius .................................................................................................................. 42
Sur le commutateur .......................................................................................................................... 47
Conclusion ............................................................................................................................................ 39
Annexes ................................................................................................................................................ 39
Annexe 1 ............................................................................................................................................ 52
Annexe 2 ............................................................................................................................................ 52
Annexe 3 ............................................................................................................................................ 52
Annexe 4 ............................................................................................................................................ 52
Annexe 5a .......................................................................................................................................... 53
Annexe 5b .......................................................................................................................................... 53
Annexe 6 ............................................................................................................................................ 53
Annexe 7a .......................................................................................................................................... 53
Annexe 7b .......................................................................................................................................... 54
Annexe 8 ............................................................................................................................................ 54
Annexe 9 ............................................................................................................................................ 55
Annexe 10 .......................................................................................................................................... 55
Annexe 11 .......................................................................................................................................... 56
Annexe 12 .......................................................................................................................................... 56
Bibliographie ........................................................................................................................................ 57
10
L’ENTREPRISE :
BUF Compagnie est une société dans les effets spéciaux et images de synthèse, rajoutés dans
des films, publicités et vidéos musicales. L’entreprise voit le jour en 1984, fondée par Pierre
Buffin et Henri Seydoux. La société s’appelait à l’origine (Buffin Seydoux Computer
Animation) et se renomma BUF au départ de Seydoux. Elle a participé aux effets spéciaux de
nombreux films comme la trilogie d’Arthur et les Minimoys Matrix Revolutions, The Dark
Knight, ou encore Avatar. Elle a des bureaux dans 3 pays : en France à Nantes et Paris puis au
Canada à Montréal et aux Etats-Unis à Los Angeles.
La société travaille dans le domaine des effets spéciaux (VFX) pour des grandes sociétés de
production filmographique.
BUF Compagnie
Siège social :142 rue de Forme juridique : Société
Charonne 75011 Paris par action simplifiée
Nationalité : Française Chiffre

d’affaires :7 664 600 €
Effectif : 52 personnes (peut Siret :32007438800077
varier)
11
BUF Compagnie est une société par actions simplifiée. La présidence est gérée par Pierre
Buffin. Il est apte à entamer des poursuites civiles voire pénales et rend comptes aux
actionnaires de BUF. Pour auditer ses comptes annuels, BUF COMPAGNIE a mandaté 2
commissaires aux comptes assistés par un commissaire aux comptes suppléant. Ces
mandataires CAC sont inscrits sur la liste établie par le Haut Conseil du Commissariat aux
Comptes (H3C) et sont donc habilités à certifier la régularité et la sincérité des bilans et compte
de résultats déposés par BUF COMPAGNIE : ARICE comme mandataire titulaire et Olivier
Bossart en mandataire suppléant.
La stratégie de l’entreprise repose sur un excellent savoir-faire datant de 30 ans. Ainsi dans
la compagnie, tous les logiciels sont développés dans la société-même à Paris, Nantes et
Montréal, facilitant l’administration et les mises-à-jour pour l’utilisation interne. Elle regroupe
en un seul lieu tous les corps de métiers nécessaires au bon fonctionnement de l’entreprise ainsi
qu’à la bonne conduite des projets menés pour satisfaire les clients. Les locaux à Los Angeles
servent surtout de négociations des contrats avec les clients, étant principalement états-uniens.
Ces derniers ne sont pas seulement états-uniens mais d’autres pays du monde comme la Chine
ou l’Inde.
BUF Compagnie met en place une politique de sécurité stricte afin de ne porter atteinte ni à
l’entreprise ni au client. Les images transmises entre BUF et ses clients sont des images
confidentielles, certaines valant des milliers d’euros. Un incident comme une intrusion
divulguant les informations secrètes pourrait avoir des répercussions non pas seulement sur la
société mais sur leurs clients allant jusqu’à plusieurs dizaines de millions d’euros. Les
ordinateurs portables, à l’exception de celui de Mr Buffin ne sont pas autorisés à l’intérieur.
Les clients de BUF sont des sociétés d’animation, de production de films comme Hollywood,
EuropaCorp ou Canal+, des chanteurs et personnes du divertissement ou demandant une
publicité comme Crédit Mutuel.
J’ai évolué et fait mon alternance sur le site de BUF paris. L’organigramme de l’entreprise
est très simple. Pierre Buffin, dirige les différents services présents au sein du site. Ce dernier
compte 52 salariés mais ce nombre varie en fonction du temps et des projets en cours,
nécessitant parfois la venue de personnes extérieures à l’entreprise.
12
Pierre Buffin : Négocie les contrats avec les clients, choisi les technologies qui seront utilisées
en lien avec les RH et Comptabilité. Il a le dernier mot sur tout. Il est le chef d’orchestre de
l’entreprise.
RH et Comptabilité : S’occupe de toute la gestion des salariés comme les embauches,
traitement des salaires et du budget de l’entreprise.
Production : Négocient les contrats avec les clients, de la gestion de projet et la budgétisation,
constituent les équipes et les plannings de travail pour les projets.
Développeur : Elle recueille les besoins des salariés de l’entreprise et développe des
applications dans le but d’améliorer et d’optimiser leur temps de travail. Programme des
solutions logicielles qui seront utiliser pour simuler le déplacement d’un objet dans l’espace
pour que ce soit ajouté dans un plan.
Graphistes : S’occupe des effets spéciaux sur les plans et images envoyés par les caméramans,
producteurs des sociétés clientes, puis les leur renvoie. Si les plans satisfont les clients, ils
sont ajoutés aux autres plans.
Equipe IT : Intègre les nouveaux employés au sein de l’entreprise. Supporte des utilisateurs
lorsqu’ils ont des problèmes, maintiennent le réseau aussi bien physique que virtuel.
Mes missions :
J’ai postulé dans le cadre de l’alternance pour l’entreprise. J’ai été prise, après le départ
d’un employé et dans le contexte de sécurisation du réseau de l’entreprise après un audit de
sécurité.
13
Mon rôle au sein de l’entreprise est celui des IT. Intégration des nouveaux arrivants,
création de leurs comptes ainsi que l’attribution de leurs droits, explication de la politique de
sécurité de la société. Je devais résoudre les problèmes des utilisateurs comme des bugs
mineurs ou bien changer une souris, un clavier, un écran.
Mon statut d’administratrice système m’amène à veiller à la maintenance de
l’infrastructure matérielle et logicielle, les commutateurs, routeurs, pares-feux, proxy, DMZ,
VM, effectuer une mise-à-jour serveur, système. Résoudre les dysfonctionnements, les pannes
et incidents.
Une autre de mes missions était d’archiver les plans de films, publicités ou clips vidéo afin
de les gardes dans le cas d’un désarchivage et de les fournir au demandeur. Je devais
m’occuper d’un parc informatique d’environ 350 machines dont des Workstation, Render
farm et des sauvegardes.
Le projet de restructuration de l’infrastructure informatique

Le projet majeur de la compagnie est la restructuration du système informatique dans le but
de répondre à un besoin du client pour répondre à une attente sécuritaire plus rigoureuse encore.
Ce projet n’a débuté qu’en septembre 2020 et se poursuivra sur plusieurs années.
La finalité étant de séquencer plus encore le système d’information de BUF afin de limiter les
interactions des informations avec des personnes non-autorisées susceptibles d’y accéder.
14
FORCES FAIBLESSES
Diagnostic interne - Savoir-faire reconnu (30 ans de métier) - Coûts salariaux élevés
(entreprise) - Qualité des services (ayant participé à - Budget moins important
plusieurs grands films et clips vidéo) - Manque de diversification des
- Un répertoire de clients très connus domaines VFX
(Hollywood, canal …)
- Salariés très compétents (certains
salariés ont été récompensés de prix)
- L’entreprise ayant une bonne part de
marché (dans le top 5 français)
OPPORTUNITES MENACES
Diagnostic Marché interne (français) Marché interne (français)

externe (marché)
- Qualité des écoles françaises (elles - Marché qui stagne (la demande
produisent des talents) de production ne bouge pas.
- Les entreprises françaises ont la capacité Elle était même en baisse en
de produire plus de contenu (la France 2016 par rapport aux années
produit déjà plus que la Belgique ou le 2000
Canada) - Tarifs trop bas pour dégager
- Marché de l’emploi en progrès (bien que une marge significative
faible, il représente 4000 emplois en - Prétentions fiscales pas assez
France et est en progression de 10%) avantageuses (moins bonne
qu’en Belgique par exemple)
- Salaire plus bas que d’autres
pays (R-U ou Canada)
- Très peu d’investissements
pour développer la filière (bien
qu’ayant doublés sur la période
2016-17)
Marché externe (mondial) Marché externe (mondial)
- Marché en croissance permanente (+ 8% - Concurrence forte (près de

pour le marché US par exemple) 1700 entreprise à travers le
- Marché se diversifiant (films, clips monde)
musicaux, publicités, jeux vidéo, VR …)
- Un public toujours plus exigeant (HR,
2K, 4K)
Or, une contrainte de taille s’exerçait. À la suite de la crise liée à la corona, le milieu du
cinéma était gravement atteint et l’entreprise composait avec des revenus limités, les cinémas
étant fermés. Il fallait donc trouver des moyens à moindre coût sans rogner sur la qualité des
solutions à déployer.
15
OBJECTIFS :
Contexte :
BUF Compagnie est une société dans le marché de production de films. Elle s’occupe de
synthétiser des images afin de faire des effets spéciaux. Ses principaux clients sont des sociétés
de production filmographique. Or en 2020, suite à la crise du covid-19, les cinémas en France,
mais en réalité une grande partie des cinémas dans le monde ont été fermés, ce qui a entrainé
une perte conséquente pour cette industrie ainsi qu’un report voire une annulation des projets
de films. BUF a donc connu une perte de bénéfice et des projets ont été reportés.
De plus, elle reçoit moins de commande de clients, les cinémas ne rouvrant toujours pas,
doit composer avec cette chute d’argent rentrant. Sans compter qu’elle a des dépenses
imprévues dans quant au respect des règles sanitaires instaurées par le gouvernement, et a dû
mettre en place le télétravail, bouleversant les habitudes des salariés et l’organisation de la
compagnie, occasionnant des retards dans les projets qui étaient déjà en cours. Ceci a une
incidence sur l’investissement pour l’entretien des infrastructures qui est garante de la
disponibilité de l’information dans le but de respecter les demandes des clients dans les délais
impartis, et la communication pour fournir les éléments afin de créer le contenu voulu par
l’entreprise demandeuse.
Il fallait élaborer une stratégie en tenant compte des coûts réduits, de la disponibilité des
matériels, mais surtout du contexte instable lié à la crise du corona virus qui pouvait à tout
moment mettre à mal le calendrier de mise en place des solutions.
Problématique :
Comment assurer la maintenance et la sécurisation d’un système informatique pendant une
crise restreignant le budget, tout en assurant la disponibilité de ce système ?
La démarche :
Les étapes du projet sont celles-ci :

- Audit
- Solutions retenues
- Choix de la solution
- Tests
- Déploiement
16
Début Etape Durée Fin

01/09/2020 Audit 1 01/09/2020
17
01/10/2020 Fracture 1 19 19/10/2020

19/10/2020 Cours 1 14 02/11/2020
02/11/2020 Observation de l'environnement de travail 29 30/11/2020
30/11/2020 Mise en place de l'environnement de tests 8 07/12/2020
07/12/2020 Fracture 2 55 01/02/2020
Création des fichiers pour l'authentification par
01/02/2021 MAC 15 15/02/2021
15/02/2021 Cours 3 13 28/02/2021
01/03/2021 Tests des fichiers 15 15/03/2021
15/03/2021 Fracture 3 23 06/04/2021
06/04/2021 Tests sur l'environnement réel 12 18/04/2021
18/04/2021 Cours 4 16 03/05/2021
: désigne un évènement extérieur venu perturber le bon déroulement des opérations.
Le déploiement de la solution n’est pas encore effectué et aucune date n’a été fixée pour le
moment.
Le diagramme ci-dessus montre les étapes du projet et leur durée.
Le diagramme de PERT n’est pas présent. La plupart des délais des étapes étant largement
dépassées. De plus, à leur actuelle, le déploiement de la solution sur l’ensemble de
l’infrastructure réseau n’a commencé et des étapes se rajoutent au fur et à mesure. Si ce
diagramme était présent, il n’aurait pas de fin.
18
Présentation de l’infrastructure :
19
L’infrastructure de Paris regroupe cinq types de machines utilisées dans des tâches diverses :
Poste de travail
Ce sont des ordinateurs fixes, plus ou moins puissants, allant parfois jusqu’à 128 Go de
RAM. Ils sont tous sous la distribution Debian. Ils sont utilisés par 3 services pour des
utilisations différentes :
- Graphistes : afin de personnaliser les modèles 3D dans le but de respecter les besoins
graphiques, la rapidité et contenir les applications sans surcharger.
- Productions : pour suivre l’avancée des projets. Ils n’ont pas la même puissance que les
ordinateurs graphiques
- Développeurs : ayant des composants spécifiques tierce pour le code.

Ces machines sont gérées par Puppet, un outil de configuration open-source.
Ferme de rendu :
Il y en a 200 dans les locaux de Paris, qui sont liés et sur lesquels reposent ceux de Montréal.
Dans un réseau de ferme, un appareil est appelé un nœud. Chaque machine possède un
processeur de 8 ou 16 cœurs et de 16 à 96 go de RAM. 2 firmwares sont utilisés pour les gérer :
- Un logiciel de rendu sur chaque machine
- Un gestionnaire de ferme : HT Condor qui s’occupe d’attribuer les tâches à
chaque nœud
Le processus visant à transformer un modèle 3D en une image qualitative en 2D est nommé
rendu. C’est une transformation qui mobilise plusieurs nœuds afin de diminuer le temps
nécessaire pour le rendu. Plus il y a de nœuds dans une ferme, moins de temps le processus dure
car permettant de faire plusieurs tâches en même temps ou de mobiliser plus de machines.
Archivage centralisé :
L’archivage des biens est centralisé à Paris, facilitant le suivi et l’administration et la
réutilisation des plans si besoin. Cela réduit le temps, et augmente l’efficacité de la démarche.
47 NAS assure la traçabilité de l’archivage. Il y en a un de chaque côté de l’Atlantique
fonctionnant en redondance.
Les NAS sont répartis sur 30 nœuds, indépendants aidés par la technologie RAID 5 et des
disques durs, formant une seule unité pour amplifier la redondance. Si un disque tombe en
panne, les autres prennent le relai.
Réseau :
20
Paris possède un réseau avec une connexion de 10 Gb/s et a une connexion avec Montréal
de 1 Gb/s afin d’assurer convenablement les transferts et la communication étant donné que ce
sont des images qui sont envoyées peuvent prendre toute la bande passante.
Les locaux de Los Angeles sont connectés aux autres sites de BUF par IPSec VPN.
TIC (Technologies de l’Information et de la Communication) :

La plupart des TIC de l’entreprise convergent vers Paris. Leur but est d’assurer la
communication entre les différents partis. Il y a 4 types de TIC :
- Les utilisations internes
 Dossiers réseau : pour qu’un utilisateur retrouve ses informations en
s’authentifiant même s’il est sur une autre machine que la sienne.
 L’intranet : Où se situent des services comme le mail.
 Sauvegarde, Archive : la restauration d’un ancien projet pour un autre.
Ils se trouve dans les locaux de Paris.
 Authentification centralisée : pour accéder aux services.
- Les utilisations externes : internet, Email, FTP ET SFTP dans la DMZ.
- L’infrastructure : DNS, DHCP, NTP, LDAP
- Les admins :
 Gestionnaire de configuration : Puppet
 Systèmes de suivi : Zabbix
Toutes ces infrastructures convergent par fibre optique vers celle de Paris où est situé le
datacenter ainsi que la plupart des fermes et les services de maintenance.
Rôle des services :

Les rôles de ces services sont multiples et participent de la première à la dernière étape d’un
projet. Ils sont la clé du fonctionnement de l’entreprise :
- Système de gestion du matériel : là où se trouve l’archivage avec les images. Ces
dernières sont mises-à-jour et sauvegardées quotidiennement. A la fin d’un projet, elles
sont archivées par le système de sauvegarde.
- Système de rendu : rendu des images
- Système de transport des images : FTP, extranet dans le but de livrer les images
aux clients
- Système de sauvegarde : les sauvegardes, l’archivage, la restauration et la
gestion de panne y sont gérés.
Voici un schéma expliquant les étapes des plans initiaux aux plans finaux fournis par le
client.
21
1) Les clients envoient les images qui seront ‘ingérées’ par le système de gestions des
images, puis scannées. Cette étape s’appelle « l’ingestion ».
2) Les graphistes modifient les images selon les besoins du client sur le serveur des images
en travail « Work Centralized storage » qui sont des RAID. Ils sont accessibles depuis ces
serveurs par le système de rendu. C’est l’étape du « travail ».
3) Les images éditées sont entrées dans les fermes de rendu afin d’être transformées en
images 2D dans le système de gestion des images. Elles peuvent y rentrer et en sortir
plusieurs fois. C’est l’tape du « rendu ».
4) Tous les plans et images sont archivés quotidiennement par le système de sauvegarde
puis archivés à la fin du projet. C’est « l’archivage ».
5) Quand toutes les modifications ont été apportées et satisfont le client, elles lui sont
livrées via FTP, Extranet et tous les composants du système de livraison.
Présentation des flux de données des locaux de Paris

Pour une société sous-jacente comme BUF, voici les étapes principales d’un projet :
- La préproduction
- La production (vue précédemment)
- Le montage
22
La préproduction :
Le principe de cette phase est de rechercher les méthodes d’imagerie qui correspondront le
plus aux demandes des clients en analysant le contenu apporté par ce dernier. Le projet est créé
et mis sur un serveur dédié (BManager) avec un serveur RAID de « travail » puis la phase 2
commence. Une maquette est montrée au client. Il arrive parfois que le projet soit stoppé à ce
stade-là et qu’il n’aille pas plus loin.
La production :
Elle est divisée en multiples étapes vues avant. Les données suivent un cycle puis sont
sauvegardées lorsque les attentes du client sont respectées. Puis le projet est archivé.
L’ingestion :
Le matériel est reçu par disque dur ou dans le système par FTP ou autres protocoles de
transport. Elles sont intégrées à BManager et un serveur RAID 5 appelé « scanner ».
Il y a plusieurs types de serveurs. Scanner et Travail (“Scan Disk” and “Work Disk”) dont
l’optimisation est ce qui les distingue. Le matériel « ingéré » est beaucoup lu et beaucoup écrite,
ce qui peut poser des problèmes si cela est fait sur un seul serveur. C’est pourquoi il y a des
disques pour des biens statiques.
Le travail :
Une fois que cela plaît au client, le travail commence. Une équipe est désignée. Elle est
composée de personnes qui conceptualisent, modèlent, texturent, calibrent, animent, créent des
animatiques …
Tout est stocké sur des serveurs dédiés en respectant la structure et le nommage des dossiers.
Les étapes sont répétées maintes fois et le résultat est vu par les cadres. Des espaces de partage
sont créés entre Paris, Montréal et Los Angeles accordant aux cadres leurs accès où qu’ils se
trouvent.
L’examen quotidien Daily Review (appelées dailies) regroupe les graphistes et les
superviseurs afin de valider le travail de la veille. Ils peuvent compter sur la chambre d’examen
(Review Room) et ses équipements.
- Le projecteur
- 2K magnéto (2K Player)
- 3D magnéto (3D Player), équipé d’une carte Nvidia spéciale, utilisé dans le cas
d’une synthèse d’images 3D et vue avec les lunettes 3D.
23
Le rendu
Le système de rendu est l’élément central de BUF. Son but est de créer des images de
synthèse 2D. Beaucoup de composants de l’infrastructure sont demandés. Les composants 3D
étant créés, ils doivent être combinés et assemblés avec les autres éléments afin d’être rendus
en images 2D et juxtaposés pour créer des effets visuels.
L’archive
Les données situées dans le système de gestion du Matériel sont répliquées sur 3 autres
dispositifs, dans le système de sauvegarde pour prévenir les pannes et la restauration rapide.
- Disques miroirs : une sauvegarde quotidienne sur des datacenters externes qui
contiennent 30 jours de données.
- L’archivage : lorsque le projet est fini, sur des disques durs dans une pièce
spécifique.
- Niveau 0 : tous les 6mois, une sauvegarde est effectuée sur un serveur spécial
dans le datacenter
Des protocoles ont été mis en place pour se protéger de tous les dangers connus. Les
informations sont fragmentées et conservées sur plusieurs sites pour reprendre l’activité au plus
vite si besoin est.
Livraison
Quand la totalité des images a été validée, elles sont livrées par le service de production.
Plusieurs moyens sont possibles.
- Livraison par FTP ou SFTP : par des client FTP installés sur des postes avec
l’autorisation des clients et des admins.
- Extranet : un accès contrôlé où le client prend les fichiers voulus.
- Aspera, Signiant : systèmes de transferts spéciaux à la demande du client.
Le résultat final dépendant su projet, l’équipe de production décide du format des fichiers.
Cette conversion est faite par des logiciels comme Bconvert, une fonctionnalité de Bsuite.
Fermes de rendu
Architecture
Le travail des fermes de rendu est de transformer un modèle 3D en une image 2D pour
produire des plans intégrant des effets spéciaux. Des postes de travail sont aussi utilisés comme
24
outil de travail de rendu en plus des fermes. Les locaux de Paris comptent 200 nœuds sans
prendre en compte les postes de travail. Une machine compte :
- 16 Go ; un processeur de 8 cœurs : pour la composition des tâches
- 24 GO ; un processeur de 16 cœurs : pour le rendu. Ces machines transforment
un modèle 3D en effectuant des calculs servant pour le rendu en 2D. pour ces calculs,
elles ont besoins en plus des modèles, ce qu’on appelle le « matériel ».
- 96 GO ; un processeur de 16 cœurs : pour la simulation. Une fois le rendu fini,
elles vérifient que les images 2D sont bien conformes aux résultats demandés.
Logiciels de gestion
Comme dit précédemment, il y a :

- Un logiciel de rendu sur chaque machine Brender/Bcolor/db2
- Un gestionnaire de ferme : HT Condor qui s’occupe d’attribuer les tâches à chaque
nœud et de prioriser les tâches.
HT Condor
HT Condor est un logiciel de gestion de tâches. Il est composé de modules.
- Un gestionnaire de tâches qui gère non pas les ordres des tâches, mais les priorités entre
les utilisateurs.
Ils sont intégrés et classés dans des groupes de « production ». Chaque groupe a un
quota (un nombre entre 0 et 1) de machines qui peuvent lui être attribué. Le quota est
fixé selon l’ensemble des machines des locaux.
HT Condor connait la notion de préemption. Si un utilisateur demande un quota plus
large que celui, attribué, HT Condor réajuste le quota. Le logiciel adopte la règle du
« premier arrivé, premier servi en cas de tâches ayant le même degré de priorité (FIFO
policy (First In First Out)). Si une tâche meurt qu’importe la raison, HT Condor la refait
sur un autre nœud (dans certaines situations, il y a une limite d’essais).
- Un client installé sur les postes qui a pour rôle d’envoyer les tâches à effectuer (Schedd
Daemon).
Un graphe représentant tous les nœuds du réseau, classés par branche (DAG ou Directed
Acyclic Graph) est créé par Bprod. Toutes les braches sont indépendantes les unes des
autres et peuvent être utilisées en simultané. La limite des tâches en cours est fixée par
une variable. De même, il est possible de créer des dépendances entre les branches,
aménageant des ordres de priorité.
- Daemon installé sur chaque nœud.

Son travail est d’exécuter un script (un script est une tâche dans une étape avancée). Ce
script peut à son tour exécuter Batch_bcolor or Db2. Dans ce cas, le résultat est envoyé
sur un serveur de logs partagé.
25
Tout ce qui est créé pendant ces étapes est appelé « actif ». Les actifs doivent être accessibles
facilement par les fermes sous peine d’augmenter le temps de production. Le système implique
l’appel des services comme DHCP, DNS, NFS…
Le rendu fonctionne si tous les actifs peuvent être stockés dans un modèle, une simulation
ou tout autre composant.
Politique et procédures de sécurité

Buf a comme clientes, des entreprises de production avec un large budget, pour qui il faut
éviter tout risque, qui entrainerait des pertes financières lourdes. Pour cela, il faut :
- Ne perdre de contenu
- Ne pas se laisser voler de contenu
Le tout, sans compromettre la productivité des employés. BUF Compagnie doit trouver le
juste équilibre entre sécurité et productivité.
Le réseau
Le réseau d’entreprise en divisé en 2 parties :
- L’intranet : protection des fichiers, systèmes de vérification…
- L’extranet : mails, accès internet…
26
Sécurisation intranet
1 Les mots de passe

Ils sont créés et vérifiés avec un algorithme complexe, puis changés régulièrement avec une
procédure simple pour éviter que les utilisateurs aient du mal et prennent des mots de passe
simples. Ils sont composés de 12 caractères et changés tous les 6 mois.
Le mot de passe root est lui aussi changé régulièrement. Il peut arriver que certains
utilisateurs (IT) puissent s’authentifier root sans taper le mot de passe, mais ils ont à
s’authentifier utilisateur d’abord.
2 Zabbix
Zabbix est un logiciel de surveillance sui envoie un mail d’alerte s’il existe une anomalie
logicielle ou hardware.
Protection des fichiers

Les utilisateurs sont classés par groupe, définissant les droits, leur permettant d’accéder à
leur ressource uniquement. Ils peuvent partager des documents sans leur laisser un total libre
accès. L’interface de BUF administre l’annuaire LDAP et l’accès droits de UNIX (Unix Access
Rights). L’Intranet manage les différentes étapes pour garantit l’accessibilité for des documents
spécifiques.
Sécurisation extranet
La seule manière de se connecter au réseau internet est de passer par Fortigate 200D. Chaque
Fortigate protège un LAN. Le pare-feu est réglé pour empêcher les connections vers l’extérieur
sauf pour l’équipe de production.
Interconnectivité des sites

Tous les sites sont interconnectés entre eux par VPN.
 PARIS <=> MONTREAL: OPTICAL FIBER (1Gb L2)
 PARIS <=> Nantes : IPSEC VPN
 MONTREAL <=> Nantes: IPSEC VPN
Sauvegardes et restauration
27
Le stockage des données

Les données sont stockées sur un RAID 5 avec redondance sur disques durs. Ainsi, si un
disque tombe en panne, la recomposition des données est effectuée. Le disque est remplacé
après coup. Ils sont dans des lieux protégés avec refroidissement.
Sauvegarde miroir
C’est une duplication nocturne quotidienne des données sur des disques miroirs moins
efficace que le système de stockage. Cependant, il a la capacité d’accueillir l’entièreté des
données. Cela permet de retrouver des informations rapidement, car les disques sont connectés
directement au réseau à l’extérieur des locaux de Paris. L’utilisation est triple :
 Simple copie et stockage des données
 Rapide récupération de 30 jours
 Plan de récupération en cas de catastrophe
Archivages des fins de projet

A la fin d’un projet, il est archivé dans des disques externes indépendamment des disques
miroirs. Ils sont entreposés dans une pièce spéciale, pour en cas de problème, pouvoir récupérer
des données et être une sauvegarde supplémentaire.
Level 0
Tous les 6 mois, une copie des informations, fichiers … est faite et sauvegardée à ‘l’extérieur
des locaux.
Plan de récupération en cas de catastrophe

Un plan de récupération est élaboré pour faire face à une éventuelle panne de l’infrastructure
physique ou logicielle. Le but est de limiter la perte des informations et de reprendre l’activité
au plus vite. Il faut 30 minutes aux disques miroirs pour remplacer les données manquantes ou
corrompues et une demi-journée en cas de remplacement total des informations depuis les
disques de sauvegarde situés à l’extérieur des locaux de Paris. Les postes peuvent être
réinstallés et rebootés en 3 heures.
Toutes ces mesures ont été mises en place afin de limiter la perte ou corruption des données
ainsi qu’une restauration complète et rapide pour perdre le moins de temps et reprendre
l’activité le plus promptement possible.
28
Sécurité des locaux

Sécurité des locaux
L’accès aux locaux se fait avec un badge pour chaque employé. Des caméras de
surveillances sont installées en fonctionnent 24/24h. les vidéos sont gardées pendant 90 jours.
En cas de problème, il est plus facile de remonter à la source. Il existe un système d’alarme
pour chaque bâtiment. Si un souci se présente comme une intrusion, un feu … la sécurité avertie
directement la police.
Les badges contrôlant l’accessibilité à l’entreprise sont réglés pour qu’un employé ne puisse
pas aller dans une zone qui lui est interdite. Ils sont verrouillés le week-end. Ils sont inspectés
en temps réel par un ordinateur connecté à un UPS.
Certaines pièces sont verrouillées avec des clés que seules les personnes habilitées à rentrer
possèdent.
Sécurité anti-feu
Les locaux de Paris sont soumis à l’article R232 12014 de la loi sur le travail.
Les plaques montrant le plan de chaque étage, les sorties de secours, la position des
extincteurs et toute les informations essentielles en cas d’urgences y sont mentionnées. Les
notices et consignes d’évacuations, qui est apte à les diriger, à utiliser les équipements, les
mesures spécifiques aux handicapés. Les numéros des secours est écrit en gras sur les plaques.
Des détecteurs de fumées sont installés à chaque étage qui activent les cheminées
d’évacuations si la présence des fumées est avérée. Ces cheminées sont activables
manuellement si besoin est. Une alarme retentit et donne l’ordre d’évacuation du bâtiment.
29
ANALYSE DES SOLUTIONS RETENUES
Pourquoi installer une solution de gestion d’adresses MAC sur ports ?

Le résultat de l’audit de TPN réalisé en septembre a montré comme faille que les ports non
utilisés étaient laissés ouverts et actifs. Le risque est que quelqu’un connecte un ordinateur non
désiré et accède à l’infrastructure, aux données de l’entreprise. C’est une pratique courante dans
le cadre d’espionnage d’entreprise. Ce cas de figure n’est pas possible quand un ordinateur ne
peut s’attribuer une IP dynamiquement avec DHCP. Mais cela reste possible si l’attaquant
attribue manuellement une IP à sa machine. Pour ne pas lui laisser cette chance, il faut trouver
un outil de gestion des ports.
Nous avions comme contraintes d’infrastructure et applicative. Des applications
d’authentification déjà en place qui servent à identifier un utilisateur, notamment s’il est distant.
Une authentification à double facteur. Quand un utilisateur veut se connecter à distance, il
utilise une application VPN. Avec cette dernière, il entre un identifiant, mot de passe. Puis lui
sera demandé un code qu’il entrera afin de se connecter à son ordinateur situé dans l’entreprise.
Des firewall, fonctionnant sous protocole TOTP mais qui n‘est pas utilisée car la gestion et
le paramétrage sont trop longs. Il faut la régler à la main sur chaque switch
Nous avions comme autre contrainte un budget à la baisse à cause de la crise liée au corona.
L’objectif était de trouver une solution qui entrerait en adéquation avec les fondations déjà
en place.
L’adresse MAC
Une adresse MAC, dite aussi adresse matérielle ou adresse physique, est une adresse, en plus
de l’adresse IP utilisée par des appareils dans un réseau pour communique entre eux. Tous les
appareils (smartphone, routeur, switches, machine à laver ou encore voitures) en possèdent une.
Elle est unique à chacun. Elle va servir d’identification de la machine à travers le protocole
MAC, qui est un protocole de la couche 2 du modèle OSI. Elle est composée en bloc de 2, 3 ou
4 parties de chiffres en hexadécimal, de 0 à F. elle sert dans la communication en Ethernet dans
la transmission des paquets. Les 6 premiers chiffres désignent le numéro du fabriquant tandis
que les 6 derniers désignent le numéro de série de la carte d’interface réseau.
Les paquets transmis avec cette carte transitent de « proche en porche ». C’est-à-dire que
pour aller sur une machine D en partant de A, il devra passer par B, puis C.
Un commutateur, retient les MAC des machines avec lesquelles il est susceptibles d’entrer
en contact souvent afin de minimiser le temps de communication. Sinon, il serait obligé
d’identifier maintes et maintes fois un même appareil.
Avec un parc informatique aussi grand, il fallait alors contrôler les accès aux ports. Le but
étant d’éviter les attaques dites « MAC-address-flooding » et de « MAC-spoofing ». Le
processus consiste à faire apprendre à chaque port de switch, un nombre limité d’adresses MAC.
Le switch retiendrait pour chacun de ses ports, une liste de machines pouvant s’y connecter.
30
Dans un commutateur, il existe ce qu’on appelle une table d’adressage MAC. C’est une base
données contenue dans le switch qui retient les MAC(s) des machine dont les trames transitent
par lui. Il analyse l’adresse MAC de destination et trouve le port à partir d’elle. Un switch est
capable de contruire lui-même sa table MAC, en gardant l’adresse source en mémoire d’une
connexion ancienne. Il apprendra l’adresse de destination après un premier broacast et une
réponse de l’ordinateur destinataire, puis de liaisons entre les 2 appareils avec les MAC(s)
source et destinataire.
MAC flooding
Il y a dans un switch la MAC-address-table qui est un mécanisme de reconnaissance des
machines connectées. Ce qui permet à un switch de prendre en mémoire les MAC(s) de
plusieurs machines en simultané. Cela va jusqu’à plusieurs milliers. Le principe de l’attaque,
« address-MAC-flooding » est d’inonder le switch d’un flot de trames, c’est-à-dire qu’une
avalanche d’adresses MAC différentes sont envoyées, ce qui entraine une saturation de celui-
ci. Or, lorsqu’un nouvel équipement est connecté et se met à trafiquer avec le switch, les
réponses de ce dernier, au lieu d’être envoyées uniquement au nouvel arrivant, sont
broadcastées à tous les équipements entrant en liaison avec le switch, y compris celui de
l’attaquant. Il prendra connaissance, en conséquence du trafic.
MAC spoofing
Une adresse MAC est unique est définie par le constructeur de la machine. Le spoofing est
un ensemble de méthodes utilisées afin de masquer voire usurper la MAC de l’appareil. Ces
techniques sont généralement utilisées à des fins bienveillantes pour l’anonymisation sur un
réseau. Mais, dans ces cas-là, le MAC spoofing consiste à masque ou à usurper l’adresse MAC
d’une machine d’un réseau afin de s’introduire dans ce réseau en passant le contrôle des pares-
feux et routeurs.
Afin de limiter les risques que ces attaques arrivent, nous avons sélectionné 2 solutions
baissant les risques que ces 2 attaques se produisent.
Port-Security
Port-Security est un système de gestion des adresse MAC. Sur un switch, il consiste à
assimiler cette adresse à un port. Ainsi, si un autre appareil est connecté au port alors que sa
MAC n’est pas apprise par le switch, pour ce port, le port est automatiquement désactivé,
31
bloquant toute communication de trames entre la machine et le switch. Cette configuration

empêche les attaques de type MAC flooding et donc la possibilité pour l’attaquant de prendre
connaissance du trafic du réseau cible.
Sur le schéma ci-dessus, un attaquant essaye de se connecter avec son ordinateur sur le port
2, dont une adresse MAC a déjà été configurée. La MAC de l’attaquant n’étant pas reconnue
par le switch, le port en question se désactive. Les ports non utilisés sont eux aussi désactivés
par défaut dans la configuration.
Il existe 3 configurations différentes, chacune paramétrable sur un port différent pour

s’adapter aux besoin de l’entreprise.
- Protégé : bloque la trame en cas de connexion à un port étranger par un ordinateur.
- Restreint : bloque la trame, compte le nombre de connexions tentées si une adresse
MAC inconnue est détectée.
- Désactivé : bloque la trame, compte le nombre de violations et ferme le port en cas de
détection d’un ordinateur non habilité à établir une connexion.
Fonctionnalité Bloquer la trame Compteur de Fermeture de ports

violations
Protégé OUI NON NON
Restreint OUI OUI NON
Désactivé OUI OUI OUI

32
Pour configurer un switch, on se connecte à celui-ci. Puis on active le mode configuration,

va sur le port dont il est question et active le port-Security sur ce port. On entre la MAC ayant
le droit de se connecter et le mode de restriction, à avoir s’il est en protégé, restreint ou
désactivé.
Option aging type

Cette option ajoute à un port une date de péremption. C’est-à-dire qu’après cette date
passée, toutes les adresses appris par le switch sont perdues. Cette date est fixée en minute.
Par défaut, ce temps est fixé à 10 000 000 de minutes. Cette date peut être fixée par rapport à
l’inactivité du clavier, et définie la période de veille.
Option sticky.
Cette option a comme avantage de ne pas entrer les adresses ayant le droit de se connecter
mais de laisser le commutateur apprendre tout seul les adresses. Grâce aux connexions
précédemment effectuées, il va mémoriser dans sa table MAC les adresses ayant eu
auparavant des liaisons. Par défaut, une seule MAC peut avoir cette option mais cela est
changeable avec la commande « show port-Security maximum n ». Il faut noter que ce mode
n’est pas configurable avec un mode Aging.
Contre mac spoofing

Si on le règle pour, il permet de stopper une attaque dite MAC-Spoofing dans la mesure où
l’attaquant connait déjà une des adresses MAC mémoriser dans la table d’adressage et a donc
la capacité d’usurper cette adresse pour prendre connaissance du trafic et s’introduire dans le
réseau cible.
Dans le cas des attaques de type spoofing, le commutateur va détecter un changement au
niveau de l’adresse MAC qui n’est plus la même que celle enregistrée initialement. En
comparant la liste des MAC, il va se rendre compte que le nom associé à l’adresse n’est pas le
même. Il va donc agir en fonction des mesures de configuration initiées.
Sur IP
Ces configurations sont aussi applicables aux IP, sur la couche de niveau 3. Ce sera comme
pour les schémas précédents. La seule chose qui changera sera l’IP en paramètre au lieu de la
MAC, dans le but d’éviter cette fois-ci les attaques de type IP-flooding et IP-spoofing.
En trunk
33
Port-Security fonctionne sur une architecture en mode trunk, c’est-à-dire sur un assemblage
de switch n’en formant qu’un seul. Il faut entrer des commandes spécifiques pour l’activer :
- switchport
- switchport trunk encapsulation
- switchport mode trunk
- switchport no negotiate
Limites de Port-Security
Port-Security est donc un outil très complet pouvant faire face à plusieurs problèmes,
attaques et menaces. Seulement, n’étant pas centralisé, il nécessite à chaque modification
voulue de l’effectuer directement dans le switch, de s’y connecter et de changer le paramétrage
manuellement. Si l’on a 100 switches, on doit donc faire la même manipulation … 100 fois. Il
en est de même lorsqu’il doit fonctionner avec des logiciels ou firmware. Dans le cadre d’une
modification, on doit aussi changer les configurations dans les logiciels, ce qui peut ajouter une
charge de travail conséquente si l’infrastructure en compte beaucoup.
C’est une solution simple et peu couteuse en argent mais peut s’avérer gourmande en temps
si l’on a un grand parc informatique avec des dizaines de commutateurs comme c’est le cas ici.
Freeradius
Freeradius est une version gratuite de Radius, à la base d’un système d’authentification, est
un serveur basé sur le protocole radius et sa communication client/serveur, permettant de
centraliser les données de connexion et d’authentification. C’est un protocole standard, c’est-à-
dire qu’il permet l’interconnexion et l’échange et dont ses propriétés sont redus publiques.
Le serveur crée une communication avec un client qu’il a au préalable identifié son
« interlocuteur » soit par mot de passe, soit en délivrant des autorisations des appareils dans le
VLAN dans lequel il est situé.
Cette liaison initiée par le serveur par l’intermédiaire d’un Access Request. C’est le nom
donné au premier paquet marquant la communication entre le serveur NAS et le freeradius. Il
contient le « Calling-Station-Id », « NAS-Identifier » et d’autres attributs. Si la connexion est
établie après envoi des informations permettant l’authentification du NAS, freeradius transmet
le « Accept-Accept » paquet avec les attributs et privilèges accordés au client. Dans le cas
contraire un « Access-Reject » est réceptionné par le NAS.
Access-Challenge
Un paquet pouvant être envoyé lorsque le client NAS a reçu le paquet « Access-Request ».
Ce paquet sert, lors de la demande de connexion à réclamer des informations par un nouvel
34
envoi d’acces-request. EAP est le protocole toujours utilisé pour Access-Challenge car
certaines de ces informations sont des certificats ou mot de passe de travail. Une fois la demande
de ce dernier analysée, Radius va émettre une réponse ; favorable ou non. Si elle l’est, il va
envoyer un paquet de création de connexion, une liaison appelée « Access-Accept », sinon, un
avis de rejet avec un Access-Reject.
Protocole AAA
Il privilégie le protocole AAA (Authentication, Authorization and Accounting) afin
d’authentifier les utilisateurs, de leur attribuer leurs droits et privilèges, d’enregistrer les
données d’utilisation réseau par les clients et un serveur NAS. Pour pouvoir installer freeradius,
il faut que les équipements concernés aient la capacité d’accueillir les protocoles radius, IEEE
802 1.X, EAP et pour les NAS, le protocole IEEE 802 1.Q.
Les protocoles IEEE 802.1X et EAP, développés pour les réseaux filaires et IEEE
802.1Q pour les réseaux sans fils. Il possède plusieurs modes d’authentification.
- Par adresse MAC
- Par identifiant et mot de passe
- Par certificat
Ici, l’authentification repose non pas sur ces protocoles mais sur l’authentification radius-
MAC. Le switch servira de NAS comme il est la pièce centrale, de l’équipement et donc du
réseau.
Freeradius a recours à une base de données soit interne comme une liste dans le serveur ou
externe (Oracle, LDAP). Il peut en exister plusieurs. Une base peut être utilisée pour
s’authentifier et pour autoriser une machine à se connecter au serveur. Il peut aussi n’avoir
qu’une seule base pour les deux options.
Par adresse MAC

Pour que cette catégorie d’authentification fonctionne, il faut que les appareils inclus dans
le processus d’identification supportent divers protocoles comme le protocoles Radius, le
802.1.Q pour les réseaux filaires ou le 802.1.X pour les réseaux sans fils.
Cette méthode d’authentification est la plus simple à mettre en place mais la plus dangereuse
dans le cas d’un réseau sans fil car il n’y a pas de limite prédéfinie, l’onde se propageant dans
l’espace. C’est une méthode utile dans l’enceinte d’une entreprise car elle permet de fermer les
ports ouverts vacants au sein de l’infrastructure de celle-ci.
Pour cette méthode, l’adresse MAC va demander au serveur l’autorisation de se connecter à
lui. Ce dernier va regarder dans sa base si la MAC existe. Si elle existe, il va lui donner le droit
de se connecter à lui. Sinon le port qu’il contrôle rester fermé à cette machine.
Cette liaison a lieu entre le commutateur et le serveur. A aucun moment, le serveur ne va
entrer en contact avec un poste de travail. Sauf quand un des périphériques va utiliser le
protocole EAP, par les ports non contrôlés, afin d’envoyer ses informations.
35
Par identifiant et mot de passe

On a besoin d’un identifiant et d’un mot de passe. Il peut provenir de deux entités selon
ce(ux) qu’on cherche à authentifier. Cela est soit un mot de passe et un login utilisateur, la
méthode dont on a le plus recours. La base de données utilisée est le plus souvent l’annuaire
LDAP.Soit pour identifier la machine elle-même. Elle fait appel à plusieurs protocoles.
L’inconvénient de cette méthode est que les communications n’étant pas chiffrées, elles sont
susceptibles d’être interceptées. Il faut afin d’avoir une meilleure sécurité, employer les
protocoles 802.1.X et EAP/PEAP ou EAP/TTLS en complément.
Par certificat
Un document fictif prouvant l’identité de la machine. Il est délivré par une autorité de
certification. Il est présenté par la machine au serveur pour montrer patte blanche.
Cette solution à la capacité, grâce à ses différents protocoles, de disposer de plusieurs

niveaux de sécurisation, ce qui le rend malléable et polyvalent. Il a aussi une administration
plus simple car centralisée.
Il centralise le système d’authentification, tout passe par lui.
Limites de freeradius
Freeradius ne contrôle que les connexions et les échanges mais pas les sessions de
connexions établies c’est-à-dire qu’il ne chiffre les informations en transit sur une
36
communications déjà créée. Il n’assure pas non plus les authentifications à d’autres serveurs. Il
faut si c’est le besoin, prendre des modules de freeradius comme le protocole EAP pour
sécuriser les liaisons avec les serveurs. Freeradius possède plusieurs niveaux de sécurité. Il faut
donc bien choisir celui adéquate et vérifier si les configurations installées sont bonnes et
appropriées.
De plus, si le serveur Freeradius tombe en panne, sans qu’il y en ait un deuxième, alors
l’authentification par MAC cessera. Il faut installer deux serveurs Freeradius en redondance.
C’est aussi une solution simple et peu couteuse en temps et en argent comme l’indique le
nom.
Intégration de la solution retenue

Solution retenue
Après analyses des 2 solutions, nous avons opté pour le freeradius car la configuration est
plus simple à gérer.
Critères\Solutions Port-Security Freeradius
Argent NON NON
Temps d’installation et de PEU PEU
configuration
Temps d’administration LONG RAPIDE
Modules NON OUI
Chiffrage des NON NON
communications
Résistance au MAC- OUI OUI
spoofing
Résistance au MAC- OUI OUI
flooding
Mode centralisé NON OUI
TOTP OUI OUI
Configuration du TOTP en LONG RAPIDE
cas de modification
PSK NON OUI
Cryptage des NON OUI (avec l’ajout du
communications existantes protocole PEAP)
Les 2 installations sont peu coûteuses en argent et en temps d’installations car étant toutes
les deux libres. Elles sont capables de résister à une attaque de type MAC-flooding. Et à des
attaques de type spoofing. Cependant, elles ne chiffrent pas les communications avec un autre
serveur, si on les laisse sans ajout.
Mais là où Freeradius se distingue est sur le temps d’administration après installation car
Freeradius est gérable depuis un poste, là où pour celle de port-Security, il fallait la faire
37
manuellement. Ce qui est une perte de temps lorsque les changements à faire sont nombreux.
De plus, Freeradius dispose de modules, payants ou gratuits permettant de répondre aux besoins
de l’entreprise selon l’architecture et les besoins de celle-ci là où il faudra associer des logiciels
et firmwares tierces à port-Security. Si on ajoute le module EAP/PEAP, Freeradius est alors
capable de crypter les données des connexions déjà établies, ce qui n’est pas le cas de Port-
Security. Freeradius permet de centraliser les connexions et ainsi de diminuer le temps de
modifications des différents mécanismes là où il faudrait tout modifier manuellement pour port-
Security. C’est un gain de temps considérable avec Freeradius grâce à sa centralisation.
Sinon, à chaque configuration, il faudrait parfois, changer les machines, les logiciels et cela
plusieurs fois.
Troisièmement, freeradius est plus compatible que port-Security avec l’existant.

Lorsqu’un employé de l’entreprise se connecte à distance à sa machine, il le fait avec un
identifiant et un mot de passe sur un VPN. Lequel envoie un code par sms pour confirmer
l’identité du salarié. Si le code rentrer est bon, l’utilisateur peut se connecter sur sa machine.
Il va installer une application sur son téléphone dans lequel sera un code A. Avec ce code et
le TOTP, l’application va calculer à l’aide de son algorithme, un nombre qui résultera du code
initial et de la date du jour. Ce code B est envoyé sur le smartphone. Quand l’utilisateur va se
connecter sur son ordinateur, il va entrer ses identifiants et son mot de passe suivis du code B
obtenu. Les trames transportant ses informations transitent pat le pare-feu dans le LAN jusqu’au
serveur Radius. Ce dernier ayant le code A, qui partage avec l’application, va calculer de la
même manière les trois codes B. si l’un d’entre eux correspond au code B reçu précédemment,
alors le serveur Freeradius va autoriser l’ordinateur de l’utilisateur à se connecter. Il se marie
avec le processus d’authentification des utilisateurs déjà en place et le TOTP qu’il aurait fallu
changer sur chaque switch concerné si on avait choisi la solution port-security.
Ce système est plus sécurisé car ça contre les attaques de type sim-jacking. Ces attaques
consistant à pirater la SIM afin de mettre la main sur les codes pour accéder aux informations
convoitées. Dans ce cas de figure, l’attaquant va mettre la main sur le code envoyées depuis
l’application, qui se périme rapidement, et non pas sur le PSK.
38
Si l’attaquant réussi à mettre la main sur le PSK, il faudrait le changer dans Freeradius et
dans l’application. Depuis le serveur, on passerait par le firewall
Pour finir, c’est un protocole standard. Il est donc libre, ce qui fait rentre un compte le coût
que cela peut engendrer. L’un des critères précédemment énoncés était le budget rétréci en
conséquence à la crise de la covid. Freeradius n’a aucune restriction d’accès. Ce sont des coûts
d’abonnement ou de prestation en moins, car il n’y a pas de licences à payer, à mettre en place
et renouveler.
Prérequis
Dans le cadre de ce projet, seule l’équipe IT se chargeait de le mettre à exécution. Il fallait
créer un environnement de tests pour ensuite observer le comportement des configurations.
Nous avons donc simulé l’ajout du serveur FREERADIUS dans un Vlan déjà créé.
Matériel demandé
Pour l’intégration de FREERADIUS dans le VLAN de test, il nous a fallu :
- 1 serveur
- 1 switch
- 3 ordinateurs
Le serveur avait une double interface, l’une dans le VLAN de tests et l’autre dans un vrai
VLAN. L’installation de Freeradius, était alors possible. Afin de tester les différentes
configurations sélectionnées et de choisir la plus optimale.
39
Les machines en fonction lors de l’expérience et les tests seront work45, work86 et
work122. Elles simuleront des connexions au commutateur et au serveur afin de mettre à
l’épreuve la fiabilité du service.
Le nom du commutateur est swtest00. Ce nom lui sera utilisé en référence.
Freeradius sera appelé comme tel dans la suite du mémoire. Il sera aussi reconnu sous le
nom de Virt-test, nom du serveur sur lequel il est installé.
40
INSTALLATION ET TESTS DE FREERADIUS
Etape
Cette installation est découpée en plusieurs étapes :
- Installation de Freeradius sur un serveur et de Debian sur le commutateur
- Configuration de FREERADIUS en local pour monter la connexion vers le switch
- Configuration du switch pour accepter la liaison avec RADIUS
Déroulé
Sur le serveur appelé simplement Virt-test, on installe FREERADIUS. Puis on connecte à
ce serveur, le switch appelé swtest00 (ce qui signifie « premier switch de test ») sur lequel on a
préalablement installé Ubuntu avec la commande « apt install ». On créer 2 interfaces : une
dans le réseau 172 et l’autre dans le VLAN créé en 192 auquel on va connecter 3 ordinateurs,
simulant des utilisateurs. (figure 1)
On va configurer le serveur FREERADIUS pour qu’il communique avec le switch.

Dans le fichier « client.conf » du serveur, on va entrer les configurations du switch, c’est-à-
dire son adresse IP, un mot de passe, le nastype et le shortname afin qu’il puisse le reconnaître
et l’authentifier dans le but d’établir une connexion et communiquer avec.
On crée, dans une instance nouvelle, que nous appelons « client swtest00 », des paramètres
que l’on rempli avec les valeurs propriétés du switch pour la reconnaissance servant à
l’établissement de la communication :
(Ici, les valeurs sont celles du switch)
Client swtest00{
ipaddr = 192.168.30.240/24
secret = testswtest
nastype = brocade
shortname = switch
}
(figure 2)
Puis modifier le fichier user. A la fin, dans l’instance de test, on va créer des utilisateurs de
tests pour vérifier qu’une connexion en local soit possible. Cela sert à vérifier le bon
paramétrage de FREERADIUS, avant d’effectuer les modifications qui serviront pour la
communication entre FREERADIUS serveur et swtest00.
41
Authentification avec utilisateurs
Après la modification du fichier, le user ne fonctionnait pas (figure 3b). C’était dû à des
fautes d’orthographe. Sevice au lieu de service, promt au lieu de prompt. (Figure 3a)
Suite à ses réparations, le user fonctionnait et la connexion en local aussi. (Figure 3b bis)
Testuser Cleartext-Password := ‘testpassword’
Service-Type = NAS-Prompt-User
# brocade-AVPair = « Shell :priv-lvl=15 »
Nous avons testé la connexion en local avec la commande radtest puis le nom de l’utilisateur
(admin), son mot de passe(root) suivis de l’IP du serveur (192.168.30.253), du niveau de
privilège (0) et le mot de passe du switch (testswtest). La connexion en tant qu’utilisateur admin
fonctionnait en local, on pouvait passer à la suite.
Depuis notre « root » local, nous lancions la commande
« radtest admin root 192.168.30.253 0 testswtest »
Lorsque la commande radtest est entrée, l’accès est donné au client avec l’adresse IP
192.168.30.253 sur le port 1812, ayant pour nom « admin », mot de passe « root » ainsi que
l’IP de la 2nd interface de RADIUS.
La machine commancant la communication avec le serveur va envoyer un paquet de « pré
connexion » appelé Access-Request. Comme son nom l’indique, ce paquet va émettre une
demande d’établissement de connexion qui va être vérifier par le serveur en vue d’une réponse.
Cet Access-Requst contient le nom de l’utilisateur, son mot de passe, l’ip du NAS ainsi que le
port, et le mot de passe du NAS demandeur. Il va envoyer en même temps un « Message-
Authnticator ». c’est un code qui montre s’il y a eu une erreur ou non. Lorsque ce n’est pas le
cas, il indique un 0x00, comme dans notre exemple présent. A noter que la connexion est
toujours instanciée par le client. Radius va émettre une réponse ; favorable ou non. Si elle l’est,
il va envoyer un « Access-Accept », sinon, un Access-Reject.
Sent Access-Request Id 79 from 0.0.0.0:58717 to 192.168.30.253:1812 length 75

User-Name = « admin »
User-Password = « root »
NAS-IP-Address = 172.20.1.26
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = « root »
Received Access-Accept Id 79 from 192.168.30.253:1812 to 192.168.30.253:58717 length
20
L’Access-Accept signifiant que notre requête a été accepté (figure 4).

42
La liaison entre le serveur et le switch était établie mais pas entre le switch et le RADIUS. Il
fallait aller dans le commutateur, entrer en mode « configue » et construire la liaison vers le
serveur. La troisième étape commençait.
Sur la photographie, nous pouvons voir sur quels ports fonctionnent quels protocoles, et
quelles instances de FREERADIUS sont en cours. Ces informations seront utiles pour savoir
quels ports utiliser dans le but de configurer la communication entre le switch et le serveur.
Freeradius a des instances sur les ports 1812 ; 1813 ; 18120 ; 34618 et 58198. Deux de ces
ports seront utilisés par le switch pour la conversation vers RADIUS. (Figure 5)
Pour la configuration du switch, nous entrons en mode « enable » puis « configuration »

pour paramétrer le switch afin qu’il réponde aux appels de Virt-test. (Figure 6)
Nous avons utilisé le protocoles Telnet dans un premier temps pour lire et comprendre les
réponses de RADIUS afin de pouvoir s’adapter en cas d’éventuels problèmes rencontrés. Nous
avons fait de même avec le protocole AAA servant à la traçabilité. (Figure 7a et 7b)
La connexion en local fonctionne, ainsi que le protocole AAA venant d’être activé sur
swtest00. Il nous restait à créer des utilisateurs avec leur nom, mot de passe et le niveau de
privilège. Pour se faire, ces derniers devaient être rajoutés dans le fichier users. 1 utilisateur a
été créé, puis 5 afin de parfaire les tests et de mieux cerner le fonctionnement de RADIUS.
Sur la première ligne, le nom de l’utilisateur, séparé par un espace de la fonction « Cleartext-
Password définissant le mot de passe. Succède sur la deuxième ligne la fonction « Service-
Type », en vue de savoir avec quel type d’appareil Virt-test va communiquer. « Foundry-
Privilège-Level » comme son nom l’indique attribue les privilèges qu’aura l’utilisateur. Il y a 3
niveaux de privilège :
- 0 : mode super utilisateur ; l’utilisateur a tous les accès, il peut modifier ce qu’il
souhaite comme les paramétrages du switch.
- 4 : mode utilisateur : l’utilisateur a un accès restreint, il peut modifier la
configuration uniquement.
- 5 : mode spectateur ; l’utilisateur n’a le droit de rien modifier, seulement de lire
les configurations
Pae exemple, nous pouvons prendre le user toto. Il est créé, et donc, paramétré avec son mot de
passe, le Type de Service (dans le cas présent, NAS), et le niveau de privilège qui lui est alloué.
Toto Cleartext-Password := ‘1’

Service-Type = NAS-Prompt-User,
Foundry-Privilege-Level := 0
43
Toto a son mot de passe, 1 ; le type de service sur lequel il va être utilisé, un NAS (il existe
plusieurs types comme un autre serveur…) ; et le niveau de privilège alloué,0 ce qui signifie
super utilisateur. Il sera capable d’avoir la plein main mise sur l’ensemble de configurations et
des fichiers (dans le cas où il y en a) (figure 8).
Ce schéma a été reproduit 5 fois, avec 5 paramétrages différents afin de tester les différents cas
échéants.
En utilisant la commande radius-server host « IP du RADIUS » auth « numéro du port » acct-
port « numéro du port » key 1 « mot de passe ».
Le paramétrage final :
Le paramétrage final de la première phase de test donnait :
aaa authentication enable default radius

aaa authentication login default radius none
aaa authorization exec default radius
enable telnet authentication
enable super-user-password …..
hostname swtest00
logging host 192.168.30.253 auth-port 1812 access-port 1813 default key 1 $on-o-+on-o
snmp-server community ….. ro
clock timezone gmt GTM+01
sntp server 192.168.30.251 4
interface ve 2
ip address 192.168.30.140 255.255.255.0
L’authentification aaa a été activée, ainsi que telnet dans un premier temps. Les
configurations pour la communication avec le serveur RADIUS, comme l’IP du serveur, les
ports servant à la réception des paquets de communication, le mot de passe crypté, ont été pris
en compte par swtest00. Sont présentes d’autres informations complémentaires, notamment
l’adresse IP du switch, mais également, le protocole d’horodatage SNTP, son ip, le fuseau
horaire (figure 9).
Quand l’un des utilisateurs avec un privilège inférieur à 5 s’authentifiait, il devait se
connecter sur le switch puis entrer son identifiant et mot de passe et non plus entrer en mode
« enable ». Lorsque que le niveau était égal à 5, l’utilisateur ne pouvait que se connecter au
switch mais le mode « configuration » lui était refusé. Il lui est alors impossible d’utiliser la
commande autorisant la configuration, celle-ci étant déclarée comme une entrée invalide.
(Figure 10)
44
Authentification par adresses MAC(s)

Sur le serveur FREERADIUS
L’authentification avec des utilisateurs mise en place, il fallait maintenant activer

l’identification par MAC(s) du serveur FREERADIUS ce qui rendrait possible authentification
de 2 manières. Pour y arriver, plusieurs fichiers allaient être modifier ou créés.
Le fichier Canonicalization est le fichier de traduction des MAC vers une version normalisée
du serveur. Parce que le serveur est utilisable avec plusieurs périphériques en tant que NAS qui
n’ont pas forcément la même norme dans l’écriture des adresses, elle doit avoir un fichier qui
permet de traduire ces adresses afin qu’elles aient une syntaxe finale commune. Sinon, il
faudrait inscrire chacune d’entre elles voulant être listées avec chaque syntaxe existante pour
qu’elle soit authentifiable.
L’adresse passe donc dans la boucle « rewrite_calling_station_id » oû elle est ajustée afin
d’avoir la norme d’écriture du serveur pour être comparée avec la liste d’adresse. Elle passe
une première fois dans la boucle, puis une seconde pour être sûr que le changement corresponde
à la syntaxe de RADIUS. Cette adresse peut passer plusiers fois dans la boucle avant d’être
acceptée (figure 11).
Quand la modificaiton est acceptée elle passe dans le « authorized_macs ». Le fichier

« default » défnie les étapes et leur ordre.
Dans le fichier default, il faut aller dans l’instance authorize puis dans « preprocess ». Le
« rewrite_calling_station_id » est une variable dans laquelle passe l’adressse MAC provenant
du switch. Le « authorized_macs » revoit vers une instance dans le fichier « files » qui va
vérifier à l’aide d’un deuxième fichier si la MAC est listée et donc en capacité de se connecter
et d’échanger avec le serveur (figure 12). Si elle n’est dans la liste, alors on passe dans le « if »
et la demande de connexion est rejetée. A l’inverse, si une d’entre elles correspond à celle
demande une connexion, on entre dans le « else », la table MAC est mise à jour et la connexion
avec le serveur est établie.
preprocess
# if cleaning up the Calling-Station-Id…

rewrite_calling_station_id
# Instance du fichier ‘files’ ou setrouve le chemin d’accès vers le fichier

# contenant la liste des adresses MACs autorisées
authorized_macs
45
if (!ok) {
#No match was found, so reject
reject
}
else{
# The MAC address was found, so update Auth-type to accept this auth
update control{
Auth-Type := Accept
}
}
Dans le fichier files, il faut créer une instance qui redirige vers le fichier où se trouve la liste
des adresses MAC(s) autoriser à se connecter. La première ligne est l’instance
« authorized_macs » qui est appelée précédemment par le fichier « default ». Elle arrive dans
cette instance où la MAC, ici dans la variable « key » correspondant à une expression regulière
pour le formatage de l’adresse MAC dans l’objectif de lui donner la bonne syntaxe. La variable
key contient l’adresse MAC de la machine communicant avec le serveur et devant être
comparée dans le but d’être reconnue par le fichier « authorized_addresses ». Puis elle est
renvoyée vers ce dit document « authorized_addresses », dans lequel sont listées les adresses
ayant un droit de connexion avec le serveur (figure 13) ; déterminant la réponse.
Files authorized_macs{
[ section commentaires]
key = « %{Calling-Station-ID} »
# chemin vers le fichier où sont listées les adresses pouvant se connecter

Userfile = authorized_adresses
}
Le fichier « authorized_addresses » est le répertoire des adresses MAC ayant la possibilité d’entrer
en contact avec le serveur FREERADIUS. C’est ici et à celles-ci que sont comparées les adresses
demandant une connexion (figure 14). Nous pouvons voir 4 adresses ; l’une de test et les 3 autres
de nos 3 works.
# liste des adresses MAC(s) autorisées par le RADIUS pour la connexion
#MAC test
00-11-22-33-44-55
Reply-Message= ‘Appareil avec la MAC %{Calling-Station-Id} autorisee
46
#work45
00:1e:4f:f3:a7:2a
# work86
00:1e:4f:f3:c0:ea
# work122
00:25:64:b2:90:c2
Comme dit précédemment, si l’adresse correspond à l’une d’entre elles, la connexion est
acceptée, sinon elle est rejetée.
Les modifications ont été effectuées mais la connexion avec le serveur ne fonctionnait pas.
Nous avons testé différentes syntaxes pour voir laquelle connectait avec le serveur.
Nous avons donc 4 MAC(s). La première adresse est une de test qui fonctionnait avec le
serveur. Les 3 suivantes sont des MAC(s) de machines se situant dans le VLAN test. Pour la
première, j’ai mis des tirets avec des lettres en minuscule, pour la 2ème, des « : » avec lettres en
majuscules, et, pour la dernière, les octets sont séparés par des tirets et des lettres en majuscules.
(figures 15a et b)
A la suite du redémarrage du serveur, la dernière syntaxe était la bonne. Il fallait donc mettre
des tirets avec des majuscules. Nous avons changé l’écriture des autres MAC(s) afin de les lier
avec le serveur pour qu’il ne les rejette plus.
(Figure 16)
A la fin de la configuration donc, le serveur permettait aux adresses de se connecter.

Le serveur reçoit une demande d’authentification de la part d’une machine. Il appelle son
fichier « default » qui va à son tour appeler l’instance « authorized_macs ». Cette instance
définie la variable dans laquelle va passer l’adresse demandant une connexion mais aussi le
fichier lisant les MAC(s) pouvant se connecter à lui. Il va faire passe la variable dans le ficher
canonicalization. Ce dernier sert à transformer l’adresse MAC dans la bonne syntaxe. Cette dite
adresse va rentrer dans la boucle une première fois, puis une deuxième fois pour la vérification
que la syntaxe valide a bien été appliquée. Elle peut ainsi passe N fois dans la boucle. De retour
dans le fichier « default », elle passe dans l’instance « process » pour l’acceptation. Lorsque
l’instance autorise l’authentification, si c’est le cas, la réponse est envoyée à la machine et la
connexion entre les deux appareils est établie.
Nous avons toutes les étapes de « l’Access-Request » du moment où il est lancé à la réponse
et l’envoi d’un « Access-Reject » ou « Access-Accept ». (Figure 17)
47
En testant l’authentification par utilisateurs, nous nous sommes aperçus que les 2 types
d’identifications n’étaient pas activables en simultané. Il fallait désactiver l’authentification par
MAC pour initialiser celle par utilisateurs.
J’ai donc commenté l’instance dans le fichier « files » et ai regardé que cela donnait une
erreur à la reprise du serveur.
Quand l’instance est commentée, l’adresse passe dans le fichier « default » mais incapable
de trouver le fichier « files », ce qui génère une erreur, ce qui ets normal. A ce moment-là,
l’authentification par utilisateur est disponible pour les tests. (Figure 18).
#Files authorized_macs{
[ section commentaires]
#key = « %{Calling-Station-ID} »
# chemin vers le fichier où sont listées les adresses pouvant se connecter

#Userfile = authorized_adresses
#}
Comme dit auparavant, afin d’autoriser l’authentification par MAC(s), on passe par l’instance
« preprocess » du fichier « default » qui dirige la sous-instance « authorized_macs » vers ce fichier.
Or, le code commenté rend la détection de ce dernier impossible. Il n’est plus possible d’appeler le
fichier liste de MAC(s) qui est normalement appelé ici (figure 19 ci-dessus).
Sur le switch
Il faut activer l’authentification sur le freeradius désormais. Pour ce faire, nous devons nous
connecter sur le switch, en mode « en » puis en configuration. Nous entrons les paramètres pour
permettre l’authentification par MAC sur le commutateur.
Nous activons l’authentification MAC, entrons dans les ports concernés et faisons de même.
(Figure 20)
Une fois cela fait et après vérification, ça marchait.
Pour compléter les tests effectués, nous avons étendus les ports du Vlan du 12 au 20 afin
d’observer le comportement des machines selon si les ports sans authentification MAC se
48
situaient dans le vlan ou non. Cela poussait à regarder si les machines dans le bon Vlan mais
pas sur les bons ports pouvaient s’authentifier au non.
(Figure 21)
Nous contrôlons l’activité du switch pour vérifier qu’il n’y ait aucune anomalie. Ce n’était
pas le cas. Les trois machines enregistraient une activité normale et le ping ne montrait aucune
perte de paquets, sauf pour work45, qui perdait environ la moitié de ses paquets.
(Figure 22)
Nous procédons, par la suite à divers tests afin de vérifier la conformité du paramétrage.
Nous avons d’abord enlevé une des machines, work45, de FREERADIUS, pour voir si elle
pouvait malgré ça être authentifié sur le commutateur. Puis, nous avons enlevé cette même
machine du Vlan et rebranché dans le bon vlan pour observer la réaction du serveur et du switch.
Ensuite, nous avons interchangé les 2 autres machines de ports. Pour finir, nous priâmes une
des machines et la changeâmes de ports sans la changer de VLAN.
Voici les résultats :
La Work45 est commentée (figure 23).
#MAC test
00-11-22-33-44-55
#work45
#00-1E-4F-F3-A7-2A
#Reply-Message= ‘Appareil avec la MAC %{Calling-Station-Id} autorisee
# work86
00-1E-4F-F3-C0-EA
# work122
00-25-64-B2-90-C2
ICMP Host Unreachable from 172.23.3.74 for ICMP Echo sent to work45
Work86 : [908], 84 bytes, 0.11 ms (0.13 avg, 0% loss)
49
Le résultat montre que la work45, lorsqu’elle demande une connexion n’est pas reconnue et
donc rejetée (figure 24). Ce qui est normal car dans « authorized_addresses », les lignes la
concernant sont commentées. La configuration fonctionne. Passons au test suivant.
Quand nous avons enlevé la MAC de 45 dans le RADIUS, elle ne fut plus authentifiable par
son port après remise.
Nous avons réinitialisé le serveur Radius pour l’essai suivant. Comme la work45 a toujours
son adresse MAC de commentée dans le fichier des authentifications d’adresses. Il en fut de
même quand nous la changions de VLAN. Elle n’est pas reconnue par le serveur et considérée
comme un mauvais utilisateur.
Quand nous échangions de port les machines 86 et 122, il ne se passait rien, les 2 étant sur
des ports avec une authentification MAC (figure25).
En revanche, lorsque nous changions la machine 122 et que nous la branchions sur un autre
port mais cette fois-ci du même Vlan, elle n’était plus authentifiable sur un des ports
configurés avec une authentification MAC (figure 26).
Work86 : [1764], 84 bytes, 0.11 ms (0.13 avg, 0% loss))
Avec toute cette batterie de tests, nous étions en mesure de dire que la configuration de
FREERADIUS était bonne.
50
Conclusion
Après un audit de sécurité, ma mission pendant cette année en alternance dans l’entreprise
BUF Compagnie est de mettre à jour, d’entretenir son système d’Information. Il est essentiel
au bon fonctionnement de l’entreprise car il participant de A à Z, des projets de la société. De
la signature d’un partenariat à la livraison du projet fini. Il m’a été donné de nombreuses
missions et tâches. L’une de ces missions est d’installer une solution, logicielle ou composant
empêchant un appareil de se connecter sur un port non-autorisé. Cela augmenterait la sécurité.
Nous avons étudié 2 solutions et choisi celle qui correspondait le mieux aux critères
d’administration et aux besoins de la société. Freeradius et Port-Security. Nous devions pour
cela faire une veille, se documenter et les comparer pour mieux choisir. Nous avons regardé les
différentes options proposées, les avons mesurées à la demande de l’entreprise, pesé les
avantages apportés et les inconvénients portés. Nous les avons opposées pour trouver la plus
avantageuse.
Ensuite, une fois choisie, nous avons démarré le processus d’installation en plusieurs étapes
de FREERADIUS. Nous l’avons choisie car elle remplissait le mieux les critères de sélection à
savoir, premièrement, la limitation du nombre d’appareil pouvant se connecter sur un port.
Deuxièmement, car elle possède des évolutions qui seront utiles à l’avenir notamment celle
contrant l’attaque dite « MAC Flooding ». Nous avons donc mis en place un environnement
matériel, de tests en créant un VLAN de test imitant le comportement de l’infrastructure de
l’entreprise. Dans la foulée, installation de l’environnement logiciel. Pour mieux comprendre
la gestion de freeradius, et de tester les différentes options. Ainsi pour valider notre choix initial.
Il faudra sur le court terme, améliorer notre compréhension de freeradius, ce qui est déjà en
bonne voie. Ensuite, le déploiement de la solution sur l’architecture générale de l’entreprise où
nous observerons davantage pour améliorer le paramétrage. Nous devrons ajuster des
paramètres dans le but de gagner du temps sur l’administration. Ensuite installer un deuxième
serveur Freeradius qui fonctionnera en redondance avec le premier, de manière à assurer la
disponibilité d’au moins un des serveurs si l’un tombe en panne.
Nous devons, à moyen terme, intégrer et observer le comportement de la solution afin
d’ajuster au maximum les configurations afin de fournir un service de sécurité optimal aux
utilisateurs. Que la sécurité soit de mise sans que cela soit restreignant. Mais il faut qu’il soit le
plus rapide et qu’en cas d’incident l’activité puisse reprendre le plus promptement. Le défi est
donc de trouver un équilibre entre sécurité, perméabilité et rapidité, regarder les coûts sans
lésiner sur la qualité.
Sur le long terme, il nous faut aussi la préparer à l’ajout de prochains composants et/ou
nouvelles solutions pour que le système soit le plus imperméable possible, ainsi que maintenir
le travail de veille pour que la qualité du système d’information ne se dégrade. Equilibrer dans
le but d’avoir les applications adéquates sans alourdir l’infrastructure informative. Mettre tout
à niveau et garantir ce niveau constant.
51
J’ai effectué 2 ans de développement pour ensuite me réorienter en réseaux. J’ai beaucoup
appris pendant ces 3 ans, sur le monde de l’informatique et sr le monde du travail. J’ai beaucoup
aimé la 3ème année car elle m’a permis de réellement plonger dans le monde du travail et ses
exigences. Cela m’a fourni une expérience supplémentaire. Ce n’était plus seulement de la
théorie mais de la pratique. Du concret.
Ce qui me fascine avec l’informatique est la diversité des domaines que cela recouvre.
Considéré comme un secteur d’avenir, il est toujours en progression et en évolution constante.
Ainsi, il est un nouvel enjeu du monde actuel. Il le modèle sans pour autant s’en soustraire, tout
en faisant parti.
52
Annexes
Figure 1
Connexion sur le commutateur ici (Virt-test).
Figure 2
Instance nouvellement créée dans le fichier Client.conf entrant les paramètres de configuration et de
reconnaissance du switch pour la connexion avec le serveur.
Figure 3b, apportant une précision concernant la figure 3b

Les fautes de frappes compromettant le fonctionnement de la connexion en local. La création du
premier utilisateur avec son mot de passe ainsi que les privilèges. Les essais n’ont pas fonctionné suite
à des fautes compromettant la reconnaissance des services pour l’authentification.
53
figure 3b bis
Le résultat après réparation des erreurs compromettant la connexion.
Figure 4
La commande déclenchant l’envoi d’un « Access-Request » pour la connexion; ainsi que la réception
de « L’access-Accept », signifiant ne réponse favorable.
Figure 5
Les instances sur lesquelles il y a des services de freeradius ainsi que leur(s) port(s).
Figure 6
Les commandes à entrer sur le switch pour passer en modes « enable » puis configuration afin de
donner les directives.
Figure 7a
La commande telnet. Telnet est un ancien protocole, similaire à SSH pour se connecter sur des
machines.
54
Figure 7b
La commande de configuration dans le but d’activer l’authentification du serveur Freeradius sur le
commutateur.
Figure 8
Les différents utilisateurs créés avec des configurations différentes pour tester toutes les possibilités
et en voir le fonctionnement
Figure 9
Les configurations de fin de première phase sur le switch (swtest00).
55
Figure 10
Après avoir rabaissé les privilèges de testuser en simple spectateur, nous avons testé s’il lui était
possible de modifier un quelconque fichier. Quand testuser voulait rentrer en configuration, l’accès lui
était refusé. N’ayant pas les autorisations nécessaires, la commande « conf t » est considérée comme
invalide. Le paramétrage est donc réussi.
Figure 11
Consitution de la boucle « rewrite_calling_station_id » du fichier Canonicalization.

56
Figure 12
Sous instance « preprocess » du fichier « default », où passe « l’Access-Request » afin de déterminer
s’il deviendra un « Access-Accept » ou un « Access-Reject ». ce sont les étape de la demande de
connexion à la réponse.
Figure 13
Instance du fichier « files ».
57
Figure 14
Fichier « authorized_addresses » contenant la liste des adresses MAC(s) connectables au serveur
RADIUS.
Figure 15a
Les adresses MACs de test. Les trois dernières ont chacune un format de syntaxe différent pour test
quel format utilise le serveur FREERADIUS lors de l’identification.
58
Figure 15b
Les MAC ont été mises à la bonne syntaxe comme nous pouvons le voir. Les majuscules et tirets
sont présents. Après le redémarrage du serveur, il n’y avait plus de messages d’erreur de rejet. Les tests
suivants débutent.
Figure 16
Nous pouvons voir à quoi ressemble un rejet de RADIUS. Il va authentifier sur son localhost la MAC
demandant une connexion. A la quatrième ligne, RADIUS envoie le refus.
59
Figure 17
Etapes détaillées de « l’Access-Request » vers une réponse
60
(Figure 18)
En rouge, l’erreur de Freeradius, nous alertant qu’il n’arrive pas à trouver le fichier files et par
conséquence l’instance authorized_macs comprise dedans.
61
Figure 19
Figure 20
Pour activer l’authentification mac, il faut entrer en mode configuration avant d’aller sur les ports en
question et de l’activer de nouveau.
Figure
21
VLAN 11. Il comprend les ports 10 à 20. Ceux avec authentification MAC sont les 10 à 13.
Figure 22
La réception des trames par Freeradius pour vérifier l’activité des machines 45, 86, 122.
62
Figure
23
MAC de Work45 commentée.
Figure 24
Cette figure montre que la configuration de Freeradius fonctionne. A savoir que work45
n’est pas reconnue car les lignes la concernant sont commentées.
63
Figure 25 *il faut lire de bas en haut
Work45 a été changée de vlan puis remise. Work86 a été interchangée de ports, tous 2 avec
une authentification radius. Work122 a été changée de port dans un même vlan mais de
configurations différentes (elle a été déplacée d’un port avec Radius vers un port sans Radius).
Figure 26
Après avoir changé de port la work122, la laissant dans le vlan mais sur un port sans Radius
authentification, nous pouvons voir qu’elle n’est plus reconnue, même si nous la rebranchons
dans un port avec l’authentification Radius.
64
Bibliographie
Fonctionnement de l’entreprise :
IT_Bible_v6.3.pdf
Renseignements sur RADIUS :

https://techexpert.tips/fr/ubuntu-fr/ubuntu-radius-authentication-a-laide-de-freeradius/
https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-
service-radius/116291-configure-freeradius-00.html
https://community.spiceworks.com/topic/1655906-cisco-aaa-radius-authentication-
automatically-putting-users-into-priv-15
https://fr.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service
https://wiki.freeradius.org/guide/mac-auth
https://wiki.freeradius.org/guide/multiOTP-HOWTO
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/556201/whats-new
https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/509275/getting-started
/net/wiki/IT/DOCUMENTATION/EXTERNE/networking/FastIron_07202_ConfigGuide.pdf
https://community.fs.com/fr/blog/switch-mac-address-whats-it-and-how-does-it-work.html
https://www.osnet.eu/fr/content/tutoriels/quest-ce-que-le-8021x
RFC 2865 ET 2866
Renseignements sur port-Security :

port_sec.pdf
https://community.fs.com/fr/blog/switch-mac-address-whats-it-and-how-does-it-work.html
https://computerz.solutions/cisco-port-security/
https://fr.wikipedia.org/wiki/Format_ouvert#:~:text=Un%20format%20ouvert%20(aussi%20a
ppel%C3%A9,acc%C3%A8s%20ni%20de%20mise%20en
65
Articles sur le marché du VFX :

https://www.3dvf.com/actualite-17392--vfx-en-france-en-situation-degradee-cnc-propose-un-
plan-relance.html/
http://www.packshotmag.com/2019/02/08/v2f-salue-la-croissance-de-lemploi-dans-le-
secteur-des-effets-visuels-numeriques/
https://www.rencontres-animation-formation.org/docs/2016/La-fabrication-d-effets-speciaux-
numeriques-en-France-rapport-CNC-juin-2016.pdf

Mémoire

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mémoire

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Mémoire

Etude comparative des solutions FREERADIUS et de

Mémoire présenté par MISSIAMENOU Stéphanie

Année universitaire 2020/2021

TIC (Technologies de l’Information et de la Communication) : Moyens mis en place afin

Protocole standard (aussi appelé standard ouvert, norme ouverte, spécification

RADIUS (Remote Authentication Dial-In User Service) : Protocole client/serveur pour

DMZ: DeMilitarized Zone

Nationalité : Française Chiffre

Le projet de restructuration de l’infrastructure informatique

Diagnostic Marché interne (français) Marché interne (français)

- Marché en croissance permanente (+ 8% - Concurrence forte (près de

Les étapes du projet sont celles-ci :

Début Etape Durée Fin

01/10/2020 Fracture 1 19 19/10/2020

: désigne un évènement extérieur venu perturber le bon déroulement des opérations.

- Développeurs : ayant des composants spécifiques tierce pour le code.

TIC (Technologies de l’Information et de la Communication) :

Rôle des services :

Présentation des flux de données des locaux de Paris

Comme dit précédemment, il y a :

- Daemon installé sur chaque nœud.

Politique et procédures de sécurité

1 Les mots de passe

Protection des fichiers

Interconnectivité des sites

Le stockage des données

Archivages des fins de projet

Plan de récupération en cas de catastrophe

Sécurité des locaux

ANALYSE DES SOLUTIONS RETENUES

Pourquoi installer une solution de gestion d’adresses MAC sur ports ?

bloquant toute communication de trames entre la machine et le switch. Cette configuration

Il existe 3 configurations différentes, chacune paramétrable sur un port différent pour

Fonctionnalité Bloquer la trame Compteur de Fermeture de ports

Restreint OUI OUI NON

Désactivé OUI OUI OUI

Pour configurer un switch, on se connecte à celui-ci. Puis on active le mode configuration,

Option aging type

Contre mac spoofing

Par adresse MAC

Par identifiant et mot de passe

Cette solution à la capacité, grâce à ses différents protocoles, de disposer de plusieurs

Intégration de la solution retenue

Troisièmement, freeradius est plus compatible que port-Security avec l’existant.

INSTALLATION ET TESTS DE FREERADIUS

On va configurer le serveur FREERADIUS pour qu’il communique avec le switch.

Authentification avec utilisateurs

Sent Access-Request Id 79 from 0.0.0.0:58717 to 192.168.30.253:1812 length 75

L’Access-Accept signifiant que notre requête a été accepté (figure 4).

Pour la configuration du switch, nous entrons en mode « enable » puis « configuration »

Toto Cleartext-Password := ‘1’

aaa authentication enable default radius

Authentification par adresses MAC(s)

L’authentification avec des utilisateurs mise en place, il fallait maintenant activer

Quand la modificaiton est acceptée elle passe dans le « authorized_macs ». Le fichier

# if cleaning up the Calling-Station-Id…

# Instance du fichier ‘files’ ou setrouve le chemin d’accès vers le fichier

# chemin vers le fichier où sont listées les adresses pouvant se connecter

# liste des adresses MAC(s) autorisées par le RADIUS pour la connexion

A la fin de la configuration donc, le serveur permettait aux adresses de se connecter.

# chemin vers le fichier où sont listées les adresses pouvant se connecter