SÉCURITÉ DES RÉSEAUX

Chapitre 5 :
Les Méthodes d’Authentification
- TACACS+, Radius, Kerberos -
ENSEIGNANTE : MOUNA SKOURI

CLASSE : RSI31
ANNÉE UNIVERSITAIRE : 2017 - 2018
 Chapitre 5: Les Méthodes
d’Authentification
2

PLAN

1 . L ’ A U T H E N T I F I C A TI O N
2. TACACS+
3. RADIUS
4. KERBEROS

MSM | Chap 5 : Les mécanismes d’authentification

 Partie I : L’Authentification
3

PLAN
1 . D é f i n i t i o ns
2. Objectifs
3. Facteurs d’authentification
4. Types d’authentification
5. Les Mécanismes d’authentification

MSM | Chap 5 : Les mécanismes d’authentification

 1. Définitions
4

Qu’est ce que l’authentification?

 Procédure qui consiste à vérifier l’identité d’une entité

(personne, ordinateur, application, …) afin d’autoriser
l’accès de cette entité à une ressource donnée (système,
réseau, application, …).

MSM | Chap 5 : Les mécanismes d’authentification

 1. Définitions
5

Qu’est ce que l’authentification réseau?

 Procédure qui consiste à authentifier une machine

lorsqu’elle se branche sur le réseau.
 Afin de lui autoriser ou interdire l’utilisation de ce réseau.

MSM | Chap 5 : Les mécanismes d’authentification

 2. Objectifs
6

Pourquoi faire de l’Authentification?

 Pour sécuriser le réseau :

 Interdire les utilisations illicites du réseau par des
utilisateurs non authentifiés,
 Interdire les postes inconnus.

 Pour donner des autorisations spécifiques sur le réseau.

 Pour savoir quelle machine est connectée, et où elle s’est

connectée?
MSM | Chap 5 : Les mécanismes d’authentification
 3. Facteurs d’Authentification
7

Facteurs d’Authentification
Preuve d’identité possible par :
 ce que l’on sait (mot de passe et identifiant personnel),
 ce que l’on possède (certificat numérique, carte à puce,
jeton),
 ce que l’on est (empreinte digitale, iris ou voix).

Authentification possible par un ou plusieurs de ces

éléments.

MSM | Chap 5 : Les mécanismes d’authentification

 4. Types d’authentification
8

 Authentification simple : se base sur la vérification d’un

seul élément.
Exemple : login et mot de passe.
 Authentification forte : combinaison de la vérification de
deux facteurs ou plus. L’authentification est considérée
comme réussie seulement si toutes les vérifications
individuelles des éléments sont validées.
Exemple : jeton de sécurité + scan de l’iris.
 Authentification unique (Single-Sign-On ou SSO) : on
s’authentifie une fois pour toute et ensuite on peut accéder
à plusieurs applications ou services situés sur des serveurs
différents.

MSM | Chap 5 : Les mécanismes d’authentification

 5. Mécanismes d’authentification
9

 TACACS+

 RADIUS

 KERBEROS

MSM | Chap 5 : Les mécanismes d’authentification

 Partie II : TACACS+
10

PLAN
1. Présentation
2. Modèle AAA
3. Acteurs
4. Fonctionnement

MSM | Chap 5 : Les mécanismes d’authentification

 1. Présentation
11

TACACS+ : Terminal Access Controller

Access Control System Plus
 Protocole de sécurité inventé par CISCO (~
fin 90).
 Serveur d'authentification permettant de:
 centraliser les autorisations d'accès (les mots de
passe utilisés sont gérés dans une BD centrale).
 vérifier l'identité des utilisateurs distants mais
aussi grâce d'autoriser et de contrôler leurs
actions au sein du LAN.
MSM | Chap 5 : Les mécanismes d’authentification
 1. Présentation
12

TACACS+ se base sur le modèle AAA :

Authentication

Authorization Accountability

MSM | Chap 5 : Les mécanismes d’authentification

 2. Modèle AAA
13

Modèle AAA
Séparation  modularité au niveau des
technologies utilisées pour
chaque fonction.
Exemple :
On pourrait choisir :
 RADIUS pour l’authentification,
 TACACS+ pour le reste des fonctions.
MSM | Chap 5 : Les mécanismes d’authentification
 2. Modèle AAA
14

Modèle AAA
1. Authentification (authentication)
 Mécanisme permettant la détermination de
l’identité de l’utilisateur.
 Cette opération peut se faire de différentes
façons :
 Ce que je sais.
 Ce que j’ai.

 Ce que je suis.
MSM | Chap 5 : Les mécanismes d’authentification
 2. Modèle AAA
15

Modèle AAA
1. Authentification (authentication)
 Ce que je sais.
 mot de passe, code PIN, …
 Ce que j’ai.

 carte à puce, clé d’authentification, …

 Ce que je suis.
 ce qui constitue physiquement l’utilisateur :
biométrie.
MSM | Chap 5 : Les mécanismes d’authentification
 2. Modèle AAA
16

Modèle AAA
2. Autorisation (authorization)
 Déterminer ce que l’utilisateur a le droit de faire, le
type de service ou de ressource qu’il peut utiliser.
3. Comptabilisation (accountability)
 Savoir les actions faites par l’utilisateur depuis
l’authentification jusqu'à la fin de sa session dans
le système
 Généralement utilisé pour la génération d’audits et de
rapports dans une optique de sécurité.
MSM | Chap 5 : Les mécanismes d’authentification
 2. Modèle AAA
17
Authentification Autorisation
Qui êtes vous?
Combien êtes vous autorisé à dépenser?

Comptabilisation
Combien avez vous réellement dépensé?

MSM | Chap 5 : Les mécanismes d’authentification

 3. Acteurs
18

3 Acteurs
 L'utilisateur
Emetteur de la requête d'authentification
(poste de travail, un portable, un PDA…)
 Le client TACACS+
Point d'accès au réseau
 Le serveur TACACS+
Serveur relié à une base d'authentification (BD,
annuaire LDAP)

MSM | Chap 5 : Les mécanismes d’authentification

 4. Fonctionnement
19

 TACACS+ est un protocole Cisco qui fournit des

services AAA séparés.
 La séparation des services AAA offre plus
de flexibilité dans l’implémentation.

En effet, il est possible d’utiliser

TACACS+ pour l’autorisation et la
comptabilisation tout en utilisant une
autre méthode pour l’authentification.
MSM | Chap 5 : Les mécanismes d’authentification
 4. Fonctionnement
20

Exemple de fonctionnement

Connect Username prompt?

Username? Use “Username”

Client / Client
JR-ADMIN TACACS+
JR-ADMIN Serveur
Utilisateur TACACS+
Password prompt?

Password? Use “Password”

“Str0ngPa55w0rd” “Str0ngPa55w0rd”

Accept/Reject

MSM | Chap 5 : Les mécanismes d’authentification

 Partie III : RADIUS
21

PLAN
1. Présentation
2. Architecture
3. Fonctionnement
4. Messages RADIUS
5. L’authentification avec RADIUS

MSM | Chap 5 : Les mécanismes d’authentification

 1. Présentation
22

 Le protocole RADIUS (Remote Authentication Dial-In User Service),

mis au point initialement par Livingston, est un protocole
d'authentification standard, défini par un certain nombre de RFC.

 Le fonctionnement de RADIUS est basé sur un système client/serveur

chargé de définir les accès d'utilisateurs distants à un réseau.

 Il s'agit du protocole de prédilection des fournisseurs d'accès à internet

car il est relativement standard et propose des fonctionnalités de
comptabilité permettant aux FAI de facturer précisément leurs clients.

MSM | Chap 5 : Les mécanismes d’authentification

 2. Architecture
23

 Le protocole RADIUS repose principalement sur :

 un serveur (le serveur RADIUS), relié à une base d'identification (base de
données, annuaire LDAP, etc.),

 un client RADIUS, appelé NAS (Network Access Server), faisant office

d'intermédiaire entre l'utilisateur final et le serveur.

 L'ensemble des transactions entre le client RADIUS et le serveur

RADIUS est chiffrée et authentifiée grâce à un secret partagé.

 Remarque : le serveur RADIUS peut faire office de proxy, c'est-à-dire

transmettre les requêtes du client à d'autres serveurs RADIUS.

MSM | Chap 5 : Les mécanismes d’authentification

 2. Architecture
24

MSM | Chap 5 : Les mécanismes d’authentification

 3. Fonctionnement
25

1. Un utilisateur envoie une requête au NAS afin d'autoriser une

connexion à distance ;
2. Le NAS achemine la demande au serveur RADIUS ;
3. Le serveur RADIUS consulte la BD d'identification afin de connaître
le type de scénario d'identification demandé pour l'utilisateur.
Soit le scénario actuel convient, soit une autre méthode
d'identification est demandée à l'utilisateur.
4. Le serveur RADIUS retourne ainsi une des quatre réponses
suivantes :
 ACCEPT : l'identification a réussi ;
 REJECT : l'identification a échoué ;
 CHALLENGE : le serveur RADIUS souhaite des informations
supplémentaires de la part de l'utilisateur et propose un « challenge » ;

MSM | Chap 5 : Les mécanismes d’authentification

 4. Messages RADIUS
26

 4 types de paquets permettent d’effectuer une

authentification RADIUS:
 Access-Request :
Paquet envoyé par le NAS qui contient les informations d’authentification
du client.
 Access-Accept :
Paquet envoyé par le serveur afin d’autoriser la connexion par vérification
préalable des informations de l’utilisateur souhaitant se connecter.
 Access-Reject :
Paquet envoyé par le serveur lorsqu’il refuse une connexion si
l’authentification échoue ou si la connexion doit prendre fin.
 Access-Challenge :
Paquet envoyé par le serveur pour demander une réémission du paquet «
Access-Request » ou pour obtenir des informations complémentaires.

MSM | Chap 5 : Les mécanismes d’authentification

 5. L’authentification avec RADIUS
27

 RADIUS combine l’authentification et l’autorisation

en un seul processus.

Dès qu’un utilisateur est authentifié, il est automatiquement

autorisé.

 RADIUS utilise le port UDP 1645 ou 1812 pour

l’authentification et le port UDP 1646 ou 1813 pour la
comptabilisation.

MSM | Chap 5 : Les mécanismes d’authentification

 5. Exemple d’authentification
28

Exemple de fonctionnement

Access-Request
Username? (JR_ADMIN, “Str0ngPa55w0rd”)

JR-ADMIN Access-Accept
Password? Serveur
RADIUS
Str0ngPa55w0rd

MSM | Chap 5 : Les mécanismes d’authentification

 Partie IV : Kerberos
29

PLAN
1. Présentation
2. Modèle AAA
3. Acteurs

MSM | Chap 5 : Les mécanismes d’authentification

 Présentation
30

 Kerberos est un protocole d’authentification AAA issu du projet

« Athena » du MIT (Massachusetts Institute of Technology).

 Son nom « Kerberos » vient de la mythologie grecque et correspond au

nom du chien à trois têtes gardien des portes d’Hadès.

MSM | Chap 5 : Les mécanismes d’authentification

 Principe de fonctionnement
31

 L’objectif est de contrôler les accès à des services sur un serveur. Ce

serveur d’authentification centralisé est en mesure d’authentifier les
clients vers les serveurs mais l’inverse est également possible.
 En effet, Kerberos introduit le principe de Single Sign-On (SSO).

 Kerberos se base sur une tierce partie de confiance pour gérer

l’authentification, le KDC (Key Distribution Center). Tous les
utilisateurs et services du réseau font confiance à cette tierce partie.

 Pour réaliser la sécurité de l’authentification, Kerberos utilise un

mécanisme de chiffrement basé sur des algorithmes à clef symétrique.
Chaque sujet et service du réseau a une clé secrète partagée avec
le KDC.

MSM | Chap 5 : Les mécanismes d’authentification

 Principe de fonctionnement
32

 Kerberos utilise un système de ticket pour réaliser l’authentification et

introduit le principe de SSO (Single Sign On).

 L’utilisateur s’authentifie sur le KDC puis utilise un ticket pour

s’authentifier sur chaque service demandé. L’utilisateur ne transmet
jamais son mot de passe au service.

MSM | Chap 5 : Les mécanismes d’authentification

 Phases d’Authentification
33

L'authentification Kerberos comprend deux phases :

 une authentification initiale qui autorise toutes les

authentifications,

 les authentifications suivantes.

MSM | Chap 5 : Les mécanismes d’authentification

 Authentification Initiale
34

1. Demande de Ticket

2. TGT (Ticket-Granting Ticket)

MSM | Chap 5 : Les mécanismes d’authentification

 Authentification Initiale
35

1. Un client (un utilisateur, ou un service comme NFS) commence une

session Kerberos en demandant un TGT (ticket d'octroi de tickets)
dans le KDC (centre de distribution de clés). Cette demande est
souvent effectuée automatiquement à la connexion.
Un TGT est nécessaire pour obtenir d'autres tickets pour des services
spécifiques.
2. Le KDC crée un TGT qu'il renvoie, sous forme chiffrée, au client. Le
client déchiffre le TGT en utilisant le mot de passe du client.
3. Maintenant en possession d'un TGT en cours de validité, le client peut
demander des tickets pour toutes sortes d'opérations réseau, telles
que rlogin ou telnet,… aussi longtemps que le TGT est valide.
Ce ticket dure généralement quelques heures. À chaque fois que le client
effectue une opération réseau unique, il demande un ticket pour cette
opération au KDC.

MSM | Chap 5 : Les mécanismes d’authentification

 Authentifications Suivantes
36

1. Envoi du TGT pour demander

un service particulier

2. Envoi d’un TGT pour le service

4. Le serveur
autorise l’accès

MSM | Chap 5 : Les mécanismes d’authentification

 Authentifications Suivantes
37

1. Le client demande un ticket au KDC pour un service

particulier, par exemple, pour se connecter à distance à
une autre machine, en envoyant au KDC son TGT comme
preuve d'identité.

2. Le KDC envoie le ticket pour le service spécifique au

client.

3. Le client envoi son ticket au serveur.

4. Le serveur autorise l'accès au client.

MSM | Chap 5 : Les mécanismes d’authentification

 38

MSM | Chap 5 : Les mécanismes d’authentification