MINISTERE DE L’ENSEIGNEMENT BURKINA FASO

SUPERIEUR, DE LA RECHERCHE ************

SCIENTIFIQUE ET DE L’INNOVATION Unité-Progrès-Justice
(M.E.S.R.S.I) ***********
***********************************

Option : Réseaux Informatiques et Télécommunications

THEME :

KABORE Gisele M. ZONGO Roland

LAYIBE Maturin Ingénieur en Sécurité
Informatique
SANOGO Mohamed Farouk

TRAORE BANOUTA Djibril

Année Académique 2021-2022

 TABLE DES MATIERES
TABLE DES MATIERES .................................................................................................................. 33
INTRODUCTION GENERALE ........................................................................................................ 35
I. CONCEPT ET DEFINITION .................................................................................................... 35
I.1 SECURITE INFORMATIQUE.................................................................................................... 35
I.2 TACACS+ ....................................................................................................................................... 36
I.3 RADIUS .......................................................................................................................................... 36
I.4 KERBEROS ................................................................................................................................... 36
I.5 L’AUTHENTIFICATION : .......................................................................................................... 36
I.5.1Définition : .................................................................................................................................... 36
I.5.2Mot de mot passe : ....................................................................................................................... 37
I.6 LE PROTOCOLE AAA :.............................................................................................................. 37
ETUDE DETAILLEE DES PROTOCOLES ET LEURS IMPLEMENTATIONS...................... 38
II.1. TACACS+ .................................................................................................................................... 38
II.1.1. FONCTIONS DE TACACS+ .................................................................................................. 38
II.1.1.1. Mécanisme d’authentification TACACS+ .......................................................................... 38
II.1.1.2. Mécanisme d’autorisation TACACS+ ................................................................................. 39
II.1.1.3 Mécanisme de comptabilisation TACACS+......................................................................... 39
II.1.1.4 Mécanisme de connexion TACACS+ .................................................................................... 40
II.1.2 ACTEURS TACACS+ .............................................................................................................. 41
II.1.3 ARCHITECTURE TACACS+ ................................................................................................. 41
II.1.4PRINCIPE DE FONCTIONNEMENT TACACS+ ................................................................ 43
II.1.5 IMPLEMENTATION TACACS+ ........................................................................................... 44
II.2. RADIUS........................................................................................................................................ 50
II.2.1. FONCTIONS DE RADIUS ..................................................................................................... 50
II.2.2 ACTEURS .................................................................................................................................. 51
II.2.3 RADIUS : SECURITE .............................................................................................................. 52
II.2.4 RADIUS : FAIBLESSES .......................................................................................................... 53
II.2.5 PRINCIPE DE FONCTIONNEMENT RADIUS ................................................................... 53
II.2.6 IMPLEMENTATION RADIUS .............................................................................................. 55
II.3. KERBEROS................................................................................................................................. 58
II.3.1. FONCTIONS DE KERBEROS .............................................................................................. 58
❖ MECANISME D’AUTHENTIFICATION ............................................................................... 59
II.3.2 ACTEURS .................................................................................................................................. 59
II.3.3 PRINCIPE DE FONCTIONNEMENT KERBEROS ............................................................ 59
II .3.4 KERBEROS : POINTS FORTS ............................................................................................. 62
II.3.5 KERBEROS : POINTS FAIBLES .......................................................................................... 62
II.3.6 IMPLEMENTATION ............................................................................................................... 63
III ETUDE COMPAREE DE CES PROTOCOLES ....................................................................... 65
III.1 COMPARAISON TACACS+ ET RADIUS ............................................................................. 65
III.2 COMPARAISON RADIUS ET KERBEROS .......................................................................... 67
III.3 COMPARAISON TACACS+, RADIUS ET KERBEROS ..................................................... 68
CONCLUSION GENERALE............................................................................................................. 73
BIBLIOGRAPHIE .............................................................................................................................. 74
 INTRODUCTION GENERALE

La transmission d’informations sensibles et le souci d’assurer la confidentialité de celles-

ci est devenue un point primordial dans la mise en place des réseaux informatiques. De ce fait,
la sécurité informatique est devenue aujourd’hui vitale que ce soit dans la gestion des réseaux
d’entreprise, ou pour les particuliers toujours plus nombreux à se connecter sur internet.

La sécurité d’un système informatique repose en premier lieu sur la mise en place d’une
politique de sécurité. Celle-ci est basée sur l’utilisation de différents outils. Parmi lesquels, les
firewalls, VPN (Virtual Private Network), antivirus, etc.

Les trois protocoles de sécurité importants utilisés pour contrôler l'accès aux réseaux sont
TACACS+, RADIUS et KERBEROS. Ce sont des protocoles client / serveur.

Le serveur réside sur un système distant et répond aux requêtes des clients. Il peut
authentifier une combinaison nom d'utilisateur / mot de passe et déterminé si un utilisateur est
autorisé à se connecter au client.
Bien que RADIUS et KERBEROS ne cryptent que le mot de passe dans le paquet, il ne
protège pas contre les autres interceptions de données telles que le nom d'utilisateur et
l'information comptable. TACACS+ est plus avantageux car il crypte toutes les données dans
le paquet.
Ce modèle d’authentification est géré via un serveur ACS (Access Control Server). Il est
généralement implanté avec les services Microsoft AD-DS (Active Directory Domain Services)
afin d’avoir une base de données utilisateur commune à l’entreprise.

Notre travail consiste à implémenter une méthode de sécurisation qui permet

l’authentification des clients qui veulent se connecter sur un réseau.

I. CONCEPT ET DEFINITION

I.1 SECURITE INFORMATIQUE

La sécurité informatique est l’ensemble des moyens techniques organisationnelles juridiques et

humains nécessaires à la mise en place des moyens visant à empêcher l’utilisation non autorisée
des mauvais usages, la modification et le détournement du système d’information.

1
 I.2 TACACS+

TACACS+ (Terminal Access Controller Access Control System Plus) Protocole de sécurité
inventé dans la fin des années 90 par CISCO Systems.
TACACS+ permet de vérifier l’identité des utilisateurs distants mais aussi, grâce au modèle
AAA, d’autoriser et de contrôler leurs actions au sein du réseau local.
Il a fini par remplacer les protocoles TACACS et XTACACS, TACACS+ n’est pas basé sur
ces derniers.
TACACS+ est un serveur d’authentification permettant de centraliser les autorisations d’accès
(Les mots de passe utilisés sont gérés dans une base de données centrale).
TACACS+ se base sur le Framework AAA qui signifie :
• Authentication(authentification)
• Authorization(autorisation)
• Accounting (Comptabilisation)

I.3 RADIUS
Radius (remote authentification Dial-in user service) est un protocole client-serveur permettant
de centraliser des données d’authentification. Le Protocol radius développé en 1991 par la
société Livingston, mis au point initialement par, est un protocole d'authentification standard,
défini par un certain nombre de RFC.

I.4 KERBEROS
Kerberos est apparu au milieu des années 1980 au cours du projet Athéna du MIT,
Standardisé par l’IETF. Est un protocole d’authentification réseau qui repose sur un mécanisme
des clés secrètes (chiffrement symétrique) et l’utilisation des tickets et non de mot de passe en
clair, évitant ainsi le risque d’interception frauduleuses des mots de passe des utilisateurs.

I.5 L’AUTHENTIFICATION :

I.5.1Définition :
C’est la vérification d’informations relatives à une personne ou à un processus
informatique. L’authentification permet de prouver une identité déclarée. Dans un serveur, un
processus de contrôle valide l’identité et après authentification, donne l’accès aux données,
applications, bases de données, fichiers ou sites Internet.

I.5.2Mot de mot passe :

Le moyen le plus simple et le plus classique de s’assurer que seules les personnes
autorisées peuvent accéder à une certaine partie du réseau est de protéger certaines zones du
réseau par un mot de passe.

De nombreux utilisateurs choisissent des chiffres ou des mots faciles à retenir pour
leurs mots de passe, comme des dates d’anniversaires, des numéros de téléphone ou des noms
d’animaux de compagnie, d’autres ne changent jamais leurs mots de passe et ne se soucient
par de leur confidentialité.

I.6 LE PROTOCOLE AAA :

AAA (Authentication, Authorization, Accounting) signifie : authentification,
autorisation et de gestion des comptes.

La signification de ces termes est la suivante :

• Authentification : consiste à vérifier qu’une personne/équipement est bien celle

qu’elle prétend être Ceci est généralement réalisé en utilisant un secret partagé entre
l’utilisateur et le serveur mère AAAH ou laide de certificat (X.509).
• Autorisation : l’autorisation consiste à permettre l’accès à certains services ou
ressources. Un utilisateur peut par exemple demander à avoir une certaine bande
passante. Le serveur AAA lui autorisera ou nom cette demande.
 • Accounting : Le serveur AAA a la possibilité de collecter des informations sur
l’utilisation des ressources. Ceci permet à un opérateur de facturer un utilisateur
suivant sa consommation.
En pratique, une architecture client-serveur AAA permet de rendre l’ensemble de ces
services. Les serveurs AAA dans les domaines mère et visité permettent de gérer les
utilisateurs. Les clients AAA sont hébergés sur des routeurs ou sur des serveurs d’accès au
réseau.

Les protocoles implémentant du AAA sont essentiellement utilisés par des opérateurs
offrant des services de télécommunications à des utilisateurs.
Ces protocoles leur permettent de contrôler l’accès à leurs réseaux et de connaître
l’utilisation de leurs ressources. Ils peuvent ainsi facturer selon le temps de connexion ou selon
la quantité d’informations téléchargées.

ETUDE DETAILLEE DES PROTOCOLES ET LEURS

IMPLEMENTATIONS

II.1. TACACS+

II.1.1. FONCTIONS DE TACACS+

II.1.1.1. Mécanisme d’authentification TACACS+

Cette séparation permet une modularité au niveau des technologies utilisées pour chaque
Fonction. On peut par exemple grâce à ce principe choisir RADIUS pour l’authentification et
TACACS+ pour le reste des fonctions.

❖ Authentification (authentication)
Mécanisme permettant la détermination de l’identité de l’utilisateur. Cette opération
peut se faire de différentes façons :
✓ En utilisant ce que l’utilisateur sait (mot de passe, code PIN etc.)
✓ En utilisant ce que l’utilisateur possède (Carte à puce, clé d’authentification) ;
✓ En utilisant ce qui constitue physiquement un utilisateur (Biométrie)

38
 II.1.1.2. Mécanisme d’autorisation TACACS+
❖ Autorisation (authorization)
✓ Permet de déterminer ce que l’utilisateur a le droit de faire, le type de service ou de
Ressource qu’il peut utiliser.
✓ Permet de savoir les actions faites par l’utilisateur depuis l’authentification jusqu'à la
fin de sa session dans le système
✓ Il est généralement utilisé pour la génération d’audits et de rapports dans une optique de
sécurité.

II.1.1.3 Mécanisme de comptabilisation TACACS+

❖ Comptabilisation
✓ Lors d’une action de l’utilisateur, le client TACACS+ envoie un paquet « REQUEST »
comprenant toujours des arguments « attributs-valeurs » qui permettent, entre autres, de
savoir le début, la fin et le type d’action exécuté par l’utilisateur.
✓ Le serveur TACACS+ enregistre alors les informations dans sa base et renvoie un
paquet « RESPONSE » avec le résultat de l’enregistrement (échec ou succès).

39
 II.1.1.4 Mécanisme de connexion TACACS+

Séquence de login
1. Authentification (start)

NETWORK Authentification
2. Replay (finished)
Access Authorization

Server 3 . Authentification (request) Accounting

Server
4 . Réponse (passe)
(TACACS+ client) (TACACS+ Server)
5 . Accounting (start)

6 . Replay ( Success )

Séquence de logout

8 . Reply (success)

7. Accounting (stop)

Figure1 : Schéma expliquant le mécanisme de connexion de TACACS+

1. Le serveur d’accès distant reçoit un paquet « Authentification (start) » contenant le

couple nom d’utilisateur/mot de passe, puis le renvoie vers le serveur TACACS+ (Phase
d’Authentification).
2. Lorsque les informations sont validées et que le serveur n’en nécessite pas d’avantage,
il répond avec un « Reply (finnished) ».
3. Au contraire, si le serveur désire avoir d’avantage d’informations sur l’utilisateur
distant, Le NAS envoi un « Authorization (request) ».

40
 4. Le serveur répond avec un « Response (Pass) » incluant les informations
d’authentification demandées (temps autorisé à répondre, etc.).
5. Le NAS envoi un « Accounting (start) » pour indiquer que l’utilisateur est bien identifié
sur le réseau. (Phase Accounting phase).
6. Le serveur TACACS+ envoi un « Reply (Success) » pour indiquer que le message «
accounting » est bien enregistré.
7. Lors de la déconnexion de l’utilisateur distant, le NAS envoi un « Accounting (Stop) »
incluant des informations telles que le temps de la connexion, la date et l’heure, le nombre
d’octets transférés, raisons de la déconnexion...
8. Le serveur TACACS+ envoi un « Reply (Success) » pour indiquer que le message «
accounting » est une nouvelle fois bien enregistré.

II.1.2 ACTEURS TACACS+

❖ TACACS+ : Les acteurs (3 Acteurs)
✓ L'utilisateur : émetteur de la requête d’authentification (poste de travail, un portable
un PDA…)
✓ Le client TACACS+ : le point d'accès au réseau
✓ Le serveur TACACS+ : relié à une base d'authentification (Base de données, annuaire
LDAP)

II.1.3 ARCHITECTURE TACACS+

❖ TACACS+ : Architecture
D’un utilisateur distant souhaitant se connecter à son réseau d’entreprise par une connexion
Point à point.

Figure2 : architecture TACACS+

41
 ➢ L’utilisateur distant se connecte grâce à son modem au Serveur d’accès de son entreprise
➢ Le serveur d’accès va, par la suite interroger, le serveur TACACS+ afin de déterminer :
✓ La validité de l’utilisateur (authentification) ;
✓ Les services auquel il a droit (autorisation) et de contrôler ses actions à
l’intérieur du réseau.
C’est donc le serveur d’accès qui va agir en tant que Client TACACS+ et communiquer les
Informations au serveur TACACS+
L’exemple ci-dessous illustre le cas d’un utilisateur WIFI souhaitant se connecter à son
réseau local d’entreprise.

Figure3 : architecture du réseau TACACS+ cas d’un utilisateur wifi qui souhaite se
connecter

L’utilisateur se connecte ici en VPN par Internet au serveur d’accès de son entreprise qui jouera
le rôle de client TACACS+.
➢ Cas de l’administration d’un matériel CISCO
➢ Lorsque l’utilisateur se connecte et saisit ses informations d’authentification sur le
matériel CISCO, ce dernier interroge le serveur TACACS+ afin de l’identifier.

42
II.1.4PRINCIPE DE FONCTIONNEMENT TACACS+

❖ TACACS+ : Fonctionnement
➢ Description d'un paquet TACACS+
➢ La taille d’un entête d’un paquet TACACS+ est de 12 Octet
➢ Format d’un paquet TACACS+ :
➢ Major version : donne le Numéro de la version Majeure de TACACS+
➢ Minor version : donne le Numéro de la version Mineure de TACAS+
➢ TACACS+ utilise pour communiquer le port TCP (port 49)

Figure4 : schéma expliquant le fonctionnement de TACACS+

➢ Type : définit s’il s’agit d’un paquet d’authentification, d’autorisation, ou de

comptabilisation
➢ Type : définit s’il s’agit d’un paquet d’authentification, d’autorisation, ou de
comptabilisation (Conformément au AAA)
➢ Seq no : numéro de séquence s’incrémentant de 1 pour chaque paquet envoyé lors d’une
session.
➢ Flags : différents drapeaux permettant entre autres de crypter le paquet entier grâce à
l’algorithme MD5.
➢ Length : taille du paquet.

43
 II.1.5 IMPLEMENTATION TACACS+

CONFIGURATION DE TACACS+
Nous avons réalisé la configuration de TACACS+ sur CISCO PACKET TRACER.

Figure 5 : l’architecture réseau

Nous avons disposé trois (03) PC utilisateurs connectés à un switch. Ce dernier est relié
au serveur TACACS+. Tous les équipements de ce réseau sont dans le réseau 192.168.0.0/24.
Tous les PCs sont dans un même vlan : le vlan 1.

44
Figure6 : configuration TACACS+

Adresse IP du PC0 : 192.168.0.5/24

Figure7 : configuration TACACS+

45
Adresse IP du PC1 : 192.168.0.6/24

Figure8 : configuration TACACS+

Adresse IP du Laptop0 : 192.168.0.7/24

46
Figure9 : configuration TACACS+

Adresse IP du serveur TACACS+ : 192.168.0.1/24

Figure10 : Configuration du client au niveau du serveur TACACS+

47
CLIENT :

Nom du client : SWITCH

Adresse IP du Client : 192.168.0.2

Type de serveur : Serveur TACACS

Clé : M02passeduSWITCH

UTILISATEUR :

Nom de l’utilisateur : GROUPE10_RIT3

Mot de passe : M02passeduGROUPE10

CONFIGURATION DU SWITCH

Figure11 : configuration du switch (TACACS+)

Mot de passe du switch

48
Figure12 : test commande
Création d’utilisateur

Figure13 : test commande

Fin config

49
 II.2. RADIUS

II.2.1. FONCTIONS DE RADIUS

Le protocole RADIUS fonctionne sur le modèle client/serveur et utilise le protocole UDP sur
le port 1812. La RFC le définissant est la RFC 2865.
➢ UDP est utilisé quand il est nécessaire soit de transmettre des données très rapidement,
et où la perte d'une partie de ces données n'a pas grande importance, soit de transmettre
des petites quantités de données,
➢ TCP serait inutilement coûteuse en ressources. Par exemple, dans le cas de la
transmission de la voix sur IP, la perte occasionnelle d'un paquet est tolérable dans la
mesure où il existe des mécanismes de substitution des données manquantes, par contre
la rapidité de transmission est un critère primordial pour la qualité d'écoute.
 RADIUS est un mécanisme de transport des données d'authentification
• Un moyen pour les FAI de centraliser leurs bases de données utilisateurs
• Protocole de type AAA (Authentication Authorization Accounting)
• Dernière version du protocole RADIUS normalisée par l'IETF dans la RFC 2865
 RADIUS est aujourd’hui le protocole d’authentification le plus utilisé et le plus
implémenté par les équipementiers réseaux. En effet bon nombre d’entre eux possèdent
leur propre bibliothèque de paramètres RADIUS.

Mécanisme d’authentification RADIUS

Figure 14 : architecture expliquant le mécanisme d’authentification RADIUS

En fonction de la zone d’accès demandée et des droits de l’utilisateur, le serveur RADIUS peut
exiger des informations supplémentaires pour l’authentification.

50
 ▪ Réponse : Access- CHALLENGE : éviter de transmettre le mot de passe.
Le client envoie alors une autre requête répondant au Challenge pour s'authentifier
1) EAP START : le client, associé physiquement au point d’accès, envoie un message EAP
START : c’est sa démarche d’accès directe en tapant une adresse sur un navigateur web.
2) EAP REQUEST Identity : comme réponse, le point d’accès demande au client de
S’identifier, il envoi au client une requête d’authentification.
3) Le client répond alors à cette demande d’identité qui lui est attribuée par le point d’accès,
par son identifiant, en tapant son nom d’utilisateur et son mot de passe (login).
4) Puis, le point d’accès transmet la requête EAP (repose) dans une demande s’accès RADIUS :
le même message du client vers le point d’accès est transféré du point d’accès vers le serveur
RADIUS.
5) Ainsi, le serveur initie le processus d’authentification et envoie son certificat qui confirme
l’appartenance du client au groupe identifié.
6) La station vérifie le certificat du serveur RADIUS et lui envoie on certificat. Le client génère
une valeur aléatoire, puis l’émet au serveur RADIUS en la chiffrant avec la clé.
7) Le point d’accès envoie la clé de broadcast avec la clé Wep du RADIUS.
8) Maintenant, il y aura des échanges de données publiques du serveur RADIUS.
9) Le serveur RADIUS construit à partir de la valeur aléatoire une clé Wep qui est envoyée.
10) Le serveur RADIUS envoie un message RADIUS « ACCEPT » ou « refuse » ou «
CHALLENGE » au point d’accès.
11) Le point d’accès envoie un message EAP SUCCESS.
12) Echange de données.

II.2.2 ACTEURS
❖ RADIUS : Mode opératoire type 3 Acteurs
✓ L'utilisateur : émetteur de la requête d'authentification (poste de travail, un portable, un
PDA…)
✓ Le client RADIUS : le point d'accès au réseau (NAS, firewall, point d'accès Wireless,
etc.…)
✓ Le serveur RADIUS : relié à une base d'authentification
(Base de données, annuaire LDAP)

51
Figure15 : Architecture RADIUS

✓ L’utilisateur émet une requête d'authentification auprès du client RADIUS ;

✓ Protocole comme PPP ou Telnet ;
✓ Le client transmet la requête au serveur Radius ;
✓ Le client radius demande à l'utilisateur ses informations d'authentification (Username,
password)
✓ Dans le cas de PPP : il utilise les informations déjà présentes dans le paquet Requête
de type Access-Request : (de manière sécurisée)
✓ Le serveur Radius retourne l’une des réponses suivantes
✓ Access-Accept : Acceptation la requête du client
✓ Access-Reject : pour spécifier au client que sa requête est rejetée.

II.2.3 RADIUS : SECURITE

❖ Secret partagé
✓ Élément principal de la sécurité RADIUS entre le client et le serveur :
Secret partagé différent peut être défini pour chaque client.
✓ Possibilité d'avoir un secret unique pour tous les clients (plus pratique mais
moins sécurisé)
✓ Ce secret peut être de n'importe quelle longueur, mais il est mieux d'avoir un
secret d'au moins 16 caractères et d'une bonne complexité.
✓ Le secret est utilisé pour vérifier l'authenticité du serveur :
MD5(Code+ID+Length+RequestAuth+Attributes+Secret).

52
 ✓ Le secret est aussi utilisé par le client pour encrypter le mot de passe envoyé
pour l'authentification
Afin de renforcer la sécurité, RADIUS implémente le concept de secret partagé. Un secret
partagé est une chaîne de caractères connue uniquement par le client RADIUS et le serveur
RADIUS. Cette valeur permet d’authentifier les paquets RADIUS grâce au mécanisme générant
le champ Response Authenticator ainsi que de crypter et décrypter les mots de passe transmis
via l’attribut User-Password.

II.2.4 RADIUS : FAIBLESSES

Sécurité relative reposant sur le secret partagé. Certaines implémentations
clientes limitent en plus sa taille.
Possibilité de trouver le secret en utilisant une attaque brute force ou par
dictionnaire en interceptant à la fois le Access-Request envoyé par le client et la réponse
du serveur.
Chiffrement de l’attribut User password par une fonction de hachage MD5,
plutôt réservé pour des opérations de signature.
✓ Rejeu des réponses du serveur est possible
Si le client envoie des requêtes utilisant le même Request Authenticator que dans une requête
précédemment interceptée avec sa réponse C'est susceptible de se produire si l'implémentation
du client n'utilise pas une valeur aléatoire comme recommandée dans la norme.

II.2.5 PRINCIPE DE FONCTIONNEMENT RADIUS

❖ Fonctionnement de RADIUS

Le fonctionnement de RADIUS est basé sur un scénario proche de celui-ci :

Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;

Le NAS achemine la demande au serveur RADIUS ;

Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de

scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une
autre méthode d'identification est demandée à l’utilisateur. Le serveur RADIUS retourne ainsi
une des quatre réponses suivantes : ACCEPT : l'identification a réussi ;

REJECT : l’identification a échoué ;

53
CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de
l'utilisateur et propose un « défi » (en anglais « challenge ») ; Il existe une réponse appelée
CHANGE PASSWORD où le serveur RADIUS demande à l'utilisateur un nouveau mot de
passe. Change-password est un attribut VSA (Vendor- Specific Attributes), c’est-à-dire qu'il est
spécifique à un fournisseur, et dans ce cas, c’est un attribut de Microsoft et pour être plus précis,
celui deMS-Chapv2.Il n'appartient pas aux attributs radius standard définis dans la RFC 2865.

Suite cette phase dit d’authentification, débute une phase d'autorisation où le serveur retourne
les autorisations de l'utilisateur

Le schéma suivant récapitule les éléments entrant en jeu dans un système utilisant un serveur
RADIUS :

Figure16 : schéma expliquant le fonctionnement de RADIUS

54
II.2.6 IMPLEMENTATION RADIUS

CONFIGURATION DE RADIUS

Figure 17 : l’architecture réseau

55
Figure 18 : configuration mot de passe d’un User

Configuration du serveur RADIUS

Figure 19 : configuration du serveur

56
Figure 20 : configuration du serveur

Configuration du routeur Wireless

Figure 21 : configuration Wireless routeur

57
 II.3. KERBEROS

II.3.1. FONCTIONS DE KERBEROS

Kerberos est apparu au milieu des années 1980 au cours du projet Athéna du MIT, Standardisé
par l’IETF.

❖ Buts
✓ Fournir un accès réseau à plusieurs milliers de stations de travail
✓ Décharger les serveurs d'applications présents sur le réseau de la gestion de
l'authentification
✓ Sécuriser un échange sur un réseau non sécurisé
Afin de garantir la confidentialité et l'intégrité des données, toutes les communications qui
transitent par le serveur Kerberos sont chiffrées avec le système DES.

Figure22 : architecture Kerberos

Afin de réaliser correctement l'authentification des différents principaux (Un principal est une
entité présente sur le réseau définit par un identifiant unique),

58
 ❖ PROTOCOLE
Kerberos se décompose en trois sous protocoles :
✓ Service d'authentification : permet d'authentifier les clients
✓ Le service de délivrèrent de TGS : permet de fournir l'authentification auprès des
serveurs d'application
✓ Service d'authentification Client / Serveur qui permet d'établir une communication
sécurisée entre le client et le serveur d'applications

❖ MECANISME D’AUTHENTIFICATION
➢ Une clé de session Kc, tgs chiffrée avec Kc, qui fera office de mot de passe temporaire
pour chiffrer les communications suivantes.
➢ Un ticket d'accès T1 au service de délivrement de ticket, chiffré avec Ktgs, Il contient
notamment :
• L’heure de l’opération ;
• Sa durée de validité,
• L’adresse de la machine cliente ainsi que la clé de session Kc,tgs.

II.3.2 ACTEURS
Le protocole Kerberos fait appel à 3 acteurs différents :
✓ Le client : Utilisateur ou programme ayant besoin d'un service (ftp, mail, web, etc)
fourni par un serveur distant.
✓ Le serveur d'application : Il fournit le service demandé par le client après que Celui-
ci se soit authentifié.
Le serveur de distribution des clés KDC (Key Distribution Center) : Il permet
l'authentification de tous les clients sur le réseau dont il a la responsabilité

II.3.3 PRINCIPE DE FONCTIONNEMENT KERBEROS

Kerberos utilise un système de ticket pour réaliser l’authentification et introduit le
principe de SSO (single sign on). L’utilisateur s’authentifie sur le KDC puis utilise un ticket
pour s’authentifier sur chaque service demande.

❖ Kerberos : système à tickets

➢ L’authentification Kerberos repose sur le principe que chaque client d'un réseau donné
doit s'identifier sur un serveur global

59
➢ Le client doit présenter au serveur un ticket d'authentification que lui a préalablement
fourni ce dernier
➢ Tout client muni de ce ticket est considéré comme authentifié
➢ Sécurisation du réseau puisque aucune donnée d'authentification non chiffrée ne circule
sur celui-ci
➢ Un ticket est une structure de données constituée d’une partie chiffrée et d’une partie
claire.
➢ Les tickets servent à authentifier les requêtes des principaux
➢ Deux types de Tickets :
➢ Ticket Granting Ticket (TGT)
➢ Service Ticket (ST)

❖ Kerberos : Fonctionnement du service de ticket

➢ L’utilisateur tente d'accéder à un service fourni par un serveur distant nécessitant
une authentification, un serveur web ou ftp par exemple, Le client envoie une requête
d'authentification au KDC (serveur Kerberos) ;
➢ Si le client réussi à s'authentifier auprès du serveur KDC, Le serveur lui renvoie
un ticket lui permettant d'accéder au service demandé ;
➢ Le client se présente au serveur d'application avec le ticket d'authentification ;
➢ Le serveur d’application fournit au client le service demandé ;
➢ Le serveur d'application ne peut en aucun cas contredire une décision prise par
le serveur d'authentification
➢ Ce système nécessite donc une confiance absolue envers le serveur Kerberos.

❖ Kerberos : Le KDC
Le KDC est basé sur deux entités :
➢ Le serveur d’authentification (AS : Authentication Server) : prend en charge la partie
authentification du client. Permet au client de communiquer au TGS (grâce à un ticket
d’accès).
➢ Le serveur de distribution de tickets (TGS : Ticket Granting Server) prend en charge
les demandes d’accès aux services des clients déjà Authentifiés
➢ L’ensemble des infrastructures du serveur Kerberos AS et TGS est appelé le centre de
distribution de clés (KDC : Key Distribution Center). Ils sont généralement regroupés
sur le même serveur.

❖ Authentification initiale
60
Figure23 : Authentification Kerberos

La requête initiale contient (en clair) l’identité du requérant et le serveur pour lequel on
demande un TGT.
Le serveur émet un TGT pour le client
La partie chiffrée l’est avec la clef Ksec du client => seul le bon client peut déchiffrer cette
partie Demande d’un ST

Figure24 : Authentification Kerberos

On utilise le TGT obtenu précédemment pour requérir un ST

Le serveur émet un ST pour le client et pour le service considéré

Figure25 : Authentification Kerberos

On utilise le ST obtenu précédemment pour accéder au service

Le serveur de ressources valide alors (ou non) la requête

61
Figure26 : schéma résumant Authentification Kerberos

II .3.4 KERBEROS : POINTS FORTS

➢ Le transit des mots de passe sur le réseau est chiffré ;

➢ Il permet aux utilisateurs de s’authentifier une fois pour toutes lors du login ;
➢ Séparation des rôles : l’AS et le TGT. C’est la base de Kerberos. Mais dans la réalité,
ces deux rôles sont regroupés en une même entité (KDC) ;

II.3.5 KERBEROS : POINTS FAIBLES

➢ Le chiffrement symétrique nécessite un partage des clés entre l’AS et le client.

➢ Les horloges doivent être parfaitement synchronisées : en effet, l’antire jeu s’appuie sur
le « timestamps ».
➢ L’authentification mutuelle n’est pas disponible lors du premier échange entre l’AS et
le client. Le client ne peut pas certifier que l’AS et bien celui qu’il prétend être.

62
 II.3.6 IMPLEMENTATION
INSTALLATION DES UTILITAIRES ET OUTILS KERBEROS

Figure 27 : Installation de Windows Server

Installation des outils et utilitaires nécessaires

Installation de Active Directory

63
 Figure 28 : Installation de Windows Server

Nous allons promouvoir ce serveur en contrôleur de domaine

Figure 28 : Fin de la promotion du serveur en contrôleur de domaine

64
 III ETUDE COMPAREE DE CES PROTOCOLES

III.1 COMPARAISON TACACS+ ET RADIUS

RADIUS et TACACS+ sont les principaux protocoles généralement utilisés pour fournir
une authentification, L'autorisation et de gestion des comptes (AAA) sur des périphériques
réseau. RADIUS a été conçu pour authentifier des utilisateurs distants à un réseau et
TACACS+ est utilisé plus souvent pour un accès administrateur à des périphériques réseau tels
que les routeurs et commutateurs.

TACACS+ RADIUS

Sépare authentification Et Combine authentification et

d’autorisation. d’autorisation.
Fonctionnalité

Standard Partiellement Cisco Ouvrir norme / RFC

Transport Protocol TCP UDP

Chiffrement Tout le paquet chiffré Mot de passe crypté

Tableau : Comparaison entre RADIUS et TACACS+.

❖ Authentification et autorisation :
RADIUS combine l'authentification et l'autorisation. Les paquets d'acceptation d'accès
envoyés par le serveur RADIUS au client contiennent des informations d'autorisation. Ainsi,
il est difficile de dissocier l'authentification et l'autorisation.
65
 TACACS+ utilise l'architecture AAA, qui sépare AAA. Ainsi, des solutions
d'authentification distinctes existent et peuvent toujours utiliser TACACS+ pour l'autorisation
et la gestion des comptes. Lors d'une session, si un contrôle d'autorisation supplémentaire est
nécessaire, le serveur d'accès effectue le contrôle à l'aide d'un serveur TACACS+ pour
déterminer si un utilisateur donné est autorisé ou non à utiliser une commande en particulier.

Cela permet un plus grand contrôle des commandes pouvant être exécutées sur le serveur
d'accès tout en étant découplées du mécanisme d'authentification.

❖ Protocole UDP et TCP :

RADIUS travaille en UDP tandis que TACACS+ utilise TCP, ce qui lui permet
d'encrypter toutes les informations.

Le TCP offre plusieurs avantages par rapport à l'UDP. Le TCP fournit un transport
orienté connexion et l'UDP fournit les meilleures performances. RADIUS exige des variables
programmables supplémentaires, comme les tentatives de retransmission et les délais d'attente
de compensation pour de meilleures performances. Cependant, il ne possède pas tous les
avantages de prise en charge intégrée que peut apporter un transport TCP.

L'utilisation de TCP fournit un accusé de réception pour chaque demande reçue, dans le
temps d'un aller-retour réseau, indépendamment du mode de chargement et de la lenteur du
mécanisme d'authentification en arrière-plan (accusé de réception TCP).

Le TCP indique immédiatement les éventuelles pannes ou extinctions de serveur suite à

un redémarrage. Vous pouvez déterminer quand un serveur tombe en panne et marche de
nouveau si vous utilisez les connexions TCP longue durée. L'UDP ne peut pas faire la
différence entre un serveur qui est en panne, un serveur lent, et un serveur inexistant.

Grâce aux keep alives de TCP, les pannes de serveur peuvent être détectées hors bande
avec des demandes réelles. Des connexions à plusieurs serveurs peuvent être maintenues
simultanément, et vous pouvez uniquement envoyer des messages à ceux qui sont
opérationnels.

Le TCP est plus évolutif et s'adapte aux réseaux aussi bien saturés qu'en croissance.

66
 ❖ Chiffrement des paquets :
RADIUS chiffre uniquement le mot de passe dans le paquet de demande d'accès, du
client au serveur. Le reste du paquet n'est pas chiffré. Les autres informations, telles que le
nom d'utilisateur, les services autorisés et la traçabilité, peuvent être saisies par un tiers.

TACACS+ chiffre le corps entier du paquet mais laisse un en-tête de norme TACACS+.
Dans l'en-tête se trouve un champ qui indique si le corps est chiffré ou non. A des fins de
débogage, il est utile que le corps des paquets ne soit pas chiffré. Cependant, pendant les
opérations normales, le corps du paquet est entièrement chiffré pour assurer des
communications plus sécurisées.

III.2 COMPARAISON RADIUS ET KERBEROS

➢ Kerberos :
Kerberos est un protocole qui aide à l'authentification du réseau. Ceci est utilisé pour valider
les clients/serveurs dans un réseau à l'aide d'une clé cryptographique. Il est conçu pour mettre
en œuvre une authentification forte lors de la communication avec les applications.
L'implémentation du protocole Kerberos est ouvertement disponible par le MIT et est utilisée
dans de nombreux produits fabriqués en série.

• Fonctionnalités de Kerberos :
Il inhibe diverses attaques d'intrusion.

Il implémente l'authentification sur Internet pour les applications Web.

Fournit une confiance unique à la racine et réduit les scénarios de maillage complet.

Accorde l'interopérabilité avec d'autres domaines de passage.

➢ RADIUS
RADIUS signifie Remote Authentication Dial-In User Service. Il s'agit d'un protocole réseau
qui fournit une authentification, une comptabilité et une autorisation centralisées pour les
utilisateurs qui utilisent des services réseau. Le fonctionnement du protocole commence
lorsque l'utilisateur demande l'accès aux ressources du réseau, où le serveur RADIUS crypte
les informations d'identification saisies par l'utilisateur. Après cela, les informations

67
d'identification sont mappées via la base de données locale, après cela, si toutes les vérifications
sont vraies, l'accès est accordé à l'utilisateur.

• Caractéristiques de RADIUS :
Son serveur peut agir en tant que client proxy pour d'autres serveurs Radius.

Communication entre client et serveur authentifiée par une clé partagée

Il prend en charge les protocoles PPP, PAP et CHAP à des fins d'authentification.

Il fonctionne avec UDP et est un protocole sans état.

❖ Différence entre Kerberos et RADIUS

✓ Kerberos, Il est court utilisé pour le service utilisateur d'authentification distante.
✓ Il est utilisé pour gérer les informations d'identification des utilisateurs en toute sécurité.
Il est utilisé pour l'authentification, la comptabilité et l'autorisation centralisées pour
l'utilisateur information.
✓ Kerberos est un logiciel open source qui fournit de nombreux services gratuits. Il n'est
pas open-source mais il possède une implémentation telle que Free RADIUS qui est
open-source.
✓ Il fournit une authentification à deux facteurs. Il ne fournit pas authentification
bidirectionnelle mais peut définir deux niveaux de privilèges.
✓ Kerberos regroupe une haute sécurité et une authentification mutuelle.
✓ RADIUS fournit une authentification par le client RADIUS également appelé NAS.
✓ Il fournit une authentification dans des applications multiniveaux. Il fournit une
authentification dans plusieurs niveaux applications.

III.3 COMPARAISON TACACS+, RADIUS ET

KERBEROS
KERBEROS
Kerberos n'est rien d'autre qu'un protocole d'authentification de réseau informatique défini
dans la RFC 1510 et a été développé par le MIT. Le protocole indique comment les clients

68
communiquent avec un service d'authentification réseau. Il est utilisé comme protocole
d'authentification par défaut dans les systèmes d'exploitation Windows.

➢ Travail
Semblable à NTLM, Kerberos utilise le nom de domaine, le nom d'utilisateur et le mot de
passe pour représenter l'identité du client. Le centre de distribution de clés Kerberos émet un
ticket pour le client, et un ticket est présenté au serveur une fois la connexion établie. Les deux
ordinateurs client et serveur doivent tous deux se trouver dans les mêmes domaines, et ces
domaines doivent posséder une relation d'approbation.

➢ Les caractéristiques
Utilise le nom principal complet pour l'algorithme de salage de clé.
Pour le codage, il utilise le système de codage ASN.
Il fournit des fonctionnalités de prise en charge des tickets telles que le transfert, le
renouvellement et la post datation des tickets.
Il contient plusieurs adresses IP et d'autres adresses pour les types de protocoles réseau.
Il fournit également une prise en charge raisonnable de l'authentification inter domaine
transitive.

➢ Vulnérabilité
Kerberos, lorsqu'il est implémenté avec un chiffrement standard de chiffrement de données,
est faible en chiffrement et peut être atténué en utilisant de nouveaux chiffrements comme AES
au lieu de DES. Microsoft, en novembre 2014, a corrigé une vulnérabilité exploitable dans
l'implémentation Windows du KDC. La vulnérabilité permettait aux utilisateurs d'"élever"
leurs privilèges, jusqu'au niveau du domaine.

➢ Limites
Point de défaillance unique : il nécessite la disponibilité continue d'un serveur central et
lorsque le serveur Kerberos est en panne, les nouveaux utilisateurs ne peuvent pas se connecter.
Le protocole d'administration n'est pas standardisé et diffère selon les implémentations de
serveur.

La définition de ses propres clés Kerberos est requise lorsque chaque service réseau nécessite
un nom d'hôte différent.

69
Il nécessite que les comptes d'utilisateurs, les clients utilisateurs et le service sur le serveur
aient tous une relation de confiance.
Il nécessite des exigences de temps strictes, ce qui signifie que les horloges des hôtes concernés
doivent être synchronisées dans les limites configurées.

TACACS+
TACACS+ est un protocole d'authentification utilisé pour la communication à distance avec
n'importe quel serveur hébergé dans un réseau UNIX. TACACS+ fournit une technique de
détermination de l'accès au contrôle du réseau utilisateur via une communication de serveur
d'authentification à distance. Le protocole utilise le port 49 par défaut. Il complète
l'architecture indépendante d'authentification, d'autorisation et de comptabilité (AAA).

➢ Suite IP
Il utilise TCP, qui offre plusieurs avantages par rapport à UDP. TCP offre un transport orienté
connexion, tandis qu'UDP offre une livraison au mieux. Il est plus évolutif et s'adapte à la
croissance et à la congestion des réseaux. Chiffrement des paquets

Il crypte le corps entier du paquet mais laisse un en-tête standard. Dans l'en-tête se trouve un
champ qui indique si le corps est chiffré. Pour le débogage, le corps des paquets doit être non
chiffré. Pendant le fonctionnement normal, le paquet est crypté pour des communications plus
sécurisées.

• Prise en charge multi protocole

• Protocole d'accès à distance AppleTalk (ARA)
• Protocole de contrôle du protocole de trame NetBIOS
• Interface de services asynchrones Novell (NASI) Connexion PAD X.25

➢ Gestion du routeur
Il fournit deux méthodes pour contrôler l'autorisation des commandes de routeur sur une base
pré-utilisateur ou par groupe.

➢ Trafic
La quantité de trafic généré entre le client et le serveur diffère. Ces exemples illustrent le trafic
entre le client et le serveur pour TACACS+ une fois utilisé avec la gestion de routeur avec
AAA.

70
 RADIUS
➢ Serveur RADIUS
RADIUS n'est rien d'autre que Remote Authentication Dial-In User Service, c'est un protocole
client-serveur et un logiciel qui permet l'authentification à distance. Le protocole a été
développé par Livingston Entreprises, Inc. et est un protocole d'authentification et de
comptabilité du serveur d'accès.

➢ Suite IP
RADIUS est basé sur le User Datagram Protocol et est un protocole client/serveur. La figure
ci-dessous montre comment l'utilisateur d’appel entrant et le serveur RADIUS communiquent

Figure29 : schéma illustrant un utilisateur appelant un serveur RADIUS

71
Pour exécuter RADIUS, tout ce dont vous avez besoin est un ordinateur (idéalement un
serveur) avec les ressources système appropriées requises pour le logiciel serveur RADIUS que
vous avez choisi d'utiliser.

➢ Matériel/Logiciel
Nous avons juste besoin du matériel nécessaire au fonctionnement normal du logiciel. Le
logiciel dépend des fonctionnalités dont vous avez besoin car il existe une variété de packages
de serveur RADIUS disponibles pour l'installation. Certains dépendent du système
d'exploitation et ne fonctionneront que sur un système d'exploitation spécifique et d'autres
fonctionneront sur n'importe quel système d'exploitation dont vous pourriez avoir besoin.

➢ Application
Le serveur peut agir en tant que client proxy pour d'autres serveurs RADIUS ou
d'autres types de serveurs d'authentification. Normalement, il est utilisé par les FAI
pour gérer l'authentification, l'autorisation et la comptabilité des services Internet tels
que l'ADSL, l'accès commuté et diverses formes de haut débit. 2

72
 CONCLUSION GENERALE
La sécurisation d'un réseau est une étape délicate qui permet sa protection contre les
risques les plus courants. Sur Internet, les pirates emploient de plus en plus de stratégies pour
dissimuler leurs caractères intrusifs. Il faut alors prendre au sérieux les risques provenant du
réseau et analyser régulièrement ses flux, afin d'y déceler les utilisateurs non autorisés.

Nous avons présenté les étapes d’implémentation du serveur d’authentification

TACACS+. Ce dernier présente l’avantage d’utiliser le protocole AAA qui permettent aux
opérateurs d’authentifier des utilisateurs, de leur autoriser certains services et de collecter des
informations sur l’utilisation des ressources.

Dans le prolongement du protocole RADIUS et KERBEROS, TACACS + met en œuvre

la plupart des fonctionnalités de RADIUS et KERBEROS. Les avantages de TACACS + sont
dans la façon dont elle change la mise en œuvre de RADIUS et KERBEROS, ainsi que la façon
dont il étend les protocoles pour répondre aux besoins des réseaux modernes.
Le protocole KERBEROS assure une authentification unifiée sur ces réseaux non sur et
jouit d’une bonne réputation de par les travaux de durcissement réalisés depuis des décennies.
TACACS + utilise le protocole TCP au lieu de UDP. TCP garantit la communication entre
le client et le serveur. Contrairement à UDP, qui est sans connexion, TCP établit une connexion
avec le serveur et ne sont pas aussi sensibles à des situations telles que la congestion du réseau
et les pannes de serveur.
TACACS + permet différentes méthodes d’authentification, d'autorisation et de gestion
des comptes. Couples authentification et l'autorisation RADIUS, ce qui rend difficile
l'utilisation de différents serveurs à ces fins.
TACACS + permet à un administrateur réseau de définir ce que les commandes d'un
utilisateur peuvent exécuter. Ce niveau de grain fin de commande permet plus l'accès à un plus
grand nombre d'utilisateurs sur un réseau contrôlé.
Néanmoins, l’utilisation de TACACS+ permet uniquement de remédier au problème
d’authentification et ne permet pas de prévenir contre d’autres attaques telles que le Dos. Par
conséquent, dans le cas d’un réseau d’entreprise nous devons utiliser des outils supplémentaires
pour la sécurité. En effet, dans ce cas nous devons utiliser des pares-feux, des antivirus, …etc.

67 73
 BIBLIOGRAPHIE

• Support de Cours sécurité réseau (ZONGO ROLAND Ingénieur en

Sécurité Informatique) : consulté 25/06/2022 à 14h
• Méthode d’authentification avec serveur RADIUS SERGE BORDERES
(centre d’étude nucléaire de Bordeaux-Gradignan 27 mars 2007) :
consulté 26/06/2022 à 14h
• Thèse-RACURU : consulté 29/06/2022 à 12h
• Tutorial-Kerberos-1 : consulté 28/06/2022 à 18h
• Comparaison TACACS ET RADIUS : consulté 27/06/2022 à 15h
• DELFOUFNARDJES-DJEBARIN : consulté 01/07/2022 à 7h
• THESE-bardr : consulté 30/06/2022 à 14h
• Josy.07. Mobilité. Bordères-radius : consulté 30/06/2022 à 20h

WEBOGRAPHIE
• https://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-

access-control-system-tacacs-/13847-72.html: consulté 27/06/2022 à 15h

• https://fr.scribd.com/document/495264165/Mise-en-place-de-la-solution-d-

authentification-RADIUS-sous-reseau-Wi-Fi-Youssef-ZAHIR: consulté 27/06/2022 à 9h

• https://www.academia.edu/31121188/Comparaison_entre_TACACS_et_RADIUS: consulté
30/06/2022 à 18h
• https://prezi.com/0qoqzrfgx-al/protocoles-utilisant-des-mecanismes-dauthentification-taca/:

consulté 25/06/2022 à 16h

• https://blog.devensys.com/kerberos-principe-de-fonctionnement/: consulté
26/06/2022 à 14h

74