Académique Documents
Professionnel Documents
Culture Documents
Analyse D'un Réseau de PME Pour La Gestion de L'authentification Par Radius
Analyse D'un Réseau de PME Pour La Gestion de L'authentification Par Radius
Sous la supervision :
Académique de Professionnelle de
Ingénieur de conception en informatique, Ingénieur, M. LAMBO Armand
M. OLE SO’ONO Georges Léa
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
DEDICACES
DEDICACE
A MA FAMILLE
i
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
REMERCIEMENTS
REMERCIEMENTS
Ensuite je tiens à remercier tous ceux qui ont rendu ce rapport possible et bénéfique
pour moi et ma carrière, ainsi je remercie :
Directeur General de PANESS, qui met tous les moyens en œuvres pour nous of-
frir le meilleur espace estudiantin et professionnel ainsi qu’à madame la Direc-
trice de IHTM et de tout le personnel académique, qui nous ont soutenu de fa-
çon dévouée à notre instruction.
Monsieur LAMBO Armand, CEO de NexGen Technology Startup qui nous a offert
le stage et mon encadreur professionnel, qui a activement participé à ma forma-
tion.
Monsieur OLE SO’ONO Georges Léa, mon encadreur académique pour sa dispo-
nibilité et son encadrement ;
ii
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
RÉSUME
RÉSUME
Le réseau Wi-Fi constitue de plus en plus la technologie qui s’est imposée par excellence
ces dix dernières années, permettant aux utilisateurs un accès à l’internet ou au réseau
local d’entreprise ou personnel sans les contraintes des câbles. Les débits atteints
actuellement avec le réseau wifi rendent possible le transfert de flux multimédia soumis
cependant à une forte contrainte sécuritaire due au lien sans fil lui-même. Les solutions
utilisées dans les réseaux filaires ne sont pas adéquates et efficaces pour les WLAN. D’où
l’intérêt certain apporté à trouver et mettre en place des solutions spécifiques au WLAN
même si parfois elles sont inspirées de solutions existantes déjà. Le but de notre projet de
fin d’études consiste justement à étudier et analyser ces dites solutions pour en choisir et
déployer la plus efficace sur le réseau de l’entreprise.
Dans cette optique, on a donc étudié le réseau Wi-Fi standardisé en détail, avec son
fonctionnement ainsi que ses protocoles et ses mécanismes de sécurité.
Nous avons ensuite opté pour l’utilisation d’un serveur RADIUS utilisant le protocole 801.1x
pour l’authentification des utilisateurs avec des certificats, le protocole AES pour le
chiffrement, et enfin le protocole TKIP pour la gestion et l’octroi de clés temporaires de
chiffrement, qui devraient être le bon choix comme expliqué dans notre rapport.
iii
ABSTRAT
ABSTRACT
The Wi-Fi network is more and more the technology that has imposed itself over
the past ten year, allowing users access to the internet or the local corporate or personal
network without the constraints of cables. The speeds achieved, however, have a strong
security constraint due the wireless link itself. The solutions used in the wired networks
are not adequate and effective for the WLAN. The interest in finding and implementing
solution specific to the WLAN even if sometimes they are inspired by already existing
solutions. Of our end-of-studies project consists precisely in studying and analyzing
these so-called solutions in order to choose and deploy the most effective one on a test
network. With this mind, we there for studied the standardized Wi-Fi network in detail,
with its operation as well as its protocols and its security mechanisms. We then opted for
the use of a RADIUS server using 802.1.1x protocol for user authentication with
certificates, the AES protocol for encryption. And finally, the TKIP protocol for the
management and granting of temporary encryption keys, which should be the right
choice as explained in our report.
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
DEDICACES...........................................................................................................................................i
REMERCIEMENTS..............................................................................................................................ii
RÉSUME...............................................................................................................................................iii
ABSTRACT............................................................................................................................................4
TABLE DES MATIERES......................................................................................................................5
LISTE DES FIGURES..........................................................................................................................7
LISTE DES TABLEAUX.......................................................................................................................9
LISTE DES ABRÉVIATIONS............................................................................................................10
INTRODUCTION GENERALE..........................................................................................................11
CHAPITRE I: PRÉSENTATION DE NEXGEN TECHNOLOGY STARTUP................................12
I. INTRODUCTION.........................................................................................................................13
II. PRESENTATION GENERALE DE L’ENTREPRISE............................................................13
1. FICHE D’IDENTIFICATION DE ENTERPRISE.....................................................................13
2. MISSION.......................................................................................................................................14
3. OBJECTIFS.................................................................................................................................14
4. SITUATION GEOGRAPHIQUE................................................................................................15
III. CADRE DU STAGE................................................................................................................18
1. Accueil en entreprise...............................................................................................................18
2. Attribution en stage..................................................................................................................18
a) Travaux théoriques...................................................................................................................19
b) Travaux pratiques..................................................................................................................19
CHAPITRE II : GENERALITE SUR L’AUTHENTIFICATION.................................................21
INTRODUCTION................................................................................................................................22
I. L’AUTHENTIFICATION : QU’EST-CE C’EST ?...................................................................23
1. LES DIFFERENTS TYPES........................................................................................................23
II. LES PROTOCOLES UTILISES DANS L’AUTHENTIFICATION........................................23
III. PRINCIPE DE FONCTIONNEMENT....................................................................................25
CHAPITRE III : ETUDE ET ANALYSE DU SYSTEME INFORMATIQUE EXISTANT.......29
I. INTRODUCTION.........................................................................................................................30
II. ETUDE DE L’EXISTANT...........................................................................................................30
III. CRITIQUE DE L’EXISTANT..................................................................................................32
IV. CHOIX DU SUJET...................................................................................................................35
5
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
V. CONCLUSION.........................................................................................................................35
CHAPITRE IV : IMPLÉMENTATION D’UNE SECURITE BASEE SUR LE 802.1X ET D’UN
SERVEUR D’AUTHENTIFICATION.............................................................................................0
A. Installation Server Radius.....................................................................................................4
B. Configuration Groupe Active Directory.............................................................................6
C. Configuration RADIUS...........................................................................................................9
1. Ajout d’un client..........................................................................................................................9
D. Ajout d’une stratégie réseau..............................................................................................10
E. Configuration switch Cisco................................................................................................19
2. TEST..............................................................................................................................................20
3. LIMITES ET PROJECTIONS....................................................................................................21
BIBLIOGRAPHIE & WEBOGRAPHIE..........................................................................................24
6
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
7
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
8
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
9
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
INTRODUCTION GENERALE
INTRODUCTION GENERALE
11
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
12
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
I. INTRODUCTION
13
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
NOMBRE D’EMPLOYES : 17
EMAIL : info@nexgentechnologystartup.org
2. MISSION
- D’offrir et de faciliter l’accès aux services de conception digitale aux entreprises, PME,
startup, tels que la conception de sites web, la conception d’application, le marketing
digital et le design graphique.
3. OBJECTIFS
14
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
4. SITUATION GEOGRAPHIQUE
15
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
5. ORGANIGRAMME
CEO
Conseil d’administration
Directeur Technique
Figure 2: organigramme
16
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
CEO (Chief Executive Officer) : Le CEO est le plus haut dirigeant de l'entreprise. Il est
responsable de la vision stratégique de l'entreprise, de la prise de décisions importantes et
de la supervision générale de toutes les activités de l'entreprise.
Dans cette seconde partie, nous parlerons de nos moments passés au sein de
Nexgen Technology Startup et des différentes tâches effectuées durant nos deux mois de
stage.
1. Accueil en entreprise
A mon arrive en Enterprise lundi 31 juillet 2023, j’attendis le Directeur Technique qui
devait me donner ma note de début de stage, j’ai été émerveillé de constater le chaleureux
accueil qui a été manifesté par le Directeur Technique en me montrant les différentes unités
de service …après présentations, on a eu échange de contacts et d’adresse mail afin de se
joindre en cas de problème quelconques. Il fallait donc déjà être ponctuel car le travail
débutait à 9h30 pour s’achever à 17h00 en passant par une pause de 2h entre 12h et 14h.
De plus, l’accent a été mis sur le respect et le travail. Ceci dit j’ai été affecté à la DSI
(Direction de la sécurité Informatique).
2. Attribution en stage
En rapport avec les tâches effectuées, nous pouvons les classer en deux : les travaux
théoriques et les travaux pratiques. Les connaissances théoriques sont importantes car on
ne peut pratiquer que ce qu’on ne connait pas encore moins ce qu’on ne comprend pas.
18
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
a) Travaux théoriques
En ce qui concerne la théorie, elle était basée sur la fiche d’activité qu’on a reçu le
premier jour, laquelle fiche comportais quelques thèmes de notre discipline à savoir :
La sécurisation des réseaux sans fil
. Ainsi comme dit précédemment, nous effectuons des recherches grâce à la connexion
internet mise à notre disposition. Nous avions pu comprendre la quintessence des différents
sujets. Cela dit nous étions heureux car le vendredi on faisait le point sur la semaine, sur ce
on pouvait parler des différents problèmes rencontrer ainsi que les incompréhensions liées à
nos recherches.
b) Travaux pratiques
Quant aux travaux pratiques, nous aidions nos dirigeants dans la configuration des routeurs
Mikrotik de l’entreprise, dans le dépannage et la configuration des téléphones IP de
l’entreprise, le dépannage des unités centrales :
Et le back up des disques durs, le sertissage des câbles pour la connexion des
équipements
19
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
On a eu le privilège d’être de ceux qui installaient les pilotes des imprimantes sur les
différentes machines des employés. Durant cette période nous fumes très sollicités par les
cadres de la structure et différents collaborateurs.
Ainsi, notre stage s’est bien déroulé. Dans un premier temps nous avons affûté nos
méthodes de recherches grâce à la fiche de suivi des stagiaires qui nous a été remise.
Après passé à effectuer nos recherches, il était temps de nous concentrer sur notre thème
de stage qui a été validé par nos encadreurs
20
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
21
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
INTRODUCTION
Le point crucial lors d'une installation réseau, qu’elle soit filaire ou sans fil, est la
mise en place d'éléments de protection. La sécurité a toujours été le point faible des
réseaux Wi-Fi, à cause principalement de sa nature physique : les ondes radio étant un
support de transmission partagé quiconque se trouvant dans la zone de couverture peut
écouter le support et s'introduire dans le réseau. On peut même, grâce à des antennes
amplifiées, se trouver hors de portée de la couverture radio pour pénétrer ce réseau. Ces
problèmes de sécurité se posent aussi pour des réseaux câblés mais l'écoute passive
nécessite une intrusion physique. Car toute personne possédant quelques notions
d'informatique et un peu de matériel peut facilement trouver les informations et les
programmes pour écouter et percer des réseaux Wi-Fi. En plus de ces faiblesses
intrinsèques aux ondes radio, un réseau Wi-Fi doit se protéger des attaques classiques. Ces
failles de sécurité ont porté un préjudice certain à son développement en entreprise, car
elles deviennent les points d'accès au réseau interne sur lequel il est connecté. Il existe des
moyens de sécurité implantés de base sur le matériel Wi-Fi (carte et point d'accès)
permettant un premier niveau de protection, mais ces moyens de sécurisation sont
facilement contournables. Dans ce chapitre, on va présenter d’une part une analyse des
différentes attaques susceptibles d'atteindre un réseau Wi-Fi, d’autre part une série de
notions utilisé qui répondent aux trois principes élémentaires de sécurité qui sont : Codage,
Authentification et Intégrité, permettant à leurs administrateurs et usagers de mieux
contrôler et si possible réduire les risques.
Le protocole 802.1x est une solution de sécurisation d’un réseau mis au point par
l’organisme de standardisation IEEE en 2001. Il a pour but de contrôler l’accès à un réseau
filaire ou sans fil grâce à un serveur d’authentification. Le standard permet de mettre en
relation le serveur d’authentification et le système à authentifier par des séquences par des
échanges EAP. Le protocole 802.1x va donc unifier les différents méthodes
d’authentification sous la même bannière : le protocole EAP.
22
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
L’authentification est une phase qui permet à l’utilisateur d’apporter une preuve de son
identité. Elle intervient après la phase dite d’identification. Etes-vous réellement cette
personne ? L’utilisateur utilise un authentifiant ou code secret que lui seul connais.
C’est une méthode dite rejouable puisqu’elle est axée sur un élément statique .de
nombreux systèmes sont basés sur cette technique et utilise un login/mot de
passe. Cette option présente pourtant plusieurs contraintes vue que le mot de
passe choisi par l’utilisateur est très simple à retenir.
L’authentification forte
23
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
- Kerbéros qui est un protocole de sécurité de monde Unix, et, a pour objectif
authentifier les utilisateurs et leur allouer droits d’accès à des applications sur le réseau
sous forme de ticket ou jetons d’accès périssable dans le temps.
- 802.1x qui est une solution de sécurisation d’un réseau mis au point par
l’organisme de standardisation EEE en 2001. Il a pour but de contrôler l’accès à
un réseau grâce a un serveur d’authentification. Le standard permet de mettre
en relation le serveur d’authentification et le système à authentifier par des
séquences par des échanges EAP. Le protocole 802.1x va donc unifier les
différentes méthodes d’authentification sous la même bannière : le protocole
EAP.
24
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
Le protocole Radius repose principalement sur un serveur (serveur Radius), relié à une
base d’identification (fichier local, base de données, annuaire LDAP, etc.) et un client
Radius, appelé NAS (Network Access Server), faisant office d’intermédiaire entre
l’utilisateur final et le serveur. Le mot de passe servant à authentifier les transactions entre
le client Radius et le serveur Radius est chiffré et authentifier grâce à un secret partagé. Il
est à noter que le serveur Radius peut faire office de proxy, c’est-à-dire transmettre les
requêtes du client a d’autres serveurs Radius.
a. Principe de fonctionnement
1. Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance
2. Le NAS achemine la demande au serveur Radius ;
3. Le serveur Radius consulte la base de données d'identification afin de connaître le type
de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit
une autre méthode d'identification est demandée à l'utilisateur.
25
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
b. Paquets Radius
Un paquet Radius est inclus dans un et un seul paquet UDP. Le schéma suivant
représente un paquet Radius standard, les unités étant exprimées en octets :
26
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
client.
-Attributs : ce champ est utilisé pour véhiculer toutes les informations
nécessaires, il a pour format :
La communication entre ces éléments fait intervenir différents protocoles suivant un principe
de fonctionnement spécifique.
e. Mécanisme Général
Le suppliant souhaite accéder aux ressources du réseau, mais pour cela il va devoir
s’authentifier. Le système authentificateur gère cet accès via le PAE (Port Access Entity) ce
PAE est divisé en deux ports, un port contrôlé (connexion ouverte ou fermée) donnant
27
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
Le port contrôlé peut être ouvert ou fermé suivant le contrôle qui a été défini au
moyen d'une variable (Auth Controlled Port Control). Cette variable peut prendre trois états :
-ForceUnauthorized : l'accès au port contrôlé est interdit (connexion toujours ouverte).
-ForceAuthorized : l'accès au port contrôlé est autorisé (connexion toujours fermée).
-Auto (par défaut) : l'accès dépend du résultat de l'authentification
Conclusion
28
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
29
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
I. INTRODUCTION
1) Architecture du réseau
30
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
31
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
2) Ressources matérielles
NexGen possède un réseau est Ethernet 802.11 dans lequel on trouve les matériels ci-
après :
3
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
1. Points negatifs
3
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
2. Points positifs
Présence de matériel haut de gamme
- Avantages :
3
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
- Avantages :
d. Kerberos :
3
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
1. Problématique
Les éléments cités plus haut (dans la critique) nous ont permis d’avoir une
vision d’ensemble du fonctionnement du réseau de l’entreprise NexGen. N’est-il pas
possible de mettre en place une application qui permettra d’authentifier les
utilisateurs ? Nous nous attellerons durant notre travail à trouver des solutions à ce
problème.
2. Présentation de la solution
3. Méthodologie
Dans le but de pouvoir régler le problème d’authentification des utilisateurs, nous avions suivi une
étude comparative ayant pour objet de choisir l’outil d’authentification adéquat pour nos besoins.
L’outil choisi, nous sommes passés à son étude et son implémentation sur l’environnement de
production.
3
THEME : MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION RADIUS
V. CONCLUSION
En analysant les informations recueillies lors de l'étude de l'existant, nous avons pu acquérir une
connaissance approfondie de la structure SOFTNET dans de nombreux aspects. La phase de
diagnostic de l'existant nous a permis de mettre en évidence à la fois les points forts et les
faiblesses de la structure, afin de pouvoir identifier d'éventuelles solutions pour assurer une gestion
efficace des équipements du système informatique.
3
CHAPITRE IV : IMPLÉMENTATION D’UNE SECURITE
BASEE SUR LE 802.1X ET D’UN SERVEUR
D’AUTHENTIFICATION
I. INTRODUCTION
Pour la réalisation de ce projet, il a fallu mettre en place un réseau test, ceci a nécessité la
mise en place d’un serveur d’authentification radius, et d’un mécanisme de génération de
certificats. Nous avons opté pour l’installation de ces outils dans un environnement
WINDOWS SERVER 2016, d’une part parce qu’ils sont moins vulnérables aux attaques.
2. Evaluation financière
LINK
Ordinateur (client) 50000 FCFA 01 50000 FCFA
Rallonge 15000FCFA 01 15000FCFA
Onduleur 40000 FCFA 01 40000 FCFA
Source : www.phynxbusiness.com
Sur la première fenêtre, laissez cocher « Installation basée sur un rôle ou une
fonctionnalité ».
Vous devez créer un groupe ainsi qu’un utilisateur qui fera partie de celui-ci. Nous
allons autoriser par la suite tous les utilisateurs présents dans ce groupe à se connecter
sur les switchs Cisco. Pour créer le groupe, allez sur votre console d’administration AD
DS, dans le menu à gauche faites un clic droit sur Users, sélectionnez « Nouveau » puis
« Groupe » :
Le groupe étant à présent créé, nous allons devoir créer les utilisateurs qui feront
partie de ce groupe. Faites à nouveau un clic droit sur « Users », sélectionnez
« Nouveau » puis « Utilisateur » :
C. Configuration RADIUS
Sur la fenêtre suivante, nous allons spécifier les conditions d’accès. Nous allons
indiquer que seuls les utilisateurs faisant partie du groupe créé auparavant pourront
s’authentifier. Cliquez sur « Ajouter… »; Sélectionnez « Groupes Windows »:
Cliquez sur « Ajouter des groupes… » Indiquez le groupe créé au début de l’article :
Votre groupe étant ajouté, cliquez sur « Suivant » ; Laissez cocher « Accès accordé »
et cliquez sur « Suivant » :
Pour les contraintes, elles vous serviront par exemple à forcer la déconnexion des
utilisateurs au bout d’un certain délai. Je n’en positionne pas, cliquez sur « Suivant » :
Dans cette fenêtre, nous allons avoir plusieurs paramètres à positionner. Dans la
partie « Standard », supprimez les deux éléments déjà présents puis cliquez sur
« Ajouter… » :
Sélectionnez Cisco-AV-Pair »:
aaa new-model
2. TEST
Connectez-vous sur votre switch à l’aide du compte configuré sur le serveur Active
Directory
Vous êtes connecté sur le switch par l’intermédiaire du serveur RADIUS. Vous
pouvez également utiliser la commande « show privilege » afin de vérifier le niveau de
privilège du compte utilisé.
Conclusion
On remarque que le réseau est maintenant sécurisé et que les usagers qui ne sont
pas enregistrés dans le serveur comme étant des usagers autorisés, ne pourront pas
accéder au réseau, ni même percevoir son existence. Dans le cas où la personne est en
possession du SSID du réseau, elle ne pourra quand même pas y accéder sans les
certificats qui sont installés aussi bien, dans les postes clients que dans le serveur.
L’échange des informations d’authentification, se fait de manière cryptée et par un
protocole amélioré, qui pour le moment n’a pas été cassé.