Vous êtes sur la page 1sur 61

Introduction

Un systme dinformation est un ensemble organis dlments qui permet de regrouper, de classifier, de traiter et de diffuser de linformation sur un phnomne donn. Sa structure est constitue de lensemble des ressources organises pour : collecter, stocker, traiter et communiquer les informations. Face un environnement sans cesse plus complexe, imprvisible et bouscul, lentreprise ou lorganisation travaille produire un vaste stock de normes et de valeurs, de procdures et dinformations. Ce systme dinformation permet lentreprise de grer tous les entres et sorties au niveau de son rseau par le billet de la gestion de la scurit. En effet, la scurit est un des lments les plus sensibles. Le terme scurit est large et il englobe une multitude de concepts. La scurit physique des donnes de l'entreprise contribue au maintien de l'existence de l'entreprise. La majorit des rseaux d'entreprise sont aujourd'hui connects Internet. Ds lors, la scurisation des systmes dinformation des entreprises est presque ncessaire puis quils sont vulnrables et qu'ils sont au cur de leurs activits vitales. Etant donn que, les rgles de scurit sont devenues beaucoup plus draconiennes, ses entreprises prfrent se tourner vers des mthodes d'authentification fiables savoir les protocoles de scurit en utilisant les serveurs en abandonnant peu peu l'utilisation de compte utilisateur. Cest ainsi que Microsoft a mis en place au niveau de Windows server 2008 de nombreux protocoles qui permettent de grer la scurit des rseaux par des mcanismes compatibilit. Parmi les nombreux protocoles de dauthentifications, dautorisations et

scurit utilisant les serveurs, le serveur RADIUS parait tre le plus approprie pour lauthentification au niveau du rseau sans fil. En effet, RADIUS (Remote Authentication Dial In User Service) est un protocole rseau qui fournit des services centraliss d'authentification, d'autorisation et de compatibilit pour la gestion des ordinateurs et quipements rseaux pour se connecter un service rseau . La ralisation de notre projet de mise en place de la scurit au niveau de Windows serveur 2008 va sarticuler sur quatre thmes savoir : La prsentation du sujet ; La scurit de manire gnrale sous Windows serveur 2008 ; Le concept dAAA ; Le choix du serveur RADIUS ;
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

Implmentation su serveur RADIUS sous Windows Server 2008.

I.

Contexte du projet

Le projet porte sur la mise en uvre de la scurit sous Windows serveur 2008.Par scurit informatique, on entend l'ensemble des moyens techniques, organisationnels, juridiques et humains ncessaires et mis en place pour conserver, rtablir, et garantir la scurit des systmes informatiques. Elle est intrinsquement lie la scurit de linformation et des systmes d'information.

II.

Problmatique du projet

Pour la protection des informations au sein de lentreprise, il est ncessaire de mettre en place des stratgies qui permettra de lutter contre tout genre dattaques mais aussi de bien scuriser son rseau sans fil puis que nimporte qui peut se connecter distance dans un rseau sans fil. Si on sait parfaitement o commence et o finit un rseau filaire, et quil faut se connecter sur une prise physique pour avoir une chance de lcouter, la difficult avec les rseaux sans fil rside dans le fait que leur enveloppe est floue. Il ny a pas de limites imposables et contrlables. Une borne Wi-Fi met dans toutes les directions et aussi loin que porte son signal. Cette situation fut trs problmatique pour les premires installations Wi-Fi cause de labsence de mthode dauthentification fiable des postes de travail et de mcanismes de chiffrement fort des communications. Des lors, notre vritable problme est de pouvoir identifier une personne qui veut se connecter distance dans notre rseau sans fil. Pour cela nous avons utilis le serveur RADIUS qui nous permet didentifier les personnes qui veulent se connecter distance.

III.

Analyse des besoins

Le projet doit fournir pour lentreprise qui met en place des stratgies pour scuriser son rseau sans fil les fonctionnalits suivantes : Ladministrateur doit avoir la possibilit de dfinir les autorisations de demande de connexion par les clients ; Ladministrateur doit galement mettre en place des stratgies dauthentification de demande de connexion par les clients ;

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Ladministrateur dfinira en fin une gestion des comptes centraliss des connexions daccs sans fil et daccs par connexion distance.

I.

Solution propose

La solution la plus approprie pour les scurisations des informations, des systmes dinformation et du rseau, est de mettre en place une stratgie qui permettra de mieux grer la scurit en utilisant une stratgie de configuration dun serveur dauthentification sous le systme dexploitation Windows server 2008. La stratgie de scurit est un ensemble de rgles configurables que le systme dexploitation applique pour dterminer les autorisations accorder en rponse une demande daccs des ressources, cest en quelque sorte une combinaison de paramtres de scurit qui affectent la scurit sur un ordinateur. Ces paramtres que nous allons dfinir, vont nous permettre de : dterminer les personnes qui ont accs aux ordinateurs, et les ressources auxquelles les

utilisateurs sont autoriss accder sur les ordinateurs ; Ils permettent galement de dterminer si les actions dun groupe ou dun utilisateur sont enregistres dans le journal des vnements.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Sous Windows Server 2008, il existe plusieurs nouveauts qui sont spcifiquement conues pour fonctionner de pair : l'accs distance simplifi pour les ordinateurs de lentreprise, de meilleures performances lors de la centralisation d'applications ou de la virtualisation de postes de travail et des performances amliores lors des accs aux fichiers centraliss. Lors de ltude des axes majeurs suivre pour cette version de Windows server, les fondateurs ont pris en considration la charge de travail et la pression sur le service des technologies dinformatique des entreprises qui est sans cesse grandissante. Il fallait donc que ce systme dexploitation rponde plusieurs exigences essentielles [6] savoir :

1. Scurit et Protection
La protection du serveur dans lentreprise est assure par des technologies et des fonctionnalits contribuant scuriser le systme dexploitation Windows Server 2008, quelle que soit la configuration des rles serveur. Des technologies et fonctionnalits de scurit supplmentaires peuvent ventuellement sappliquer des rles serveur ou configurations particuliers. Microsoft a totalement retravaille le noyau de Windows server 2008 compar au noyau de ses prdcesseurs. Celui-ci prsente de nombreuses similitudes avec celui de Windows vista puisque les deux systmes dexploitation se basent sur le noyau rpondant au nom de NT6. Ce noyau possde ainsi la nouvelle technologie Patchguard dveloppe par Microsoft afin de protger au maximum le systme dexploitation et ainsi mettre un terme au rootkit ou autre attaque visant modifier le noyau du systme. La protection de laccs rseau devient galement accessible et nous permet de mettre en place des conditions dutiliser notre rseau dentreprise en liminant les personnes externes arrivant avec un ordinateur portable qui nest pas la norme de lentreprise. Laccs au rseau leur est refus tant quils ne remplissent pas les critres de conformit que ladministrateur aurait juge ncessaires. Les contrleurs de domaine en lecture seule renforcent la scurit de nos domaines Active Directory dans la mesure o ladministrateur pouvait limiter la diffusion de certain mot de passe en cas de compromission de ces contrleurs de domaines. Les nouveaux services associs lActive Directory renforcent galement la scurit de linformatique .Le rle
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

Active Directory Certicate Services permet la diffusion de certificats bass sur la cryptographie nouvelle gnration. Le rle Active Directory Right Management Service donne ladministrateur la possibilit de maitriser la diffusion des documents de lentreprise. Le pare-feu avanc de Windows server 2008 permet de limiter la surface dattaque des serveurs en faisant un filtrage de ports sur le trafic rseau entrant ou sortant. Le pare-feu analyse le flux au niveau applicatif et ladministrateur pourrait donc nautoriser un trafic que pour un service spcifique. De plus, la nouvelle console de gestion MMC pour le pare-feu avanc permet de configurer des flux IPSec afin dassurer lintgrit ou chiffrer le flux entre ordinateurs .Cela est idal pour dfinir un chiffrement entre des contrleurs de domaines ou entre des postes dadministrateurs de domaine et des serveurs dadministration. Le chiffrement de lecteur disque avec loutil Bitlocker permet galement dempcher laccs aux donnes du disque dur depuis une installation parallle dun autre systme dexploitation. Les fonctionnalits de scurit prsentes sous Windows server 2008 permettent donc de limiter au maximum le risque dattaque sur le serveur tout en garantissant une productivit et une flexibilit importante [6].

2. Identit et contrle daccs


Windows server 2008 propose un meilleur contrle de linformation afin de garantir une meilleure efficacit dadministration et par consquent une meilleure productivit. Afin daugmenter cette qualit dadministration, Windows server 2008 possde la capacit de scripts et dautorisation de tches accrues grce son nouveau langage de script Microsoft Windows Powshell. Lautorisation des tches courantes dadministration se voit ainsi grandement amliore et flexible grce cette nouvelle fonctionnalit. Linstallation base sur les rles et fonctionnalit grce la console de gestionnaire de serveur facilite ladministration. Les assistants disponibles permettent de limiter au maximum les erreurs de configuration grce aux nombreuses explications qui viennent accompagner ladministration lors de linstallation dun composant. Microsoft propose galement la possibilit dinstaller une version minimum de Windows serveur 2008, connue aussi sous le nom de Windows server core .Windows server 2008 fonctionne alors sans interface graphique et tout doit donc tre configur en ligne de commande .Lavantage majeur de ce type dinstallation rside dans le fait que la surface dattaque est rduite de par le fait que le strict minimum est installer sur le serveur.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Les administrateurs viendront alors ajouter les rles de leurs choix. Afin de ne pas trop exposer ces serveurs. Le .NET Framework nest pas install et lexcution de code comme PowerShell nest donc pas possible. Des nouvelles consoles comme le moniteur de performance et de fiabilit permettent galement de dtecter en amont des problmes de configuration sur nos systmes dexploitation et den informer automatiquement le service informatique. Il offre galement beaucoup dinformation prcise sur lutilisation des composants systmes de notre choix. Enfin, dernire bonne nouvelle pour les administrateurs, une meilleure gestion de limpression est dsormais possible. En effet, les imprimantes peuvent tre automatiquement installes sur les ordinateurs des utilisateurs laide des stratgies de groupes. Une nouvelle console MMC vous permet de mieux grer, contrler et dpanner les imprimantes de notre domaine [6].

3. La scurit des serveurs


Dans Windows Server 2008, il existe de nombreux outils qui aident prserver la scurit des serveurs. Les trois outils que nous pouvons utiliser sparment ou conjointement pour grer les stratgies de scurit sur des serveurs : Assistant Configuration de la scurit et outil en ligne de commande Scwcmd Composant logiciel enfichable Modles de scurit Composant logiciel enfichable Configuration et analyse de la scurit Contrairement aux outils eux-mmes, les diffrentes faons de les utiliser sont entirement nouvelles. Mais aussi il existe dautres outils et technologies permettant de scuriser le rseau et les ordinateurs, tels que Protection daccs rseau, Services de domaine Actives et Stratgie de groupe. La gestion de la stratgie de scurit du serveur consiste maintenir les paramtres de scurit jour alors que les diffrentes configurations serveur voluent au fil du temps. La scurisation des serveurs via la gestion de la stratgie inclut les oprations suivantes : Analyse des paramtres de scurit du serveur pour garantir que la stratgie applique un serveur convient au rle serveur. Mise jour dune stratgie serveur en cas de modification de la configuration serveur.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Cration dune stratgie pour une nouvelle application ou un nouveau rle serveur non inclus dans le Gestionnaire de serveur. Utilisation des outils de gestion de la stratgie de scurit pour appliquer les paramtres de la stratgie de scurit du serveur spcifiques notre environnement. Dans Windows Server 2008, les serveurs sont conus pour tre scuriss par dfaut. Cela signifie que lorsque quon installe des rles, des services de rle et des fonctionnalits via le Gestionnaire de serveur, les paramtres de scurit de la configuration dun serveur donn sont automatiquement configurs. Cependant, le Gestionnaire de serveur ne peut pas tre utilis pour effectuer des modifications personnalises des paramtres de scurit. cette fin, il va falloir utiliser plutt les outils de gestion de la stratgie de scurit. La fonctionnalit Assistant Configuration de scurit de Windows Server 2008 est trs similaire la version de lAssistant incluse dans Windows Server 2003 Service Pack 1. LAssistant peut toujours tre utilis pour crer et appliquer la stratgie de scurit du serveur, mais dans la majorit des cas on naura pas besoin dy recourir pour scuriser les serveurs lors de linstallation. Aprs linstallation du rle serveur initial, on peut utilisait lAssistant Configuration de scurit pour prserver la scurit des serveurs en recherchant les vulnrabilits tandis que les configurations serveur changent au fil du temps et en appliquant les modifications requises aux paramtres de stratgie. Dans Windows Server 2008, il nexiste pas de modles de scurit prdfinis. Lorsqu un administrateur veut configurer Windows Server 2008, les stratgies qui satisfont aux exigences de scurit de la plupart des entreprises sont automatiquement mises en place. Cependant, dans certaines entreprises, il peut tre ncessaire de limiter encore plus certains privilges ou certaines stratgies locales de notre rseau [6].

1. Audit de scurit
Une vrification technologies de l'information ou des systmes d'information d'audit est un examen des contrles de gestion au sein d'une technologie de linformatique. L'valuation de la preuve obtenue dtermine si les systmes d'information sont la sauvegarde des actifs, le maintien de lintgrit des donnes, et fonctionnent efficacement pour atteindre les objectifs de l'organisation ou des objectifs.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Laudit de scurit des informations est un lment vital de toute vrification informatique et est souvent compris comme tant le but principal d'un audit informatique. La porte large de la scurit des informations d'audit comprend des sujets tels que la scurit physique des centres de donnes et la scurit logique des bases de donnes, serveurs et composants de l'infrastructure des rseaux et de la scurit des applications ainsi que la scurit des serveurs. Auditer les serveurs consiste recenser les vnements que lon juge intressant dans le journal des vnements. Cela aidera ladministrateur mettre en vidence certains problmes de configuration ou bien encore vrifier la scurit de certains lments critiques du systme dexploitation. Sous Windows Server 2008, les stratgies daudit peuvent en effet tre dfinies de faon beaucoup plus fine dsormais et les paramtres affichs au niveau de la stratgie de groupe ne reprsentent que trs grossirement la configuration effective. Parmi les volutions lies l'audit introduites dans Windows Server 2008, deux volutions peuvent avoir un impact important sur les procdures et les outils en place. La premire volution concerne la cration de nouvelles catgories et sous catgories d'audit, afin de permettre une mise en uvre plus granulaire de l'audit, l'objectif tant de limiter le volume d'vnements gnrs. La gnration intgrale de la politique daudit se fait avec AUDITPOL qui est une commande nouvelle dans Windows Server 2008 et est ncessaire pour l'interrogation ou de la configuration politique de vrification au niveau sous-catgorie. Cette commande est la seule faon qui permet de configurer la stratgie d'audit au niveau de Windows server 2008. La seconde volution concerne la gestion des journaux des vnements qui bnficient bien la possibilit de crer des journaux spcifiques ou des vues, ces volutions ont elles aussi pour objectif de permettre une plus grande lisibilit des informations contenues dans les journaux dont celles lies l'audit. l'aide de la fonctionnalit d'audit de Windows Server 2008, Ladministrateur peut effectuer le suivi des activits d'utilisateurs ainsi que des activits le Server correspondant des vnements nomms sur un ordinateur et spcifier aussi quels vnements sont enregistrs dans le journal de scurit. Une entre d'audit dans le journal de scurit permet de dfinir les informations suivantes : l'action effectue ;
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

l'utilisateur qui a effectu l'action ; le succs ou l'chec de l'vnement et l'heure laquelle il s'est produit [6].

1. Gestion dautorisation
Sous Windows server 2008, le contrle daccs bas sur les rles permet daffecter les utilisateurs aux rles et de superviser les autorisations accordes chaque rle. Ladministrateur peut galement exercer un contrle trs spcifique laide de scripts appels rgles dautorisation. Les rgles dautorisation permettent de contrler la relation entre le contrle daccs et la structure de lentreprise. Le Gestionnaire dautorisations peut faciliter le contrle daccs aux ressources dans de nombreuses situations. En rgle gnrale, deux catgories de rles bnficient souvent de ladministration base sur les rles : les rles dautorisation utilisateur et les rles de configuration ordinateur. Les rles dautorisation utilisateur sappuient sur la fonction dun utilisateur. Ladministrateur peut faire appel des rles dautorisations pour autoriser laccs aux privilges administratifs, les dlguer ou grer linteraction avec des ressources bases sur lordinateur. Les rles de configuration dordinateurs sappuient sur la fonction dun ordinateur. Ladministrateur peut faire appel aux rles de configuration dordinateurs pour slectionner des fonctionnalits installer, activer des services et choisir des options. Sous Windows server 2008, il existe un outil appel gestionnaire dautorisations qui est frquemment utilis par les applications personnalises crites pour un objectif spcifique dans lenvironnement de travail. Le Gestionnaire dautorisations nous permet de faire appel deux types de modes : Le mode dveloppeur qui permet de crer, dployer et grer des applications mme si son accs est illimit toutes les fonctionnalits du Gestionnaire dautorisations. Le mode administrateur qui est un mode par dfaut. En mode administrateur, on peut dployer et grer des applications et lutilisateur accs toutes les fonctionnalits du Gestionnaire dautorisations, mais ne peut pas crer dapplications ni dfinir doprations [6]. Etant donn quil existe plusieurs domaines dont Windows server 2008 parvient grer la scurit dans son environnement, nous allons essayer dtudier seulement les outils qui nous
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

permettra de respecter le concept du AAA c'est--dire les outils qui permettent de faire une authentification, une autorisation mais aussi vrifier la compatibilit au niveau de Windows server 2008.

Constitu afin de standardiser les oprations daccs aux fournisseurs de services Internet ncessitant une identification, le groupe de travail AAA a t cr au sein de lInternet Engineering Task Force (IETF). Ce groupe, compos dintervenants de divers horizons savoir les universits et les entreprises, est lorigine de plusieurs publications appeles RFC (Request For Comment) considres comme des standards. Ils dcrivent dans ce concept de base dAAA, les diffrentes fonctions de base ncessaires aux fournisseurs de services, fonctions regroupes autour dun mme thme baptis AAA.
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

Les fonctions principales sont au nombre de trois : lauthentification des utilisateurs, les autorisations qui leur sont accordes, et la comptabilit des oprations effectues. En anglais, ces trois notions sappellent authentication, authorization et accounting. Ces initiales rsument les trois fonctions du protocole : A = Authentication : authentifier lidentit du client ; A = Autorisation : accorder des droits au client ; A = Accounting : enregistrer les donnes de comptabilit de lusage du rseau par le client.

I.

Authentification

Lauthentification est le processus par lequel une entit prouve son identit. Plus simplement, il a pour but de rpondre la question : Qui tes-vous ? . Ce procd, trs courant en informatique, consiste souvent en lintroduction dun nom dutilisateur (ou login) et dun mot de passe. Ce login est unique et identifie lentit de manire non quivoque au sein dun systme. La connaissance du mot de passe associ cet identifiant reprsente la preuve que lon est qui lon prtend tre. La divulgation ou la dcouverte du mot de passe cassant ce schma dauthentification. Un des aspects cls de lauthentification est quelle tablit une relation de confiance entre les deux entits.

II.

Autorisation

Apres avoir identifi un utilisateur avec succs, il convient de laffecter correctement aux services auxquels il a pralablement souscrit .Plus largement, le concept dautorisation a pour but de dterminer ce quoi lutilisateur a accs. Diverses rgles seront donc appliques souvent en concordance avec des profils types dutilisateurs permettant leur regroupement. Par exemple, un abonn haut dbit aura le droit de se connecter aussi via une connexion bas dbit son oprateur, tandis quun autre client nayant pas ce type dabonnement sera restreint un accs bas dbit.

III.

Comptabilit (accounting)

Pour cette dernire notion, on sintresse ce que fait lutilisateur des ressources auxquelles il a accs. Le choix de baptiser cette fonction comptabilit nest pas un hasard, les oprateurs de services Internet facturant frquemment leurs utilisateurs en fonction de ce quils font. La comptabilit permet de dterminer entre autres : quel moment un utilisateur sest connect ;
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

la raison dune dconnection on dun refus de connexion ; le temps de connexion ; le type de connexion employ ; le volume de donnes transfr. Le traitement de ces donnes nest bien sr pas limit aux seuls aspects de facturation. Les oprations statistiques que ces donnes permettent deffectuer sont nombreuses.

I.

Les outils respectant le concept dAAA sous Windows server 2008

Les systmes d'exploitation Windows server 2008 implmente un ensemble par dfaut des protocoles d'authentification tel que Kerberos ainsi que dautres protocoles tels que TACACS+ et RADIUS que ladministrateur peut activer pour ainsi permettre de grer lauthentification des utilisateurs, leurs autorisations sur leurs ressources et aussi la gestion de la compatibilit au niveau de leurs applications. Ces protocoles et des forfaits permettant l'authentification des utilisateurs, des ordinateurs et des services. Le processus d'authentification permet aux utilisateurs autoriss et les services d'accs aux ressources de bien grer la scurise. Parmi tous les protocoles qui permettent de respecter le concept dAAA, nous pouvons citer TACACS+, le serveur RADIUS ainsi que Kerberos. Pour mieux comprendre le fonctionnement de chaque protocole, nous avons essay dexpliquer chaque protocole savoir RADIUS, TACACS+ et Kerberos.

1. Le protocole RADIUS
Le protocole RADIUS (Remote Authentication Dial-In User Service) est un protocole d'authentification standard. Le fonctionnement de RADIUS est bas sur un systme client/serveur charg de dfinir les accs d'utilisateurs distants un rseau. Il s'agit du protocole de prdilection des fournisseurs d'accs Internet car il est relativement standard et propose des fonctionnalits de comptabilit. Le protocole RADIUS repose principalement sur un serveur, reli une base d'identification comme une base de donnes ou un annuaire et un client RADIUS, faisant office d'intermdiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffr et authentifi grce un secret partag. Le contrle d'accs est le moyen de contrler qui est autoris accder au serveur de rseau et les services qu'ils sont autoriss utiliser une fois qu'ils ont accs. Authentification, d'autorisation et de comptabilit (AAA) des services de scurit de rseau fournissent le cadre

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

principal travers lequel ladministrateur met en place un contrle d'accs sur le routeur ou un serveur d'accs. Etant donn que dans ce projet, lobjectif est de mettre en place un serveur RADIUS, nous allons nous en rester l pour le moment et passer aux autres protocoles tels que Kerberos.

2. Le protocole Kerberos
Kerberos est un rseau informatique dauthentification qui fonctionne sur la base de tickets pour permettre aux nuds de communication sur un rseau non scuris pour prouver leur identit l'autre de manire scurise. Ses concepteurs visent principalement un modle client-serveur et il permet l'utilisateur de vrifier l'identit du serveur et vice-versa. Il permet de protger le systme dinformation contre les coutes et les attaques et il sappuie sur la cryptographie cl symtrique et ncessite un tiers de confiance et peut aussi ventuellement utiliser la cl publique en utilisant la cryptographie asymtrique lors de certaines phases dauthentification. Etant donn que Kerberos utilise comme base le symtrique du protocole. Il utilise un centre de distribution de cls (KDC) qui se compose de deux parties logiquement distinctes: un serveur d'authentification (AS) et Ticket Granting Server (TGS). Kerberos fonctionne sur la base des tickets qui servent prouver l'identit des utilisateurs. Le KDC maintient une base de donnes de cls secrtes. Chaque entit c'est--dire un client ou un serveur sur le rseau partage une cl secrte connue de lui seul et le KDC. La connaissance de cette cl sert prouver lidentit dune entit. Pour la communication entre deux entits, le KDC gnre une cl de session qu'ils peuvent utiliser pour scuriser leurs interactions. La scurit du protocole s'appuie fortement sur les participants de maintenir le temps vaguement synchronise et sur courte dure affirmations d'authenticit appele tickets Kerberos [9].

3. Terminal Accs Controller Accs Control System+ (TACACS+)


TACACS + (Terminal Access Controller Access-Control System Plus) est un protocole propritaire de Cisco qui fournit un contrle d'accs pour les routeurs, serveurs d'accs rseau et autres appareils informatiques en rseau via un ou plusieurs serveurs centraliss. TACACS + fournit une authentification, une autorisation et une gestion de la comptabilit. TACACS+ est un protocole d'authentification utilis pour la communication distance avec n'importe quel serveur install dans un rseau. TACACS+ fournit un moyen facile de dterminer l'accs au rseau de communication et d'authentification des utilisateurs via un serveur distant. Le protocole TACACS+ utilise le port 49 par dfaut. TACACS+ peut
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

autoriser ou refuser des mcanismes d'authentification avec des touches qui correspondent aux noms d'utilisateur et mots de passe. Le protocole TACACS+ a un mcanisme trs simple de travail. Il accepte une requte utilisateur partir d'un serveur distant et transmet cette requte l'action ncessaire pour le serveur d'authentification. Le serveur d'authentification peut autoriser ou refuser une requte utilisateur au nom de l'hte. L'hte est un systme ou une plateforme qui s'excute sur le serveur. Le rsultat de la requte est transmis l'initiateur de la requte comme une rponse de rtroaction. Le nud de routage utilis dans les connexions distance pendant le processus de connexion de l'utilisateur autorise ou refuse l'accs utilisateur bas sur la rponse de la requte [9].

4. Comparaison des trois protocoles


Pour relater les diffrences et ressemblances qui existent entre les trois protocoles, nous avons essay de faire la comparaison entre TACACS+ et RADIUS et Kerberos et RADIUS dans le tableau suivant.

Protocoles

RADIUS combine l'authentification Contrle et gestion centralise d'un accs l'autorisation alors que distance dun rseau
Protocoles pour contrler les accs leurs

Ressemblances Ils respectent le concept dAAA

Diffrences et

TACACS + utilise l'architecture AAA sparment. Cela permet des solutions

ressources rseau TACACS+ Contrle de laccs administratif quipements rseau groupes d'utilisateurs

aux d'authentification distinct que peut toujours utiliser TACACS + pour l'autorisation et la comptabilit.

Permet de prvoir des droits distincts pour des

RADIUS utilise UDP qui permet Scurisation de laccs des utilisateurs et des l'utilisateur d'accder avant d'abandonner administrateurs au rseau
M i s e e n u v r e d u n s e r v i c e

alors que TACACS+ utilise TCP qui est


d e s c u r i t a v e c R a d i u s Page

beaucoup plus lent puis que en cas de perte de paquet il yaura retransmission des paquets. KERBEROS Ils respectent le concept dAAA rseau Contrle de laccs au service dun serveur
Ils

Kerberos a des faiblesses au niveau de la bien de la scurisation du rseau


Sous Kerberos, lattaquant peut parier sur le

Contrle et gestion de laccs distance dun scurit alors que RADIUS soccupe trs

sont

est

un

service

dauthentification mot de passe puis que toute la confiance et

centralis pour des systmes en rseau mise ouvert


partags

dans

le

logiciel

implmentant

Kerberos Au moment o RADIUS lui parviennent dun poste client


Kerberos fait de lauthentification unique

Repose sur un mcanisme de cls secrtes permet dauthentifier les requtes qui lui

alors

que RADIUS peut authentifier

plusieurs clients la fois.

Tableau1 : Comparaison de Kerberos et TACACS+ a Radius

1. Justification du choix de RADIUS


Daprs la comparaison que nous avons faite au niveau des protocoles qui utilisent le principe dAAA, nous avons pu choisir le protocole RADIUS car il apporte plusieurs avantages par rapport aux autres protocoles puis que le rseau est beaucoup plus scuris et aussi nous avons jug que son implmentation est plus intressante et plus dlicate pour un sujet de licence. Par exemple si nous prenons le cas de Kerberos lui il est dj intgr au niveau de Windows server 2008 et il suffit juste de lactiver et pour le cas de TACCAS+, il suffira de le tlcharger et de linstaller sur le serveur 2008. De plus, RADIUS offre plusieurs fonctionnalits que nous voulons mettre en uvre savoir : La premire tche de ce serveur est dauthentifier les requtes qui lui parviennent dun poste client, cest--dire dengager des changes avec lui pour obtenir la preuve quil est bien qui il prtend tre ;
Lunification des mthodes dauthentification puis que les techniques dauthentification ne sont

pas spcifiques aux rseaux sans fil car ladministrateur du rseau sans fil la possibilit
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

dunifier la gestion des accs tant donn que le serveur Radius authentifie les clients quelle que soit leur origine, tout en tant capable de diffrencier les mthodes soit par mot de passe , soit par certificat. Le poste de travail est banalis et sa place dans le rseau dpend uniquement de son identit.

I.

Prsentation du serveur RADIUS

RADIUS est labrviation de Remote Access Dial-In User Service. Bien que sa cration et sa standardisation soient antrieures aux travaux du working group AAA, les similitudes sont remarquables. RADIUS fut dvelopp lorigine par Livingston Entreprises, la demande de loprateur californien Merit Neworks qui souhaitait une meilleure intgration de la gestion de ses utilisateurs. En effet, avant cela chaque clients Radius possdait une liste des utilisateurs et des scripts de synchronisation taient employs pour rpliquer ces mme listes. Le nombre dutilisateurs allant croissant, les employs de Merit firent la proposition dune standardisation sur la gestion des utilisateurs des systmes daccs distants. Livingston fut le premier rpondre cet appel et implmenta ainsi le premier serveur RADIUS [8].

II.

Fonctionnement du serveur RADIUS

Le but de RADIUS tait l'origine de permettre aux fournisseurs d'accs Internet d'authentifier les utilisateurs distants utilisant les connexions par modem RTC partir de
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

multiples serveurs mais d'une seule base utilisateurs. Les noms et mots de passe des utilisateurs devaient tre dupliqus dans chaque poste de travail ayant besoin d'identifier des utilisateurs. De mme, l'authentification POP c'est--dire les messageries lectroniques devait tre gres par RADIUS. L'identification sur les sites Web par un nom et un mot de passe est aussi gre en RADIUS. C'est toujours l'utilisation la plus courante du protocole RADIUS : nom et mot de passe de connexion l'Internet, mais de plus en plus les rseaux sans fil ou filaires y ont aussi recours pour identifier les utilisateurs. Le protocole RADIUS permet de faire la liaison entre des besoins d'identification et une base d'utilisateurs en assurant le transport des donnes d'authentification de faon normalise. L'opration d'authentification est initie par un client du service RADIUS, qui peut tre un botier d'accs distant c'est--dire un NAS : Network Access Server, un point d'accs rseau sans fil, un pare-feu, un commutateur, un autre serveur. Le serveur la traite en accdant si ncessaire une base externe : base de donnes SQL, annuaire LDAP, comptes d'utilisateur de machine ou de domaine. Un serveur Radius dispose pour cela d'un certain nombre d'interfaces ou mthodes. RADIUS est dfini principalement dans le RFC 2138. Le standard possde plusieurs caractristiques :

1. Architecture de type client/serveur


Le client typique est un client Radius cest--dire un serveur de stockage. Il est charg de transmettre les requtes de connexion des utilisateurs vers le serveur RADIUS et densuite interprter la rponse quil lui est donne. Quant au serveur, il est charg de recevoir les requtes des utilisateurs, didentifier ces utilisateurs et de finalement renvoyer les informations ncessaires au client Radius pour quil puisse tablir les connexions demandes par ces utilisateurs. Il est galement important de noter que, lorsquune technique de relais est employe, le serveur RADIUS devient client dun autre serveur AAA.

2. Scurit des messages


Un serveur RADIUS supporte diverses mthodes pour identifier un utilisateur. Lune de ces mthodes est lenvoi dun login et dun mot de passe. Dans ce cas, les protocoles PPP, PAP et PPP CHAP doivent tre implments. Le serveur nest pas restreint ces protocoles, dautres mthodes peuvent tre ajoutes.

3. Protocole extensible
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

Tous les changes clients/serveur sont bass sur lemploi de tuples c'est--dire un attribut, la longueur ainsi que la valeur. De nouveaux attributs peuvent tre dfinis sans perturber les implmentations existantes du protocole. Un attribut constitue le principe le plus important du protocole Radius, aussi bien dans sa version initiale que pour ses extensions. Les champs attributs sont le fondement du protocole. Par consquent, la bonne comprhension de leur signification et de leur rle est indispensable pour tirer le meilleur parti de Radius.

4. Utilisation d'UDP (User Datagram Protocol)


La justification de ce choix est explique en quatre points dans le RFC, lide gnrale tant que le comportement de RADIUS implique le choix dUDP : Si une requte naboutit pas au prs du serveur primaire, elle doit tre renvoye un serveur secondaire. Pour ce faire, il faut donc conserver une copie du paquet original avant la couche de transport. Lutilisation dun temporisateur permettant de dduire que le serveur primaire est inaccessible. Les exigences en termes de temps de rponse de TCP ne sont pas adaptes RADIUS. Celui-ci se basant sur le temps moyen coul avant deffectuer une retransmission parat trop agressive aux concepteurs du protocole. Ces derniers considrent que lutilisateur peut attendre les quelques secondes durant la phase didentification. Par essence, le protocole RADIUS ne maintient pas dtat. En clair, il ne garde pas de trace de ses prcdentes actions. UDP non plus nutilise pas dtat. Cette proprit commune simplifie les problmes de pertes de connexion ou de congestion du rseau qui peuvent devenir problmatiques lorsquon utilise un protocole tel que TCP. Globalement, lutilisation dUDP simplifie limplmentation du serveur. La seule complexit avec UDP rside dans la gestion des retransmissions. Elles devront tre gres par lapplication elle-mme, la couche transport ne les prenant pas en charge.

5. Format des paquets


Radius utilise quatre types de paquets pour assurer les transactions dauthentification. Il existe aussi trois autres types de paquets savoir Accounting-Request, Accounting-Response et Accounting-Status pour la comptabilit. Tous les paquets ont le format gnral indiqu par la figure
suivante :

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 1:Format des paquets du Radius

Code : Ce champ dun seul octet contient une valeur qui identifie le type du paquet. La RFC 3575 dfinit 255 types de paquets. Par chance, quatre dentre eux seront suffisants pour les problmes qui nous proccupent ici. Il sagit de : Access-Request (code=1) ; Access-Accept (code=2) ; Access-Reject (code=3) ; Access-Challenge (code=11) ;

ID : Ce champ, dun seul octet, contient une valeur permettant au client Radius dassocier les requtes et les rponses ; Longueur : Champ de seize octets contenant la longueur totale du paquet ; Authentificateur : Ce champ de seize octets a pour but de vrifier lintgrit des paquets. On distingue lauthentificateur de requte et lauthentificateur de rponse. Le premier est inclus dans les paquets de type Access-Request ou Accounting-Request envoys par le client Radius. Sa valeur est calcule de faon alatoire.

Lauthentificateur de rponse est prsent dans les paquets de rponse de type Access- Accept, Access-Challenge ou Access-Reject. Sa valeur est calcule par le serveur partir dune formule de hachage MD5 sur une chane de caractres compose de la concatnation des champs code, ID, longueur, authentificateur de requte et attributs ainsi que dun secret partag. Il sagit dun mot de passe connu la fois par le serveur et le client. Ce dernier peut alors excuter le mme calcul que le serveur sur cette chane pour sassurer quil obtient bien la valeur de lauthentificateur de rponse. Si cest bien le cas, il peut considrer que la rponse lui vient bien du serveur auquel il a soumis la requte et quelle na pas t modifie pendant la transmission ;

Attributs et valeurs : Ce champ du paquet est de longueur variable et contient la charge utile du protocole, cest--dire les attributs et leur valeur qui seront envoys soit par le client Radius
e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

M i s e

en requte, soit par le serveur en rponse.

1. Secret Partag
Afin de renforcer la scurit et garantir lintgrit des transactions, le protocole utilise un secret. Celui-ci est partag entre un client et un serveur. Il est recommand que chaque client possde son propre secret et la taille de celui-ci soit dau minimum 16 octets. Le secret partag est utilis dans le calcul de lauthentifiant et ce quand il sagit dun authentifiant de rponse. Le secret est galement utilis pour chiffr lattribut User-Password.

2. Types de paquets
Il existe plusieurs types de paquets pour lauthentification sous RADIUS.

Paquet Access-Request : Il est utilis pour effectuer une demande dauthentification auprs dun serveur RADIUS. Les attributs User-Password ou CHAP-Password doivent y figurer ;

Paquet Access-Accept : Il est renvoy par le serveur pour signifier que la demande dauthentification a t accepte. Lidentifiant utilis dans ce paquet est le mme que celui transmis au serveur lors de lAccess-Request. Lauthentifiant est le rsultat dune fonction de hachage MD5 qui consiste convertir une suite doctets un mot de passe par exemple en une empreinte rpute unique. Aucun attribut nest rellement requis, mais il est clair que le serveur doit en retourner sil gre les autorisations. Des attributs permettant la configuration du lien rseau sont donc souvent joints ce paquet de rponse ;

Paquet Access-Reject : Il est renvoy par le serveur pour signifier que la demande dauthentification a chou. Lidentifiant utilis dans ce paquet est le mme que celui transmis au serveur lors de lAccess-Request. Lauthentifiant est le rsultat dune fonction de hachage MD5. Les seuls attributs tolrs sont ceux qui peuvent apparaitre plusieurs fois et le Proxy-Etat qui est employ par les serveurs lors des oprations. Un paquet de ce type peut tre thoriquement envoy nimporte quel moment afin de forcer larrt dune session ;

Paquet Accounting-Request : Il est dfini dans le RFC 2139. Elles permettent au serveur de connatre ltat davancement dune session. Leur format est en tout point similaire la requte de type Access. Les paquets Accounting-Request sont utiliss pour effectuer une demande daccounting auprs dun serveur RADIUS. Elles sont gnralement de type start, stop ou update. Les deux derniers types de requtes sont,

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

en principe, accompagns dinformations sur la session en cours comme la dure de la session, le nombre doctets transfrs etc ;

Paquet Accounting-Response : Il est renvoy par le serveur pour signifier que la demande daccounting a t accepte. Lidentifiant utilis dans le paquet est le mme que celui transmis au serveur lors de lAccounting-Request. Lauthentifiant est le rsultat dune fonction de hachage MD5. Aucun attribut nest rellement requis tant donn quil sagit ici dun pur accus de rception ;

Paquet Access-Challenge : Les paquets Access-Challenge sont envoys au NAS lorsque quune tentative dauthentification parat suspecte au serveur. Certains NAS ne supportent pas ce type de requte et linterprtent comme sil sagissait dun Access-Reject.

1. Mthodes d'authentification
RADIUS connat nativement deux protocoles de mot de passe : PAP qui consiste faire un change en clair du nom et du mot de passe et CHAP qui consiste faire un change bas sur un hachage de part et d'autre avec change seulement du challenge mais aussi dautres protocoles peuvent tre utiliss comme lEAP. Le protocole prvoit deux attributs spars : User-Password et CHAP-Password.

a. PAP
Lutilisation de PAP est suggre au serveur RADIUS lorsque lattribut User-Password est trouv dans un paquet Access-Request. Dans ce cas, le mot de passe est alors transmis en clair du client au client Radius en principe sur une liaison point point. Le NAS transmet ce mot de passe au serveur RADIUS par lintermdiaire de lattribut User-Password aprs lavoir d le chiffr.
b.

CHAP

Lutilisation de CHAP est suggre au serveur RADIUS lorsque lattribut CHAP-Password est trouv dans un paquet Access-Request. CHAP est bas sur lide de transmettre une preuve de la connaissance du mot de passe mais pas ce dernier proprement parler. Le client Radius gnre un flux de bytes alatoire de 16 octets et le transmet au client. Le client utilise ce nombre dans une fonction de hachage MD5 avec son mot de passe comme cl. Le client retourne le login, le hach (CHAP Response) et un identifiant de transaction (CHAP ID) au client Radius. Ce dernier transfre alors :
M i s e

le login via lattribut User-Name ; le CHAP ID suivit de CHAP Response via lattribut CHAP-Password ;
u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

e n

le challenge original (lalatoire de 16 octets) via lattribut CHAP-Challenge.

Le serveur effectue la mme opration que le client et compare le rsultat obtenu CHAP Response. Si CHAP a lavantage de ne pas faire transiter le mot de passe sur le rseau, il implique la lecture de celui-ci ct serveur, ce qui nest pas toujours une situation enviable.

a. EAP
EAP (Extensible Authentication Protocol) est un protocole conu pour tendre les fonctions du protocole Radius des types d'identification plus complexes; il est indpendant du matriel du client Radius et ngoci directement avec le suppliant (poste client, terminal d'accs). C'est ce qui a permis de le mettre en place rapidement sur un maximum d'appareils rseau puisqu'il n'utilise que deux attributs Radius servant de protocole de transport, et a conduit une explosion de types EAP. Le protocole dauthentification continue alors avec le nombre ditrations ncessaires aboutissant en fin de parcours soit un Access-Accept ou un Access-Reject de la part du serveur RADIUS. Il existe diffrentes mthodes dauthentification pour EAP :

EAP-MD5 : Cest la plus simple. Le client est authentifi par le serveur en utilisant un mcanisme de dfi rponse. Cest dire le serveur envoie une valeur alatoire (le dfi), le client concatne ce dfi le mot de passe et en calcule, en utilisant lalgorithme MD5, une empreinte quil renvoie au serveur. Le serveur qui connat le mot de passe calcule sa propre empreinte, compare les deux et en fonction du rsultat valide ou non lauthentification. Une coute du trafic peut dans le cas dun mot de passe mal choisi de permettre de le retrouver par une attaque par dictionnaire ou par force brute. Il ny a pas dauthentification mutuelle, le serveur nest pas authentifi par le client ;

EAP-TLS : Cest la plus sre. Le serveur et le client possdent chacun leur certificat qui va servir les authentifier mutuellement. Cela reste relativement contraignant du fait de la ncessit de dployer une IGC (Infrastructure de Gestion de Cls). Rappelons que TLS, la version normalise par lIETF de SSL (Secure Socket Layer), est un transport scuris (chiffrement, authentification mutuelle, contrle dintgrit). Cest lui qui est utilis de faon sous-jacente par HTTPS, la version scurise de HTTP, pour scuriser le Web. Il faut noter cependant que lidentit de lutilisateur (paquet EAP-Response/Identity) nest pas protge ;

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

EAP-TTLS (tunneled TLS) : Il utilise TLS comme un tunnel pour changer des couples attribut-valeur la manire de RADIUS servant lauthentification. Pratiquement nimporte quelle mthode dauthentification peut tre utilise.

PEAP (Protected EAP) : Il est une mthode trs semblable dans ses objectifs et voisine dans la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentification supportes par EAP ;

LEAP (Lightweight EAP) : Il est une mthode propre Cisco qui repose sur lutilisation de secrets partags pour authentifier mutuellement le serveur et le client. Elle n'utilise aucun certificat et est bas sur l'change de dfi et rponse.

1. Schma de fonctionnement du serveur RADIUS


NPS (Network Policy Server) permet de crer et appliquer des stratgies daccs rseau lchelle de lentreprise pour le contrle dintgrit, lauthentification et lautorisation des demandes de connexion des clients. NPS peut tre galement utilis en tant que proxy RADIUS (Remote Authentication Dial-In User Service) pour le transfert des demandes de connexion au serveur NPS ou dautres serveurs RADIUS configurs dans les groupes de serveurs RADIUS distants. NPS permet la configuration et la gestion centralises de lauthentification et lautorisation daccs rseau ainsi que des stratgies de contrle dintgrit des clients laide des trois fonctionnalits suivantes :

RADIUS server : NPS effectue une authentification, une autorisation et une gestion des comptes centralises des connexions daccs sans fil, daccs par commutateur dauthentification et daccs par connexion distance et rseau priv virtuel (VPN). Lorsque nous utilisons NPS en tant que serveur RADIUS, nous devons configurer les serveurs daccs rseau, tels que les points daccs sans fil en tant que clients RADIUS dans NPS. Nous devons galement configurer les stratgies rseau utilises par NPS pour autoriser les demandes de connexion. Nous pouvons ventuellement configurer la gestion de comptes RADIUS de sorte que NPS enregistre les informations de gestion de comptes dans des fichiers journaux sur le disque dur local ou dans une base de donnes Microsoft SQL Server ou dans Active Directory ;

RADIUS proxy : Lorsque nous utilisons NPS en tant que proxy RADIUS, nous devons configurer les stratgies de demande de connexion indiquant au serveur NPS quelles

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

demandes de connexion doivent tre transfres dautres serveurs RADIUS et de spcifier ces derniers. Nous pouvons ventuellement configurer NPS pour le transfert des donnes de gestion de comptes enregistrer par un ou plusieurs ordinateurs dun groupe de serveurs RADIUS distants ;

Network Access Protection (NAP) Policy server: Lorsque nous configurons NPS en tant que serveur de stratgie NAP, NPS value les dclarations dintgrit envoyes par les ordinateurs clients compatibles NAP qui souhaitent se connecter au rseau. NPS joue galement le rle dun serveur RADIUS lorsquil est configur avec NAP, en assurant lauthentification et lautorisation des demandes de connexion. Nous pouvons configurer les stratgies et paramtres NAP dans NPS, notamment les programmes de validation dintgrit systme (SHV), la stratgie de contrle dintgrit et les groupes de serveurs de mise jour permettant aux ordinateurs clients de mettre jour leur configuration de sorte quils deviennent conformes la stratgie rseau de lentreprise.

Dans notre cas NPS sera utiliser comme serveur RADIUS et il nous permettra de configurer le serveur ainsi que ses clients. Le fonctionnement du protocole RADIUS peut se faire grce lutilisation du rle sous Windows server 2008 de NPS (Network Policy Server) qui permet de centraliser la configuration et la gestion des stratgies rseau laide des fonctionnalits du serveur RADIUS mais aussi deffectuer lauthentification, lautorisation et la gestion des clients RADIUS. Un client RADIUS peut tre un serveur daccs, tel quun serveur daccs distance ou un point daccs sans fil, ou un proxy RADIUS. Lorsque NPS est utilis en tant que serveur RADIUS, il fournit les services suivants : Un service dauthentification et dautorisation centralis pour toutes les demandes de connexion envoyes par des clients RADIUS ; NPS peut utiliser le domaine des services dActive Directory (AD DS) afin dauthentifier les informations didentification des utilisateurs pour les tentatives de connexion. Les explications sont illustres dans la figure qui suit :

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 2:Vue densemble de lutilisation de Radius Le point daccs sans fil reoit des demandes de connexion de la part des clients daccs ; Le point daccs, configur de faon utiliser RADIUS comme protocole dauthentification, dautorisation et de gestion, cre un message de demande daccs et lenvoie au serveur RADIUS NPS ; Le serveur RADIUS NPS value le message de demande daccs ; Si ncessaire, le serveur RADIUS NPS envoie un message de challenge daccs au serveur daccs. Celui-ci traite le challenge et envoie un message de demande daccs mis jour au serveur RADIUS NPS ; Les informations didentification utilisateur sont vrifies et les proprits de numrotation du compte dutilisateur sont obtenues par le biais dune connexion scurise un contrleur de domaine ; La tentative de connexion est autorise avec les proprits de numrotation du compte dutilisateur et avec les stratgies daccs ; Si la tentative de connexion est authentifie et autorise, le serveur RADIUS NPS envoie un message dacceptation daccs au serveur daccs ; Si la tentative de connexion nest pas authentifie ou nest pas autorise, le serveur RADIUS NPS envoie un message de refus daccs au serveur daccs ;

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Le serveur daccs achve le processus de connexion avec le client daccs et envoie un message de demande de compte au serveur RADIUS NPS, o le message est enregistr dans le journal ; Le serveur RADIUS NPS envoie une rponse de compte au serveur daccs.

1. Les types dauthentification du serveur RADIUS


La scurit reste un lment important dans l'tablissement de connexions distantes. Certains serveurs et protocoles permettent une scurit accrue des changes d'informations. Parmi ceux-l, on distingue un protocole permettant de centraliser l'authentification et l'autorisation des utilisateurs distants. Ce protocole client/serveur fonctionne sur le protocole UDP. De ce fait, pour les clients Radius, la gestion de l'authentification et de l'autorisation sera gre par un serveur Radius. Dans notre cadre, un serveur Windows server 2008 pourra jouer le rle de serveur Radius. Le serveur Radius pourra aussi tre reprsent par un serveur d'accs distant, fonctionnant sous Windows 2008. Le protocole Radius pourra tre utilis dans plusieurs circonstances si nous voulons renforcer la scurit de votre rseau. Pour la gestion de la scurit sous Windows server 2008, il existe plusieurs mthodes dauthentification au sein du protocole RADIUS que nous allons essayer dexpliquer par la suite.
a.

Authentification par adresse MAC

Ladresse MAC de la carte Ethernet du poste de travail identifie ce dernier. Cette adresse MAC nest pas une preuve absolue didentit puisquil est relativement facile de la modifier et dusurper lidentit dun autre poste de travail. Nanmoins, sur un rseau filaire, cette adresse peut tre suffisante puisque, pour tromper le systme dauthentification, il faudra tout de mme pntrer sur le site, connatre une adresse MAC valide et russir sen servir. Mme si on peut imaginer quune personne dcide peut y arriver, cette solution est suffisante si on considre quil sagit l dune premire barrire. En revanche, si on souhaite une authentification trs forte il faudra utiliser une autre mthode, savoir 802.1X. Ce type dauthentification est appel Radius-MAC ou encore MAC-based. Son fonctionnement est illustre dans la figure suivante :

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 3:Schma du fonctionnement par adresse mac Lauthentification par adresse MAC est appele Radius-MAC est la plus simple mettre en uvre puis que son principe de fonctionnement est la suivante :
1 : Le poste de travail se branche sur un des ports du commutateur ;

2 : Le commutateur dtecte cette connexion et envoie une requte dauthentification (Access-Request) au serveur Radius. Dans cette requte, ladresse MAC du poste de travail fait office didentifiant ; 3 : Le serveur reoit ce paquet et utilise ladresse MAC comme point dentre dans la base de donnes do il rcupre, si ladresse MAC est connue, le VLAN auquel sera connecte ce poste de travail ;
4: Le serveur envoie sa rponse au commutateur. Si elle est ngative (Access-Reject), le port du

commutateur reste ferm et le poste nest pas connect au rseau. Si la rponse est positive (Access-Accept), elle contient le numro de VLAN autoris. Le commutateur ouvre alors le port sur ce VLAN et le poste peut commencer travailler. Donc, dans ce type dauthentification, il ny a pas de communication entre le poste de travail et le serveur Radius. Tous les changes interviennent entre le commutateur et le serveur.

a. Authentification par 802.1x


802.1x est un protocole assurant l'identification par port pour l'accs un rseau ; il n'est pas li explicitement RADIUS dans son principe et utilise dans toutes ses dfinitions les termes "serveur AAA" et "protocole AAA" et s'appuient sur RADIUS. Son fonctionnement est illustre dans la figure suivante :

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 5:Schma du fonctionnement de lauthentification par 802.1X

1 : Lutilisateur envoie une demande dauthentification vers le serveur RADIUS Cependant, il ne communique pas directement avec le serveur car il ne connait pas que le serveur existe ; 2 : Le commutateur servira dintermdiaire car cest qui va envoyer la requte vers le serveur ; 3 : pour interroger sa base de donnes, le serveur RADIUS a besoin dun identifiant quil utilise comme point dentre. Lidentifiant sera configur et envoy par lutilisateur ; 4 : Le serveur accepte ou refuse lauthentification et renvoie sa rponse au commutateur.

a. Choix de la mthode dauthentification : 802.1X


En rsum, avec Radius-MAC, lauthentification est ralise sans aucune communication entre le poste de travail et le serveur. En 802.1X, dans la mesure o cest lutilisateur qui envoie les lments dauthentification, il y a bien une communication. Nous allons choisir pour lauthentification le nouveau standard 802.1x qui est une rponse au besoin dauthentifier les machines ou les utilisateurs connects sur un rseau sans fil. Les solutions d'authentification base sur 802.1x fonctionnent bien, la condition d'avoir un ordinateur relativement rcent, c'est--dire que le systme d'exploitation soit suprieur ou gal Windows XP. Pour les ordinateurs plus anciens, il n'est pas possible d'effectuer une authentification de l'utilisateur de manire fiable. Le protocole 802.1x permet dauthentifier les lments connects sur le rseau.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Le but du projet est de mettre en place une infrastructure Wi-Fi scuris WPA (Wi-Fi Protected Access) de 802.1X utilisant un serveur Radius et une authentification par certificat.

I.

Les matriels ncessaires

Toute la difficult de la mise en uvre dune solution dauthentification rside dans le fait quil sagit dun fonctionnement triparti :
lquipement rseau : cest le point daccs, il est le client Radius puisque cest lui qui soumet

les requtes au serveur Radius. Ils doivent imprativement supporter au moins les standards du
protocole Radius et les protocoles IEEE 802.1X et EAP ; le poste utilisateur : nous avons utilis une machine virtuelle installer sur la machine qui

hberge le serveur grce linstallation de VMware ;


le serveur dauthentification : Il sagit dune machine implmentant un serveur

RADIUS. Cest lui qui va authentifier lutilisateur. En fonction du rsultat de lauthentification ce serveur va envoyer lauthentificateur un message comme quoi ce dernier peut autoriser ou non le port ;
Un systme dexploitation : Windows server 2008 pour hberger le serveur Radius.

I.

Cration du rseau

Pour la cration de ce rseau, lutilisation dActive Directory est ncessaire. Les services de domaine Active Directory (AD DS, Active Directory Domain Services) stockent des informations propos des utilisateurs, des ordinateurs et dautres ressources dun rseau. Les
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

services AD DS ncessitent quun serveur DNS (Domain Name System) soit install sur le rseau. Si le serveur DNS nest pas disponible pour la rsolution de noms dans le domaine, lassistant dinstallation dActive Directory va-nous demand dinstaller le rle du serveur DNS. Lintgration de DNS (Domain Name System) aux services de domaine Active Directory (AD DS) fournit une rplication automatique entre les contrleurs de domaine dans un domaine ou une fort commune. Linstallation de plusieurs contrleurs de domaine dans un domaine excutant le service Serveur DNS nous permet de nous assurer que DNS continuera de fonctionner en cas de dfaillance dun contrleur de domaine ou de sa mise hors service des fins de maintenance. Cela nous procure galement la possibilit de trouver les serveurs sur les sites o ils peuvent tre atteints de la manire la plus efficace par les clients DNS. Les avantages offerts par lintgration de DNS aux services de domaine Active Directory, pour les rseaux qui dploient DNS afin de prendre en charge les services de domaine Active Directory, il est vivement recommand dutiliser des zones principales intgres lannuaire. Ces zones prsentent les avantages suivants : DNS propose une rplication des donnes multi matre et une scurit amliore bases sur les capacits des services de domaine Active Directory ; Les zones sont rpliques et synchronises automatiquement sur les nouveaux contrleurs de domaine chaque fois que nous en ajoutons un un de domaine AD DS ; En intgrant le stockage de nos bases de donnes de zones DNS dans les services de domaine Active Directory, nous pouvons optimiser la planification de rplication de base de donnes pour notre rseau. Pour installer active directory, il faut aller dans la fentre "Tches de configuration initiales" utilisez "Ajouter des rles". Il aurait galement t possible de faire "Outils d'administration", "Gestionnaire de serveur", se placer sur "Rles" et faire "Ajouter des rles". Ou bien nous avons utilis linstallation en ligne de commande avec la commande DCPROMO. L'assistant commence par nous proposer l'installation en mode avanc. Ce mode avanc nous permet de fournir un fichier de rponses issu d'une autre installation ou encore de charger une sauvegarde de notre Active Directory. Nous allons maintenant commencer la cration de notre Active Directory. Nous aurons le choix entre rejoindre une fort existante ou crer un nouveau domaine dans une nouvelle
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

fort. Nous avons cr un nouveau domaine. Nous avons ensuite la possibilit de pouvoir indiquer le nom mrement rflchi de notre domaine racine de fort.

Figure 6:Nom du domaine racine de foret L'assistant va alors dtecter si le domaine DNS est dj utilis ou non sur le rseau. Le nom NetBIOS est galement important, il prend la partie la plus gauche de notre nom DNS. En mode avanc, nous avons slectionn un nom NetBIOS diffrent. Pour le nom DNS licprosoir.aicha.sn, le nom NetBIOS est LICPROSOIR. Etant donn l'importance du nom NetBIOS, l'assistant doit contrler la disponibilit de ce dernier. Si les noms DNS et NetBIOS ne sont pas dj pris, nous slectionnons le niveau fonctionnel de notre fort. Dans mon cas, nous avons pris le niveau 2008 R2 puisque notre future infrastructure supporte ce niveau fonctionnel. Si nous n'avons pas dj install un serveur DNS compatible avec les besoins d'Active Directory, nous slectionnons l'installation du serveur DNS de Windows. Un message d'avertissement apparat ensuite parce que le serveur n'arrive pas contacter le DNS qui gre la zone parente. Le serveur ne trouvant pas de serveur DNS parente, il ne peut pas demander de dlgation. Cliquons sur Oui pour continuer l'installation du contrleur de domaine. Nous avons ensuite indiqu le futur emplacement des fichiers servant Active Directory. Il est recommand de placer ces fichiers ailleurs que sur le disque systme. Si notre Active Directory, pour une raison quelconque, venait tomber en panne, nous pourrons le restaurer. Pour protger notre serveur et ainsi viter des restaurations non souhaites, nous avons donn un mot de passe.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Nous arrivons ensuite sur le rsum de l'installation qui va tre faite. Nous avons export les paramtres de cette installation afin de la reproduire ailleurs : il s'agit du fichier de rponses exploitable en mode avanc.

Configuration du DNS

Zone de recherche directe : Nous avons commenc par crer la zone de


recherche directe. Dans la console de gestion du DNS, faisons un clic droit sur Zones de recherche directes, Nouvelle zone. Nous avons ensuite slectionn le type de zone. Nous avons besoin d'une zone principale stocke dans Active Directory. La zone tant stocke dans Active Directory, nous slectionnons le fonctionnement de la rplication pour la zone DNS. Le choix par dfaut est correct. Nous indiquons le nom de notre zone, notre domaine sappelle licprosoir.aicha.sn comme celle que nous avons donn lors de la cration du domaine de dActive Directory. Pour viter les problmes dsactivons les mises jour.

Zone de recherche inverse : La cration de cette zone est simple. Ouvrons la


console de gestion DNS dans le gestionnaire de serveur ou bien par Menu dmarrer, Outils d'administration, DNS. Nous avons alors les zones de recherche directe et inverse, les redirecteurs conditionnels et les journaux concernant le DNS. Pour ajouter une nouvelle zone inverse DNS, faisons un clic droit sur Zone de recherche inverse, Nouvelle zone. Lors de la cration de la zone inverse, nous avons choisi le type d'IP qui constituera la zone. Slectionnons la zone IPv4.Nous avons ensuite entr l'ID de notre rseau. Notre adresse rseau IP est 192.168.1.2 do notre IP rseau est 192.168.1.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 7:Cration de la zone de recherche inverse

Ajout des comptes utilisateur

Les comptes d'utilisateurs servent authentifier, autoriser ou refuser l'accs aux ressources et auditer l'activit des utilisateurs individuels de notre rseau. Un compte de groupe est un ensemble de comptes d'utilisateurs que nous pouvons utiliser pour attribuer un jeu de droits et d'autorisations plusieurs utilisateurs en mme temps. Un groupe peut galement contenir des contacts, des ordinateurs et d'autres groupes. Il est possible de crer des comptes d'utilisateurs et des comptes de groupes dans Active Directory pour grer des utilisateurs de domaine. Nous pouvons galement crer des comptes d'utilisateurs et des comptes de groupes sur un ordinateur local afin de grer les utilisateurs de cet ordinateur. Pour crer un compte d'utilisateur dans Active Directory : Ouvrons Utilisateurs et ordinateurs Active Directory ; Dans l'arborescence de la console, cliquons avec le bouton droit sur le dossier dans lequel nous souhaitons ajouter un compte d'utilisateur ;

Pointons-nous sur Nouveau, puis cliquons sur Utilisateur ; Dans la zone Prnom, tapons le prnom de l'utilisateur ; Dans la zone Initiales, tapons les initiales de l'utilisateur ; Dans la zone Nom, tapons le nom de l'utilisateur ;

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Modifions Nom complet pour ajouter des initiales ou inverser l'ordre des nom et prnom.

Dans la zone Nom d'ouverture de session de l'utilisateur, tapons le nom avec lequel l'utilisateur se connecte, puis cliquons dans la liste droulante. Ensuite, cliquons sur Suivant.

Figure 8:Cration dun utilisateur dAD Dans les zones Mot de passe et Confirmer le mot de passe, tapons le mot de passe de l'utilisateur et slectionnons les options de mot de passe adquates. De la mme faon, nous pouvons aussi ajouter des groupes. Pour notre mise en uvre, nous avons cr quatre utilisateurs et deux groupes dont les groupes professeurs et groupes tudiants et nous avons mis dans chaque groupe deux utilisateurs.

Figure 9:Cration dun groupe sur AD

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

I.

Configuration du point daccs Wi-Fi

Un point d'accs sans fil est spcialement configur sur des nuds rseaux locaux sans fil. Les points d'accs agissent comme un metteur central et d'un rcepteur de signaux radio. Nous avons utilis le point daccs linksys illustres dans la figure qui suit.

Figure 10:Schmatisation dun linksys Pour visualiser le contenu du linksys, nous avons ouvert un navigateur quelconque et y taper ladresse IP suivant : http://192.168.1.1.

Figure 11:Page daccueil du point daccs Entrons notre login et notre mot de passe puis aller dans le menu paramtres sans fil. Une fois que nous avons entr le login correct et son mot de passe ici Admin/Admin, nous avons configur le DHCP qui nous a permis de grer lattribution des adresses IP dans notre
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

rseau comme a nous naurons pas linstaller au niveau de notre serveur. Ainsi dans cette configuration du DHCP, nous avons fix ladresse IP de domaine de rsolution des noms de domaine et la plage dadresse.

Figure 12:Configuration du DHCP Apres avoir configur le DHCP, nous avons dsactiv la diffusion du nom SSID (Service Set Identifier) ce qui empche le nom de notre rseau de ne pas tre visible aux yeux de tout le monde.

Figure 13:Configuration du SSID Nous avons utilis comme mode de scurit wifi le mode RADIUS ainsi nous renseignons les informations suivantes : ladresse IP de notre Serveur Radius, le numro de port et la mme cl partage que celle que nous avons saisi sur le Serveur Radius.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 14:Configuration du Radius

II.

Installation et configuration du serveur Radius


dans Windows server 2008 permet ladministrateur du

La gestion avance des rles

systme de matriser les fonctions principales associes un serveur. Ainsi, il est trs facile de ddier une machine un ou plusieurs rles particuliers. Les rles sont composs de services, lesquels sont donc des sous-lments dun ou plusieurs rles. Ainsi nous aurons la possibilit dinstaller les rles comme NPS.

1. Installation du NPS
Le Server Manager de Windows Server 2008 prend en charge le rle NPS (Network Policy Server). Dans la console Gestionnaire de Serveur, naviguons jusqu : Rles Services de stratgies daccs distant. Pour linstallation du rle NPS au niveau de Windows server 2008, nous devons suivre les instructions suivantes : Dans longlet ajout de nouveau rle, cliquons sur services de stratgies et daccs distant puis sur suivant ; Cochons NPS ; Cliquons sur routage et accs distant ; Cliquons sur installer.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 15:Slection des rles du routage et accs distant

1. Installation du certificat
Un certificat de cl publique, gnralement appel simplement un certificat, est une instruction signe numriquement qui lie la valeur dune cl publique lidentit de la personne, de la machine ou du service qui contient la cl prive correspondante. Lun des principaux avantages des certificats est que les htes nont plus besoin de grer un jeu de mots de passe pour des sujets individuels qui doivent tre authentifis avant dobtenir un accs. Il suffit dsormais lhte dtablir une relation dapprobation avec un metteur de certificats. En gnral, les certificats contiennent les informations suivantes : La valeur de la cl publique du sujet ; Des informations identifiant le sujet, par exemple son nom et son adresse de messagerie ; La priode de validit (dure pendant laquelle le certificat est valide) ; Des informations identifiant lmetteur ; La signature numrique de lmetteur qui atteste de la validit de la liaison entre la cl publique du sujet et les informations didentification de ce dernier. Un certificat nest valide que pour la dure spcifie lintrieur. Chaque certificat contient les dates Valide partir du et Valide jusquau qui dfinissent les limites de la priode de
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

validit. Une fois que la priode de validit dun certificat est dpasse, un nouveau certificat doit tre demand par le sujet du certificat expir. Voici les principaux types dutilisation des certificats : Authentification : vrification de lidentit dune personne ou dune autre entit ; Confidentialit : assurance que les informations ne sont accessibles quau public concern ; Chiffrement : codage des informations de telle sorte que les lecteurs non autoriss ne puissent pas les dchiffrer ; Signatures numriques : garantie de non-rpudiation et de lintgrit des messages. Ces services peuvent tre primordiaux pour la scurit de nos communications savoir :

Authentification : Lauthentification est vitale pour rendre la communication plus fiable. Les utilisateurs doivent pouvoir prouver leur identit leurs partenaires de communication et doivent galement pouvoir vrifier lidentit des autres utilisateurs ;

Confidentialit :

Lorsque

des

informations

sensibles

sont

transmises

entre

priphriques informatiques sur nimporte quel type de rseau, les utilisateurs souhaitent certainement utiliser une mthode de chiffrement afin de protger la confidentialit de leurs donnes ;

Chiffrement : Le chiffrement peut tre considr comme la mise sous verrous dun objet de valeur dans un coffre toute preuve. linverse, le dchiffrement peut tre considr comme louverture de ce coffre et lextraction de lobjet;

Signatures numriques : Une signature numrique nous permet de protger lintgrit et lorigine des donnes. Elle constitue une preuve vidente que les donnes nont pas t modifies depuis leur signature et confirme lidentit de la personne ou de lentit qui a sign les donnes.

Pour installer les services du certificat sur Windows 2008 server au sein dun domaine Active directory. Nous avons procd de la faon suivante, nous allons dans la console de gestionnaire de serveur pour ajouter le rle des services de certificats Active Directory.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 16:Installer du rle du certificat Les services de certificats Active Directory dans le systme dexploitation Windows Server 2008 fournissent des services personnalisables pour la cration et la gestion de certificats de cl publique utiliss dans les systmes de scurit logiciels employant des technologies de cl publique. Les organisations peuvent utiliser les services AD CS pour renforcer la scurit en liant lidentit dune personne, dun priphrique ou dun service une cl priv correspondante. Les services de certificats Active Directory comportent galement des fonctions qui nous permettent de grer linscription et la rvocation de certificats dans diffrents environnements volutifs.la prsentation du service de certificat dActive Directory est illustr dans la figure suivante :

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 17:Prsentation du certificat dActive Directory Apres avoir cliqu sur le suivant de lintroduction du service de certificat, nous slectionnons les services de rles installer pour le certificat dActive Directory, ici nous installons les autorits de certification et les inscriptions des autorits de certification pour le web.

Figure 18:Slection des rles installer pour le certificat

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Nous devons faire un choix entre les autorits de certificats dentreprise si cette autorit de certificat est un membre du domaine et peut utiliser les services dannuaire pour mettre et grer des certificats sinon utilisons les autorits de certificats autonome si celle-ci nutilise pas les services dannuaire dActive Directory.

Figure 19:Slection des rles installer pour le certificat Apres avoir choisi une autorit de certificat dentreprise, pour grer et mettre des certificats des clients, nous devons crer une cl prive pour amliorer la scurit.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 20:Cration de la cl prive Pour crer cette cl prive, nous devons slections un fournisseur de services de chiffrement dans notre cas, RSA #Microsoft Software Key Storage Provider, ainsi que un algorithme de hachage, ici le SHA256, et en fin une longueur de cl adapte.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 21:Configuration du chiffrement pour lautorisation de certification Aprs nous pouvons donner un nom commun de cette autorit de certificat qui sera ajout tous les certificats mis par lautorit de certification.

Figure 22:Configuration du nom de lautorit de certification

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Nous slectionnons la priode de validit du certificat qui permet de dfinir la dure dun certificat.

Figure 23:Priode de validit du certificat Apres avoir dtermin la dure de validit de notre certificat, nous configurons la base de donnes de certificat qui permet denregistrer toutes les demandes de certificats, les certificats mis et les certificats expirs. Apres cette configuration de la base de donnes du certificat, nous installons le rle du serveur web(IIS). Le rle Serveur Web (IIS) signifie Internet Information Services .C est une plateforme Web unifie intgrant IIS, ASP.NET. IIS nous permet de partager des

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

informations

avec

dautres

utilisateurs

sur

Internet,

intranet

ou

extranet.

Figure 24:Prsentation du serveur web (IIS) Nous slectionnons et installons les rles les plus importants pour notre application cest-dire le ASP.Net et le ASP ainsi que les autres rles qui sont facultatifs.

Figure 25:Slection des rles de lIIS

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Ainsi aprs confirmation, linstallation des trois rles est en cours cest--dire les services de certificats Active directory, le serveur Web (IIS) ainsi que les Services dactivation des processus Windows. Une fois lautorit de certification installe nous crons un certificat SSL pour pouvoir demander un certificat car par dfaut nous ne pouvons pas demander un certificat en http. Pour cela nous allons sur la mmc gestionnaire de services internet.

Figure 26:Gestionnaire des services internet

Nous nous pointons vers notre serveur et nous cliquons sur clique sur certificat de serveur.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 27:Cration dun certificat auto-sign Donc l nous crons un certificat auto-sign, ensuite il faut donner un nom et valider. Maintenant que notre certificat est cr nous allons configurer notre site web (certsrv) pour quil utilise ce certificat en https sur le port 443: Donc nous ajoutons une liaison https sur le site de demande de certificat, pour cela sur le site nous faisons un clic droit ensuite modifions les liaisons et ensuite nous cliquons sur ajouter.

Figure 28:Ajout dune liaison de site Donc l il faut choisir https et ensuite le certificat que nous venons de crer et valider. Ensuite nous allons forcer laccs web en SSL au niveau de IIS, donc dans le site certsrv cliquons sur paramtres SSL et cochons sur Exiger SSL.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 29:Paramtrage du SSL Donc voil maintenant notre autorit de certification est monte et nous pouvons demander des certificats directement sur linterface Web : https://win-dj3a01nd0158.licprosoir.aicha.sn.

Figure 30:Page daccueil de lautorit de certification

I.

Configuration du client Radius

Un serveur daccs rseau est un appareil qui fournit un certain niveau daccs un rseau de grande taille. Un serveur daccs rseau utilisant une infrastructure RADIUS est galement un
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

client RADIUS, qui envoie des demandes de connexion et des messages de gestion de comptes un serveur RADIUS des fins dauthentification, dautorisation et de gestion. La configuration du client Radius ncessite linstallation du rle de NPS Network Policy and Access Services .Ce service nous permet de crer et de mettre en application sur lensemble du rseau des stratgies daccs rseau portant sur lintgrit des clients ainsi que sur lauthentification et lautorisation des demandes de connexion. Ainsi dit, nous allons slectionner un scnario de configuration dans la liste cest--dire ici le Serveur RADIUS pour les connexions cbles ou sans fil 802.1X car il nous permettra de crer des stratgies rseau qui permettent au serveur NPS dauthentifier les autorisations des connexions provenant des clients RADIUS.

Figure 31:Slection dun scenario du NPS Par la suite, nous pouvons choisir le type de connexion 802.1X que nous voulons utiliser, dans notre cas nous allons utiliser une connexion 802.1X de type connexion sans fil scuris et aprs donn le nom de la stratgie utilise ici le nom wifi licprosoir.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 32:Slection du type de connexions 802.1X Lorsque nous ajoutons un client RADIUS la configuration NPS travers le composant logiciel enfichable NPS, nous configurons NPS pour recevoir des messages de requte daccs RADIUS manant dun serveur daccs rseau. Lorsque nous configurons un client RADIUS dans NPS, nous pouvons spcifier les proprits suivantes : Nom : Cest le nom convivial du client RADIUS qui facilitera lidentification lorsque nous utilisons le composant logiciel enfichable NPS ; Adresse : Ici nous pouvons donner lIP ou le nom du domaine du client RADIUS ; Fournisseur : Cest le fournisseur du client RADIUS ; Secret partage : Cest une chaine de caractres qui est utilise comme mot de passe entre les clients et les serveurs RADIUS. Lorsque lattribut dauthentificateur de message est utilis, le secret partag sert galement de cl pour chiffrer les messages RADIUS. Cette chane de caractres doit tre configure sur le client RADIUS et dans le composant logiciel enfichable NPS ; Attribut dauthentification de message : Il dcrit dans le document RFC, lextension RADIUS .Cet attribut est un hachage MD5 (Message Digest 5) de lintgralit du message RADIUS. Sil est prsent, lattribut dauthentificateur de message RADIUS est vrifi. Si la vrification choue, le message RADIUS est ignor. De mme, si lattribut dauthentificateur de message
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

est absent alors que les paramtres du client demandent sa prsence, le message RADIUS est ignor. Lutilisation de lattribut dauthentificateur de message est recommande.

Figure 33:Ajout dun client Radius Apres avoir cr le client RADIUS, nous configurons une mthode dauthentification .Ici nous allons choisir le EAP-MSCHAP qui nous permet davoir un mot de passe scuris.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 34:Configuration dune mthode dauthentification Apres avoir choisi le type de mot passe utiliser, nous pouvons spcifier les groupes dutilisateur qui seront paramtrs en fonction des besoins de ladministrateur cest--dire dfinir les diffrentes autorisations sur les deux groupes crer au niveau dActive Directory.

Figure 35:Spcification des groupes dutilisateur Apres avoir spcifi les groupes dutilisation, lassistant nous indique linstallation et la configuration du client RADIUS est terminer et il affiche les stratgies que nous avons crs.
M i s e e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

Figure 36:Fin de l'installation du 802.1X

I.

Configuration des clients daccs Wi-Fi

Dans notre cas nous utiliserons un systme dexploitation Windows Seven pour voir si un utilisateur du domaine avec les droits quon les a fix parviendra se connecter au rseau sans problme. Pour cela nous allons procder de la faon suivante : Installation du certificat Nous allons devoir rcuprer un certificat mis par lautorit de certification. Tout dabord ouvrons une session sous le nom de lutilisateur qui recevra le certificat sur cette machine. Puis ouvrir Internet Explorer ou Google Chrome ou Mozilla et se connecter sur le serveur Web de lautorit de certification : http:// "nom de votre serveur "/certsrv, ici https://licprosoir.aicha.sn puis taper le login et le mot de passe de lutilisateur qui est enregistr dans lActive Directory. Une fois dans la page daccueil, il va falloir maintenant installer une chaine de certificats, pour ce faire, nous cliquons sur le lien correspondant en bas de la fentre sur installer ce de chane de certificats dautorit de certification.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 37:Selection de lautorit de certification Une fentre souvre nous demandant de confirmer linstallation, cliquons sur oui. Puis nous devons retourner la page daccueil et cliquer sur le lien demander un certificat, puis le lien certificat utilisateur et slection le niveau de puissance de la cl ici nous avons utilis le niveau moyen et enfin cliquer sur le bouton envoyer.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 38:Choix du niveau de la puissance de la cl Nous devons confirmer la demande de certificat en cliquant sur oui et suivre le lien installer ce certificat. Puis cliquer sur oui pour valider que nous faisons confiance ce site.

Figure 39:Fin de l'installation du certificat

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Le certificat est maintenant install. Pour vrifier que les paramtres sont corrects, dans Internet Explorer nous allons dans le menu droulant outils puis option Internet puis dans longlet contenu cliquons sur certificats. Nous devons vrifier galement que le serveur de certificat est bien prsent dans la liste des autorits principales de confiance.

Figure 40:Verification de la prsence du serveur de certificat

Linstallation du certificat est maintenant termin nous allons pouvoir passer la configuration de la connexion rseau sans-fil. Configuration de la connexion rseau sans-fil Pour configurer la connexion du rseau sans fil dans la machine de lutilisateur, nous devons procder de la faon suivante :
M i s e

Rseaux ; proprits ; Grer les rseaux sans fil; Ajouter ;


e n u v r e d u n s e r v i c e d e s c u r i t a v e c R a d i u s Page

Crer un profil rseau manuellement ; Choisissons une authentification de type WPA et un cryptage de type TKIP.

Figure 41:Configuration de la connexion rseau sans fil

Dans longlet authentification nous devons slectionner activation de lauthentification IEEE 802.1X pour ce rseau et cliquons sur proprits du type EAP. Dcochons loption connexion ces serveurs puis slectionnons notre serveur de certificat dans la liste des autorits de certification racine de confiance.

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Figure 42: Proprits du certificat

Notre connexion est maintenant configure et oprationnelle, nous pouvons donc nous connecter au rseau sans-fil.

Figure 43:Connexion au rseau licprosoir.aicha.sn

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

Conclusion
Lobjectif principal du projet tait de mettre en place une tude sur la scurit au niveau de Windows server 2008. En effet, le dveloppement dun system dinformation est toujours entirement et ncessairement paramtrable aux besoins rels de lactivit de lentreprise .Il en va de mme pour la scurit au sein de cette entreprise o les menaces sont de plus en plus frquentes cause de lexistence du rseau sans fil. Ainsi pour assurer la scurit des donnes de lentreprise ainsi que la gestion des privilges de ces donnes par rapport aux diffrents utilisateurs, il est ncessaire dutiliser des protocoles dauthentification. En effet, limplantation dune solution dauthentification sur un rseau produit des bnfices importants. Lintroduction des rseaux sans fil exacerbe les questions de scurit et pousse au dploiement de ces technologies dauthentification. La ralisation de ce projet avait ncessit tout dabord une large tude des protocoles

dauthentification-d autorisation et de comptabilit. Parmi ces protocoles nous en avons tudi trois savoir Kerberos, Radius et TACACS+. Apres une petite comparaison entre les trois, nous avons pu choisir Radius que nous avons essay de mettre en uvre par la suite sous Windows server 2008. Au terme de ce projet, nous pouvons estimer le bilan de notre travail globalement positif. Certes des problmes ont t rencontres, en loccurrence la disponibilit du matriel pour tester tant notre mise en uvre. Dans tous les cas, lobjectif qui a t vis, est atteint car le projet nous a permis dacqurir des connaissances considrables dans le domaine du rseau informatique. Aussi pour mieux scuriser et grer les donnes au sein dune entreprise, pourquoi ne pas cumuler les trois protocoles dauthentifications pour ainsi produire une scurit sans faille au niveau de la scurit ?

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page

M i s e

e n

u v r e

d u n

s e r v i c e

d e s c u r i t a v e c R a d i u s

Page