3. De nos jours, la plupart des entreprises possèdent de
nombreuses postes informatiques qui sont en général
reliées entre eux par un réseau local.
Ce réseau permet d’échanger des données entre les
divers collaborateurs internes à l’entreprise et aussi de
connecter à l’Internet.
Problématique
4. Problématique
VPN - Firewall
Serveur
d’Authentification
Ouvrir l’entreprise vers le monde
extérieur signifie laisser une porte
ouverte à divers acteurs étrangers.
Cette porte peut etre exploité pour la
destruction des données ou pour le
piratage des données
C’est pourquoi on doit sécuriser notre
réseau en utilisant:
6. Radius
RADIUS est un acronyme de Remote Authentification Dial
In User Service. RADIUS définit une norme les plus
courants utilisée pour la maintenance et la gestion de
validation et authentification de l'utilisateur distant. Le
nouveau routage et accès distant (RRAS) peuvent
fonctionner en tant que client RADIUS. Ainsi, les clients
d'accès distant et les routeurs d'accès à distance doivent
être authentifiées par rapport à un serveur RADIUS.
RADIUS est défini par la RFC 2138.
8. Functionalitiés du Radius
Modèle client/serveur
Un serveur d'accès réseau (NAS) fonctionne en tant que
client RADIUS. Le client est chargé de transmettre les
informations utilisateur vers des serveurs RADIUS
désignés et agir en fonction de la réponse qui est
renvoyée.
9. Functionalitiés du Radius
Serveurs RADIUS sont chargés de recevoir les demandes
de connexion utilisateur, l'authentification de l'utilisateur et
retournant ensuite toutes les informations de configuration
nécessaires au client fournir un service à l'utilisateur.
Un serveur RADIUS peut agir comme un client de proxy
pour d'autres serveurs RADIUS ou d'autres types de
serveurs d'authentification.
10. Functionalitiés du Radius
Sécurité du réseau
Les transactions entre le client et le serveur RADIUS sont
authentifiées par l'utilisation d'un secret partagé qui n'est
jamais transmis sur le réseau. En outre, les mots de passe
utilisateur sont envoyés cryptées entre le client et le
serveur RADIUS, pour éliminer la possibilité que quelqu'un
snooping sur un réseau non sécurisé peut déterminer un
mot de passe utilisateur.
11. Functionalitiés du Radius
Mécanismes d'authentification souples
Le serveur RADIUS peut prendre en charge une variété de
méthodes pour authentifier un utilisateur. Lorsqu'il est
fourni avec le nom d'utilisateur et un mot de passe
d'origine donné par l'utilisateur, il prend en charge PPP
PAP, CHAP, connexion UNIX et autres mécanismes
d'authentification.
12. Functionalitiés du Radius
Protocole extensible
Toutes les transactions sont constituées de longueur
variable attribut-longueur-valeur 3-tuples. Nouvelles
valeurs d'attribut peuvent être ajoutés sans perturber les
implémentations existantes du protocole.
14. Options D’un client Radius
Client RADIUS d'accès distant et de routage prend
en charge les options suivantes : Id de Session de
compte Durée de Session de compte
Type de statut de compte Numéro de
rappel
Framed-IP-Address Protocole tramé
Délai d'inactivité NAS-Identifier
NAS-Port NAS-Port-Type
Limite de port Délai d'expiration
de session
Nom d'utilisateur
18. Détails du Radius
RADIUS utilise UDP et non le protocole TCP pour quelques raisons:
l'utilisateur ne peut pas attendre pendant plusieurs minutes, alors
l'algorithme de retransmission de TCP ACK et pas nécessaire.
Pas de traitement spécial pour les clients hors ligne et les
serveurs
Stateless Protocole
Facile à mettre en œuvre serveur multi-thread et fournir des
services aux demandes des clients multiples.
19. Fonctionnalités du PfSense
Pfsense utilise p0f, un utilitaire qui permet de filtrer de façon
passive en fonction du type de Système d’Exploitation qui
initie la connexion.
Il est capable aussi d’archiver les traces règle par règle.
21. Radius et la sécurité
La sécurité est bien maintenu grâce :
Deux fonction principale sont fournies pour cacher les
Attribut (principalement mots de passe) et l’authentification
des messages
chaque fonction est exécutée par la fonction de hachage
MD5 et le secret partagé
22. Réseau Local : Représenté en une machine virtuel Ubunto
DMZ: Machine virtuel dans laquelle installé un serveur web
L’internet c’est notre machine Réelle ou on peut acceder à
l’Internet
Pare-feu: Pfsense
Architecture
23. Après la création des machines virtuelles on passe au réglage du pfsense afin de permettre le
réseau local de connecter au DMZ et à l’internet et Empécher le cas inverse.
Etape de réalisation
27. Vulnérabilités de RADIUS
La méthode du hachage MD5 a des failles
Il n’y pas de protection dans la couche transport
Utilisation de mauvais générateur aléatoire de génération de
demande
29. Conclusion
Radius est couramment utilisé dans les systèmes embarqués
(routeurs, commutateurs, etc), qui ne peut pas gérer grand
nombre de l'utilisateur avec des informations d'authentification
distinct
RADIUS facilite la gestion centralisée d'administration des
utilisateurs
RADIUS fournit certain niveau de protection contre le ‘sniffing’
attaque active
Largement mis en œuvre par le fournisseur de matériel
Diameter est une amélioration de Radius.