85
Résumé L’implémentation d’une solution d’authentification sur un réseau local filaire pro- duit des bénéfices importants. Au sein du SUNGARD, il est nécessaire d’autoriser la mobilité des utilisateurs. Un utilisateur doit pouvoir se retrouver dans le réseau interne de son plateau même s’il se trouve physiquement dans un autre bâtiment. Cette opé- ration est réalisée grâce aux VLAN de chaque plateau. Selon le statut de la personne, il faut qu’elle soit placée dans un VLAN particulier. Pour cela, il a été défini une liste répertoriant les adresses IP utilisées dans chacun de ces VLAN. Les VLAN ne sont là que pour la séparation des réseaux. Ils ne savent pas gérer les procédures d’authenti- fication. Celle-ci sera donc mise en place avec une méthode basée sur la norme IEEE 802.1x. i

Report Master

Embed Size (px)

Citation preview

Résumé

L’implémentation d’une solution d’authentification sur un réseau local filaire pro-duit des bénéfices importants. Au sein du SUNGARD, il est nécessaire d’autoriser lamobilité des utilisateurs. Un utilisateur doit pouvoir se retrouver dans le réseau internede son plateau même s’il se trouve physiquement dans un autre bâtiment. Cette opé-ration est réalisée grâce aux VLAN de chaque plateau. Selon le statut de la personne,il faut qu’elle soit placée dans un VLAN particulier. Pour cela, il a été défini une listerépertoriant les adresses IP utilisées dans chacun de ces VLAN. Les VLAN ne sont làque pour la séparation des réseaux. Ils ne savent pas gérer les procédures d’authenti-fication. Celle-ci sera donc mise en place avec une méthode basée sur la norme IEEE802.1x.

i

Dédicace

Du plus profond de mon cœur et avec le plus grand plaisir de ce monde, je dédie cetravail :

A mes très chers parents Mongi et Najwa pour tous les sacrifices qu’ils ont consen-tis pour mon éducation et pour tout ce qu’ils ont enduré pour satisfaire toutes messollicitations.Que le dieu les préserve en bonne santé et longue vie.

A Mes chers Frères Adnen,Ayoub et Mes chères sœur Hadil et Sinda.A qui je souhaite un avenir radieux Plein de bonheur et de succès.Que dieu vous bénisse et vous accorde joie, santé et longue vie.

A Tous mes amis sans exception.Et a tous ceux qui m’ont aidé de prés ou de loin à la réalisation de ce travail.

ii

Remerciement

Je remercie Dieu, le Tout Puissant, le Miséricordieux, qui nous a donné l’opportu-nité de mener à bien ce travail.

C’est avec un grand plaisir que, j’adresse mes sincères remerciements à l’égard demes encadreurs, M. Mohamed Amine Boukhari et M. Mohamed Laaraiedh, qui n’ontménagé aucun effort pour la bonne réussite de ce travail.

J’adresse mes sincères remerciements au coordinateur de Master chez ISI, M. Mo-hamed Houcine Hdhili. Je ne manque pas de remercier M. Walid Sebai Manger localIT à Sungard, pour la confiance qu’il nous a accordé pour accomplir ce travail.

Je réserve une pensée spéciale à tous les enseignants de l’ISI qui ont su nous don-ner une formation didactique et appréciable durant tout notre cursus, à la promotionSSICE 2013/2014 pour la sagesse qu’elle a fait preuve. Ce geste sera gravé à jamaisdans nos mémoires.

Je tiens aussi à remercier les membres du jury qui m’ont fait l’honneur de juger cetravail.

Je voudrai ensuite remercier l’ensemble du personnel de Sungard, pour avoir surendre cette expérience aussi enrichissante et agréable.

Je ne terminai pas sans avoir exprimé mes remerciements envers toutes les per-sonnes qui ont contribué de près ou de loin à la réalisation de ce projet.

Bilel TRABELSI

iii

Glossaire

AAAA :Authentication, Authorization, Accounting.ACL :Access control list.AD :Active directory.ARP :Address Resolution Protocol.AKA :Authentication and Key Agreement.DDMZ :Demilitarized zone in network computing.DHCP :Dynamic Host Configuration Protocol.DOS :Denial of service.DNS :Domain Name System.EEAP :Extensible Authentication Protocol.EAPOL :Extensible Authentication Protocol OVER LAN.IIDS :Intrusion Detection System.IPS :Intrusion prevention systems.IP :Internet Protocol.IETF :Internet Engineering Task Force.IEEE :Institut of Electrical and Electronics Engineers.LLAN :Local area network.LEAP :Lightweight Extensible Authentication Protocol.LDAP :Lightweight Directory Access Protocol.MMAC :Media Access ControlMD5 :Message Digest 5 challenge Handshake authentication Protocol.NNAC :Network Access control.NAS :Network Authentication Service.NTLM :NT Lan Manager.NTP :Network Time Protocol.OOTP :One-time password.PPAE :Port access entity.PEAP :Protected Extensible Authentification.

iv

v

VVLAN :Virtual local network.VPN :Virtual private network.TTCP :Transmission Control Protocol.TLS :Transport Layer Security.TTLS :Tunneled- TLS.SSKE :EAP-Shared Key Exchange.SSH :Secure Shell.

Table des matières

Résumé i

Dédicace ii

Remerciement iii

Glossaire iv

Table des figures ix

Liste des tableaux xi

1 Introduction Générale 1

2 Audit et sécurité d’un réseau informatique 32.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 Audit sécurité des systèmes d’information . . . . . . . . . . . . . . . . 3

2.2.1 Qu’est ce que un Audit . . . . . . . . . . . . . . . . . . . . . . . 32.2.2 Rôles et objectifs de l’audit . . . . . . . . . . . . . . . . . . . . 42.2.3 Cycle de vie d’un audit sécurité des systèmes d’information . . . 4

2.3 Démarche de réalisation d’un audit Sécurité de Système d’information . 52.3.1 Définition de la charte d’audit . . . . . . . . . . . . . . . . . . . 52.3.2 Préparation de l’audit . . . . . . . . . . . . . . . . . . . . . . . 62.3.3 Audit organisationnel et physique . . . . . . . . . . . . . . . . . 62.3.4 Audit technique . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.3.5 Test d’intrusion (Audit intrusif) . . . . . . . . . . . . . . . . . . 72.3.6 Rapport d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.4 Audit Interne à SUNGARD Global Solutions Tunis . . . . . . . . . . . 82.4.1 Objectifs d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . 82.4.2 Résumé du travail effectué . . . . . . . . . . . . . . . . . . . . . 82.4.3 Observations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.4.4 Systèmes d’information de l’administration, le développement et

la maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.4.5 Communication et gestion des opérations . . . . . . . . . . . . . 92.4.6 Contrôles physiques et environnementales . . . . . . . . . . . . . 92.4.7 Gestion de la continuité des affaires . . . . . . . . . . . . . . . . 92.4.8 Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . 102.4.9 Avis de vérification . . . . . . . . . . . . . . . . . . . . . . . . . 10

vi

Table des matières vii

2.5 Les Menaces Informatiques . . . . . . . . . . . . . . . . . . . . . . . . . 102.5.1 Virus, ver, et cheval de Troie . . . . . . . . . . . . . . . . . . . . 102.5.2 Spyware et adware . . . . . . . . . . . . . . . . . . . . . . . . . 112.5.3 Attaques zero-day . . . . . . . . . . . . . . . . . . . . . . . . . . 112.5.4 Dépassement de Tampon . . . . . . . . . . . . . . . . . . . . . . 112.5.5 Les attaques par déni de services . . . . . . . . . . . . . . . . . 122.5.6 Interception et vol de données . . . . . . . . . . . . . . . . . . . 122.5.7 Le vol d’identité et Usurpation de Droit . . . . . . . . . . . . . 12

2.6 Les Mesures de Sécurité Informatique à SUNGARD . . . . . . . . . . . 122.7 Critique et propositions . . . . . . . . . . . . . . . . . . . . . . . . . . 142.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3 Spécification et Analyse de besoins 153.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.2 Problématique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.3 Étude de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.4 Les solutions existantes sur le marché . . . . . . . . . . . . . . . . . . . 17

3.4.1 La technologie biométrique . . . . . . . . . . . . . . . . . . . . . 173.4.2 La Carte à puce Digipass . . . . . . . . . . . . . . . . . . . . . . 173.4.3 La Technologie RSA SecurID . . . . . . . . . . . . . . . . . . . 173.4.4 La carte à puce audio . . . . . . . . . . . . . . . . . . . . . . . . 173.4.5 Le protocole 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . 183.4.6 les serveurs d’application . . . . . . . . . . . . . . . . . . . . . . 183.4.7 Les services d’annuaires . . . . . . . . . . . . . . . . . . . . . . 193.4.8 Les protocole d’authentification . . . . . . . . . . . . . . . . . . 20

3.5 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223.6 Conduite du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.6.1 Processus du projet . . . . . . . . . . . . . . . . . . . . . . . . . 233.6.2 Cycle de vie d’un projet . . . . . . . . . . . . . . . . . . . . . . 233.6.3 Choix du modèle en V . . . . . . . . . . . . . . . . . . . . . . . 24

3.7 Spécification des besoins du rojet . . . . . . . . . . . . . . . . . . . . . 243.7.1 L’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.7.2 Les besoins fonctionnels . . . . . . . . . . . . . . . . . . . . . . 253.7.3 Les besoins non fonctionnels . . . . . . . . . . . . . . . . . . . . 25

3.8 Spécification semi-fonctionnelle . . . . . . . . . . . . . . . . . . . . . . 253.8.1 Diagramme de cas d’utilisation global . . . . . . . . . . . . . . . 253.8.2 Diagramme de séquence global . . . . . . . . . . . . . . . . . . . 27

3.9 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4 Réalisation du projet 294.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294.2 Environnement du travail . . . . . . . . . . . . . . . . . . . . . . . . . 29

4.2.1 Environnement matériel . . . . . . . . . . . . . . . . . . . . . . 294.2.2 Environnement logiciel . . . . . . . . . . . . . . . . . . . . . . . 29

4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authen-tification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Table des matières viii

4.3.1 Schéma général d’implémentation . . . . . . . . . . . . . . . . . 324.3.2 Détails de configuration . . . . . . . . . . . . . . . . . . . . . . 35

4.4 Les challenges rencontrés . . . . . . . . . . . . . . . . . . . . . . . . . . 564.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

5 Conclusion Générale 58

A Annexe 59

B Annexe 63

Bibliographie 74

Table des figures

2.1 Le cycle de vie d’audit de sécurité . . . . . . . . . . . . . . . . . . . . . 42.2 Schéma du processus d’audit . . . . . . . . . . . . . . . . . . . . . . . . 5

3.1 Processus pour accéder au réseau du SUNGARD . . . . . . . . . . . . 163.2 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223.3 Cycle de vie d’un projet . . . . . . . . . . . . . . . . . . . . . . . . . . 233.4 Cycle de vie Modèle en V . . . . . . . . . . . . . . . . . . . . . . . . . 243.5 Cas d’utilisation global . . . . . . . . . . . . . . . . . . . . . . . . . . . 263.6 Cas d’utilisation "s’authentifier" . . . . . . . . . . . . . . . . . . . . . . 263.7 Cas d’utilisation de demande de connexion . . . . . . . . . . . . . . . . 273.8 Diagramme de séquence . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4.1 Architecture de la plateforme proposée . . . . . . . . . . . . . . . . . . 324.2 Politique d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 364.3 Configuration DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374.4 Modifier le DNS au fichier resolv.conf . . . . . . . . . . . . . . . . . . . 374.5 Configuration NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.6 Installation de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.7 Configuration de fichier Kerberos . . . . . . . . . . . . . . . . . . . . . 394.8 Récupération d’un ticket Kerberos . . . . . . . . . . . . . . . . . . . . . 394.9 Configuration de fichier Samba . . . . . . . . . . . . . . . . . . . . . . 404.10 Redémarrage de samba . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.11 Intégration dans L’AD . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.12 Redémarrage de service Winbind . . . . . . . . . . . . . . . . . . . . . 414.13 Vérification du ticket Kerberos . . . . . . . . . . . . . . . . . . . . . . . 414.14 Test du RCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.15 Résultat de Test RCP . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.16 Affichage des utilisateurs de l’annuaire . . . . . . . . . . . . . . . . . . 424.17 Test d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.18 Résultat de test d’authentification . . . . . . . . . . . . . . . . . . . . . 434.19 Installation de Freeradius . . . . . . . . . . . . . . . . . . . . . . . . . . 434.20 Vérification de service NTLM . . . . . . . . . . . . . . . . . . . . . . . 434.21 Architecture LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444.22 Architecture LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454.23 Configuration de fichier EAP . . . . . . . . . . . . . . . . . . . . . . . . 464.24 Configuration de fichier MS-CHAP . . . . . . . . . . . . . . . . . . . . 474.25 Fichier proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

ix

Table des figures x

4.26 Redémarrage du service radius . . . . . . . . . . . . . . . . . . . . . . . 474.27 Test d’authentification local . . . . . . . . . . . . . . . . . . . . . . . . 484.28 Activation le mode debug . . . . . . . . . . . . . . . . . . . . . . . . . 484.29 Résultat de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484.30 Activation AAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494.31 Création d’une méthode d’authentification . . . . . . . . . . . . . . . . 494.32 Autorisation de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . 494.33 Configuration des paramètres serveur . . . . . . . . . . . . . . . . . . . 504.34 Configuration de retransmission au serveur . . . . . . . . . . . . . . . . 504.35 Configuration de secret partagé entre le commutateur et le serveur Radius 504.36 Configuration de routeur . . . . . . . . . . . . . . . . . . . . . . . . . . 514.37 Configuration de l’interface de commutateur . . . . . . . . . . . . . . . 514.38 Sauvegarde de la configuration de commutateur . . . . . . . . . . . . . 514.39 Service.msc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524.40 Configuration Automatique . . . . . . . . . . . . . . . . . . . . . . . . 534.41 Méthode d’authentification réseau . . . . . . . . . . . . . . . . . . . . . 544.42 Activer le type d’authentification . . . . . . . . . . . . . . . . . . . . . 554.43 Méthode d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 56

A.1 les différents 2700X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61A.2 Modèle OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

B.1 Les trois entités qui interagissent dans 802.1x . . . . . . . . . . . . . . 64B.2 Architecture du PAE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65B.3 Structure des trames RADIUS . . . . . . . . . . . . . . . . . . . . . . . 66B.4 Établissement d’une session RADIUS . . . . . . . . . . . . . . . . . . . 67B.5 802.1x et serveur d’authentification . . . . . . . . . . . . . . . . . . . . 68B.6 Le trafic EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69B.7 Séquence d’authentification . . . . . . . . . . . . . . . . . . . . . . . . 70B.8 Exemple de situation après une authentification réussie . . . . . . . . . 71B.9 Diagramme de communication . . . . . . . . . . . . . . . . . . . . . . . 72

Liste des tableaux

3.1 Description textuelle pour le cas d’utilisation "s’authentifier" . . . . . . 263.2 Description textuelle pour la demande de connexion . . . . . . . . . . . 27

4.1 Paramétrages des différentes entités. . . . . . . . . . . . . . . . . . . . 31

B.1 Valeur du champ Code RADIUS . . . . . . . . . . . . . . . . . . . . . . 66

xi

1Introduction Générale

Dans un contexte concurrentiel, le souci majeur de toute entreprise est commentfaire connaître ses activités et services au niveau national et international. Toutefois,il est primordial de garantir la sécurité au sein de système informatique et réseau del’entreprise. C’est dans ce cadre que se situe ce projet qui consiste à implémenter unenouvelle technologie d’authentification pour le réseau câblé de SUNGARD.

SUNGARD (SUN Guaranteed Access to Recovered Data) a été créé en 1982, entant qu’essaimage de la Sun OilCompany. En 1970, Sun Oil s’est lancé dans plusieursactivités, notamment une division de services informatiques qui est finalement devenueSUNGARD. Basée à Wayne, Pennsylvanie, SUNGARD est aujourd’hui l’un des leadersmondiaux du logiciel et des services IT des entreprises. Elle compte 20.000 collabora-teurs répartis dans 200 villes et 30 pays et répond aux besoins de 25.000 clients répartisdans 70 pays. SUNGARD fournit des solutions et des logiciels de traitement pour lesservices financiers, l’enseignement supérieur et le secteur public. Elle fournit égalementdes services de récupération des données, la gestion des services informatiques, la dis-ponibilité de l’informationnel des services de consultation et la continuité des activitésde gestion des logiciels. l’entreprise prend en charge les opérations stratégiques desinstitutions financières, des entreprises, des collectivités locales ainsi que la sécuritépublique, les organismes de justice et les institutions éducatives à travers le monde.

Au sein de la société SUNGARD, il y on a des équipes et chacun d’eux a un accès àun réseau spécifique selon des droits d’accès bien déterminés. Autrement dit, la visibilitéde données existantes dans la base de données est limitée aux membres de chaqueéquipe : tenons l’exemple de l’équipe qui prend en charge la tache de développement.Cette équipe a un réseau local sur lequel elle peut se connecter et donc sa propre basede données. Par exemple, un stagiaire qui a le droit d’accès seulement à la base donnéespropre aux stagiaires ne peut en aucun cas voir les informations de la base de donnéesqui concernent la catégorie "Équipe de développement".

Cette procédure peut devenir plus complexe pour plusieurs raisons. Parmi ces rai-sons, on trouve la manque de sécurité au niveau du réseau câblé, l’interception de

1

2

données qui consiste à écouter les transmissions des différents utilisateurs du réseaufilaire, et le vol d’identité d’une personne physique ou morale qui consiste à prendredélibérément l’identité d’une autre personne, dans le but de réaliser des actions frau-duleuses, etc.

Après une investigation détaillée, on a conclu qu’il y a un problème au niveau d’accèsphysique au réseau filaire du SUNGARD. On a conclu qu’une implémentation de latechnologie 802.1x est indispensable pour l’authentification du réseau câblé. 802.1Xest un standard lié à la sécurité des réseaux informatiques, mis au point en 2001 parl’IEEE (famille de la norme IEEE 802). Son objectif est de réaliser une authentificationde l’accès au réseau au moment de la connexion physique à ce dernier, et valider undroit d’accès physique aux réseaux. Le 802,1x apporte des avantages considérables auniveau de l’administration du réseau, notamment par l’affectation dynamique de VLANen fonction de caractéristiques de cette authentification.

La suite de ce rapport est organisée en quatre chapitres :— Dans le premier chapitre, nous débutons par un état de l’art sur l’audit et la

sécurité d’un réseau informatique. En particulier, on présente les mesures desécurité utilisées au sein de SUNGARD contre les différents risques.

— Le deuxième chapitre est consacré à la spécification des besoins qui consiste àdégager les besoins fonctionnels et non fonctionnels et les analyser à l’aide desdiagrammes de cas d’utilisation et de séquences.

— Le troisième chapitre présente le fruit de ce projet qui est la réalisation dusystème. Dans ce dernier chapitre, nous présentons l’environnement matériel etlogiciel et les différentes taches effectuées tout au long de ce projet.

— Le rapport se termine par une conclusion générale qui rappelle la problématiqueet la solution proposée ainsi que les principales perspectives qu’on a dégagé pource travail.

2Audit et sécurité d’un réseau informatique

2.1 IntroductionTous les ordinateurs et donc les utilisateurs connectés à un réseau informatique sont

potentiellement vulnérables aux attaques. Ceci montre l’importance immanquable desactions de sécurité du réseau. La sécurité du réseau se réfère à toutes les activités visantà protéger le réseau. Plus précisément, ces activités protègent la facilité d’utilisation etoffrent la fiabilité, l’intégrité et la sécurité de réseau et des données. Par ailleurs, unesécurité réseau efficace vise une variété de menaces et les empêche de pénétrer ou dese propager sur le réseau.

2.2 Audit sécurité des systèmes d’information

2.2.1 Qu’est ce que un Audit

En informatique, le terme audit (une écoute) est apparu dans les années 70 et aété utilisé de manière relativement aléatoire. En particulier, un "audit de sécurité del’information" est une mission d’évaluation de conformité par rapport à une politiquede sécurité ou à défaut par rapport à un ensemble de règles de sécurité.

Une mission d’audit ne peut ainsi être réalisée que si l’on a défini auparavant unréférentiel, c’est-à-dire en l’occurrence, un ensemble de règles organisationnelles, procé-durales ou techniques de référence. Ce référentiel permet au cours de l’audit d’évaluerle niveau de sécurité réelle du "terrain" par rapport à une cible [1].

Pour évaluer le niveau de conformité, ce référentiel doit être :— Complet (mesure l’ensemble des caractéristiques) : il ne doit pas s’arrêter au ni-

veau système, réseau, télécoms ou applicatifs, de manières exclusives. De même,il doit couvrir des points techniques et organisationnels.

— Homogène : chaque caractéristique mesurée doit présenter un poids cohérentavec le tout.

3

2.2 Audit sécurité des systèmes d’information 4

— Pragmatique : c’est-à-dire aisé à quantifier (qualifier) et à contrôler. Ce dernierpoint est souvent négligé.

La mission d’audit consiste à mesurer le niveau d’application de ces règles sur le sys-tème d’informations par rapport aux règles qui devraient être effectivement appliquéesselon les processus édictés. l’audit est avant tout un constat.

2.2.2 Rôles et objectifs de l’audit

Une mission d’audit vise différents objectifs. En effet, nous pouvons énumérer à cetitre :

— la détermination des déviations par rapport aux bonnes pratiques de sécurité.— la proposition d’actions visant l’amélioration du niveau de sécurité du système

d’information.Également, une mission d’audit de sécurité d’un système d’informations se présentecomme un moyen d’évaluation de la conformité par rapport à une politique de sécuritéou par rapport à un ensemble de règle de sécurité [1].

2.2.3 Cycle de vie d’un audit sécurité des systèmes d’informa-tion

Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit uncycle de vie qui est schématisé à l’aide de la figure 2.1.

Figure 2.1: Le cycle de vie d’audit de sécurité

L’audit de sécurité informatique se présente essentiellement suivant deux partiescomme indiqué sur la figure 2.1 :

2.3 Démarche de réalisation d’un audit Sécurité de Systèmed’information 5

— l’audit organisationnel et physique.— l’audit technique.Une troisième partie optionnelle peut être également considérée. Il s’agit de l’audit

intrusif (test d’intrusion). Enfin, un rapport d’audit s’établit à l’issue de ces étapes. Cerapport présente une synthèse de l’audit. Il présente également les recommandations àmettre en place pour corriger les défaillances organisationnelles et techniques constatées[1].

2.3 Démarche de réalisation d’un audit Sécurité deSystème d’information

Dans la section précédente on a évoqué les principales étapes de l’audit de sécuritédes systèmes d’information. Cependant, il existe une phase aussi importante qui est laphase de préparation. Ainsi, nous pouvons schématiser l’ensemble du processus d’auditselon le schéma présenté par la figure 2.2.

Figure 2.2: Schéma du processus d’audit

2.3.1 Définition de la charte d’audit

Avant de procéder à une mission d’audit, une charte d’audit doit être réalisée. Ellea pour objectif de définir la fonction de l’audit, les limites et les modalités de sonintervention, ses responsabilités ainsi que les principes régissant les relations entre lesauditeurs et les auditer. Elle fixe également les qualités professionnelles et moralesrequises des auditeurs [1].

2.3 Démarche de réalisation d’un audit Sécurité de Systèmed’information 6

2.3.2 Préparation de l’audit

Cette phase est aussi appelée phase de pré-audit. Elle constitue une phase impor-tante pour la réalisation de l’audit sur terrain. En effet, c’est au cours de cette phaseque se dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Elle semanifeste par des rencontres entre auditeurs et responsables de l’organisme à auditer.Au cours de ses entretiens, les espérances des responsables vis-à-vis de l’audit devrontêtre exprimées. Aussi, le planning de réalisation de la mission de l’audit doit être fixé.

les personnes qui seront amenées à répondre au questionnaire concernant l’auditorganisationnel doivent être également identifiées. L’auditeur (aux les auditeurs) pour-rait également solliciter les résultats des précédents audits. Cette phase sera suivie parl’audit organisationnel et physique [1].

2.3.3 Audit organisationnel et physique

2.3.3.1 Objectifs

Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel del’organisme cible. Nous nous intéressons donc aux aspects de gestion et d’organisationde la sécurité sur les plans organisationnels, humains et physiques. L’objectif de cetteétape est donc d’avoir une vue globale sur l’état de sécurité du système d’informationset d’identifier les risques potentiels sur le plan organisationnel.

2.3.3.2 Déroulement

Afin de réaliser cette étape de l’audit, on doit suivre une approche méthodologie quis’appuie sur une batterie de question. Ce questionnaire préétabli devra tenir compte ets’adapter aux réalités de l’organisme à auditer. À L’issue de ce questionnaire, et suivantune métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le niveau dematurité en termes de sécurité de l’organisme, ainsi que la conformité de cet organismepar rapport à la norme référentielle de l’audit.

2.3.4 Audit technique

2.3.4.1 Objectifs

Cette étape de l’audit sur terrain vient en seconde position après celle de l’auditorganisationnel. L’audit technique est réalisé suivant une approche méthodique allantde la découverte et la reconnaissance du réseau audité jusqu’au sondage des servicesréseaux actifs et vulnérables.

Cette analyse devra faire apparaître les failles et les risques, les conséquences d’in-trusions ou de manipulations illicites de données. Au cours de cette phase, l’auditeurpourra également apprécier l’écart avec les réponses obtenues lors des entretiens. Iltestera aussi la robustesse de la sécurité du système d’information et sa capacité àpréserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation.

Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en causela continuité de service du système audité.

2.3 Démarche de réalisation d’un audit Sécurité de Systèmed’information 7

2.3.4.2 Déroulement

Vu les objectifs escomptés lors de cette étape, leurs aboutissements ne sont possiblesque par l’utilisation de différents outils. Chaque outil commercial qui devra être utilisédoit bénéficier d’une licence d’utilisation en bonne et due forme.

Également, les outils disponibles dans le monde du logiciel libre sont admis. L’en-semble des outils utilisés doit couvrir entièrement ou partiellement la liste non exhaus-tive des catégories ci-après :

— Outils de sondage et de reconnaissance du réseau.— Outils de test automatique de vulnérabilités du réseau.— Outils spécialisés dans l’audit des équipements réseau (routeurs, switchs).— Outils spécialisés dans l’audit des systèmes d’exploitation.— Outils d’analyse et d’interception de flux réseaux.— Outils de test de la solidité des objets d’authentification (fichiers de mots clés).— Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS, outils

d’authentification).— Outils spécialisés dans l’audit SGBD existants.Chacun des outils à utiliser devra faire l’objet d’une présentation de ses caracté-

ristiques et fonctionnalités aux responsables de l’organisme audité pour les assurer del’utilisation de ces outils.

2.3.5 Test d’intrusion (Audit intrusif)

2.3.5.1 objectifs

Cet audit permet d’apprécier le comportement du réseau face à des attaques. Ilpermet aussi de sensibiliser les acteurs (management, équipe informatique sur site, lesutilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été effec-tués (scénario et outils) ainsi que les recommandations pour pallier aux insuffisancesidentifiées.

2.3.5.2 Déroulement

La phase de déroulement de cet audit doit être réalisée par une équipe de personnesignorantes du système audité avec une définition précise des limites et horaires des tests.Étant donné l’aspect risqué (pour la continuité de services du système d’information)que porte ce type d’audit, l’auditeur doit :

— Bénéficier de grandes compétences.— Adhérer à une charte déontologique.— S’engager(la charte d’audit) à un non-déroulement : implication à ne pas pro-

voquer de perturbation du fonctionnement du système, ni de provocation dedommages.

2.3.6 Rapport d’audit

A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédigerun rapport de synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des

2.4 Audit Interne à SUNGARD Global Solutions Tunis 8

défaillances enregistrées. Autant est-il important de déceler un mal, autant il est éga-lement important d’y proposer des solutions. Ainsi, l’auditeur est également invité àdonner ses recommandations pour pallier les défauts qu’il aura constatés. Ces recom-mandations doivent tenir compte de l’audit organisationnel et physique ainsi que decelui technique et intrusif [1].

2.4 Audit Interne à SUNGARD Global Solutions Tu-nis

2.4.1 Objectifs d’audit

Les objectifs de cet audit comprenaient un examen des contrôles sélectionnés surles domaines suivants :

— Évaluer la conception et l’efficacité opérationnelle du cycle de vie de développe-ment logiciel.

— Évaluer la conception et l’efficacité opérationnelle des contrôles sur les systèmessoutenant les processus.

— Déterminer si des contrôles adéquats sont en place pour garantir la propriétéintellectuelle et des données sensibles.

— Vérifiez que les ressources sont formées dans les plans de sécurité et de transi-tion l’information pour réduire les écarts en matière d’expertise lors du chiffresd’affaires.

— Vérifier que les contrôles de sécurité physiques appropriées sont en place sur lesactifs et le bureau.

— Contrôles nécessaire pour assurer la continuité et le soutien des opérations cri-tique de l’entreprise d’affaires Vérifier est correctement documenté et testé.

— Faire des recommandations concrètes pour améliorer les contrôles et les proces-sus.

2.4.2 Résumé du travail effectué

Lors de cette mission d’audit, nous avons été amenés à exécuter les taches suivantes :— Configurations échantillonnées et évaluées pour les systèmes Windows et les

serveurs de test Linux.— Configurations échantillonnées et évaluées pour les pare-feu.— Examiner le processus de contrôle d’accès.— Évaluer la continuité des activités et le programme de reprise après sinistre.

2.4.3 Observations

Les observations sont classées en fonction du risque qu’ils représentent pour l’en-treprise. Ces classifications ont pour objectif d’aider l’entreprise à organiser les effortsd’assainissement. On a défini 3 niveaux de risque comme suit :

— Haut : résulte de l’exposition directe à des actifs importants ou une perte en

2.4 Audit Interne à SUNGARD Global Solutions Tunis 9

dollars fort potentiels. L’absence de contrôles appropriés pourrait avoir un im-pact considérable sur les opérations, la conformité réglementaire ou les résultatsfinanciers.

— Moyen : implique une exposition indirecte aux actifs importants et pourraitavoir un impact modéré sur les opérations, la conformité réglementaire ou lesrésultats financiers.

— Faible : risques qui ont un impact limité sur les opérations, la conformité régle-mentaire ou les résultats financiers.

2.4.4 Systèmes d’information de l’administration, le dévelop-pement et la maintenance

Contrôles positifs Notés— Les équipes du produit utilisent constamment les processus (produit) utilisés

à la vérification effectuée par les consultants dans le cadre du programme demesures communes collectées et audits.

— Les équipes travaillent à comprendre les spécifications qui leur est donné del’unité d’affaires et d’évaluer les risques sur les changements à voir comment elleinfluence le produit.

— Les équipes du produit sont conduits à assurer la livraison à tant de travaux.

2.4.5 Communication et gestion des opérations

Contrôles positifs Notés— Les analyses de LANguard(Réseau local de sungard) sont effectuées.— Nipper est utilisé pour examiner les configurations de pare-feu.— Le système de détection d’intrusion(IDS) est en place.— La surveillance est en place pour la capacité (disque et réseau).

2.4.6 Contrôles physiques et environnementales

Contrôles positifs Notés— Flux de vidéo-surveillances enregistrées et conservées pendant 90 jours.— Connectivité de réseau redondant.— Générateur en place pour assurer la disponibilité.— Des mécanismes anti-talonnage mis en place pour la zone de bureau.

2.4.7 Gestion de la continuité des affaires

Contrôles positifs Notés— La documentation pour le site de Tunis a révélé que les équipes travaillent en

collaboration avec les unités d’affaires pour s’assurer que le personnel et lesprocessus critiques sont documentés.

— Tests effectués sur une base annuelle.— Lorsqu’il y a un problème au niveau du bureau local du SUNGARD, les em-

ployées peuvent connecter à distance.

2.5 Les Menaces Informatiques 10

2.4.8 Recommandations

À la fin de l’audit, on a tiré les recommandations suivantes :— Les approbations sont documentées, mais ne sont pas gardées dans un endroit

d’accès facile et piste de vérification rapide. Il est recommandé de Centraliserles autorisations pour les équipes de produits en un seul endroit.

— L’équipe de soutien ne vérifie pas systématiquement la demande de changementréel par l’examen des renseignements sur le billet. L’équipe de soutien devraitexaminer les détails de tous les billets avant toute mise en œuvre et s’assurerque les demandes sont appropriées.

— Avoir un processus de ré-certification pour les badges d’accès à comparer avecla liste actuelle des employés comme un contrôle supplémentaire.

2.4.9 Avis de vérification

Trois degrés de satisfaction ont été définis comme suit :— Satisfaisant : Les contrôles fondamentaux sont en place dans tous les domaines

à l’étude et respectent ou dépassent les normes minimales acceptables ; Lescontrôles sont bien conçus et fonctionnent à un degré qu’ils fournissent uneassurance et une fiabilité raisonnable.

— Besoin d’amélioration : Les contrôles répondent généralement aux normes mi-nimales acceptables, mais un certain nombre de contrôles pour gérer les risquesclés sont soit ignorés, soit ayant des problèmes de conception, ou ne fonctionnentpas correctement. La direction devrait évaluer et prendre des mesures sur leslacunes et les insuffisances de contrôle.

— Peu satisfaisant : Les contrôles ne répondent pas aux normes minimales ac-ceptables. Des défauts de conception et/ou d’exploitation clés existent qui pour-raient exposer les processus en cours d’examen à des risques importants. Lescontrôles ne sont pas suffisants pour prévenir, détecter ou corriger les risques.Ceci nécessite une action corrective immédiate par la direction et l’audit desuivi, le cas échéant.

2.5 Les Menaces InformatiquesDe nombreuses menaces de sécurité réseau sont aujourd’hui réparties sur Internet.

Les menaces les plus courantes d’après CISCO sont décrites dans cette section [2].

2.5.1 Virus, ver, et cheval de Troie

— Virus : c’est un logiciel qui infecte un autre logiciel et l’utilise comme vecteur depropagation comme son équivalent biologique. C’est un programme malicieuxcapable de faire fonctionner des actions nuisibles pour le système informatique(SI), et éventuellement de se répandre par réplication à l’intérieur d’un SI. Lesconséquences sont le plus souvent la perte d’intégrité des données d’un SI et ladégradation voire l’interruption du service fourni.[2]

2.5 Les Menaces Informatiques 11

— Ver : de l’anglais Worm, c’est un logiciel qui se réplique sur les machines d’unréseau. C’est un programme malicieux qui a la faculté de se déplacer à traversun réseau qu’il cherche à perturber en le rendant totalement ou partiellementindisponible.[2]

— Cheval de Troie : c’est un programme qui se déguise en un autre programme,comme par exemple un programme de jeu, un utilitaire, une rustine ou un patchde sécurité. C’est un programme ou un fichier introduit dans un SI et comportantune fonctionnalité cachée connue seulement de l’agresseur. L’utilisation d’untel programme par l’utilisateur courant permet à l’attaquant de contourner lescontrôles de sécurité en se faisant passer pour un utilisateur interne.[2]

2.5.2 Spyware et adware

— Un logiciel espion : (aussi appelé mouchard ou espiogiciel ; en anglais spyware)c’est un logiciel malveillant qui s’installe dans un ordinateur dans le but decollecter et transférer des informations sur l’environnement dans lequel il s’estinstallé, très souvent sans que l’utilisateur en ait connaissance. L’essor de ce typede logiciel est associé à celui d’Internet qui lui sert de moyen de transmission dedonnées.[2]

— Un logiciel publicitaire ou publiciel (adware en anglais) est un logiciel qui affichede la publicité lors de son utilisation. Le publiciel contient habituellement deuxparties : une partie utile (le plus souvent un jeu vidéo ou un utilitaire) qui inciteun utilisateur à l’installer sur son ordinateur et une partie qui gère l’affichagede la publicité.[2]

— Logiciels malveillants : les logiciels espions qui espionnent les habitudes de l’uti-lisateur pour lui envoyer de la publicité ciblée [2].

2.5.3 Attaques zero-day

C’est une faille de la 10ème version d’Internet Explorer. C’est la société de sécuritéaméricaine FireEye qui l’a détectée et qui a constaté aussi qu’elle était utilisée par despirates. Microsoft a confirmé cette découverte. Une vulnérabilité zero-day est une ex-ploitation qui utilise une faille jusqu’ici méconnue du public. Une exploitation zero-dayest susceptible d’engendrer la création d’un ver car, par définition, la grande majoritédes utilisateurs ne sera pas protégée contre cette faille jusqu’à ce qu’elle soit découverteet corrigée.[2]

2.5.4 Dépassement de Tampon

Une des failles les plus courantes est le dépassement de tampon. En bref, suite à uneaction d’un pirate (ou un incident), un programme écrit en mémoire hors de l’espaceprévu à cet effet : par exemple, s’il reçoit trop de données, il va dépasser la limiteprévue, et écrire sur d’autres données. En créant des données spécifiques, le piratepourra faire exécuter celle-ci (dangereux)[2].

2.6 Les Mesures de Sécurité Informatique à SUNGARD 12

2.5.5 Les attaques par déni de services

L’attaque par déni de service a pour but de rendre inopérante une machine en lasaturant. Usuellement, cette attaque est menée contre des serveurs, mais on a déjà vudes vers implémentant un moteur DoS (Denial Of Service, déni de service) contre desclients du réseau local. Il existe différents moyens pour saturer un ordinateur, maistoutes reviennent au principe d’envoyer plus de requêtes (ping, http, fork, ...) que lesystème d’exploitation et le logiciel n’en peuvent traiter [2].

2.5.6 Interception et vol de données

— Interception : C’est un accès avec modification des informations transmises surles voies de communication avec l’intention de détruire les messages, de lesmodifier, d’insérer des nouveaux messages, de provoquer un décalage dans letemps ou la rupture dans la diffusion des messages [2].

— Balayage (scanning) : La technique consiste à envoyer au SI des informationsafin de détecter celles qui provoquent une réponse positive. Par suite l’attaquantpeut analyser les réponses reçues pour en dégager des informations utiles voireconfidentielles (noms des utilisateurs et profil d’accès ) [2].

2.5.7 Le vol d’identité et Usurpation de Droit

— Accès illégitimes : Lorsqu’une personne se fait passer occasionnellement pourune autre en usurpant son identité.

— Déguisement : Désigne le fait qu’une personne se fait passer pour une autre defaçon durable et répétée en usurpant son identité, ses privilèges ou les droitsd’une personne visée.

— Rejet : Variante du déguisement qui permet à un attaquant de pénétrer un SIen envoyant une séquence de connexion d’un utilisateur légitime et enregistré àson insu.

— Substitution : Sur des réseaux comportant des terminaux distants, l’intercep-tion des messages de connexion-déconnexion peut permettre à un attaquant decontinuer une session régulièrement ouverte sans que le système ne remarque lechangement d’utilisateur.

2.6 Les Mesures de Sécurité Informatique à SUN-GARD

Selon le type de menace, différentes mesures de sécurité informatique sont installéesà SUNGARD :

1. Virus : Un antivirus "Symantec Endpoint Protection" est utilisé par SUN-GARD. Il est temps d’adopter une solution plus complète qu’un antivirus, avecune protection par couches au niveau du terminal. Symantec Endpoint Pro-tection 12.1.4 offre une sécurité inégalée et des performances accrues sur lessystèmes virtuels et physiques. Cette solution intègre la technologie nécessaire

2.6 Les Mesures de Sécurité Informatique à SUNGARD 13

pour protéger les systèmes d’exploitation de dernière génération avec un niveaude performance optimal et une protection avancée. La technologie SymantecInsight réduit les analyses antivirus pendant que SONAR stoppe les cybercrimi-nels et les attaques "zero-day". Seule la solution Symantec Endpoint Protection12.1.4 permet d’assurer la sécurité dont vous avez besoin via un agent uniqueet puissant, en garantissant la protection la plus rapide et la plus efficace dumarché.

2. Ver, Cheval de Troie, Interception et vol de données : Un système dedétection d’intrusion (ou IDS : Intrusion Detection System) est un mécanismedestiné à repérer des activités anormales ou suspectes sur la cible analysée (unréseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentativesréussies comme échouées des intrusions. Les familles de systèmes de détectiond’intrusion,Il existe trois grandes familles distinctes d’IDS :— Les NIDS (Network Based Intrusion Detection System), qui surveillent l’état

de la sécurité au niveau du réseau.— Les HIDS (HostBased Intrusion Detection System), qui surveillent l’état de

la sécurité au niveau des hôtes.— Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus

pertinentes.Les HIDS sont particulièrement efficaces pour déterminer si un hôte est conta-miné et les NIDS permettent de surveiller l’ensemble d’un réseau contrairementà un HIDS qui est restreint à un hôte.

3. Spyware et adware :Ad-Aware est un logiciel qui détecte et supprime les virus, les logiciels considéréscomme des publiciels (sa vocation première) et des logiciels espion (spyware,malware). Il détecte également les composeurs, les chevaux de Troie et les autreslogiciels malveillants.

4. Attaques zero-day : Lorsqu’une faille de sécurité inconnue, dans un logiciel,est rendue publique, avant que l’auteur du logiciel dans lequel elle a été trouvéeen soit alerté, elle est dite "Zero Day". Contre une faille "Zero day", il n’y apas grand chose à faire sauf à naviguer avec NoScript et ne libérer les droits,aux sites, d’exécuter des scripts, qu’avec parcimonie (les sites et les documentsmédia exploitant les failles n’étant pas forcément des sites cybercriminels mais,aussi, des sites et documents légitimes, piratés (hackés) par des cybercriminels).

5. dépassements de tampon : Diverses techniques ont été utilisées pour détec-ter ou empêcher les dépassements de tampon, avec des arbitrages différents.Le moyen le plus fiable pour éviter ou prévenir les dépassements de tamponest d’utiliser une protection automatique au niveau du langage. Ce genre deprotection, cependant, ne peut pas être appliquée à l’héritage de code, et sou-vent contraintes techniques, commerciales ou culturelles appellent à une languevulnérables. Voici les choix ou les méthodes pour éviter les débordements demémoire tampon.— Choix des langages de programmation comme Java de guérison, .Net.— Utilisation de bibliothèques de sécurité.— Protection des espaces exécutable.

2.7 Critique et propositions 14

— Address Space Layout Randomization.— Inspection approfondie des paquets.— Désinfection des paramètres.

6. Déni De Services : Les attaques par déni de service non distribuées peuventêtre contrées en identifiant l’adresse IP de la machine émettant les attaques eten la bannissant au niveau du pare-feu ou du serveur. Les paquets IP provenantde la machine hostile sont dès lors rejetés sans être traités empêchant que leservice du serveur ne soit saturé et ne se retrouve donc hors-ligne.

2.7 Critique et propositionsAvec tout l’enjeu et les mesures de sécurité informatique, l’interception de données

et le vol d’identité restent un problème de sécurité dans le réseau filaire du SUNGRAD.L’objectif de la suite de ce travail est de chercher des solutions contre ce type d’attaque.

L’ISO a défini des services de sécurité tel que : l’authentification, le contrôle d’accès,la confidentialité et l’intégrité des données. Aussi, elle définit quelques types de méca-nismes de sécurité assurant ces services. Ils sont différés par leurs sophistications, leurscoûts, les efforts nécessaires pour être implanté, leurs maintenances et leurs besoins enressources humaines.

Ce mécanisme d’authentification est inefficace s’il est utilisé seul. En effet, les sys-tèmes d’exploitation actuels permettent à un utilisateur mal intentionné de modifierson adresse MAC et d’en usurper une valide. Le standard IEEE 802.1x, utilisable quelque soit l’environnement (sans fils ou filaire), définit l’encapsulation d’un nouveau mé-canisme d’authentification.

L’authentification est donc la procédure qui consiste, pour un système informa-tique, à vérifier l’identité d’une personne ou d’un ordinateur afin d’autoriser l’accès decette entité à des ressources (systèmes, réseaux, application). Afin de garantir cetteauthentification au niveau du réseau filaire du SUNGARD on va implémenter la norme802.1x.

2.8 ConclusionDans ce chapitre, on a présenté les principaux risques qui menacent le système

de sécurité au sein du SUNGARD. On a aussi présenté les principales méthodes deprotection pour éviter ces menaces. Grâce donc à l’audit qu’on a mené on a détecté lesprincipaux problèmes dans le réseau du SUNGARD. Pour lutter contre ces problèmes,on propose une solution basée sur la norme IEEE802.1x. Cette solution sera l’objet deprochains chapitres.

3Spécification et Analyse de besoins

3.1 IntroductionCe chapitre est consacré à l’analyse et la spécification de besoins. Cette étape

consiste à identifier les différentes fonctionnalités du projet et à décrire les cas d’uti-lisation posés par le sujet. Dans cette optique, nous allons tout d’abord définir lesfonctionnalités offertes par le système répondant aux besoins ensuite nous allons spéci-fier les acteurs pour arriver à la fin de ce chapitre à la présentation des cas d’utilisation.

3.2 ProblématiqueAu sein de la société SUNGARD, il y a plusieurs équipes. Chaque équipe possède

un accès à un réseau spécifique selon des droits d’accès bien déterminés. La visibilitéde données est donc limitée pour chaque équipe aux membres de cette équipe. Parexemple, l’équipe de développement a un réseau local sur lequel elle peut se connecter etsa propre base de données. Un membre d’une autre équipe ne peut en aucun cas accéderaux informations de la base de données de l’équipe de développement. Les informationsde la base de données accessibles aux équipe de développement sont transparentes pourles autres équipes tout en respectant les droits d’accès de chacune des équipes.

Cette procédure peut devenir plus complexe pour plusieurs raisons :— Manque de sécurité au niveau du réseau câblé.— Interception de données qui consiste à écouter les transmissions des différents

utilisateurs du réseau filaire.— Vole d’identité qui consiste à prendre délibérément l’identité d’une autre per-

sonne physique ou morale dans le but de réaliser des actions frauduleuses.— Accès interdit.— Réseau vulnérable à des attaques intérieures.Ce projet a pour objectif d’authentifier l’accès aux réseaux filaires de SUNGARD

15

3.2 Problématique 16

Tunisie, qui sont répartis sur plusieurs bâtiments dans lesquels sont placés des centainesd’ordinateurs. Ces ordinateurs sont utilisés par plusieurs types d’utilisateurs :

— Les visiteurs (i.g. les clients invités, les commerciaux).— Les invités (i.g. temporaires, stagiaires).— Les permanents.Chacun de ces types d’utilisateurs a différents droits d’accès au réseau, définis par

l’administrateur informatique. Par exemple, un visiteur n’a pas l’accès ni aux machinesdes salles de manipulation, ni à l’intranet, mais il peut surfer sur le Web et imprimer.Souhaitant prendre en compte divers éléments telle que le WiFi, l’authentificationcentralisée et la mobilité dans une solution globale et cohérente, SUNGARD a établiles fonctionnalités ci-dessous pour se protéger contre l’interception des données et levol d’identité dans un réseau câblé :

— Pour accéder au réseau, toute personne doit être authentifiée.— Les traces de connexion incluant le couple "utilisateur/adresse IP" seront conser-

vées pendant une durée spécifique.— Une mobilité des utilisateurs doit être possible, aussi bien en filaire qu’en sans-fil,

entre les bâtiments.— Tout personne peut se connecter à internet avec un simple login/mot-de-passe,

et c’est depuis n’importe quel site enregistré.— La sécurité doit être pris en compte à tous les niveaux.La figure 3.1 décrit le processus actuel pour accéder au réseau SUNGARD. Dans

ce processus :— n’importe quel utilisateur peut prendre une adresse IP et accéder au réseau.— l’utilisateur peut se connecter à n’importe quel groupe de VLAN.— l’utilisateur prend tous les droits d’accès du groupe.

Figure 3.1: Processus pour accéder au réseau du SUNGARD

3.3 Étude de l’existant 17

3.3 Étude de l’existant

3.4 Les solutions existantes sur le marché

3.4.1 La technologie biométrique

C’est la science qui permet d’identifier de manière automatique une personne en sebasant sur ses caractéristiques physiologiques ou comportementales. En effet, chaquepersonne est unique de ce fait, chacun possède sa propre caractéristique biométrique, etelle rend cette technologie assez stable. Généralement, on distingue deux catégories deméthodes d’authentification biométrique : les méthodes basées sur les caractéristiquesphysiques telles que le visage, la voix et l’ADN, et celles basées sur les caractéristiquescomportementales comme la signature, la manière de marcher ou de taper sur un clavier[3].

3.4.2 La Carte à puce Digipass

Le Digipass est un produit de sécurité de VASCO Data Security International,fournissant une authentification forte des utilisateurs et des signatures numériquesvia des jetons de sécurité réalisées par les utilisateurs de petites ou de logiciels surles téléphones mobiles, les appareils portables ou les PC. Cette technique utilise leserveur temps et l’authentification à deux facteurs et peut être utilisée pour signer destransactions électroniques.

3.4.3 La Technologie RSA SecurID

SecurID est un système de token, ou authentifieur, produit par la société RSASecurity et destiné à proposer une authentification forte à son utilisateur. La majoritédes tokens SecurID affichent un code à 6 chiffres changeant généralement toutes lesminutes.

L’utilisateur ajoute un Code PIN personnel au TokenCode lu sur l’authentifieurSecurID. Le tout est appelé un PassCode (soit PassCode = PIN Code + TokenCode).Par ailleurs, le Token expire au bout d’un certain temps (3 à 5 ans selon les modèles).Ce système de Token, de type OTP, est utilisé pour les applications Web (par exemplele eBanking) et les technologies de type VPN (IPSEC, SSL), SSH et Citrix [3].

3.4.4 La carte à puce audio

La société Audio Smart Card développe une offre matérielle et logicielle permettantde répondre efficacement à tous les besoins d’authentification distants sur l’ordinateuret le téléphone. Elle propose une carte à puce audio s’appliquant aussi bien à l’économieau call center, au transport, à la santé, aux ressources humaines, aux services télécom,etc. Basée sur le principe du mot de passe dynamique car elle utilise comme supportd’authentification une carte à puce audio qui fonctionne en liaison avec le serveurd’authentification Secure Sound Pro Server [3].

3.4 Les solutions existantes sur le marché 18

3.4.5 Le protocole 802.1x

Le protocole 802.1x est une solution standard de sécurisation de réseaux qui permetd’authentifier un utilisateur souhaitant accéder à un réseau (câblé ou Wifi) grâce à unserveur central d’authentification.

802.1x nécessite donc la présence d’un serveur d’authentification qui peut être unserveur RADIUS : un serveur Microsoft, Cisco (...) ou un produit libre comme Free-RADIUS ou encore un serveur TACACS dans le monde fermé des équipements Cisco.

Un port d’un commutateur réglé en mode 802.1x peut se trouver dans deux étatsdistincts :

— État "contrôlé" si l’authentification auprès du serveur RADIUS a réussi.— État "non contrôlé" si l’authentification a échoué.

La réussite ou l’échec de l’authentification va donc ouvrir ou fermer le port à toutecommunication. Un port ouvert va, par exemple, permettre au client final d’obtenirune adresse IP auprès d’un serveur DHCP. Dans des implémentations plus cloisonnées,le serveur RADIUS indiquera par exemple au client RADIUS dans quel VLAN placerle client final [4].

3.4.6 les serveurs d’application

Un serveur d’application c’est serveur basée sur les protocoles AAA (Authenti-cation, Autorization, Accounting). En pratique une architecture client-serveur AAApermet de rendre l’ensemble de ces services. les serveurs AAA dans les domaines mèreet visité permettent de gérer les utilisateurs. les clients AAA sont hébergés sur desrouteurs ou sur des serveurs d’accès au réseau.

Les protocoles implémentant du AAA sont essentiellement utilisés par des opéra-teurs offrant des services de télécommunications à des utilisateurs. Ces protocoles leurpermettent de contrôler l’accès à leurs réseaux et de connaitre l’utilisation de leursressources.

Dans cette section, nous présentons les principaux serveurs d’application :

3.4.6.1 RADIUS

Remote Authentication Dial-In User Service est un protocole de type client-serveurqui a pour rôle d’authentifier les requêtes qui lui parviennent d’un poste client. Il existeplusieurs solutions (commerciales ou open source) de serveur radius [3] :

— ACS (Cisco sous Windows).— Aegis (sous Linux).— IAS (sous Windows).— Open Radius (Open source).— Free Radius (Open source, BSD, Windows).

3.4.6.2 DIAMETER

Diameter est un protocole d’authentification, il est successeur du protocole radius.Diameter est un protocole permettant à des domaines administratifs différents de

collaborer pour réaliser les fonctionnalités AAA. Il est constitué d’un protocole de base

3.4 Les solutions existantes sur le marché 19

qui définit le format des messages, comment ils sont transportés, les messages d’erreursainsi que les services de sécurité que toutes les implémentations doivent supporter. Àce protocole de base s’ajoutent les applications : Mobile IP, NAS et CMS.

L’application Diameter Mobile IPv4 permet de faire du AAA avec un utilisa-teur utilisant Mobile IPv4 , l’application Diameter NAS permet l’accès au réseau viaPPP/EAP, il s’agit de l’amélioration de RADIUS,l’application Diameter CMS permetde protéger les échanges Diameter au niveau applicatif entre serveurs ou entre un ser-veur et son client.Diameter a été conçu dans l’idée d’être facilement extensible. Pourcette raison, le protocole de base est séparé de ses applications [5].

3.4.6.3 TACACS

Terminal Access Controller Access-Control System (TACACS) est un protocoled’authentification distante utilisé pour communiquer avec un serveur d’authentifica-tion généralement utilisé dans des réseaux Unix.

TACACS permet à un serveur d’accès distant de communiquer avec un serveurd’authentification dans l’objectif de déterminer si l’utilisateur a le droit d’accéder auréseau [3].

3.4.6.4 KERBEROS

Kerberos est un protocole d’authentification réseau qui repose sur un mécanismede clés secrètes(chiffrement symétrique) et l’utilisation de tickets, et non de mots depasse en clair, évitant ainsi le risque d’interception frauduleuse des mots de passe desutilisateurs [3].

3.4.7 Les services d’annuaires

Un annuaire va permettre de centraliser les données des utilisateurs et des servicesafin de rendre plus simple l’administration. Un annuaire peut être associé à un systèmede stockage de données permettant de rendre accessible un ensemble d’informations àtous les utilisateurs de ce système. Comme exemples, on peut citer [3] :

— Carnet d’adresses.— Annuaire téléphonique.— Serveur DNS.

Sur un système informatique, les données ne sont pas organisées de manière relation-nelle comme sur les SGBD classiques (MySQL, PgSQL, SQL Server, ...) mais de manièrehiérarchique. Si on souhaite faire une comparaison entre les services d’annuaire et lesSGBD classiques, on peut établir que :

— La consultation des données est plus rapide pour l’annuaire par rapport auxSGBD classiques.

— La duplication des données est facilitée.— Le stockage des données peut être réalisé dans un plus faible espace.Les avantages des services d’annuaire sont leur rapidité pour accéder aux infor-

mations, les mécanismes de sécurité pouvant être mis en œuvre, la centralisation desinformations et les possibilités de redondance de l’information.

Les principaux serveurs d’annuaire sont :

3.4 Les solutions existantes sur le marché 20

1. NIS : Network Information Service (NIS) nommé aussi Yellow Pages est unprotocole client-serveur développé par Sun permettant la centralisation d’infor-mations sur un réseau UNIX.

2. NIS+ : c’est l’évolution de NIS. Plus sécurisée et mieux adaptée aux gros ré-seaux, il est développé par Sun.

3. DNS : Domain Name System est un service permettant d’établir une corres-pondance entre une adresse IP et un nom de domaine et, plus généralement, detrouver une information à partir d’un nom de domaine.

4. LDAP : Lightweight Directory Access Protocol est à l’origine un protocolepermettant l’interrogation et la modification des services d’annuaire.

5. ACTIVE DIRECTORY : Active Directory est la mise en œuvre par Microsoftdes services d’annuaire pour les systèmes d’exploitation Windows.L’objectif principal d’Active Directory est de fournir des services centralisésd’identification et d’authentification à un réseau d’ordinateurs utilisant le sys-tème Windows.

3.4.8 Les protocole d’authentification

Les mécanismes d’authentification décrits dans cette partie ont tout d’abord été desprotocoles de couche de la liaison de données. Ils sont également utilisés dans la coucheréseau grâce aux évolutions de PPP : PPPoA (over ATM) et PPPoE (over Ethernet)qui sont principalement utilisés pour ouvrir des connexions ADSL. Ces mécanismes sontles briques de nombreux serveurs et applications d’authentification comme Radius.

3.4.8.1 AAA

AAA correspond à un protocole qui réalise trois fonctions : l’authentification, l’au-torisation et la traçabilité (en Anglais Authentication, Autorisation, Accounting). Ilcorrespond a un modèle de sécurité implémenté dans certains routeurs Cisco mais quel’on peut également utiliser sur toute machine qui peut servir de NAS (Network Authen-tification System). Ils requièrent une identification d’une personne ou d’un équipementavant d’accorder des droits d’accès [3].

3.4.8.2 PAP

Password Authentication Protocol est un protocole d’authentification pour PPP.Les données sont transmises en texte clair sur le réseau ce qui le rend par conséquentnon sécurisé. L’avantage de PAP est qu’il est extrêmement simple à implémenter, luipermettant d’être utilisé dans des systèmes embarqués très légers. Sur des systèmes detaille raisonnable on préférera sans doute le protocole CHAP [3].

3.4.8.3 CHAP

Challenge Handshake Authentication Protocol est un protocole d’authentificationpour PPP à base de challenge, Ce qui le rend bien plus sûr que son pendant PAP.L’objectif de CHAP est que le pair s’authentifie auprès d’un authentificateur sans

3.4 Les solutions existantes sur le marché 21

échange de mot de passe en clair sur le réseau et sans que l’échange puisse être rejouépar un tiers à l’écoute. La contrainte est que chaque partie partage un "secret" (motde passe) commun. Microsoft a développé la variante MS-CHAP qui supprime cettecontrainte [3].

3.4.8.4 MS-CHAP

MS-CHAP est la version Microsoft du protocole CHAP. Ce protocole existe en deuxversions : MS-CHAPv1 et MS-CHAPv2 [3].

3.4.8.5 EAP

Extensible Authentication Protocol est un mécanisme d’identification universel fré-quemment utilisé dans les réseaux sans fil (ex : Wifi) et les liaisons point à point (PPP)[3].

1. EAP-TTLS/PEAP : EAP-Tunneled Transport Layer Security. C’est égale-ment un standard ouvert IETF. Il est supporté sur de nombreuses plates-formes,et offre un très bon niveau de sécurité. Il utilise des certificats X-509 uniquementsur le serveur d’identification. Le certificat est optionnel du côté client. Le défautde EAP-TTLS par rapport à PEAP est de ne pas être présent nativement surles systèmes Microsoft et Cisco. En revanche, il est légèrement plus sécurisé queLEAP car il ne diffuse pas le nom de l’utilisateur en clair.

2. EAP-TLS : EAP-TLS est un Standard ouvert IETF. C’est le seul protocoleEAP qui doit obligatoirement être implanté sur un matériel pour pouvoir por-ter le logo WPA ou WPA2. Il offre une bonne sécurité. En effet il utilise deuxcertificats pour la création d’un tunnel sécurisé qui permettra ensuite l’identi-fication : un côté serveur et un côté client.Cela signifie que même si le mot depasse est découvert, il ne sera d’aucune utilité sans le certificat client. Bien quele protocole EAP-TLS fournisse une excellente sécurité, l’obligation de disposerd’un certificat client est peut-être son talon d’Achille. En effet, lorsque l’on dis-pose d’un grand parc de machines, il peut s’avérer difficile et coûteux de gérerun certificat par machine. C’est pour se passer du certificat client que les proto-coles PEAP et EAP-TTLS ont été créés. TLS est considéré comme le successeurdu standard SSL. Il utilise une Infrastructure à clés publiques pour sécuriser lescommunications d’identification entre les clients et le serveur radius.

3. EAP-MD5 : EAP-MD5 est un autre standard ouvert IETF, mais il offre unniveau de sécurité faible. La fonction de hachage MD5 utilisée est vulnérable auxattaques par dictionnaire, et elle ne supporte pas les clefs WEP dynamiques.

4. LEAP : Lightweight Extensible Authentication Protocol est une implémenta-tion propriétaire du protocole EAP conçu par Cisco Systems. La société a faitbeaucoup d’efforts pour promouvoir ce protocole. Il a permis à d’autres fabri-cants de réaliser des produits « LEAP Compatible » au travers du programmeCCE (Cisco Certified Extensions). Ce protocole n’est pas présent nativementsous Windows. Il était connu pour être vulnérable aux attaques par dictionnairecomme EAP-MD5. Cisco continue de soutenir que LEAP est une solution sé-curisée si l’on utilise des mots de passe suffisamment complexes. Mais tout le

3.5 Solution proposée 22

monde sait bien que dans la réalité les mots de passe complexes sont rarementutilisés.De nouveaux protocoles comme EAP-TTLS ou PEAP ne rencontrent pas cetype de fragilité car ils créent un tunnel TLS pour sécuriser l’identification.Deplus ces nouveaux protocoles étant plus ouverts, ils peuvent être utilisés sur despoints d’accès de marque Cisco ou non.

3.5 Solution proposéeLe problème qu’on a détecté après une étude approfondie du réseau SUNGARD est

un problème au niveau d’accès physique au réseau filaire du SUNGARD. Pour résoudrece problème, on propose d’implémenter la technologie 802.1x afin d’authentifier l’accèsau réseau câblé.

802.1X est un standard lié à la sécurité des réseaux informatiques, mis au pointen 2001 par l’IEEE (famille de la norme IEEE 802). Son objectif est de réaliser uneauthentification de l’accès au réseau au moment de la connexion physique à ce dernier,et valider un droit d’accès physique aux réseaux. Le 802.1x apportent des avantagesconsidérables au niveau de l’administration du réseau, notamment par l’affectationdynamique de VLAN en fonction de caractéristiques de cette authentification.

La figure 3.2 représente le déroulement des différents protocoles définis par la tech-nologie 802.1x.

Figure 3.2: Solution proposée

Ce projet a pour finalité donc la réalisation d’un réseau filaire authentifié poursatisfaire le besoins du SUNGARD au niveau de sécurité en utilisant la technologie802.1x.

3.6 Conduite du projet 23

3.6 Conduite du projet

3.6.1 Processus du projet

Un processus d’un projet définit une séquence d’étapes, en partie ordonnée, quiconcoure à l’obtention d’un nouveau système ou à l’évolution d’un système existant.Ce processus a pour objectif de produire des solutions informatiques de qualité ré-pondant aux besoins des utilisateurs dans des temps et des coûts prévisibles. De cefait, l’adéquation du projet au processus peut largement affecter le sort d’un projetinformatique.

3.6.2 Cycle de vie d’un projet

On appelle "cycle de vie du projet" l’enchaînement dans le temps des étapes etdes validations entre l’émergence du besoin et la livraison du produit. Le "cycle devie de l’ouvrage" correspond aux étapes et aux livrables nécessaires à la réalisation del’ouvrage (Figure 3.3).

Figure 3.3: Cycle de vie d’un projet

Le projet peut être découpé de façon basique de la manière suivante :— Phase préparatoire : Cette phase permet de prendre conscience du projet, puis

d’étudier l’objet du projet pour s’assurer que sa mise en œuvre est pertinente etqu’il entre dans la stratégie de l’entreprise. Cette phase, généralement qualifiéed’avant-projet, doit se conclure par la mise au point de documents formalisant leprojet et indiquant les conditions organisationnelles de déroulement du projet.

— Phase de réalisation : Il s’agit de la phase opérationnelle de création de l’ouvrage.Elle est menée par la maîtrise d’œuvre, en relation avec la maîtrise d’ouvrage.Cette phase commence par la réception du cahier des charges et se clôture parla livraison de l’ouvrage.

— Phase de fin de projet : il s’agit de la mise en production de l’ouvrage, c’est-à-dire s’assurer que l’ouvrage est conforme aux attentes des utilisateurs et faireen sorte que son "installation" et son utilisation se déroule correctement. Dans

3.7 Spécification des besoins du projet 24

la mesure où la maîtrise d’œuvre connaît le produit qu’elle a mis au point, il luirevient de l’installer.

3.6.3 Choix du modèle en V

Le modèle du cycle en V est un modèle conceptuel de gestion de projet imaginésuite au problème de réactivité du modèle en cascade. Ce modèle est très connu etson origine remonte à l’industrie ; il a été adapté à l’informatique dans les années 80.La grande force du cycle en V, c’est qu’il définit assez précisément la manière dontles choses devraient se passer. On peut y distinguer 3 grandes parties : La phase deconception, la phase de réalisation (codage) et la phase de validation. Les phases deconception et de validation se découpent en plusieurs parties. Chaque étape ne peutêtre réalisée que suite à l’achèvement de l’étape précédente, ce qui diminue les prisesde risque sur le projet. Comme le montre la figure 3.4, chaque étape de conceptionpossède son alter ego de validation. Il devient alors assez aisé de valider un projet, carle référentiel de test est connu très précisément.

Figure 3.4: Cycle de vie Modèle en V

3.7 Spécification des besoins du projetDans cette section, nous identifions une liste de besoins fonctionnelles et non fonc-

tionnelles du système à concevoir. Certains besoins sont ajoutées pour clarifier d’avan-tage les besoins de SUNGARD.

3.7.1 L’utilisateur

Chaque utilisateur d’un poste du travail branché au réseau filaire du SUNGARDcomporte son propre fonctionnalité sur son groupe du VLAN. Seule l’équipe d’admi-nistration des réseaux a le droit de gérer et consulter les fonctionnalités de toutes lesgroupes.

3.8 Spécification semi-fonctionnelle 25

3.7.2 Les besoins fonctionnels

Nous avons choisi d’intégrer dans notre projet les fonctionnalités les plus impor-tantes qui sont les suivantes :

— L’utilisateur doit s’identifier suivant sa session d’ordinateur par son login/motde passe.

— L’utilisateur va se déplacer dans son groupe de Vlan.— Utilisateur prend une adresse IP pour établir sa propre connexion.

3.7.3 Les besoins non fonctionnels

Il s’agit des besoins qui caractérisent le système. Ce sont des besoins en matièrede performance, de type de matériel ou de type de conception. Ces besoins peuventconcerner les contraintes d’implémentation (les protocoles utilisés, les composants ré-seaux, les serveurs, les annuaires, le système d’exploitation, etc.). Dans le cadre de cetravail, le projet devra être extensible, c’est-à-dire ouvert à de nouvelles fonctionnalités.En effet, le projet doit répondre aux besoins non fonctionnels suivants :

— Besoins de performance : Le projet doit être avant tout performant c’est à-dire à travers ses fonctionnalités, il répond à toutes les exigences des utilisateursd’une manière optimale. L’authentification ne doit pas durer plus que quelquessecondes en conditions normales.

— Besoins de sécurité : Dans ce projet, l’implémentation de la norme 802.1x apour but de garantir l’authentification au niveau du réseau câblé. Ainsi le choixde serveur avec son protocole est très intéressant pour atteindre une bonneréalisation pratique sur le réseau filaire du SUNGARD.

— La convivialité et l’intégrité : L’authentification se fait d’une manière auto-matique, donc il n’y aurait aucun problème pour l’utilisateur, il suffit de mettresa machine en marche et insérer son login et son mot de passe.

3.8 Spécification semi-fonctionnelle

3.8.1 Diagramme de cas d’utilisation global

La figure 3.5 présente une vue globale sur les différents besoins fonctionnels duprojet.Ce diagramme de cas d’utilisation globale représente que l’utilisateur demandéune connexion mais avant le prendre il doit obligatoirement authentifier.

3.8 Spécification semi-fonctionnelle 26

Figure 3.5: Cas d’utilisation global

3.8.1.1 Cas d’utilisation S’authentifier

La figure 3.6 présente le cas d’utilisation "S’authentifier". Le tableau 3.1 en présentela description textuelle.

Figure 3.6: Cas d’utilisation "s’authentifier"

Table 3.1: Description textuelle pour le cas d’utilisation "s’authentifier"Titre s’authentifierBut l’utilisateur tente d’accéder au serviceActeur(s) utilisateursscénario 1- l’utilisateur saisie un login et un mot de passe.

2- Vérification de la validité de login et mot de passe.Pré-condition l’utilisateur doit avoir un login et un mot de passe validesPost-condition Accès avec succèsScénario alternatif Si l’identifiant ou le mot de passe sont erronés alors un mes-

sage d’avertissement sera affiché. On revient à l’étape 1 duscénario ci-dessus.

3.8.1.2 Cas d’utilisation "Demande de connexion"

La figure 3.7 présente le cas d’utilisation "Demande de connexion". Le tableau 3.2en présente la description textuelle.

3.8 Spécification semi-fonctionnelle 27

Figure 3.7: Cas d’utilisation de demande de connexion

Table 3.2: Description textuelle pour la demande de connexionTitre Demande de connexion.But l’utilisateur demande une adresse IP.Acteur(s) utilisateurs.Scénario 1- l’utilisateur affecté dans un groupe de Vlan.

2- l’utilisateur prend une adresse IP automatiquement.Pré-condition - login et mot de passe correcte.

- Bien affecter dans un groupe de vlan.Post-condition utilisateur connecté et affecté à un Vlan.

3.8.2 Diagramme de séquence global

La figure 3.8.2 indique le diagramme de séquence global.

3.9 Conclusion 28

Figure 3.8: Diagramme de séquence

Description :Tout d’abord, l’utilisateur se branche à un port réseau. Ensuite, lesystème affiche une interface d’authentification. L’utilisateur saisie son login et motde passe, le système vérifie les informations saisies. Si les informations sont correctes,l’utilisateur obtient une adresse IP et accède au réseau. Sinon, le système demande derentrer du nouveau le login et le mot de passe.

3.9 ConclusionCe chapitre a détaillé les spécifications et les besoins du projet. En effet, nous avons

identifié les cas d’utilisation et nous avons élaboré les différents besoins fonctionnelset non fonctionnels ainsi que les différents cas d’utilisation et scénarios. Ceci est faiten se basant sur une étude de l’existant pour détecter correctement les failles et leslacunes présentes au sein du réseau de SUNGARD. Après cette étape de spécification,la prochaine étape sera de concevoir le projet.

4Réalisation du projet

4.1 IntroductionCe chapitre a pour objectif de présenter le système d’authentification réalisé. Tout

d’abord, on va présenter l’environnement matériel et logiciel utilisé pour mettre enplace le projet. Ensuite, on va présenter le travail accompli tout au long de la périodedu stage. Enfin, on va montrer les différentes difficultés de la réalisation du projet.

4.2 Environnement du travailOn présente dans cette section l’environnement matériel et logiciel utilisés pour le

travail demandée.

4.2.1 Environnement matériel

Le projet a été réalisé sur un ordinateur équipé d’un processeur Intel Core Duo, unemémoire vive (RAM) de 2,00 Go et une capacité de stockage de 250 Go, L’ordinateurest relié au réseau local de sungard (carte filaire correspond au branchement ethernet).

4.2.2 Environnement logiciel

Le long de la phase de réalisation, nous avons exploité l’environnement logicielsuivant :

— système d’exploitationL’ordinateur utilisé pour le développement fonctionne sur Microsoft Windows7. Ce système d’exploitation permet le fonctionnement des différents environne-ments et outils utilisés pour la réalisation de l’implémentation.

— Centos version 6.3

29

4.2 Environnement du travail 30

Centos (Community enterprise Operating System) est une distribution GNU/Linuxprincipalement destinée aux serveurs. Tous ses paquets, à l’exception du logo,sont des paquets compilés à partir des sources de la distribution RHEL (RedHat Enterprise Linux), éditée par la société Red Hat [6].

— Active DirectoryL’annuaire utilisé pour gérer les utilisateurs est Active Directory pour Win-dows server 2012. Active Directory (AD) est la mise en œuvre par microsoftdes services d’annuaire LDAP pour les systèmes d’exploitation Windows. L’ob-jectif principal d’Active Directory est de fournir des services centralisés d’iden-tification et d’authentification à un réseau d’ordinateurs utilisant le systèmeWindows. Il permet également l’attribution et l’application de stratégies, ladistribution de logiciels, et l’installation de mises à jour critiques par les admi-nistrateurs. Active Directory répertorie les éléments d’un réseau administré telsque les comptes des utilisateurs, les serveurs, les postes de travail, les dossierspartagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver desressources partagées, et les administrateurs peuvent contrôler leurs utilisationsgrâce à des fonctionnalités de distribution, de duplication, de partitionnementet de sécurisation des accès aux ressources répertoriées.Le service d’annuaire Active Directory peut être mis en œuvre sur Windows2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2012et Samba4, il résulte de l’évolution de la base de compte plane SAM. Un serveurinformatique hébergeant l’annuaire Active Directory est appelé « contrôleur dedomaine ».Active Directory stocke ses informations et paramètres dans une base de don-nées centralisée. La taille d’une base Active Directory peut varier de quelquescentaines d’objets pour de petites installations à plusieurs millions d’objets pourdes configurations volumineuses [7].

— WinSCPWinSCP est un client SFTP graphique pour Windows. Il utilise SSH et est opensource. Le protocole SCP est également supporté. Le but de ce programme est depermettre la copie sécurisée de fichiers entre un ordinateur local et un ordinateurdistant.Dans notre cas Winscp permet de faire des opérations sur le fichier, Winscppeut réaliser toutes les opérations de base sur les fichiers, comme téléchargeret envoyer. Il permet aussi de renommer les fichiers et les dossiers, de créer denouveaux dossiers, de changer les propriétés des fichiers et des dossiers, et decréer des liens symboliques et des raccourcis.

— PuTTYPuTTY est un émulateur de terminal doublé d’un client pour les protocolesSSH, Telnet et TCP brut. Il permet également d’établir des connexions directespar liaison série RS-232. À l’origine disponible uniquement pour Windows, il està présent porté sur diverses plates-formes Unix.Dans notre projet on a utilisé le putty comme un client SSH pour accéder àdistance à notre serveur utilisé.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 31

4.3 Mise en palace et intégration de différentes étapespour réaliser l’authentification

Dans cette section nous allons présenter les étapes de la réalisation de ce projetainsi que les différentes techniques utilisées pour réaliser l’authentification 802.1x.

Les paramétrages à effectuer concernent le client final, le client radius et le serveurradius sur lequel on trouve déjà un annuaire Active Directory sont présentés dans letableau 4.1.

Table 4.1: Paramétrages des différentes entités.

Configurer le client final en 802.1x :- Service Configuration automatique de réseau câblé.- Onglet "Authentification" des propriétés de la carte réseau.

Paramétrer le commutateur client :- Création des VLAN- Paramétrage général 802.1x- déclaration du serveur- Paramétrage des ports contrôlés 802.1x avec gestion des ac-cès refusés (placement en VLAN "guest")- Paramétrage des ports utiles non contrôlés.

- Création des profils- Mise en place des règles de sécurités sur les profils- Liens externes (AD)- Correspondance (groupe/vlan)

- Ceation des users- Attribution des groupes

L’ordinateur sur lequel un utilisateur cherche à se connecter au réseau est appeléle "supplicant". Il est le "client final" de la demande de connexion. Ce peut-être avectoute forme de terminal portable ou d’ordinateur fixe. Dans la suite, nous garderonsl’expression française "client final" à la place de "supplicant". L’équipement de réseausur lequel le client final se connecte (un commutateur - compatible 802.1x) relaye, entant que client RADIUS, cette demande de connexion à un serveur d’authentification,

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 32

le serveur RADIUS, qui va, par exemple, identifier la personne en rapprochant le nomde connexion et le mot de passe de ceux stockés dans un annuaire LDAP.

Si l’identification réussit, l’accord est transmis au client RADIUS qui "ouvrira"alors le port de connexion.

4.3.1 Schéma général d’implémentation

Le schéma de la figure 4.1 présente l’architecture de réalisation adoptée. L’accès auréseau est accordé uniquement au poste de travail si les informations d’identificationont été authentifiées par le serveur FreeRADIUS. Sinon, le port du commutateur sera enbaisse pour tout le trafic réseau. Le serveur RADIUS est autorisé à communiquer avecle contrôleur de domaine pour l’authentification de l’utilisateur. Bien que le port ducommutateur soit hors-service, la station de travail peut communiquer avec le serveurRADIUS par l’intermédiaire d’un protocole d’authentification. Le serveur RADIUS esten mesure de vérifier sur le contrôleur de domaine si l’utilisateur existe et si son motde passe est correct. Si tel est le cas, le serveur RADIUS indique au commutateur pourouvrir l’orifice et l’utilisateur d’accéder au réseau.

Figure 4.1: Architecture de la plateforme proposée

Comme présenté dans la figure 4.1, le déroulement d’une authentification 802.1xmet en jeu les quatre acteurs suivants :

— Système à authentifier (poste client).— Système authentificateur (routeurs).— Serveur d’authentification (FreeRadius).— Domaine de contrôle (Active Directory).

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 33

4.3.1.1 Système à authentifier ou poste client

Le système à authentifier est en général un poste de travail, éventuellement unserveur. Le point d’accès au réseau varie donc selon ce dernier. Le point d’accès physiqueest une prise Rj45.

Dans cette étape, le client 802.1x est un ordinateur sous Windows 7 qui désireaccéder aux ressources internes à l’entreprise, notamment l’accès à internet, avec l’au-thentification basée sur le port. La première étape consiste à joindre le client au domaineActive Directory, pour cela il faut changer sa configuration pour que son serveur DNSsoit bien le contrôleur de domaine.

Pour l’étape de l’ajout au domaine de l’ordinateur, il est indispensable que la ré-solution du nom de domaine parte sur le DNS du contrôleur de ce même domaine. Sice n’est pas le cas, le client ne pourra pas rejoindre le domaine, mais dans un contexted’entreprise, il est fort possible que la configuration automatique attribuée par le ser-veur DHCP fasse l’affaire sans problème.

L’opération suivante peut également se faire avant de joindre le client au domaine.DansActive Directory Users and Groups, il faut placer un nouvel objet ordinateuravec le nom correspondant à l’ordinateur client dans le groupe des clients. Celui-ci seraalors automatiquement lié à cet objet lorsqu’il rejoint le domaine. Si cette opérationn’a pas été faite, il faut déplacer le nouvel objet qui devrait être apparu dans le groupecorrespondant. Une fois fait, l’ordinateur client peut être redémarré.

La dernière opération est l’activation manuelle de client 802.1x sur la machine.Cette opération sera détaillée dans la section 4.3.2.

4.3.1.2 Système authentificateur

Il s’agit d’un équipement réseau muni d’un PAE (Port Access Entity) qui permettraau supplicant d’accéder ou non aux ressources réseau.

Dans un réseau local (LAN), l’utilisation d’un commutateur à la place d’un concen-trateur permet de réduire le nombre de messages que reçoivent les machines. En effet,les commutateurs disposent d’une table forwarding qui permet de savoir sur quelport physique il faut envoyer les données. Néanmoins, il reste certains problèmes.

Dans un grand réseau commuté, le trafic multicast et broadcast peuvent être élevésce qui pénalise les performances du réseau. Les commutateurs gèrent les domainesde diffusion de façon géographique. Ceci rend difficile le fait de déplacer une stationd’un commutateur vers un autre. On observe aussi que les machines connectées sur unmême port physique d’un commutateur peuvent recevoir du trafic qui ne leur est pasnécessairement destiné. On peut également relever la vitesse de convergence du STP(Spanning Tree Protocol) qui s’avère peu élevée en cas de coupure d’un lien entre deuxcommutateurs.

Les VLANs peuvent apporter des solutions à ces problèmes. En effet, les VLANspermettent de créer des domaines de diffusion logiques, ce qui facilite le déplacementd’une station ainsi que la gestion du réseau. De plus, toutes les trames destinées à unVLAN particulier ne pourront pas être écoutées par des machines ne faisant pas partiedu même VLAN. Il existe des solutions pour gérer plusieurs VLANs par le protocoleSTP. Il y a trois méthodes principales de gestion de VLAN :

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 34

— Par port, un VLAN est attribué pour chaque port physique du Switch.— Par adresse MAC, un VLAN est attribué pour une liste d’adresses MAC.— Par adresse IP, un VLAN est attribué pour un sous-réseau.Dans un réseau Ethernet, pour savoir à quel VLAN une trame appartient, la norme

"802.1Q" propose de "tagger" l’entête Ethernet. Les trames "taggées" circulent uni-quement entre les commutateurs, ce qui rend transparent l’utilisation de VLAN pourles clients.

Dans cette étape nous allons configurer et activer le protocole 802.1x sur le routeurcisco. Cette étape est nécessaire car un routeur est un élément intermédiaire dans unréseau informatique assurant le routage de paquet. Son rôle est de faire transiter despaquets d’une interface réseau vers une autre, au mieux, selon un ensemble de règles.La configuration détaillée du commutateur est présentée dans la section 4.3.2.

4.3.1.3 Serveur d’authentification

Le serveur d’authentification vérifie sur la demande du commutateur si le clientpeut ou non accéder aux ressources réseaux.

Le serveur d’authentification (Freeradius par exemple) va authentifier chaque clientqui se connecte au réseau sur un port géré. Ce port connaît deux modes fonctionnels :contrôlé est non contrôlé. Avant authentification du demandeur, seul le mode noncontrôlé permet des échanges d’information spécifique. Ces flux spécifiques sont appelésflux EAPOL pour (EAP Over Lan). Une fois la phase d’authentification achevée, leport contrôlé et basculé et les flux autorisés peuvent être émis à destination du réseauen lui attribuant un VLAN (Voir l’annexe B).

Si un client ne supportant pas 802.1x se connecte sur un port attendant une authen-tification 802.1x, l’équipement réseau va demander au client de s’identifier. Le clientne sachant pas répondre à la requête, le port reste bloqué dans l’état non contrôlé etle client ne peut pas accéder au réseau.

Freeradius est un serveur libre permettant de s’authentifier. Le protocole Radiuspermet de se connecter via un échange de paquets UDP, généralement sur le port1812. Radius intègre également un module d’accounting, permettant par exemple lafacturation. Radius gère également le 802.1x avec l’authentification via tunnel EAP(PEAP/TTLS/TLS).

Freeradius s’appuie sur un système de modules qui sont activés et désactivés lorsde phases d’autorisation et d’authentification. Le service peut gérer différents serveursvirtuels afin de pouvoir gérer plusieurs types d’authentification conflictuelle, des tunnelsinternes ou encore des requêtes de proxy radius(en cas de chaînage de différents serveursradius).

La phase d’autorisation définit les modules qui vont intervenir pour autoriser l’uti-lisation à utiliser la connexion. La phase d’authentification va s’appuyer sur différentsmodules pour authentifier l’utilisateur, via son mot de passe ou son adresse MAC parexemple.

FreeRADIUS offre une authentification via le contrôle d’accès basé sur les ports.Un utilisateur ne peut se connecter au réseau que si ses pouvoirs ont été validés par leserveur d’authentification. Les identifiants de l’utilisateur sont vérifiés en utilisant desprotocoles d’authentification spéciales qui appartiennent à la norme 802.1X.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 35

4.3.1.4 Domaine de contrôle (Active Directory)

Le service annuaire Active Directory peut être mis en œuvre sur Windows Ser-ver 2012. L’objectif principal d’Active Directory est de fournir de service centralisésd’identification et d’authentification à un réseau d’ordinateurs.

Active Directory répertorie les éléments d’un réseau administré tel que les comptesdes utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes,etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les adminis-trateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution,de duplication, de partitionnement et de sécurisation des accès aux ressources réperto-riées.

L’AD est utilisé pour vérifier l’existence de l’utilisateur et a quel groupe de VLANappartient. Les détails de configurations sur les différentes entités sont présentés dansla section 4.3.2.

4.3.2 Détails de configuration

Dans cette section nous allons détailler les différentes étapes de configuration etd’implémentation des différentes entités présentées dans la section précédente.

4.3.2.1 Configuration du serveur d’authentification

Afin de configurer le serveur Linux pour se joindre à un domaine Windows. Ceci estfait en utilisant le serveur de fichiers Samba qui propose plusieurs outils intéressantsle but n’est pas de créer un serveur samba, mais seulement d’utiliser des outils quiviennent avec ce serveur.

Politique d’authentification

Une fois le serveur installé, la configuration du serveur doit être faite. Les fichiersde configuration sont tous placés dans le répertoire /etc/freeradius. Toute la procédured’authentification avec les fichiers de configuration nécessaires à Freeradius est visibledans la Figure 4.2.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 36

Figure 4.2: Politique d’authentification

— Le premier fichier lu est radius.conf. Ce fichier conditionne le chargement detous les autres fichiers.

— Le deuxième fichier de FreeRadius est le fichier clients.conf. Il contient la listede toutes les adresses IP des éléments réseaux ou NAS (Network AuthenticationService) clients, ainsi que leur type et le mot de passe partagé.

— Une fois que le NAS s’est authentifié, la procédure d’authentification de l’utili-sateur est déclenchée par FreeRadius. La configuration de cette partie est faitedans le fichier users. Ce fichier détermine quels paramètres doivent être véri-fiés pour valider ou refuser une authentification. Un annuaire LDAP/AD est enplace pour vérifier l’identification de l’utilisateur, etc. Une fois cette authenti-fication est effectuée, il est possible de passer les paramètres renvoyés vers leNAS, ce qui permet, par exemple, de mettre le port du commutateur dans unVLAN particulier, d’afficher un message à l’utilisateur, etc. Il est à noter quela syntaxe de ce fichier est très sensible : il faut que la procédure de test soitécrite sur une seule ligne, sinon FreeRadius ne la comprend pas. Il est par contrepossible d’écrire les actions à réaliser sur plusieurs lignes.

— Si l’utilisateur n’appartient pas au domaine local, il faut envoyer la requête d’au-thentification au serveur Radius national : c’est le mode proxy. Cette configura-tion est faite dans le fichier proxy.conf. Ce fichier contient la liste des domainesque l’on considère comme locaux et qui seront traités par le serveur Radius lo-cal, et le domaine DEFAULT qui couvre tous les autres noms de domaine. Parmesure de sécurité, tous les attributs Radius reçus dans le cas d’une utilisationen mode proxy sont supprimés, sauf ceux qui sont absolument nécessaires. Cetteméthode est définie dans le fichier attrs.

— Le serveur Radius doit se connecter à l’annuaire AD central du SUNGARDqui vérifie les identifiants de l’utilisateur, et qui indique le VLAN dans lequelcelui-ci doit être placé. Pour cela, il faut configurer le fichier radiusd.conf pouractiver le support de LDAPS (communication cryptée entre le serveur Radiuset l’annuaire AD), et la requête nécessaire pour trouver l’utilisateur. De cettemanière, le mot de passe de l’utilisateur ne transite pas en clair entre le serveurRadius et le serveur AD.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 37

Configuration de fichier du service de Freeradius

Linux doit être configuré pour se joindre à un domaine Windows. Ceci est fait enutilisant le serveur de fichiers Samba qui propose plusieurs outils intéressants. Le butn’est pas de créer un serveur de fichiers Samba, mais seulement d’utiliser des outils quiviennent avec ce serveur. Un serveur Samba contient entre autres les éléments suivants :

— Winbind, un démon qui permet la connectivité à l’environnement Windows-NT.— ntlm-auth, un outil qui utilise winbind pour évaluer NTLM (NT Lan Manager)

demandes. Cet outil permet de vérifier les informations d’identification de l’uti-lisateur sur le contrôleur de domaine et renvoie soit un succès ou un messaged’erreur.

Une fois Samba est installé sur Linux, on peut mettre en place l’authentificationFreeradius, on va configurer certains fichiers pour que le serveur puisse communiqueravec l’AD et utiliser le protocole d’authentification souhaité.

Cette section montre les étapes nécessaires à l’utilisation de Freeradius pour au-thentifier les utilisateurs sur un Active Directory (windows server 2012).

Information généralesAu long de réalisation ces informations et nécessaire pour la configuration, Il faut

modifier ces différents paramètres :— Domaine DNS :Nom de domaine de sungard.— Nom de serveur AD :Nom AD du sungard.— Adresse du DNS :****.****.****.****.Une parfaite résolution DNS est essentielle à tout système en particulier quand il y

a un annuaire Active Directory. On peut modifier donc les paramètres DNS de Centospour utiliser le DNS de l’AD. Les figures 4.3 et 4.4 présentent respectivement commentconfigurer le DNS puis le modifier dans le fichier resolv.conf.

Figure 4.3: Configuration DNS

Figure 4.4: Modifier le DNS au fichier resolv.conf

De même, une synchronisation horaire précise est essentielle. On peut modifier doncla configuration NTP(Network Time Protocol)pour utiliser le serveur AD comme sourcede temps. La figure 4.5 montre comment configurer NTP.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 38

NTP :Protocole d’heure réseaux Est un protocole qui permet de synchroniser,via un réseau informatique, l’horloge locale d’ordinateurs sur une référence d’heure

Figure 4.5: Configuration NTP

Ensuite, on redémarre le serveur pour bien prendre en compte les modificationsdéjà faites.

Intégration du serveur dans l’Active Directory

Active Directory(AD) est la mise en œuvre par microsoft des services d’annuaireLDAP pour les systèmes d’exploitation Windows. AD fournit des services centralisésd’identification et d’authentification à un réseau d’ordinateurs Windows et de contrô-leur de domaines.

Il bien connu que les systèmes microsoft et unix ont une façon différente de gérerleur base d’utilisateurs. une difficulté est alors rencontrés lorsque l’on veut intégrer unserveur Samba dans un réseau de machine NT(New Technologie).En théorie il faudraitcréer sur le serveur samba les comptes systèmes correspondant aux comptes du domainemais aussi les comptes Samba.

Installation de paquetsInstallation des différents paquets (samba,winibind,kerberos) pour l’intégration du ser-veur dans l’active directroy 4.6.

Figure 4.6: Installation de paquets

Configuration des différents paquets installée :

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 39

1. Kerberos Kerberos permet de gérer l’authentification à l’aide de ticket. Win-dows utilise Kerberos pour authentifier les ordinateurs qui sont intégrés dansl’AD. On va installer kerberos afin que samba puisse communiquer avec les or-dinateurs de L’AD.L’utilisation de Kerberos n’est pas indispensable pour joindre une machine àL’AD, mais elle est recommandée.— configuration

La casse est importante dans le protocole Kerberos. Par convention on utilisele nom DNS en majuscule pour le royaumes 4.7.

Figure 4.7: Configuration de fichier Kerberos

— Récupération d’un ticket Kerberos 4.8

Figure 4.8: Récupération d’un ticket Kerberos

2. Smaba Samba fournit des fichiers et services d’impression pour divers clientsWindows et peut s’intégrer à un domaine Active Directory.— Configuration de fichier samba 4.9

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 40

Figure 4.9: Configuration de fichier Samba

— Redémarrage de Samba

Figure 4.10: Redémarrage de samba

3. Intégration dans l’AD 4.11 Winbind permet d’intégrer le serveur Centos àl’AD afin de connaitre le contenu.

Figure 4.11: Intégration dans L’AD

4. Redémarrage de service Winbind 4.12Winbind : Service pour résoudre les informations des utilisateurs et de groupede serveurs. Ce paquet fournit le démon winbindd, qui fournit un service à lacapacité de Name Service Switch qui est présent dans la plupart des biblio-thèques modernes C (comme la bibliothèque C GNU Glibc). Le service fournipar winbindd est appelée winbind. Le service peut également fournir des servicesd’authentification via un module PAM associé.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 41

Figure 4.12: Redémarrage de service Winbind

5. Test de modification adaptée— Vérification du ticket Kerberos

En utilisant l’authentification avec un ticket Kerberos, on peut authentifierde façon plus sécurisée à partir de clients pris en charge sur le serveur sansfournir le mot de passe. Après avoir obtenu un ticket Kerberos, on peutconfigurer le client pour utiliser Kerberos.

Figure 4.13: Vérification du ticket Kerberos

— Test de la liaison avec l’annuaireTest de la connexion RCPRCP Est un protocole réseau permettant de faire des appels de procéduressur un ordinateur distant à l’aide d’un serveur d’application.

Figure 4.14: Test du RCP

La figure 4.15 montre le résultat de test de la connexion RCP :

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 42

Figure 4.15: Résultat de Test RCP

— Lister les utilisateur de l’annuaire (attention si vous un grandnombre de comptes on ne peut pas tester car le serveur sera blo-qué)

Figure 4.16: Affichage des utilisateurs de l’annuaire

Dans notre cas on a un grand nombre de compte :— Administrateurs.— Guest.— Employées.— Stagaires.— etc.Donc on ne peut pas faire de tester.

— Test d’authentification au niveau de serveur et l’AD avec Winbind

Figure 4.17: Test d’authentification

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 43

Figure 4.18: Résultat de test d’authentification

les deux premières lignes indiquent que l’authentification en clair a échoué,ce qui est normal. C’est la dernière ligne qui est importante. Elle indique quel’authentification par Challenge/Response est valide.

Après l’installation de différents outils et la configuration de différents fichiers,on passe à la configuration de Freeradius.

6. Freeradius— Installation de paquets freeradius

Figure 4.19: Installation de Freeradius

Après l’installation et la configuration de serveur Freeradius, nous allonscontinuons les autres modifications pour faire l’authentification sur l’AD.

— Autorisation pour le NTLML’authentification sur l’annuaire est effectuée en NTLM. Il faut donc que leservice radius ait le droit d’utiliser Winbind. NTLM (NT Lan Manager) estun protocole d’identification utilisé pour une authentification et une négocia-tion sécurisée, NTLM est aussi utilisé partout dans les systèmes de Microsoftcomme un mécanisme d’authentification unique (single sign-on).NTLM uti-lise un mécanisme de « challenge-response » pour l’authentification, danslaquelle les clients sont capables de prouver leurs identités sans envoyer unmot de passe au serveur. Cela consiste en trois messages, généralement men-tionnés comme la négociation ,la stimulation et l’authentification (Figure4.20).

Figure 4.20: Vérification de service NTLM

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 44

Nous allons utilisait le protocole NTLM pour faire des tests pour ce niveau deconfiguration, mais dans la partie suivante nous allons baser sur le protocoleLDAP qui fait l’authentification sur L’AD.

— Installation et configuration de la protocole LDAPLightweight Directory Access Protocol (LDAP) : Est à l’origine un protocolepermettant l’interrogation et la modification des services d’annuaire. Ce pro-tocole repose sur TCP/IP. Il a cependant évolué pour représenter une normepour les systèmes d’annuaires, incluant un modèle de données, un modèle denommage, un modèle fonctionnel basé sur le protocole LDAP, un modèle desécurité et un modèle de réplication.Le nommage des éléments constituant l’arbre (racine, branches, feuilles) re-flète souvent le modèle politique, géographique ou d’organisation de la struc-ture représentée. La tendance actuelle est d’utiliser le nommage DNS pourles éléments de base de l’annuaire (racine et premières branches, domaincomponents ou dc=. . . ). Les branches plus profondes de l’annuaire peuventreprésenter des unités d’organisation ou des groupes (organizational unitsou ou=. . . ), des personnes (common name ou cn=. . . voire user identifieruid=. . . ). L’assemblage de tous les composants (du plus précis au plus géné-ral) d’un nom forme son distinguished name, l’exemple suivant en présentedeux :— cn=ordinateur,ou=machines,dc=EXEMPLE,dc=FR— cn=Jean,ou=gens,dc=EXEMPLE,dc=FRla figure 4.21 représenter l’architecture de la protocole LDAP.

Figure 4.21: Architecture LDAP

la figure 4.22 représenter les différents modification implémenter sur le fichierldap.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 45

Figure 4.22: Architecture LDAP

— Configuration de freeradiusLa configuration de freeradius est très complexe car très complet. Elle couvrepar défaut une très grande variété de cas d’utilisation. Il est donc recom-mandé de ne pas la modifier, mais juste de l’adapter.Dans le cas présent, on a choisi de ne pas respecter cette recommandationpour éviter de poster plus de 5000 lignes de configuration, c’est environ lenombre de lignes des différents fichiers de configuration.Il n’y a normalement que 4 fichiers à modifier :— /etc/raddb/eap.conf : Il contient la configuration des méthodes EAP.— /etc/raddb/modules/mschap : C’est ce module qui fera l’authentification

sur l’AD.— /etc/raddb/proxy.conf : Sert à relayer les requêtes sur d’autres serveurs

radius.— /etc/raddb/clients.conf : C’est ici que sont déclarés les NAS autorisés à

utiliser le radius.— Configuration de l’EAP

EAP (Extensible Authentication Protocol) :EAP est la couche protocolairede base de l’authentification. Elle va servir à faire passer un dialogue d’au-thentification entre le client final et le serveur freeRADIUS alors que le portde connexion est fermé à toute autre forme de communication. C’est unprotocole extensible, au sens où il va permettre l’évolution de méthodesd’authentification transportées, de plus en plus sûres au cours du temps.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 46

la figure 4.23 indique les modifications sur le fichier eap.conf.

Figure 4.23: Configuration de fichier EAP

— Configuration MS-CHAP v2MS-CHAP est la version Microsoft du protocole CHAP (Challenge-HandshakeAuthentication Protocol) : EAP-MSCHAPv2 est la version la plus utilisée dePEAP. C’est à cette version que l’on fait référence lorsque l’on parle de PEAPsans plus de précisions.MSCHAPv2 est sensible aux attaques de dictionnaire. Mais avec le protocolePEAP ce n’est pas un problème car les informations circulent dans un canalsécurisé.la figure 4.24 indique les modification implémenter sur le fichier mschap.conf.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 47

Figure 4.24: Configuration de fichier MS-CHAP

— Configuration du proxy Radius Dans notre cas ce n’est pas nécessairede modifier la configuration de proxy, car on a utilisé un seul serveur.

Figure 4.25: Fichier proxy

— Redémarrage du serviceOn suite nous allons redémarrer le service freeradius pour importer les mo-dification et nous allons tester l’authentification.

Figure 4.26: Redémarrage du service radius

7. Test local d’authentification entre le serveur e l’ADla figure 4.27 représente le scénario de l’authentification réussie. Nous allonsvérifions l’existence d’utilisateur dans l’AD par l’utilitaire rad teste fournis avecle serveur Freeradius.Test de fonctionnement

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 48

Une fois la configuration effectuée, il suffit de lancer le démon radius avec dela commande suivante radiusd – X. L’option –X permet d’activer le mode dedebug et visualiser les traitements.Le programme radtest est fourni avec FreeRadius, il permet de tester la validitéde notre configuration. Sa syntaxe d’utilisation est la suivante radtest <user-name> <password> <servername> <port> <secret>la figure 4.27 montrer l’authentification entre le serveur et L’AD.

Figure 4.27: Test d’authentification local

Les deux figures 4.28 et 4.29 montrer l’authentification en détaille, l’utilisateurqui nous vérifions bilel.trabelsi et existe dans l’AD dans un groupe de vlan 22.

Figure 4.28: Activation le mode debug

Figure 4.29: Résultat de test

4.3.2.2 Configuration du système authentificateur

Cette configuration s’applique au Cisco 2500. En mode privilégié de l’interrupteur,les commandes pour permettre l’authentification basée sur le port 802.1X sont lessuivantes :

1. Activation de AAA (Authentication, Authorization, Accounting)

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 49

Figure 4.30: Activation AAA

2. Création d’une liste de méthodes d’authentification en utilisant legroupe Radius par défaut

Figure 4.31: Création d’une méthode d’authentification

3. Autorisation de l’utilisation de l’affectation dynamique de VLAN parRadius

Figure 4.32: Autorisation de VLAN

4. Configuration des paramètres du serveur Radius Nous utilisons l’adresseIP du serveur(****.****.****.****)et les ports par défaut 1812 et 1813.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 50

Figure 4.33: Configuration des paramètres serveur

5. Configuration de nombre maximal de retransmissions au serveur pourles demandes

Figure 4.34: Configuration de retransmission au serveur

6. Configurer le secret partagé entre le commutateur et le serveur RadiusEn effet, l’authentification Radius ne peut pas fonctionner si le mot de passe necorrespond pas à celle du serveur Radius.

Figure 4.35: Configuration de secret partagé entre le commutateur et le serveur Radius

La figure 4.36 représenter la configuration déjà fait de notre routeur.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 51

Figure 4.36: Configuration de routeur

7. Configurer des interfaces de commutateur (port) pour fonctionner enmode 802.1XCette procédure est répétée pour chaque port qui devrait faire du contrôle d’ac-cès.

Figure 4.37: Configuration de l’interface de commutateur

La commande show dot1x permet de vérifier les paramètres 802.1X.8. Sauvegarde de la configuration de commutateur

Figure 4.38: Sauvegarde de la configuration de commutateur

4.3.2.3 Configuration du système à authentifier (supplicant)

Pour activer la norme 802.1x sur la machine, on as suivi les étapes suivantes :1. Cliquer sur le bouton Démarrer. Dans la zone de recherche, taper Services.msc,

puis appuyer sur Entrée.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 52

Figure 4.39: Service.msc

2. Dans la boîte de dialogue Services, cliquez sur l’onglet Standard dans le bas duvolet principal, cliquez avec le bouton droit sur Configuration automatique deréseau câblé puis sur Démarrer.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 53

Figure 4.40: Configuration Automatique

3. Pour ouvrir les Connexions réseau, cliquez sur le bouton Démarrer, puis surPanneau de configuration. Dans la zone de recherche, tapez carte réseau, puis,sous Centre Réseau et partage, cliquez sur Afficher les connexions réseau.

4. Cliquez avec le bouton droit sur la connexion pour laquelle vous souhaitez activerl’authentification 802.1X, puis cliquez sur Propriétés. Autorisation de l’adminis-trateur nécessaire Si vous êtes invité à fournir un mot de passe administrateurou une confirmation, fournissez le mot de passe ou la confirmation.

5. Cliquez sur l’onglet Authentification, puis activez la case à cocher Activer l’au-thentification IEEE 802.1X.

6. Dans la liste Choisissez une méthode d’authentification réseau, cliquez sur laméthode à utiliser. Pour configurer des paramètres supplémentaires, cliquez surParamètres.

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 54

Configuration de suppliant

Tout d’abord, pour une sécurité accrue installer le certificat serveur CA FreeRadius(le CA qui a signé le CERT vous avez installé dans eap.conf).

Ouvrez le panneau de configuration de réseau, sélectionner la carte réseau et entrezles propriétés.

1. Sélectionnez l’onglet authentification

Figure 4.41: Méthode d’authentification réseau

2. Activer l’authentification IEEE 802.1x pour ce réseau, pour le typeEAP choisir Protected EAPdans la liste puis cliquez sur le boutonparamètre

4.3 Mise en palace et intégration de différentes étapes pour réaliserl’authentification 55

Figure 4.42: Activer le type d’authentification

4.4 Les challenges rencontrés 56

La validation des certificats est fortement recommandé pour les configurationssans fil, et en option pour les déploiements filaires.Sélectionnez Valider le certificats de serveur et Vérifier seulement le CAde votre serveur FreeRadius(celui que vous installé ci-dessus). Sélectionnez éga-lement Connexion à ce serveur et entrez le nom commun du certificat duserveur.Si vous configurez une interface Ethernet filaire, vous pouvez laisser la vérifi-cation de vos suppliants : Il suffit de dé-sélectionner Valider le certificat duserveur.

3. De tout façon, Sélectionnez EAP-MSCHAP comme méthode d’au-thentification. Cliquez sur le bouton Configurer

Figure 4.43: Méthode d’authentification

Vérifier si utiliser automatiquement mon nom et mon mot de passe Win-dows d’ouverture de session (et éventuellement le domaine), sinon l’utilisateursera invité à s’authentifier après ouverture de session windows.

TLS et PEAP exigent à la fois des certificats de serveur et client. Pour générerles certificats demandés,il est recommandé d’utiliser le script CA.ALL qui vient avecFREERADIUS. CA.ALL utilise la configuration du fichier de openssl.cnf. Il est pos-sible de remplacer les certificats plus tard par ceux obtenus à partir d’une autorité decertification réel.

Ouvrez le fichier openssl.cnf. Il est situé dans /usr/openssl/ssl/local, et ajouter lesmodification nécessaire. Notez que le fichier de configuration contient le mot de passequelque soit, c’est le mot de passe certificat.

4.4 Les challenges rencontrésDurant la phase de réalisation, il y a eu quelques difficultés rencontrés tels que :

4.5 Conclusion 57

— Pour chaque stagiaire, l’entreprise impose les droits d’administrateur dans lamachine de travail pour l’installation de logiciels, configuration et modificationde fichiers ou de répertoires et ces droits de sécurité ne seront donnés que peude fois à la demande de ticket à l’administrateur système.

— Le choix de distribution Linux pour le serveur d’authentification et prend beau-coup de temps, pour obtenir une bonne résultat.

4.5 ConclusionAu cours de ce dernier chapitre nous avons présenté les choix techniques adoptés

ainsi que les principales interfaces et taches réalisées durant ce projet. Les paramétragesà effectuer pour configurer le serveur de routeur et de suppliant sont aussi présentés. À lafin de chapitre, nous avons présenté les difficultés rencontrées durant ce travail. Malgréces difficultés, nous avons réussi à installer et configurer le système d’authentificationbasée sur 802.1x au sein de SUNGARD.

5Conclusion Générale

Le 802.1x est un standard englobant l’identification et l’authentification des utilisa-teurs d’un réseau afin d’en contrôler l’autorisation d’accès. De plus en plus déployé, carles réseaux récemment rehaussées le supportent, cet ensemble de technologies comportenéanmoins plusieurs limites méconnues.

L’implémentation d’une solution d’authentification sur un réseau local filaire pro-duit des bénéfices importants. Au sein du SUNGARD, il est nécessaire d’autoriser lamobilité des utilisateurs. Un utilisateur doit pouvoir se retrouver dans le réseau internede son plateau même s’il se trouve physiquement dans un autre bâtiment. Cette opé-ration est réalisée grâce aux VLAN de chaque plateaux. Un Vlan est un réseau virtueldéfini par port de commutateur. Chaque port du commutateur peut entrer placé dansun réseau VLAN différent. Selon le statut de la personne, il faut qu’elle soit placéedans un Vlan particulier. Pour ce faire, il a été défini une liste répertoriant les adressesIP utilisées dans chacun de ces VLAN.

Ce projet a comme objectif d’améliorer les réseaux filaires de SUNGARD Tunisie,ceci à partir de l’utilisation de la technologie 802.1x pour l’authentification d’un réseaucâblé. Ce travail a suivi plusieurs étapes qui ont été très importants pour la phasede réalisation et d’implémentation. La première étape était de mettre le sujet dansson contexte général, ce qui a permis de dégager les différentes besoins dont le travailest chargé d’y répondre. Ces besoins ont été bien traités et analysés dans la phase despécification et analyse. L’étape suivante, était la conception, durant toute cette phase,une étude globale et ensuite détaillée des fonctionnalités du système était réalisée etl’étude de différents protocole utilisée pour aboutir enfin à l’objectif désiré depuis ledébut du stage et qui est l’implémentation de la norme 802.1x pour l’authentification.

Pour conclure, ce stage était très important, dans la mesure où il m’a permis d’ap-pliquer mes connaissances acquises lors de mon cursus éducatif et de maîtriser desnouvelles technologies de développement. Finalement, ce stage était l’occasion pours’introduire et s’intégrer dans le milieu professionnel.

58

AAnnexe

L’ISOISO est un organisme de normalisation international composé de représentants d’or-

ganisations nationales de normalisations de 164 pays.Cette organisation créée en 1947a pour but de produire des normes internationales dans les domaines industriels etcommerciaux appelées normes ISO.Elles sont utiles aux organisation industrielles etéconomiques de tout type,aux gouvernements,aux instances de réglementation,aux di-rigeants de l’économie,aux professionnels de l’évaluation de la conformité ,aux fournis-seurs et acheteurs de produits et de services.Dans le secteurs tant public que privé eten fin de compte,elles servent les intérêts du public en général lorsque celui-ci agit enqualité de consommateur et utilisateur.

L’ISO est le fruit d’une collaboration entre différents organisme d’organisation na-tionaux.

A ce jour, l’ISO regroupe 157 pays membres,et coopère avec les autres organismesde normalisation comme le CEN(Comité européen de normalisation)ou la commissionElectronique Internationale(CEI).EN 1987,l’ISO et le CEI créent le Joint TechnicalCommittee(JTC1) pour la normalisation des technologies de l’information.le JTC1allie les compétences de l’ISO en matière de langage de programmation et codage del’information avec celles de CEI qui traitent du matériel tel que les microprocesseurs.

Le JTC1 est composé de plusieurs comités techniques qui traitent de sujets telsque la biométrie,la téléinformatique,les interfaces utilisateurs ou encore les techniquede sécurité de l’information relatives aux normes de la série ISO/CEI 2700x.CEN

Le CEN ou comité européen de normalisation,fut créé en 1961 afin d’harmoniserles normes élaborées en Europe.Tous ses membres nationaux qu’ils soient membres deplein droit,affiliés ou organismes de normalisation partenaires sont également membresde l’organisation internationale de normalisation (ISO).

CEI

59

60

La Commission électrotechnique internationale,est l’organisation internationale denormalisation chargée des domaines de l’électricité, de l’électronique et des techniquesconnexes.Elle est complémentaire de l’organisation internationale de normalisation(ISO),qui est chargée des autres domaines.

La CEI est composée de représentants de différents organismes de normalisationnationaux. La CEI a été créée en 1906 et compte actuellement 69 pays participants.Les normes CEI sont reconnues dans plus de 100 pays.

Originellement située à Londres, la Commission a rejoint ses quartiers générauxactuels de Genève en 1948. La CEI dispose de trois centres régionaux à Singapour, SãoPaulo et Worcester (Massachusetts).

La CEI a été l’instrument du développement et de la distribution de normes d’uni-tés de mesure, notamment le gauss, le hertz, et le weber. Elle contribua également àproposer un ensemble de références, le système Giorgi, qui finalement fut intégré ausystème international d’unités (SI) dont l’ISO est responsable.

JTC1Le JTC1, créé en 1987 par convention entre l’ISO et la CEI est l’organe de référence

pour la normalisation des Technologies de l’information au niveau mondial. Comitétechnique commun à ses deux parents (JTC1 est un sigle dont le développement estJoint Technical Committee 1, Comité technique commun n° 1), il réunit les compétencesde l’ancien TC97 de l’ISO relatives aux logiciels (langages de programmation, codagede l’information) et les compétences de comités techniques de la CEI en matière dematériels : microprocesseurs, imprimantes, par exemple.

Les normes publiées par le JTC1, quoique appelées souvent normes ISO, sont recon-naissables par leur numéro de nomenclature qui commence par les deux sigles ISO/CEI.Le total de normes publiées par le JTC1 depuis sa création était de 2489 en janvier2012. Le comité comporte 37 pays membres et 54 observateurs.

Nomes ISO 2700xISO/IEC :système de management de la sécurité de l’information-Vue d’ensemble

et vocabulaire.Aussi connue sous le nom de famille des standards SMSI,comprend les normes de

sécurité de l’information publiées conjointement par l’organisation internationale denormalisation(ISO)et la Commission électronique Internationale(CEI,ou IEC en an-glais).

La suite contient de recommandations des meilleures pratiques en management dela sécurité de l’information,pour l’initialisation ,l’implémentation ou le maintien desystèmes de management de la sécurité de l’information (SMSI), ainsi qu’un nombrecroissant de normes liées ou SMSI.

— ISO/CEI 27000 : Système de management de la sécurité de l’information –vued’ensemble et vocabulaire.

— ISO/CEI 27001 : Système de management de la sécurité de l’information–Exigences.

— ISO/CEI 27002 : Code de bonne pratique pour le management de la sécuritéde l’information.

61

— ISO/CEI 27003 :lignes directrices pour la mise en œuvre du système de ma-nagement de la sécurité de l’information.

— ISO/CEI 27004 : Management de la sécurité de l’information–Mesurage.— ISO/CEI 27005 : Gestion des risques liés à la sécurité de l’information.— ISO/CEI 27006 : Exigences pour les organismes procédant à l’audit et à la

certification des systèmes de management de la sécurité de l’information .— ISO/CEI 27007 : lignes directrices pour l’audit des systèmes de management

de la sécurité de l’information.

Figure A.1: les différents 2700X

IEEEL’Institute of Electrical and Electronics Engineers ou IEEE, en français l’Insti-

tut des ingénieurs électriciens et électroniciens », est une association professionnelle.L’IEEE compte plus de 400 000 membres et possède différentes branches dans plusieursparties du monde1. L’IEEE est constituée d’ingénieurs électriciens, d’informaticiens, deprofessionnels du domaine des télécommunications, etc. L’organisation a pour but depromouvoir la connaissance dans le domaine de l’ingénierie électrique (électricité etélectronique). Juridiquement, l’IEEE est une organisation à but non lucratif de droitaméricain.

62

IEEE 802.1x802.1X est un standard lié à la sécurité des réseaux informatiques, mis au point en

2001 par l’IEEE (famille de la norme IEEE 802).Il permet de contrôler l’accès aux équipements d’infrastructures réseau (et par ce

biais, de relayer les informations liées aux dispositifs d’identification).

OSIIl s’agit d’un modèle en 7 couches A.2 dont le principe fondamental est de définir

ce que chaque couche doit faire mais pas comment elle doit le faire.Les protocoles et les normalisations IEEE sont là pour définir comment les services

sont fournis entre les couches.

Figure A.2: Modèle OSI

BAnnexe

Mécanisme général d’authentificationLe 802.1x s’appuie sur un protocole particulier EAP. Ce protocole se base sur quatre

entités :1. Le système à authentifie ou suppliant : il s’agit en général d’un poste de

travail, éventuellement d’un serveur, Le point d’accès au réseau varie donc selonce dernier, le point d’accès physique peut être une prise Rj45, le point d’accèslogique.

2. le système authentificateur : Il s’agit d’un équipement réseau, cet équipementgère un PAE (Port Access Entity) Qui permettra au suppliant d’accéder ou nonaux ressources du réseau.

3. le serveur authentificateur : Ce serveur d’authentification, détermine les ser-vices auxquels le demandeur à accès.Un serveur d’authentification qui examineles informations fournies par le suppliant à l’authenticator. Ce serveur prend ladécision d’autoriser ou non l’accès du suppliant au réseau et en informe l’au-thenticator qui en fonction ouvrira ou fermera son port (ou refusera l’associationdans le cas du sans fil).

4. Serveur de donnée :C’est un annuaire utilisée est hiérarchique.Toutefois, il faut que le 802.1x soit bien implémenté sur les différentes machines.

Si les implémentations sur les bornes et serveurs sont disponibles, il n’en est pas demême chez les postes clients. Le 802.1x est maintenant de plus en plus intégré avec lesystème d’exploitation.

Le modèle et le concepts du standard IEEEDans le fonctionnement du protocole,les trois entités qui interagissent B.1 sont le

système à authentifier (supplicant),le système authentificateur et un serveur d’authen-tification.Le système authentificateur contrôle une ressource disponible via le pointd’accès physique au réseau,nommé PAE(Port Access Entity).Le système à authentifier

63

64

souhaite accéder à cette ressource, il doit donc pour cela s’authentifier.

Dans cette phase d’authentification 802.1X,le système authentificateur se comportecomme un mandataire(proxy) entre le système à authentifier et le serveur d’authenti-fication,Si l’authentification réussit,le système authentificateur donne l’accès à la res-source qu’il contrôle. Le serveur d’authentification va gérer l’authentification propre-ment dite, en dialoguant avec le système à authentifier en fonction du protocole d’au-thentification utilisé.

Figure B.1: Les trois entités qui interagissent dans 802.1x

C’est au niveau du PAE que porte l’essentiel des modifications introduites par leprotocole 802.1X.

Dans la plupart des implémentations actuelles, le système authentificateur est unéquipement réseau (par exemple un commutateur Ethernet, une borne d’accès sans fil,ou un commutateur/routeur IP), le service dont il contrôle l’accès est le service Ether-net (ou le routage des datagrammes IP). Le système à authentifier est un poste detravail ou un serveur. Le serveur d’authentification est typiquement un serveur Radius,ou tout autre équipement capable de faire de l’authentification.

Le point d’accès au réseau (PAE)La principale innovation amenée par le standard 802.1X consiste à scinder le port

d’accès physique au réseau en deux ports logiques, qui sont connectés en parallèle surle port physique. Le premier port logique est dit contrôlé, et peut prendre deux étatsouvert ou fermé. Le deuxième port logique est toujours accessible mais il ne gère queles trames spécifiques à 802.1X.

65

Figure B.2: Architecture du PAE

On notera que ce modèle ne fait pas intervenir la nature physique de la connexion.Elle peut être matérialisée par une prise RJ45 (cas d’un support de transmissioncuivre), des connecteurs SC, MT-RJ (cas d’un support de transmission en fibre op-tique) ou par l’accrochage logique au réseau (cas d’un support de transmission hertzienen 802.11a,b,g).

Architecture de serveur d’authentificationNous allons explique l’architecture et le fonctionnement de notre serveur utilise.Remote Authentication Dial-In UserC’est un protocole d’authentification standard Client/serveur qui permet de centra-

liser les données d’authentification : Les politiques d’autorisation et de droits d’accès,traçabilité. Ce processus doit être relié à une source d’informations, qui est souvent unannuaire LDAP. le protocole 802.1X qui assure l’identification par port pour l’accès àun réseau filaire ou sans fils.

Le protocole RADIUS a été développé à l’origine par Steve Willens pour la sociétéLivingston Enterprises comme un serveur d’authentification et d’accounting. Depuisdevenu la propriété de Lucent Technologie, il appartient maintenant au domaine publicet a été amendé par plusieurs RFC consécutives. La première normalisation a été celleénoncée par la RFC 2058 en 1997, elle fut modifiée dans la RFC 2138 et la versionactuelle est la RFC 2868.

RADIUS est aujourd’hui le protocole d’authentification le plus utiliser et le plusimplémenté par les équipements réseaux. En effet bon nombre d’entre eux possèdentleur propre bibliothèque de paramètres RADIUS.

Le protocole RADIUS repose sur la couche protocolaire UDP, jusqu’à la RFC 2138il utilisait le port 1645, mais pour des problèmes de conflit avec d’autres protocoles leport 1812 lui a été attribué. Le principe de fonctionnement du protocole réside dansl’utilisation d’un secret qui n’est jamais transmit au travers du réseau. Ce secret sertde clef pour authentifier les transactions et effectuer le cryptage du mot de passe.

RADIUS offre un modularité complète en ce qui concerne le mécanisme d’authenti-fication, on effet la plus par de méthode actuelle sont supportées (LDAP, PAP, CHAP,MS-CHAP, EAP, LEAP, . . . .).

66

Le protocole RADIUS est donc un protocole d’authentification, d’accounting maispas d’autorisation, il fait pourtant parti de la famille des protocoles AAA (Authenti-cation, Accounting, Authorization). Ceci est du à sa grande extensibilité, en effet leprotocole repose sur la transmission d’attribut Clef/Valeur. Le liste de ces attributsn’est pas limitée c’est pourquoi les principaux équipementiers développent leurs propresattributs (AvPairs) dans des librairies propriétaires (VSA : Vendor Specific Attributes).La fonctionnalité d’autorisation peut donc être assurer au travers de l’exploitation deces attributs propriétaires par les systèmes d’exploitation des équipements. D’où laprésence de RADIUS dans la famille des protocoles AAA.

Structure des trames RADIUS

Figure B.3: Structure des trames RADIUS

La trame RADIUS contient cinq champs, le rôle de chacun d’entre eux est explicitéci-dessous.

1. champ CODELe champ CODE permet de spécifier le type du message contenu dans la trame.Neuf valeur sont possible pour ce champs chacune correspondant à un type demessage possible lors des transactions RADIUS. Ces valeurs et leurs significa-tions sont présentées dans le tableau B.1.

Table B.1: Valeur du champ Code RADIUSValeur Description1 Access-Request2 Access-Accept3 Access-Reject4 Accounting-Request5 Accounting-Response11 Access-Challenge12 Status-Server (experimental)13 Status-Client (experimental)255 Reserved

2. Le champ Identifier et LengthLe champ « Identifier » sert à corréler les trames de requête et de réponse ausien des NAS (Network Access Server). Le champ « Length » sert lui à spécifierla longueur de la trame.

3. Le champ Authenticator

67

Ce champ permet d’authentifier les réponses du serveur RADIUS le plus souventil consiste en un hachage MD5 du secret. Il permet aussi de préciser le mécanismed’authentification de l’utilisateur à utiliser.

4. Le champ AttributesCe champ contient tout les tuples d’attributs valeurs de la requêtes ou réponse.Il contient les données transportées par la trame.

RemarqueIl est important de noter que seul le champ identifier et l’attribut contenant le mot

de passe sont cryptés, le reste de la trame passe en clair sur le réseau.Séquence d’établissement d’une session RADIUSLe schéma B.4 présente les échanges effectués lors de l’établissement d’une session

RADIUS classique.

Figure B.4: Établissement d’une session RADIUS

1. Envois du couple «Login / password» crypte avec la clé partagée.2. Si le couple est valide Access-accept avec demande d’éventuelles informations

supplémentaires (adresse IP, masque de réseau, etc.) qui amènerons à un nouveléchange Acces-request Access-accept.

3. Envois d’informations pour l’accounting (phase Comptabilité).4. Le serveur répond lorsque les informations de compatibilité sont stockées.

68

5. Envois d’informations pour l’accounting (phase Comptabilité).6. Le serveur répond lorsque les informations de compatibilité sont stockées.

Fonctionnement général du protocole d’authentificationLa circulation des paquets d’authentification Le standard 802.1X ne

crée pas un nouveau protocole d’authentification, mais s’appuie sur les standards exis-tants.Le dialogue entre le système authentificateur et le système à authentifier se faiten utilisant le protocole EAP(Extensible Authentication Protocol).Les paquets EAPsont transportés dans des trames Ethernet spécifiques EAPOL (EAP Over Lan) quisont marquées avec le numéro de type (Ethertype) égal à 88FE, ce qui permet uneencapsulation directe de EAP dans Ethernet. Le dialogue entre le système authentifi-cateur et serveur d’authentification se fait par une simple réencapsulation des paquetsEAP dans un format qui convient au serveur d’authentification, sans modification ducontenu du paquet par le système authentificateur B.5. Ce dernier effectue cependantune lecture des informations contenues dans les paquets EAPOL afin d’effectuer lesactions nécessaires sur le port contrôlé (blocage ou déblocage).

Ainsi,le système authentificateur débloquera le port contrôlé en cas d’authentifica-tion réussie, ou il le bloquera s’il y a une demande explicite en ce sens du système àauthentifier comme on le verra un peu plus loin.

Figure B.5: 802.1x et serveur d’authentification

Les paquets EAP et EAPOLLe protocole 802.1X définit l’utilisation d’EAP, mécanisme décrivant la méthode

utilisée pour réaliser l’authentification. On distingue deux types de trafic EAP (fi-gure B.6),Entre le système à authentifier et le point d’accès (support 802.11a, b,g ou802.3),EAP over LAN (EAPOL).Et entre le point d’accès et le serveur d’authentifica-tion EAP over serveur.

69

Figure B.6: Le trafic EAP

Les quatre types suivants de paquets EAP :— Request : le système authentificateur émet une requête d’information.— Response : réponse du système à authentifier à un paquet Request.— Success : le système authentificateur indique une authentification réussie.— Failure : le système authentificateur indique un échec de l’authentification.Le paquet EAP contient aussi un champ identifier(sur un octet) pour identifier une

session d’authentification.Dans le cas de paquets de type request ou response, un champ (type) définit la

nature des informations qui sont contenues dans le paquet. Par exemple :— Identity : chaîne de caractères identifiant l’utilisateur (par exemple une adresse

mail, un nom de login, etc.).— Notification : chaîne de caractères envoyée à l’utilisateur final.— Nak : refus d’un type d’authentification et proposition d’un autre.— MD5-Challenge : défi (challenge) ou réponse (idem authentification Chap).— One-Time-Password : défi ou réponse.— Generic Token Ring Card : défi ou réponse.— etc.L’encapsulation EAPOL est définie pour les trois types de réseaux suivants : 802.3/Ether-

net MAC, 802.5/Token Ring et FDDI/MAC.Dans le cas d’Ethernet, les paquets EAPtels que définis précédemment sont insérés dans une trame dont le champ type à lavaleur 88-8E. Ces trames EAPOL peuvent être des quatre types suivants :

— EAP-Packet : paquet de dialogue EAP.— EAP-Start : authentification explicitement demandée par le système qui s’au-

thentifie.— EAP-Logoff : fermeture du port contrôlé explicitement demandée par le système

qui s’authentifie.— EAPOL-Key : si chiffrement disponible (ex 802.11).— EAPOL-Encapsulated-ASF-Alert.Exemple de session 802.1x /EAPAvant la connexion du système à authentifier au port physique du PAE du système

authentificateur, le port contrôlé de ce dernier est bloqué, et seul le port non contrôlé est

70

accessible. Lorsque le système à authentifier se connecte au port physique du systèmeauthentificateur, il reçoit un paquet EAP l’invitant à s’authentifier. Sa réponse estreçue sur le port non contrôlé du système authentificateur, puis est retransmise auserveur d’authentification par ce dernier. Par la suite, un dialogue s’établit entre leserveur d’authentification B.7 et le système à authentifier par le biais du relais offertpar le port non contrôlé du PAE du système authentificateur.

Le suppliant souhaite accéder aux ressources du réseau. Mais pour cela il va devoirs’authentifier,Le système authentificateur gère cet accès via le PAE.Il se comportecomme un relais, comme un proxy entre l’entité qui souhaite être sur le réseau et leserveur d’authentification.La structure du 802.1x s’appuie donc sur 4 couches :

Figure B.7: Séquence d’authentification

Quand l’automate 802.1X du système authentificateur voit passer un acquittementpositif d’authentification (en provenance du serveur),il débloque son port contrôlé (in-terrupteur fermé),donnant ainsi au client authentifié l’accès au service.

À partir de cet instant, le schéma logique du PAE du système authentificateurdevient tel que décrit ci-dessous B.8,et le trafic Ethernet est assuré normalement.

71

Cependant, les automates implémentant le protocole 802.1X restent actifs et peuventà nouveau réactiver un processus d’authentification en cas, par exemple, de demandeexplicite du client ou de déconnexion physique au réseau.

Figure B.8: Exemple de situation après une authentification réussie

Fonctionnement détaillé

72

Figure B.9: Diagramme de communication

1. Étape 1 - identité externe— l’équipement demande au client final de décliner son identité(trame EAP-

Request-Identity).— le client répond par une trame EAP contenant son nom d’utilisateur (trame

EAP-Response-Identity). Ca tombe bien, les trames EAP sont les seulesautorisées à entrer dans l’équipement.

2. Étape 2 - Négociation de protocole— Le serveur reçoit le paquet [Access-Request] et fabrique un paquet[Access-

challenge] encapsulant une trame [EAP-Request] contenant une propositionde protocole d’identification, comme PEAP.

— L’équipement décapsule le paquet pour transmettre la trame EAP au clientfinal.

— Le client final répond dans une trame [EAP-response] transmis de la mêmemanière - indirecte par encapsulation - au serveur.

73

— Le client et le serveur étant tombés d’accord sur le protocole d’authentifica-tion, on passe à l’étape suivante.

3. Étape 3 - TLS handshake— Le serveur envoie au client une requête de démarrage [PEAP-START]toujours

par le mécanisme d’encapsulation d’une trame EAP.— Le client final répond par un message [client hello] avec la liste des algo-

rithmes de chiffrement qu’il connait.— Le serveur envoie son choix d’algorithme, ainsi que son certificat et sa clé

publique au client final.— Le client final authentifie le serveur. Il génère une "pré-master-key" avec la

clé publique du serveur. Le serveur fait de même et un tunnel chiffré estétabli entre eux.

— Le tunnel sert à protéger l’échange du mot de passe par rapport à une au-thentification EAP simple.Rappel : le client final n’a pas de certificat (PEAP). Attention, bien qu’onutilise TLS, on n’est pas dans "EAP-TLS", méthode utilisant des certificatsserveur et client.

4. Étape 4 - TLS record— Les échanges liés au protocole de validation du mot de passe vont être effec-

tués dans le tunnel TLS. Avec MSCHAP-V2(MSCHAP est la méthode dereconnaissance mutuelle du client serveur qui passe par ce tunnel).

— Le port s’ouvre lorsque le serveur envoie au client final un message [Access-Accept] après avoir vérifié le mot de passe de l’utilisateur et s’être assuré deses autorisations.

Bibliographie

[1] M.Abbes RHARRAB. Audit sécurité des systèmes d’information. Mémoire deprojet de fin d’étude, Département Informatique Faculté des sciences Rabat, 2012.

[2] CISCO. Network security. Americas Headquarters Cisco Systems, Inc.170 WestTasman Drive San Jose, CA 95134-1706 USA, 2008.

[3] Chérif SADI. Authentification forte. PROJET DE SYNTHÈSE V 2.5 TSGERIAFPA MARSEILLE ST-JEROME, November 2011.

[4] Stéphane Le Béchennec et Philippe Scaglia. Authentification 802.1x. ENIC TélécomLille 1, January 2003.

[5] Gwenael BLUM, Florian LASOWY, Cyril GUERIN, and Cédric PFEIFFER. Pro-tocole aaa principe et implémentation. École Supérieure d’Informatique et Appli-cations de Lorraine, 2014.

[6] Karanbir Singh. Centos. The enterprise-class Linux distribution derived from thesource code of Red Hat Enterprise Linux 6.3, July 2012.

[7] Microsoft. Service d’annuaire active directory. TECHNET MICROSOFT, August2014.

74