Résumé
L’implémentation d’une solution d’authentification sur un réseau local filaire pro-
duit des bénéfices importants. Au ...
Dédicace
Du plus profond de mon cœur et avec le plus grand plaisir de ce monde, je dédie ce
travail :
A mes très chers par...
Remerciement
Je remercie Dieu, le Tout Puissant, le Miséricordieux, qui nous a donné l’opportu-
nité de mener à bien ce tr...
Glossaire
A
AAA :Authentication, Authorization, Accounting.
ACL :Access control list.
AD :Active directory.
ARP :Address R...
v
V
VLAN :Virtual local network.
VPN :Virtual private network.
T
TCP :Transmission Control Protocol.
TLS :Transport Layer ...
Table des matières
Résumé i
Dédicace ii
Remerciement iii
Glossaire iv
Table des figures ix
Liste des tableaux xi
1 Introduc...
Table des matières vii
2.5 Les Menaces Informatiques . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.5.1 Virus, ver...
Table des matières viii
4.3.1 Schéma général d’implémentation . . . . . . . . . . . . . . . . . 32
4.3.2 Détails de configu...
Table des figures
2.1 Le cycle de vie d’audit de sécurité . . . . . . . . . . . . . . . . . . . . . 4
2.2 Schéma du process...
Table des figures x
4.26 Redémarrage du service radius . . . . . . . . . . . . . . . . . . . . . . . 47
4.27 Test d’authen...
Liste des tableaux
3.1 Description textuelle pour le cas d’utilisation "s’authentifier" . . . . . . 26
3.2 Description text...
1Introduction Générale
Dans un contexte concurrentiel, le souci majeur de toute entreprise est comment
faire connaître ses...
2
données qui consiste à écouter les transmissions des différents utilisateurs du réseau
filaire, et le vol d’identité d’une...
2Audit et sécurité d’un réseau informatique
2.1 Introduction
Tous les ordinateurs et donc les utilisateurs connectés à un ...
2.2 Audit sécurité des systèmes d’information 4
— Pragmatique : c’est-à-dire aisé à quantifier (qualifier) et à contrôler. C...
2.3 Démarche de réalisation d’un audit Sécurité de Système
d’information 5
— l’audit organisationnel et physique.
— l’audi...
2.3 Démarche de réalisation d’un audit Sécurité de Système
d’information 6
2.3.2 Préparation de l’audit
Cette phase est au...
2.3 Démarche de réalisation d’un audit Sécurité de Système
d’information 7
2.3.4.2 Déroulement
Vu les objectifs escomptés ...
2.4 Audit Interne à SUNGARD Global Solutions Tunis 8
défaillances enregistrées. Autant est-il important de déceler un mal,...
2.4 Audit Interne à SUNGARD Global Solutions Tunis 9
dollars fort potentiels. L’absence de contrôles appropriés pourrait a...
2.5 Les Menaces Informatiques 10
2.4.8 Recommandations
À la fin de l’audit, on a tiré les recommandations suivantes :
— Les...
2.5 Les Menaces Informatiques 11
— Ver : de l’anglais Worm, c’est un logiciel qui se réplique sur les machines d’un
réseau...
2.6 Les Mesures de Sécurité Informatique à SUNGARD 12
2.5.5 Les attaques par déni de services
L’attaque par déni de servic...
2.6 Les Mesures de Sécurité Informatique à SUNGARD 13
pour protéger les systèmes d’exploitation de dernière génération ave...
2.7 Critique et propositions 14
— Address Space Layout Randomization.
— Inspection approfondie des paquets.
— Désinfection...
3Spécification et Analyse de besoins
3.1 Introduction
Ce chapitre est consacré à l’analyse et la spécification de besoins. C...
3.2 Problématique 16
Tunisie, qui sont répartis sur plusieurs bâtiments dans lesquels sont placés des centaines
d’ordinate...
3.3 Étude de l’existant 17
3.3 Étude de l’existant
3.4 Les solutions existantes sur le marché
3.4.1 La technologie biométr...
3.4 Les solutions existantes sur le marché 18
3.4.5 Le protocole 802.1x
Le protocole 802.1x est une solution standard de s...
3.4 Les solutions existantes sur le marché 19
qui définit le format des messages, comment ils sont transportés, les message...
3.4 Les solutions existantes sur le marché 20
1. NIS : Network Information Service (NIS) nommé aussi Yellow Pages est un
p...
3.4 Les solutions existantes sur le marché 21
échange de mot de passe en clair sur le réseau et sans que l’échange puisse ...
3.5 Solution proposée 22
monde sait bien que dans la réalité les mots de passe complexes sont rarement
utilisés.
De nouvea...
3.6 Conduite du projet 23
3.6 Conduite du projet
3.6.1 Processus du projet
Un processus d’un projet définit une séquence d’...
3.7 Spécification des besoins du projet 24
la mesure où la maîtrise d’œuvre connaît le produit qu’elle a mis au point, il ...
3.8 Spécification semi-fonctionnelle 25
3.7.2 Les besoins fonctionnels
Nous avons choisi d’intégrer dans notre projet les ...
3.8 Spécification semi-fonctionnelle 26
Figure 3.5: Cas d’utilisation global
3.8.1.1 Cas d’utilisation S’authentifier
La fig...
3.8 Spécification semi-fonctionnelle 27
Figure 3.7: Cas d’utilisation de demande de connexion
Table 3.2: Description textu...
3.9 Conclusion 28
Figure 3.8: Diagramme de séquence
Description :Tout d’abord, l’utilisateur se branche à un port réseau. ...
4Réalisation du projet
4.1 Introduction
Ce chapitre a pour objectif de présenter le système d’authentification réalisé. Tou...
4.2 Environnement du travail 30
Centos (Community enterprise Operating System) est une distribution GNU/Linux
principaleme...
4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 31
4.3 Mise en palace et intégrat...
4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 32
le serveur RADIUS, qui va, par...
4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 33
4.3.1.1 Système à authentifier ...
4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 34
— Par port, un VLAN est attrib...
4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 35
4.3.1.4 Domaine de contrôle (A...
4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 36
Figure 4.2: Politique d’authen...
4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 37
Configuration de fichier du serv...
4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 38
NTP :Protocole d’heure réseaux...
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Report Master
Prochain SlideShare
Chargement dans…5
×

Report Master

378 vues

Publié le

Implémentation de la norme 802.1x pour authentification au réseau câblé.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
378
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
11
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Report Master

  1. 1. Résumé L’implémentation d’une solution d’authentification sur un réseau local filaire pro- duit des bénéfices importants. Au sein du SUNGARD, il est nécessaire d’autoriser la mobilité des utilisateurs. Un utilisateur doit pouvoir se retrouver dans le réseau interne de son plateau même s’il se trouve physiquement dans un autre bâtiment. Cette opé- ration est réalisée grâce aux VLAN de chaque plateau. Selon le statut de la personne, il faut qu’elle soit placée dans un VLAN particulier. Pour cela, il a été défini une liste répertoriant les adresses IP utilisées dans chacun de ces VLAN. Les VLAN ne sont là que pour la séparation des réseaux. Ils ne savent pas gérer les procédures d’authenti- fication. Celle-ci sera donc mise en place avec une méthode basée sur la norme IEEE 802.1x. i
  2. 2. Dédicace Du plus profond de mon cœur et avec le plus grand plaisir de ce monde, je dédie ce travail : A mes très chers parents Mongi et Najwa pour tous les sacrifices qu’ils ont consen- tis pour mon éducation et pour tout ce qu’ils ont enduré pour satisfaire toutes mes sollicitations.Que le dieu les préserve en bonne santé et longue vie. A Mes chers Frères Adnen,Ayoub et Mes chères sœur Hadil et Sinda. A qui je souhaite un avenir radieux Plein de bonheur et de succès. Que dieu vous bénisse et vous accorde joie, santé et longue vie. A Tous mes amis sans exception. Et a tous ceux qui m’ont aidé de prés ou de loin à la réalisation de ce travail. ii
  3. 3. Remerciement Je remercie Dieu, le Tout Puissant, le Miséricordieux, qui nous a donné l’opportu- nité de mener à bien ce travail. C’est avec un grand plaisir que, j’adresse mes sincères remerciements à l’égard de mes encadreurs, M. Mohamed Amine Boukhari et M. Mohamed Laaraiedh, qui n’ont ménagé aucun effort pour la bonne réussite de ce travail. J’adresse mes sincères remerciements au coordinateur de Master chez ISI, M. Mo- hamed Houcine Hdhili. Je ne manque pas de remercier M. Walid Sebai Manger local IT à Sungard, pour la confiance qu’il nous a accordé pour accomplir ce travail. Je réserve une pensée spéciale à tous les enseignants de l’ISI qui ont su nous don- ner une formation didactique et appréciable durant tout notre cursus, à la promotion SSICE 2013/2014 pour la sagesse qu’elle a fait preuve. Ce geste sera gravé à jamais dans nos mémoires. Je tiens aussi à remercier les membres du jury qui m’ont fait l’honneur de juger ce travail. Je voudrai ensuite remercier l’ensemble du personnel de Sungard, pour avoir su rendre cette expérience aussi enrichissante et agréable. Je ne terminai pas sans avoir exprimé mes remerciements envers toutes les per- sonnes qui ont contribué de près ou de loin à la réalisation de ce projet. Bilel TRABELSI iii
  4. 4. Glossaire A AAA :Authentication, Authorization, Accounting. ACL :Access control list. AD :Active directory. ARP :Address Resolution Protocol. AKA :Authentication and Key Agreement. D DMZ :Demilitarized zone in network computing. DHCP :Dynamic Host Configuration Protocol. DOS :Denial of service. DNS :Domain Name System. E EAP :Extensible Authentication Protocol. EAPOL :Extensible Authentication Protocol OVER LAN. I IDS :Intrusion Detection System. IPS :Intrusion prevention systems. IP :Internet Protocol. IETF :Internet Engineering Task Force. IEEE :Institut of Electrical and Electronics Engineers. L LAN :Local area network. LEAP :Lightweight Extensible Authentication Protocol. LDAP :Lightweight Directory Access Protocol. M MAC :Media Access Control MD5 :Message Digest 5 challenge Handshake authentication Protocol. N NAC :Network Access control. NAS :Network Authentication Service. NTLM :NT Lan Manager. NTP :Network Time Protocol. O OTP :One-time password. P PAE :Port access entity. PEAP :Protected Extensible Authentification. iv
  5. 5. v V VLAN :Virtual local network. VPN :Virtual private network. T TCP :Transmission Control Protocol. TLS :Transport Layer Security. TTLS :Tunneled- TLS. S SKE :EAP-Shared Key Exchange. SSH :Secure Shell.
  6. 6. Table des matières Résumé i Dédicace ii Remerciement iii Glossaire iv Table des figures ix Liste des tableaux xi 1 Introduction Générale 1 2 Audit et sécurité d’un réseau informatique 3 2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2 Audit sécurité des systèmes d’information . . . . . . . . . . . . . . . . 3 2.2.1 Qu’est ce que un Audit . . . . . . . . . . . . . . . . . . . . . . . 3 2.2.2 Rôles et objectifs de l’audit . . . . . . . . . . . . . . . . . . . . 4 2.2.3 Cycle de vie d’un audit sécurité des systèmes d’information . . . 4 2.3 Démarche de réalisation d’un audit Sécurité de Système d’information . 5 2.3.1 Définition de la charte d’audit . . . . . . . . . . . . . . . . . . . 5 2.3.2 Préparation de l’audit . . . . . . . . . . . . . . . . . . . . . . . 6 2.3.3 Audit organisationnel et physique . . . . . . . . . . . . . . . . . 6 2.3.4 Audit technique . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.3.5 Test d’intrusion (Audit intrusif) . . . . . . . . . . . . . . . . . . 7 2.3.6 Rapport d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.4 Audit Interne à SUNGARD Global Solutions Tunis . . . . . . . . . . . 8 2.4.1 Objectifs d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.4.2 Résumé du travail effectué . . . . . . . . . . . . . . . . . . . . . 8 2.4.3 Observations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.4.4 Systèmes d’information de l’administration, le développement et la maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.4.5 Communication et gestion des opérations . . . . . . . . . . . . . 9 2.4.6 Contrôles physiques et environnementales . . . . . . . . . . . . . 9 2.4.7 Gestion de la continuité des affaires . . . . . . . . . . . . . . . . 9 2.4.8 Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.4.9 Avis de vérification . . . . . . . . . . . . . . . . . . . . . . . . . 10 vi
  7. 7. Table des matières vii 2.5 Les Menaces Informatiques . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.5.1 Virus, ver, et cheval de Troie . . . . . . . . . . . . . . . . . . . . 10 2.5.2 Spyware et adware . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.5.3 Attaques zero-day . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.5.4 Dépassement de Tampon . . . . . . . . . . . . . . . . . . . . . . 11 2.5.5 Les attaques par déni de services . . . . . . . . . . . . . . . . . 12 2.5.6 Interception et vol de données . . . . . . . . . . . . . . . . . . . 12 2.5.7 Le vol d’identité et Usurpation de Droit . . . . . . . . . . . . . 12 2.6 Les Mesures de Sécurité Informatique à SUNGARD . . . . . . . . . . . 12 2.7 Critique et propositions . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3 Spécification et Analyse de besoins 15 3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.2 Problématique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.3 Étude de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 3.4 Les solutions existantes sur le marché . . . . . . . . . . . . . . . . . . . 17 3.4.1 La technologie biométrique . . . . . . . . . . . . . . . . . . . . . 17 3.4.2 La Carte à puce Digipass . . . . . . . . . . . . . . . . . . . . . . 17 3.4.3 La Technologie RSA SecurID . . . . . . . . . . . . . . . . . . . 17 3.4.4 La carte à puce audio . . . . . . . . . . . . . . . . . . . . . . . . 17 3.4.5 Le protocole 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.4.6 les serveurs d’application . . . . . . . . . . . . . . . . . . . . . . 18 3.4.7 Les services d’annuaires . . . . . . . . . . . . . . . . . . . . . . 19 3.4.8 Les protocole d’authentification . . . . . . . . . . . . . . . . . . 20 3.5 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.6 Conduite du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.6.1 Processus du projet . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.6.2 Cycle de vie d’un projet . . . . . . . . . . . . . . . . . . . . . . 23 3.6.3 Choix du modèle en V . . . . . . . . . . . . . . . . . . . . . . . 24 3.7 Spécification des besoins du rojet . . . . . . . . . . . . . . . . . . . . . 24 3.7.1 L’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.7.2 Les besoins fonctionnels . . . . . . . . . . . . . . . . . . . . . . 25 3.7.3 Les besoins non fonctionnels . . . . . . . . . . . . . . . . . . . . 25 3.8 Spécification semi-fonctionnelle . . . . . . . . . . . . . . . . . . . . . . 25 3.8.1 Diagramme de cas d’utilisation global . . . . . . . . . . . . . . . 25 3.8.2 Diagramme de séquence global . . . . . . . . . . . . . . . . . . . 27 3.9 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4 Réalisation du projet 29 4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.2 Environnement du travail . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.2.1 Environnement matériel . . . . . . . . . . . . . . . . . . . . . . 29 4.2.2 Environnement logiciel . . . . . . . . . . . . . . . . . . . . . . . 29 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authen- tification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
  8. 8. Table des matières viii 4.3.1 Schéma général d’implémentation . . . . . . . . . . . . . . . . . 32 4.3.2 Détails de configuration . . . . . . . . . . . . . . . . . . . . . . 35 4.4 Les challenges rencontrés . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5 Conclusion Générale 58 A Annexe 59 B Annexe 63 Bibliographie 74
  9. 9. Table des figures 2.1 Le cycle de vie d’audit de sécurité . . . . . . . . . . . . . . . . . . . . . 4 2.2 Schéma du processus d’audit . . . . . . . . . . . . . . . . . . . . . . . . 5 3.1 Processus pour accéder au réseau du SUNGARD . . . . . . . . . . . . 16 3.2 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.3 Cycle de vie d’un projet . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.4 Cycle de vie Modèle en V . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.5 Cas d’utilisation global . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.6 Cas d’utilisation "s’authentifier" . . . . . . . . . . . . . . . . . . . . . . 26 3.7 Cas d’utilisation de demande de connexion . . . . . . . . . . . . . . . . 27 3.8 Diagramme de séquence . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.1 Architecture de la plateforme proposée . . . . . . . . . . . . . . . . . . 32 4.2 Politique d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.3 Configuration DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.4 Modifier le DNS au fichier resolv.conf . . . . . . . . . . . . . . . . . . . 37 4.5 Configuration NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.6 Installation de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.7 Configuration de fichier Kerberos . . . . . . . . . . . . . . . . . . . . . 39 4.8 Récupération d’un ticket Kerberos . . . . . . . . . . . . . . . . . . . . . 39 4.9 Configuration de fichier Samba . . . . . . . . . . . . . . . . . . . . . . 40 4.10 Redémarrage de samba . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.11 Intégration dans L’AD . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.12 Redémarrage de service Winbind . . . . . . . . . . . . . . . . . . . . . 41 4.13 Vérification du ticket Kerberos . . . . . . . . . . . . . . . . . . . . . . . 41 4.14 Test du RCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 4.15 Résultat de Test RCP . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 4.16 Affichage des utilisateurs de l’annuaire . . . . . . . . . . . . . . . . . . 42 4.17 Test d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 4.18 Résultat de test d’authentification . . . . . . . . . . . . . . . . . . . . . 43 4.19 Installation de Freeradius . . . . . . . . . . . . . . . . . . . . . . . . . . 43 4.20 Vérification de service NTLM . . . . . . . . . . . . . . . . . . . . . . . 43 4.21 Architecture LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 4.22 Architecture LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.23 Configuration de fichier EAP . . . . . . . . . . . . . . . . . . . . . . . . 46 4.24 Configuration de fichier MS-CHAP . . . . . . . . . . . . . . . . . . . . 47 4.25 Fichier proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 ix
  10. 10. Table des figures x 4.26 Redémarrage du service radius . . . . . . . . . . . . . . . . . . . . . . . 47 4.27 Test d’authentification local . . . . . . . . . . . . . . . . . . . . . . . . 48 4.28 Activation le mode debug . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.29 Résultat de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.30 Activation AAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 4.31 Création d’une méthode d’authentification . . . . . . . . . . . . . . . . 49 4.32 Autorisation de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 4.33 Configuration des paramètres serveur . . . . . . . . . . . . . . . . . . . 50 4.34 Configuration de retransmission au serveur . . . . . . . . . . . . . . . . 50 4.35 Configuration de secret partagé entre le commutateur et le serveur Radius 50 4.36 Configuration de routeur . . . . . . . . . . . . . . . . . . . . . . . . . . 51 4.37 Configuration de l’interface de commutateur . . . . . . . . . . . . . . . 51 4.38 Sauvegarde de la configuration de commutateur . . . . . . . . . . . . . 51 4.39 Service.msc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 4.40 Configuration Automatique . . . . . . . . . . . . . . . . . . . . . . . . 53 4.41 Méthode d’authentification réseau . . . . . . . . . . . . . . . . . . . . . 54 4.42 Activer le type d’authentification . . . . . . . . . . . . . . . . . . . . . 55 4.43 Méthode d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 56 A.1 les différents 2700X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 A.2 Modèle OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 B.1 Les trois entités qui interagissent dans 802.1x . . . . . . . . . . . . . . 64 B.2 Architecture du PAE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 B.3 Structure des trames RADIUS . . . . . . . . . . . . . . . . . . . . . . . 66 B.4 Établissement d’une session RADIUS . . . . . . . . . . . . . . . . . . . 67 B.5 802.1x et serveur d’authentification . . . . . . . . . . . . . . . . . . . . 68 B.6 Le trafic EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 B.7 Séquence d’authentification . . . . . . . . . . . . . . . . . . . . . . . . 70 B.8 Exemple de situation après une authentification réussie . . . . . . . . . 71 B.9 Diagramme de communication . . . . . . . . . . . . . . . . . . . . . . . 72
  11. 11. Liste des tableaux 3.1 Description textuelle pour le cas d’utilisation "s’authentifier" . . . . . . 26 3.2 Description textuelle pour la demande de connexion . . . . . . . . . . . 27 4.1 Paramétrages des différentes entités. . . . . . . . . . . . . . . . . . . . 31 B.1 Valeur du champ Code RADIUS . . . . . . . . . . . . . . . . . . . . . . 66 xi
  12. 12. 1Introduction Générale Dans un contexte concurrentiel, le souci majeur de toute entreprise est comment faire connaître ses activités et services au niveau national et international. Toutefois, il est primordial de garantir la sécurité au sein de système informatique et réseau de l’entreprise. C’est dans ce cadre que se situe ce projet qui consiste à implémenter une nouvelle technologie d’authentification pour le réseau câblé de SUNGARD. SUNGARD (SUN Guaranteed Access to Recovered Data) a été créé en 1982, en tant qu’essaimage de la Sun OilCompany. En 1970, Sun Oil s’est lancé dans plusieurs activités, notamment une division de services informatiques qui est finalement devenue SUNGARD. Basée à Wayne, Pennsylvanie, SUNGARD est aujourd’hui l’un des leaders mondiaux du logiciel et des services IT des entreprises. Elle compte 20.000 collabora- teurs répartis dans 200 villes et 30 pays et répond aux besoins de 25.000 clients répartis dans 70 pays. SUNGARD fournit des solutions et des logiciels de traitement pour les services financiers, l’enseignement supérieur et le secteur public. Elle fournit également des services de récupération des données, la gestion des services informatiques, la dis- ponibilité de l’informationnel des services de consultation et la continuité des activités de gestion des logiciels. l’entreprise prend en charge les opérations stratégiques des institutions financières, des entreprises, des collectivités locales ainsi que la sécurité publique, les organismes de justice et les institutions éducatives à travers le monde. Au sein de la société SUNGARD, il y on a des équipes et chacun d’eux a un accès à un réseau spécifique selon des droits d’accès bien déterminés. Autrement dit, la visibilité de données existantes dans la base de données est limitée aux membres de chaque équipe : tenons l’exemple de l’équipe qui prend en charge la tache de développement. Cette équipe a un réseau local sur lequel elle peut se connecter et donc sa propre base de données. Par exemple, un stagiaire qui a le droit d’accès seulement à la base données propre aux stagiaires ne peut en aucun cas voir les informations de la base de données qui concernent la catégorie "Équipe de développement". Cette procédure peut devenir plus complexe pour plusieurs raisons. Parmi ces rai- sons, on trouve la manque de sécurité au niveau du réseau câblé, l’interception de 1
  13. 13. 2 données qui consiste à écouter les transmissions des différents utilisateurs du réseau filaire, et le vol d’identité d’une personne physique ou morale qui consiste à prendre délibérément l’identité d’une autre personne, dans le but de réaliser des actions frau- duleuses, etc. Après une investigation détaillée, on a conclu qu’il y a un problème au niveau d’accès physique au réseau filaire du SUNGARD. On a conclu qu’une implémentation de la technologie 802.1x est indispensable pour l’authentification du réseau câblé. 802.1X est un standard lié à la sécurité des réseaux informatiques, mis au point en 2001 par l’IEEE (famille de la norme IEEE 802). Son objectif est de réaliser une authentification de l’accès au réseau au moment de la connexion physique à ce dernier, et valider un droit d’accès physique aux réseaux. Le 802,1x apporte des avantages considérables au niveau de l’administration du réseau, notamment par l’affectation dynamique de VLAN en fonction de caractéristiques de cette authentification. La suite de ce rapport est organisée en quatre chapitres : — Dans le premier chapitre, nous débutons par un état de l’art sur l’audit et la sécurité d’un réseau informatique. En particulier, on présente les mesures de sécurité utilisées au sein de SUNGARD contre les différents risques. — Le deuxième chapitre est consacré à la spécification des besoins qui consiste à dégager les besoins fonctionnels et non fonctionnels et les analyser à l’aide des diagrammes de cas d’utilisation et de séquences. — Le troisième chapitre présente le fruit de ce projet qui est la réalisation du système. Dans ce dernier chapitre, nous présentons l’environnement matériel et logiciel et les différentes taches effectuées tout au long de ce projet. — Le rapport se termine par une conclusion générale qui rappelle la problématique et la solution proposée ainsi que les principales perspectives qu’on a dégagé pour ce travail.
  14. 14. 2Audit et sécurité d’un réseau informatique 2.1 Introduction Tous les ordinateurs et donc les utilisateurs connectés à un réseau informatique sont potentiellement vulnérables aux attaques. Ceci montre l’importance immanquable des actions de sécurité du réseau. La sécurité du réseau se réfère à toutes les activités visant à protéger le réseau. Plus précisément, ces activités protègent la facilité d’utilisation et offrent la fiabilité, l’intégrité et la sécurité de réseau et des données. Par ailleurs, une sécurité réseau efficace vise une variété de menaces et les empêche de pénétrer ou de se propager sur le réseau. 2.2 Audit sécurité des systèmes d’information 2.2.1 Qu’est ce que un Audit En informatique, le terme audit (une écoute) est apparu dans les années 70 et a été utilisé de manière relativement aléatoire. En particulier, un "audit de sécurité de l’information" est une mission d’évaluation de conformité par rapport à une politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité. Une mission d’audit ne peut ainsi être réalisée que si l’on a défini auparavant un référentiel, c’est-à-dire en l’occurrence, un ensemble de règles organisationnelles, procé- durales ou techniques de référence. Ce référentiel permet au cours de l’audit d’évaluer le niveau de sécurité réelle du "terrain" par rapport à une cible [1]. Pour évaluer le niveau de conformité, ce référentiel doit être : — Complet (mesure l’ensemble des caractéristiques) : il ne doit pas s’arrêter au ni- veau système, réseau, télécoms ou applicatifs, de manières exclusives. De même, il doit couvrir des points techniques et organisationnels. — Homogène : chaque caractéristique mesurée doit présenter un poids cohérent avec le tout. 3
  15. 15. 2.2 Audit sécurité des systèmes d’information 4 — Pragmatique : c’est-à-dire aisé à quantifier (qualifier) et à contrôler. Ce dernier point est souvent négligé. La mission d’audit consiste à mesurer le niveau d’application de ces règles sur le sys- tème d’informations par rapport aux règles qui devraient être effectivement appliquées selon les processus édictés. l’audit est avant tout un constat. 2.2.2 Rôles et objectifs de l’audit Une mission d’audit vise différents objectifs. En effet, nous pouvons énumérer à ce titre : — la détermination des déviations par rapport aux bonnes pratiques de sécurité. — la proposition d’actions visant l’amélioration du niveau de sécurité du système d’information. Également, une mission d’audit de sécurité d’un système d’informations se présente comme un moyen d’évaluation de la conformité par rapport à une politique de sécurité ou par rapport à un ensemble de règle de sécurité [1]. 2.2.3 Cycle de vie d’un audit sécurité des systèmes d’informa- tion Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit un cycle de vie qui est schématisé à l’aide de la figure 2.1. Figure 2.1: Le cycle de vie d’audit de sécurité L’audit de sécurité informatique se présente essentiellement suivant deux parties comme indiqué sur la figure 2.1 :
  16. 16. 2.3 Démarche de réalisation d’un audit Sécurité de Système d’information 5 — l’audit organisationnel et physique. — l’audit technique. Une troisième partie optionnelle peut être également considérée. Il s’agit de l’audit intrusif (test d’intrusion). Enfin, un rapport d’audit s’établit à l’issue de ces étapes. Ce rapport présente une synthèse de l’audit. Il présente également les recommandations à mettre en place pour corriger les défaillances organisationnelles et techniques constatées [1]. 2.3 Démarche de réalisation d’un audit Sécurité de Système d’information Dans la section précédente on a évoqué les principales étapes de l’audit de sécurité des systèmes d’information. Cependant, il existe une phase aussi importante qui est la phase de préparation. Ainsi, nous pouvons schématiser l’ensemble du processus d’audit selon le schéma présenté par la figure 2.2. Figure 2.2: Schéma du processus d’audit 2.3.1 Définition de la charte d’audit Avant de procéder à une mission d’audit, une charte d’audit doit être réalisée. Elle a pour objectif de définir la fonction de l’audit, les limites et les modalités de son intervention, ses responsabilités ainsi que les principes régissant les relations entre les auditeurs et les auditer. Elle fixe également les qualités professionnelles et morales requises des auditeurs [1].
  17. 17. 2.3 Démarche de réalisation d’un audit Sécurité de Système d’information 6 2.3.2 Préparation de l’audit Cette phase est aussi appelée phase de pré-audit. Elle constitue une phase impor- tante pour la réalisation de l’audit sur terrain. En effet, c’est au cours de cette phase que se dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se manifeste par des rencontres entre auditeurs et responsables de l’organisme à auditer. Au cours de ses entretiens, les espérances des responsables vis-à-vis de l’audit devront être exprimées. Aussi, le planning de réalisation de la mission de l’audit doit être fixé. les personnes qui seront amenées à répondre au questionnaire concernant l’audit organisationnel doivent être également identifiées. L’auditeur (aux les auditeurs) pour- rait également solliciter les résultats des précédents audits. Cette phase sera suivie par l’audit organisationnel et physique [1]. 2.3.3 Audit organisationnel et physique 2.3.3.1 Objectifs Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de l’organisme cible. Nous nous intéressons donc aux aspects de gestion et d’organisation de la sécurité sur les plans organisationnels, humains et physiques. L’objectif de cette étape est donc d’avoir une vue globale sur l’état de sécurité du système d’informations et d’identifier les risques potentiels sur le plan organisationnel. 2.3.3.2 Déroulement Afin de réaliser cette étape de l’audit, on doit suivre une approche méthodologie qui s’appuie sur une batterie de question. Ce questionnaire préétabli devra tenir compte et s’adapter aux réalités de l’organisme à auditer. À L’issue de ce questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la conformité de cet organisme par rapport à la norme référentielle de l’audit. 2.3.4 Audit technique 2.3.4.1 Objectifs Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit organisationnel. L’audit technique est réalisé suivant une approche méthodique allant de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services réseaux actifs et vulnérables. Cette analyse devra faire apparaître les failles et les risques, les conséquences d’in- trusions ou de manipulations illicites de données. Au cours de cette phase, l’auditeur pourra également apprécier l’écart avec les réponses obtenues lors des entretiens. Il testera aussi la robustesse de la sécurité du système d’information et sa capacité à préserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation. Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en cause la continuité de service du système audité.
  18. 18. 2.3 Démarche de réalisation d’un audit Sécurité de Système d’information 7 2.3.4.2 Déroulement Vu les objectifs escomptés lors de cette étape, leurs aboutissements ne sont possibles que par l’utilisation de différents outils. Chaque outil commercial qui devra être utilisé doit bénéficier d’une licence d’utilisation en bonne et due forme. Également, les outils disponibles dans le monde du logiciel libre sont admis. L’en- semble des outils utilisés doit couvrir entièrement ou partiellement la liste non exhaus- tive des catégories ci-après : — Outils de sondage et de reconnaissance du réseau. — Outils de test automatique de vulnérabilités du réseau. — Outils spécialisés dans l’audit des équipements réseau (routeurs, switchs). — Outils spécialisés dans l’audit des systèmes d’exploitation. — Outils d’analyse et d’interception de flux réseaux. — Outils de test de la solidité des objets d’authentification (fichiers de mots clés). — Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS, outils d’authentification). — Outils spécialisés dans l’audit SGBD existants. Chacun des outils à utiliser devra faire l’objet d’une présentation de ses caracté- ristiques et fonctionnalités aux responsables de l’organisme audité pour les assurer de l’utilisation de ces outils. 2.3.5 Test d’intrusion (Audit intrusif) 2.3.5.1 objectifs Cet audit permet d’apprécier le comportement du réseau face à des attaques. Il permet aussi de sensibiliser les acteurs (management, équipe informatique sur site, les utilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été effec- tués (scénario et outils) ainsi que les recommandations pour pallier aux insuffisances identifiées. 2.3.5.2 Déroulement La phase de déroulement de cet audit doit être réalisée par une équipe de personnes ignorantes du système audité avec une définition précise des limites et horaires des tests. Étant donné l’aspect risqué (pour la continuité de services du système d’information) que porte ce type d’audit, l’auditeur doit : — Bénéficier de grandes compétences. — Adhérer à une charte déontologique. — S’engager(la charte d’audit) à un non-déroulement : implication à ne pas pro- voquer de perturbation du fonctionnement du système, ni de provocation de dommages. 2.3.6 Rapport d’audit A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger un rapport de synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des
  19. 19. 2.4 Audit Interne à SUNGARD Global Solutions Tunis 8 défaillances enregistrées. Autant est-il important de déceler un mal, autant il est éga- lement important d’y proposer des solutions. Ainsi, l’auditeur est également invité à donner ses recommandations pour pallier les défauts qu’il aura constatés. Ces recom- mandations doivent tenir compte de l’audit organisationnel et physique ainsi que de celui technique et intrusif [1]. 2.4 Audit Interne à SUNGARD Global Solutions Tu- nis 2.4.1 Objectifs d’audit Les objectifs de cet audit comprenaient un examen des contrôles sélectionnés sur les domaines suivants : — Évaluer la conception et l’efficacité opérationnelle du cycle de vie de développe- ment logiciel. — Évaluer la conception et l’efficacité opérationnelle des contrôles sur les systèmes soutenant les processus. — Déterminer si des contrôles adéquats sont en place pour garantir la propriété intellectuelle et des données sensibles. — Vérifiez que les ressources sont formées dans les plans de sécurité et de transi- tion l’information pour réduire les écarts en matière d’expertise lors du chiffres d’affaires. — Vérifier que les contrôles de sécurité physiques appropriées sont en place sur les actifs et le bureau. — Contrôles nécessaire pour assurer la continuité et le soutien des opérations cri- tique de l’entreprise d’affaires Vérifier est correctement documenté et testé. — Faire des recommandations concrètes pour améliorer les contrôles et les proces- sus. 2.4.2 Résumé du travail effectué Lors de cette mission d’audit, nous avons été amenés à exécuter les taches suivantes : — Configurations échantillonnées et évaluées pour les systèmes Windows et les serveurs de test Linux. — Configurations échantillonnées et évaluées pour les pare-feu. — Examiner le processus de contrôle d’accès. — Évaluer la continuité des activités et le programme de reprise après sinistre. 2.4.3 Observations Les observations sont classées en fonction du risque qu’ils représentent pour l’en- treprise. Ces classifications ont pour objectif d’aider l’entreprise à organiser les efforts d’assainissement. On a défini 3 niveaux de risque comme suit : — Haut : résulte de l’exposition directe à des actifs importants ou une perte en
  20. 20. 2.4 Audit Interne à SUNGARD Global Solutions Tunis 9 dollars fort potentiels. L’absence de contrôles appropriés pourrait avoir un im- pact considérable sur les opérations, la conformité réglementaire ou les résultats financiers. — Moyen : implique une exposition indirecte aux actifs importants et pourrait avoir un impact modéré sur les opérations, la conformité réglementaire ou les résultats financiers. — Faible : risques qui ont un impact limité sur les opérations, la conformité régle- mentaire ou les résultats financiers. 2.4.4 Systèmes d’information de l’administration, le dévelop- pement et la maintenance Contrôles positifs Notés — Les équipes du produit utilisent constamment les processus (produit) utilisés à la vérification effectuée par les consultants dans le cadre du programme de mesures communes collectées et audits. — Les équipes travaillent à comprendre les spécifications qui leur est donné de l’unité d’affaires et d’évaluer les risques sur les changements à voir comment elle influence le produit. — Les équipes du produit sont conduits à assurer la livraison à tant de travaux. 2.4.5 Communication et gestion des opérations Contrôles positifs Notés — Les analyses de LANguard(Réseau local de sungard) sont effectuées. — Nipper est utilisé pour examiner les configurations de pare-feu. — Le système de détection d’intrusion(IDS) est en place. — La surveillance est en place pour la capacité (disque et réseau). 2.4.6 Contrôles physiques et environnementales Contrôles positifs Notés — Flux de vidéo-surveillances enregistrées et conservées pendant 90 jours. — Connectivité de réseau redondant. — Générateur en place pour assurer la disponibilité. — Des mécanismes anti-talonnage mis en place pour la zone de bureau. 2.4.7 Gestion de la continuité des affaires Contrôles positifs Notés — La documentation pour le site de Tunis a révélé que les équipes travaillent en collaboration avec les unités d’affaires pour s’assurer que le personnel et les processus critiques sont documentés. — Tests effectués sur une base annuelle. — Lorsqu’il y a un problème au niveau du bureau local du SUNGARD, les em- ployées peuvent connecter à distance.
  21. 21. 2.5 Les Menaces Informatiques 10 2.4.8 Recommandations À la fin de l’audit, on a tiré les recommandations suivantes : — Les approbations sont documentées, mais ne sont pas gardées dans un endroit d’accès facile et piste de vérification rapide. Il est recommandé de Centraliser les autorisations pour les équipes de produits en un seul endroit. — L’équipe de soutien ne vérifie pas systématiquement la demande de changement réel par l’examen des renseignements sur le billet. L’équipe de soutien devrait examiner les détails de tous les billets avant toute mise en œuvre et s’assurer que les demandes sont appropriées. — Avoir un processus de ré-certification pour les badges d’accès à comparer avec la liste actuelle des employés comme un contrôle supplémentaire. 2.4.9 Avis de vérification Trois degrés de satisfaction ont été définis comme suit : — Satisfaisant : Les contrôles fondamentaux sont en place dans tous les domaines à l’étude et respectent ou dépassent les normes minimales acceptables ; Les contrôles sont bien conçus et fonctionnent à un degré qu’ils fournissent une assurance et une fiabilité raisonnable. — Besoin d’amélioration : Les contrôles répondent généralement aux normes mi- nimales acceptables, mais un certain nombre de contrôles pour gérer les risques clés sont soit ignorés, soit ayant des problèmes de conception, ou ne fonctionnent pas correctement. La direction devrait évaluer et prendre des mesures sur les lacunes et les insuffisances de contrôle. — Peu satisfaisant : Les contrôles ne répondent pas aux normes minimales ac- ceptables. Des défauts de conception et/ou d’exploitation clés existent qui pour- raient exposer les processus en cours d’examen à des risques importants. Les contrôles ne sont pas suffisants pour prévenir, détecter ou corriger les risques. Ceci nécessite une action corrective immédiate par la direction et l’audit de suivi, le cas échéant. 2.5 Les Menaces Informatiques De nombreuses menaces de sécurité réseau sont aujourd’hui réparties sur Internet. Les menaces les plus courantes d’après CISCO sont décrites dans cette section [2]. 2.5.1 Virus, ver, et cheval de Troie — Virus : c’est un logiciel qui infecte un autre logiciel et l’utilise comme vecteur de propagation comme son équivalent biologique. C’est un programme malicieux capable de faire fonctionner des actions nuisibles pour le système informatique (SI), et éventuellement de se répandre par réplication à l’intérieur d’un SI. Les conséquences sont le plus souvent la perte d’intégrité des données d’un SI et la dégradation voire l’interruption du service fourni.[2]
  22. 22. 2.5 Les Menaces Informatiques 11 — Ver : de l’anglais Worm, c’est un logiciel qui se réplique sur les machines d’un réseau. C’est un programme malicieux qui a la faculté de se déplacer à travers un réseau qu’il cherche à perturber en le rendant totalement ou partiellement indisponible.[2] — Cheval de Troie : c’est un programme qui se déguise en un autre programme, comme par exemple un programme de jeu, un utilitaire, une rustine ou un patch de sécurité. C’est un programme ou un fichier introduit dans un SI et comportant une fonctionnalité cachée connue seulement de l’agresseur. L’utilisation d’un tel programme par l’utilisateur courant permet à l’attaquant de contourner les contrôles de sécurité en se faisant passer pour un utilisateur interne.[2] 2.5.2 Spyware et adware — Un logiciel espion : (aussi appelé mouchard ou espiogiciel ; en anglais spyware) c’est un logiciel malveillant qui s’installe dans un ordinateur dans le but de collecter et transférer des informations sur l’environnement dans lequel il s’est installé, très souvent sans que l’utilisateur en ait connaissance. L’essor de ce type de logiciel est associé à celui d’Internet qui lui sert de moyen de transmission de données.[2] — Un logiciel publicitaire ou publiciel (adware en anglais) est un logiciel qui affiche de la publicité lors de son utilisation. Le publiciel contient habituellement deux parties : une partie utile (le plus souvent un jeu vidéo ou un utilitaire) qui incite un utilisateur à l’installer sur son ordinateur et une partie qui gère l’affichage de la publicité.[2] — Logiciels malveillants : les logiciels espions qui espionnent les habitudes de l’uti- lisateur pour lui envoyer de la publicité ciblée [2]. 2.5.3 Attaques zero-day C’est une faille de la 10ème version d’Internet Explorer. C’est la société de sécurité américaine FireEye qui l’a détectée et qui a constaté aussi qu’elle était utilisée par des pirates. Microsoft a confirmé cette découverte. Une vulnérabilité zero-day est une ex- ploitation qui utilise une faille jusqu’ici méconnue du public. Une exploitation zero-day est susceptible d’engendrer la création d’un ver car, par définition, la grande majorité des utilisateurs ne sera pas protégée contre cette faille jusqu’à ce qu’elle soit découverte et corrigée.[2] 2.5.4 Dépassement de Tampon Une des failles les plus courantes est le dépassement de tampon. En bref, suite à une action d’un pirate (ou un incident), un programme écrit en mémoire hors de l’espace prévu à cet effet : par exemple, s’il reçoit trop de données, il va dépasser la limite prévue, et écrire sur d’autres données. En créant des données spécifiques, le pirate pourra faire exécuter celle-ci (dangereux)[2].
  23. 23. 2.6 Les Mesures de Sécurité Informatique à SUNGARD 12 2.5.5 Les attaques par déni de services L’attaque par déni de service a pour but de rendre inopérante une machine en la saturant. Usuellement, cette attaque est menée contre des serveurs, mais on a déjà vu des vers implémentant un moteur DoS (Denial Of Service, déni de service) contre des clients du réseau local. Il existe différents moyens pour saturer un ordinateur, mais toutes reviennent au principe d’envoyer plus de requêtes (ping, http, fork, ...) que le système d’exploitation et le logiciel n’en peuvent traiter [2]. 2.5.6 Interception et vol de données — Interception : C’est un accès avec modification des informations transmises sur les voies de communication avec l’intention de détruire les messages, de les modifier, d’insérer des nouveaux messages, de provoquer un décalage dans le temps ou la rupture dans la diffusion des messages [2]. — Balayage (scanning) : La technique consiste à envoyer au SI des informations afin de détecter celles qui provoquent une réponse positive. Par suite l’attaquant peut analyser les réponses reçues pour en dégager des informations utiles voire confidentielles (noms des utilisateurs et profil d’accès ) [2]. 2.5.7 Le vol d’identité et Usurpation de Droit — Accès illégitimes : Lorsqu’une personne se fait passer occasionnellement pour une autre en usurpant son identité. — Déguisement : Désigne le fait qu’une personne se fait passer pour une autre de façon durable et répétée en usurpant son identité, ses privilèges ou les droits d’une personne visée. — Rejet : Variante du déguisement qui permet à un attaquant de pénétrer un SI en envoyant une séquence de connexion d’un utilisateur légitime et enregistré à son insu. — Substitution : Sur des réseaux comportant des terminaux distants, l’intercep- tion des messages de connexion-déconnexion peut permettre à un attaquant de continuer une session régulièrement ouverte sans que le système ne remarque le changement d’utilisateur. 2.6 Les Mesures de Sécurité Informatique à SUN- GARD Selon le type de menace, différentes mesures de sécurité informatique sont installées à SUNGARD : 1. Virus : Un antivirus "Symantec Endpoint Protection" est utilisé par SUN- GARD. Il est temps d’adopter une solution plus complète qu’un antivirus, avec une protection par couches au niveau du terminal. Symantec Endpoint Pro- tection 12.1.4 offre une sécurité inégalée et des performances accrues sur les systèmes virtuels et physiques. Cette solution intègre la technologie nécessaire
  24. 24. 2.6 Les Mesures de Sécurité Informatique à SUNGARD 13 pour protéger les systèmes d’exploitation de dernière génération avec un niveau de performance optimal et une protection avancée. La technologie Symantec Insight réduit les analyses antivirus pendant que SONAR stoppe les cybercrimi- nels et les attaques "zero-day". Seule la solution Symantec Endpoint Protection 12.1.4 permet d’assurer la sécurité dont vous avez besoin via un agent unique et puissant, en garantissant la protection la plus rapide et la plus efficace du marché. 2. Ver, Cheval de Troie, Interception et vol de données : Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Les familles de systèmes de détection d’intrusion,Il existe trois grandes familles distinctes d’IDS : — Les NIDS (Network Based Intrusion Detection System), qui surveillent l’état de la sécurité au niveau du réseau. — Les HIDS (HostBased Intrusion Detection System), qui surveillent l’état de la sécurité au niveau des hôtes. — Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. Les HIDS sont particulièrement efficaces pour déterminer si un hôte est conta- miné et les NIDS permettent de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un hôte. 3. Spyware et adware : Ad-Aware est un logiciel qui détecte et supprime les virus, les logiciels considérés comme des publiciels (sa vocation première) et des logiciels espion (spyware, malware). Il détecte également les composeurs, les chevaux de Troie et les autres logiciels malveillants. 4. Attaques zero-day : Lorsqu’une faille de sécurité inconnue, dans un logiciel, est rendue publique, avant que l’auteur du logiciel dans lequel elle a été trouvée en soit alerté, elle est dite "Zero Day". Contre une faille "Zero day", il n’y a pas grand chose à faire sauf à naviguer avec NoScript et ne libérer les droits, aux sites, d’exécuter des scripts, qu’avec parcimonie (les sites et les documents média exploitant les failles n’étant pas forcément des sites cybercriminels mais, aussi, des sites et documents légitimes, piratés (hackés) par des cybercriminels). 5. dépassements de tampon : Diverses techniques ont été utilisées pour détec- ter ou empêcher les dépassements de tampon, avec des arbitrages différents. Le moyen le plus fiable pour éviter ou prévenir les dépassements de tampon est d’utiliser une protection automatique au niveau du langage. Ce genre de protection, cependant, ne peut pas être appliquée à l’héritage de code, et sou- vent contraintes techniques, commerciales ou culturelles appellent à une langue vulnérables. Voici les choix ou les méthodes pour éviter les débordements de mémoire tampon. — Choix des langages de programmation comme Java de guérison, .Net. — Utilisation de bibliothèques de sécurité. — Protection des espaces exécutable.
  25. 25. 2.7 Critique et propositions 14 — Address Space Layout Randomization. — Inspection approfondie des paquets. — Désinfection des paramètres. 6. Déni De Services : Les attaques par déni de service non distribuées peuvent être contrées en identifiant l’adresse IP de la machine émettant les attaques et en la bannissant au niveau du pare-feu ou du serveur. Les paquets IP provenant de la machine hostile sont dès lors rejetés sans être traités empêchant que le service du serveur ne soit saturé et ne se retrouve donc hors-ligne. 2.7 Critique et propositions Avec tout l’enjeu et les mesures de sécurité informatique, l’interception de données et le vol d’identité restent un problème de sécurité dans le réseau filaire du SUNGRAD. L’objectif de la suite de ce travail est de chercher des solutions contre ce type d’attaque. L’ISO a défini des services de sécurité tel que : l’authentification, le contrôle d’accès, la confidentialité et l’intégrité des données. Aussi, elle définit quelques types de méca- nismes de sécurité assurant ces services. Ils sont différés par leurs sophistications, leurs coûts, les efforts nécessaires pour être implanté, leurs maintenances et leurs besoins en ressources humaines. Ce mécanisme d’authentification est inefficace s’il est utilisé seul. En effet, les sys- tèmes d’exploitation actuels permettent à un utilisateur mal intentionné de modifier son adresse MAC et d’en usurper une valide. Le standard IEEE 802.1x, utilisable quel que soit l’environnement (sans fils ou filaire), définit l’encapsulation d’un nouveau mé- canisme d’authentification. L’authentification est donc la procédure qui consiste, pour un système informa- tique, à vérifier l’identité d’une personne ou d’un ordinateur afin d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux, application). Afin de garantir cette authentification au niveau du réseau filaire du SUNGARD on va implémenter la norme 802.1x. 2.8 Conclusion Dans ce chapitre, on a présenté les principaux risques qui menacent le système de sécurité au sein du SUNGARD. On a aussi présenté les principales méthodes de protection pour éviter ces menaces. Grâce donc à l’audit qu’on a mené on a détecté les principaux problèmes dans le réseau du SUNGARD. Pour lutter contre ces problèmes, on propose une solution basée sur la norme IEEE802.1x. Cette solution sera l’objet de prochains chapitres.
  26. 26. 3Spécification et Analyse de besoins 3.1 Introduction Ce chapitre est consacré à l’analyse et la spécification de besoins. Cette étape consiste à identifier les différentes fonctionnalités du projet et à décrire les cas d’uti- lisation posés par le sujet. Dans cette optique, nous allons tout d’abord définir les fonctionnalités offertes par le système répondant aux besoins ensuite nous allons spéci- fier les acteurs pour arriver à la fin de ce chapitre à la présentation des cas d’utilisation. 3.2 Problématique Au sein de la société SUNGARD, il y a plusieurs équipes. Chaque équipe possède un accès à un réseau spécifique selon des droits d’accès bien déterminés. La visibilité de données est donc limitée pour chaque équipe aux membres de cette équipe. Par exemple, l’équipe de développement a un réseau local sur lequel elle peut se connecter et sa propre base de données. Un membre d’une autre équipe ne peut en aucun cas accéder aux informations de la base de données de l’équipe de développement. Les informations de la base de données accessibles aux équipe de développement sont transparentes pour les autres équipes tout en respectant les droits d’accès de chacune des équipes. Cette procédure peut devenir plus complexe pour plusieurs raisons : — Manque de sécurité au niveau du réseau câblé. — Interception de données qui consiste à écouter les transmissions des différents utilisateurs du réseau filaire. — Vole d’identité qui consiste à prendre délibérément l’identité d’une autre per- sonne physique ou morale dans le but de réaliser des actions frauduleuses. — Accès interdit. — Réseau vulnérable à des attaques intérieures. Ce projet a pour objectif d’authentifier l’accès aux réseaux filaires de SUNGARD 15
  27. 27. 3.2 Problématique 16 Tunisie, qui sont répartis sur plusieurs bâtiments dans lesquels sont placés des centaines d’ordinateurs. Ces ordinateurs sont utilisés par plusieurs types d’utilisateurs : — Les visiteurs (i.g. les clients invités, les commerciaux). — Les invités (i.g. temporaires, stagiaires). — Les permanents. Chacun de ces types d’utilisateurs a différents droits d’accès au réseau, définis par l’administrateur informatique. Par exemple, un visiteur n’a pas l’accès ni aux machines des salles de manipulation, ni à l’intranet, mais il peut surfer sur le Web et imprimer. Souhaitant prendre en compte divers éléments telle que le WiFi, l’authentification centralisée et la mobilité dans une solution globale et cohérente, SUNGARD a établi les fonctionnalités ci-dessous pour se protéger contre l’interception des données et le vol d’identité dans un réseau câblé : — Pour accéder au réseau, toute personne doit être authentifiée. — Les traces de connexion incluant le couple "utilisateur/adresse IP" seront conser- vées pendant une durée spécifique. — Une mobilité des utilisateurs doit être possible, aussi bien en filaire qu’en sans-fil, entre les bâtiments. — Tout personne peut se connecter à internet avec un simple login/mot-de-passe, et c’est depuis n’importe quel site enregistré. — La sécurité doit être pris en compte à tous les niveaux. La figure 3.1 décrit le processus actuel pour accéder au réseau SUNGARD. Dans ce processus : — n’importe quel utilisateur peut prendre une adresse IP et accéder au réseau. — l’utilisateur peut se connecter à n’importe quel groupe de VLAN. — l’utilisateur prend tous les droits d’accès du groupe. Figure 3.1: Processus pour accéder au réseau du SUNGARD
  28. 28. 3.3 Étude de l’existant 17 3.3 Étude de l’existant 3.4 Les solutions existantes sur le marché 3.4.1 La technologie biométrique C’est la science qui permet d’identifier de manière automatique une personne en se basant sur ses caractéristiques physiologiques ou comportementales. En effet, chaque personne est unique de ce fait, chacun possède sa propre caractéristique biométrique, et elle rend cette technologie assez stable. Généralement, on distingue deux catégories de méthodes d’authentification biométrique : les méthodes basées sur les caractéristiques physiques telles que le visage, la voix et l’ADN, et celles basées sur les caractéristiques comportementales comme la signature, la manière de marcher ou de taper sur un clavier [3]. 3.4.2 La Carte à puce Digipass Le Digipass est un produit de sécurité de VASCO Data Security International, fournissant une authentification forte des utilisateurs et des signatures numériques via des jetons de sécurité réalisées par les utilisateurs de petites ou de logiciels sur les téléphones mobiles, les appareils portables ou les PC. Cette technique utilise le serveur temps et l’authentification à deux facteurs et peut être utilisée pour signer des transactions électroniques. 3.4.3 La Technologie RSA SecurID SecurID est un système de token, ou authentifieur, produit par la société RSA Security et destiné à proposer une authentification forte à son utilisateur. La majorité des tokens SecurID affichent un code à 6 chiffres changeant généralement toutes les minutes. L’utilisateur ajoute un Code PIN personnel au TokenCode lu sur l’authentifieur SecurID. Le tout est appelé un PassCode (soit PassCode = PIN Code + TokenCode). Par ailleurs, le Token expire au bout d’un certain temps (3 à 5 ans selon les modèles). Ce système de Token, de type OTP, est utilisé pour les applications Web (par exemple le eBanking) et les technologies de type VPN (IPSEC, SSL), SSH et Citrix [3]. 3.4.4 La carte à puce audio La société Audio Smart Card développe une offre matérielle et logicielle permettant de répondre efficacement à tous les besoins d’authentification distants sur l’ordinateur et le téléphone. Elle propose une carte à puce audio s’appliquant aussi bien à l’économie au call center, au transport, à la santé, aux ressources humaines, aux services télécom, etc. Basée sur le principe du mot de passe dynamique car elle utilise comme support d’authentification une carte à puce audio qui fonctionne en liaison avec le serveur d’authentification Secure Sound Pro Server [3].
  29. 29. 3.4 Les solutions existantes sur le marché 18 3.4.5 Le protocole 802.1x Le protocole 802.1x est une solution standard de sécurisation de réseaux qui permet d’authentifier un utilisateur souhaitant accéder à un réseau (câblé ou Wifi) grâce à un serveur central d’authentification. 802.1x nécessite donc la présence d’un serveur d’authentification qui peut être un serveur RADIUS : un serveur Microsoft, Cisco (...) ou un produit libre comme Free- RADIUS ou encore un serveur TACACS dans le monde fermé des équipements Cisco. Un port d’un commutateur réglé en mode 802.1x peut se trouver dans deux états distincts : — État "contrôlé" si l’authentification auprès du serveur RADIUS a réussi. — État "non contrôlé" si l’authentification a échoué. La réussite ou l’échec de l’authentification va donc ouvrir ou fermer le port à toute communication. Un port ouvert va, par exemple, permettre au client final d’obtenir une adresse IP auprès d’un serveur DHCP. Dans des implémentations plus cloisonnées, le serveur RADIUS indiquera par exemple au client RADIUS dans quel VLAN placer le client final [4]. 3.4.6 les serveurs d’application Un serveur d’application c’est serveur basée sur les protocoles AAA (Authenti- cation, Autorization, Accounting). En pratique une architecture client-serveur AAA permet de rendre l’ensemble de ces services. les serveurs AAA dans les domaines mère et visité permettent de gérer les utilisateurs. les clients AAA sont hébergés sur des routeurs ou sur des serveurs d’accès au réseau. Les protocoles implémentant du AAA sont essentiellement utilisés par des opéra- teurs offrant des services de télécommunications à des utilisateurs. Ces protocoles leur permettent de contrôler l’accès à leurs réseaux et de connaitre l’utilisation de leurs ressources. Dans cette section, nous présentons les principaux serveurs d’application : 3.4.6.1 RADIUS Remote Authentication Dial-In User Service est un protocole de type client-serveur qui a pour rôle d’authentifier les requêtes qui lui parviennent d’un poste client. Il existe plusieurs solutions (commerciales ou open source) de serveur radius [3] : — ACS (Cisco sous Windows). — Aegis (sous Linux). — IAS (sous Windows). — Open Radius (Open source). — Free Radius (Open source, BSD, Windows). 3.4.6.2 DIAMETER Diameter est un protocole d’authentification, il est successeur du protocole radius. Diameter est un protocole permettant à des domaines administratifs différents de collaborer pour réaliser les fonctionnalités AAA. Il est constitué d’un protocole de base
  30. 30. 3.4 Les solutions existantes sur le marché 19 qui définit le format des messages, comment ils sont transportés, les messages d’erreurs ainsi que les services de sécurité que toutes les implémentations doivent supporter. À ce protocole de base s’ajoutent les applications : Mobile IP, NAS et CMS. L’application Diameter Mobile IPv4 permet de faire du AAA avec un utilisa- teur utilisant Mobile IPv4 , l’application Diameter NAS permet l’accès au réseau via PPP/EAP, il s’agit de l’amélioration de RADIUS,l’application Diameter CMS permet de protéger les échanges Diameter au niveau applicatif entre serveurs ou entre un ser- veur et son client.Diameter a été conçu dans l’idée d’être facilement extensible. Pour cette raison, le protocole de base est séparé de ses applications [5]. 3.4.6.3 TACACS Terminal Access Controller Access-Control System (TACACS) est un protocole d’authentification distante utilisé pour communiquer avec un serveur d’authentifica- tion généralement utilisé dans des réseaux Unix. TACACS permet à un serveur d’accès distant de communiquer avec un serveur d’authentification dans l’objectif de déterminer si l’utilisateur a le droit d’accéder au réseau [3]. 3.4.6.4 KERBEROS Kerberos est un protocole d’authentification réseau qui repose sur un mécanisme de clés secrètes(chiffrement symétrique) et l’utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d’interception frauduleuse des mots de passe des utilisateurs [3]. 3.4.7 Les services d’annuaires Un annuaire va permettre de centraliser les données des utilisateurs et des services afin de rendre plus simple l’administration. Un annuaire peut être associé à un système de stockage de données permettant de rendre accessible un ensemble d’informations à tous les utilisateurs de ce système. Comme exemples, on peut citer [3] : — Carnet d’adresses. — Annuaire téléphonique. — Serveur DNS. Sur un système informatique, les données ne sont pas organisées de manière relation- nelle comme sur les SGBD classiques (MySQL, PgSQL, SQL Server, ...) mais de manière hiérarchique. Si on souhaite faire une comparaison entre les services d’annuaire et les SGBD classiques, on peut établir que : — La consultation des données est plus rapide pour l’annuaire par rapport aux SGBD classiques. — La duplication des données est facilitée. — Le stockage des données peut être réalisé dans un plus faible espace. Les avantages des services d’annuaire sont leur rapidité pour accéder aux infor- mations, les mécanismes de sécurité pouvant être mis en œuvre, la centralisation des informations et les possibilités de redondance de l’information. Les principaux serveurs d’annuaire sont :
  31. 31. 3.4 Les solutions existantes sur le marché 20 1. NIS : Network Information Service (NIS) nommé aussi Yellow Pages est un protocole client-serveur développé par Sun permettant la centralisation d’infor- mations sur un réseau UNIX. 2. NIS+ : c’est l’évolution de NIS. Plus sécurisée et mieux adaptée aux gros ré- seaux, il est développé par Sun. 3. DNS : Domain Name System est un service permettant d’établir une corres- pondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d’un nom de domaine. 4. LDAP : Lightweight Directory Access Protocol est à l’origine un protocole permettant l’interrogation et la modification des services d’annuaire. 5. ACTIVE DIRECTORY : Active Directory est la mise en œuvre par Microsoft des services d’annuaire pour les systèmes d’exploitation Windows. L’objectif principal d’Active Directory est de fournir des services centralisés d’identification et d’authentification à un réseau d’ordinateurs utilisant le sys- tème Windows. 3.4.8 Les protocole d’authentification Les mécanismes d’authentification décrits dans cette partie ont tout d’abord été des protocoles de couche de la liaison de données. Ils sont également utilisés dans la couche réseau grâce aux évolutions de PPP : PPPoA (over ATM) et PPPoE (over Ethernet) qui sont principalement utilisés pour ouvrir des connexions ADSL. Ces mécanismes sont les briques de nombreux serveurs et applications d’authentification comme Radius. 3.4.8.1 AAA AAA correspond à un protocole qui réalise trois fonctions : l’authentification, l’au- torisation et la traçabilité (en Anglais Authentication, Autorisation, Accounting). Il correspond a un modèle de sécurité implémenté dans certains routeurs Cisco mais que l’on peut également utiliser sur toute machine qui peut servir de NAS (Network Authen- tification System). Ils requièrent une identification d’une personne ou d’un équipement avant d’accorder des droits d’accès [3]. 3.4.8.2 PAP Password Authentication Protocol est un protocole d’authentification pour PPP. Les données sont transmises en texte clair sur le réseau ce qui le rend par conséquent non sécurisé. L’avantage de PAP est qu’il est extrêmement simple à implémenter, lui permettant d’être utilisé dans des systèmes embarqués très légers. Sur des systèmes de taille raisonnable on préférera sans doute le protocole CHAP [3]. 3.4.8.3 CHAP Challenge Handshake Authentication Protocol est un protocole d’authentification pour PPP à base de challenge, Ce qui le rend bien plus sûr que son pendant PAP. L’objectif de CHAP est que le pair s’authentifie auprès d’un authentificateur sans
  32. 32. 3.4 Les solutions existantes sur le marché 21 échange de mot de passe en clair sur le réseau et sans que l’échange puisse être rejoué par un tiers à l’écoute. La contrainte est que chaque partie partage un "secret" (mot de passe) commun. Microsoft a développé la variante MS-CHAP qui supprime cette contrainte [3]. 3.4.8.4 MS-CHAP MS-CHAP est la version Microsoft du protocole CHAP. Ce protocole existe en deux versions : MS-CHAPv1 et MS-CHAPv2 [3]. 3.4.8.5 EAP Extensible Authentication Protocol est un mécanisme d’identification universel fré- quemment utilisé dans les réseaux sans fil (ex : Wifi) et les liaisons point à point (PPP) [3]. 1. EAP-TTLS/PEAP : EAP-Tunneled Transport Layer Security. C’est égale- ment un standard ouvert IETF. Il est supporté sur de nombreuses plates-formes, et offre un très bon niveau de sécurité. Il utilise des certificats X-509 uniquement sur le serveur d’identification. Le certificat est optionnel du côté client. Le défaut de EAP-TTLS par rapport à PEAP est de ne pas être présent nativement sur les systèmes Microsoft et Cisco. En revanche, il est légèrement plus sécurisé que LEAP car il ne diffuse pas le nom de l’utilisateur en clair. 2. EAP-TLS : EAP-TLS est un Standard ouvert IETF. C’est le seul protocole EAP qui doit obligatoirement être implanté sur un matériel pour pouvoir por- ter le logo WPA ou WPA2. Il offre une bonne sécurité. En effet il utilise deux certificats pour la création d’un tunnel sécurisé qui permettra ensuite l’identi- fication : un côté serveur et un côté client.Cela signifie que même si le mot de passe est découvert, il ne sera d’aucune utilité sans le certificat client. Bien que le protocole EAP-TLS fournisse une excellente sécurité, l’obligation de disposer d’un certificat client est peut-être son talon d’Achille. En effet, lorsque l’on dis- pose d’un grand parc de machines, il peut s’avérer difficile et coûteux de gérer un certificat par machine. C’est pour se passer du certificat client que les proto- coles PEAP et EAP-TTLS ont été créés. TLS est considéré comme le successeur du standard SSL. Il utilise une Infrastructure à clés publiques pour sécuriser les communications d’identification entre les clients et le serveur radius. 3. EAP-MD5 : EAP-MD5 est un autre standard ouvert IETF, mais il offre un niveau de sécurité faible. La fonction de hachage MD5 utilisée est vulnérable aux attaques par dictionnaire, et elle ne supporte pas les clefs WEP dynamiques. 4. LEAP : Lightweight Extensible Authentication Protocol est une implémenta- tion propriétaire du protocole EAP conçu par Cisco Systems. La société a fait beaucoup d’efforts pour promouvoir ce protocole. Il a permis à d’autres fabri- cants de réaliser des produits « LEAP Compatible » au travers du programme CCE (Cisco Certified Extensions). Ce protocole n’est pas présent nativement sous Windows. Il était connu pour être vulnérable aux attaques par dictionnaire comme EAP-MD5. Cisco continue de soutenir que LEAP est une solution sé- curisée si l’on utilise des mots de passe suffisamment complexes. Mais tout le
  33. 33. 3.5 Solution proposée 22 monde sait bien que dans la réalité les mots de passe complexes sont rarement utilisés. De nouveaux protocoles comme EAP-TTLS ou PEAP ne rencontrent pas ce type de fragilité car ils créent un tunnel TLS pour sécuriser l’identification.De plus ces nouveaux protocoles étant plus ouverts, ils peuvent être utilisés sur des points d’accès de marque Cisco ou non. 3.5 Solution proposée Le problème qu’on a détecté après une étude approfondie du réseau SUNGARD est un problème au niveau d’accès physique au réseau filaire du SUNGARD. Pour résoudre ce problème, on propose d’implémenter la technologie 802.1x afin d’authentifier l’accès au réseau câblé. 802.1X est un standard lié à la sécurité des réseaux informatiques, mis au point en 2001 par l’IEEE (famille de la norme IEEE 802). Son objectif est de réaliser une authentification de l’accès au réseau au moment de la connexion physique à ce dernier, et valider un droit d’accès physique aux réseaux. Le 802.1x apportent des avantages considérables au niveau de l’administration du réseau, notamment par l’affectation dynamique de VLAN en fonction de caractéristiques de cette authentification. La figure 3.2 représente le déroulement des différents protocoles définis par la tech- nologie 802.1x. Figure 3.2: Solution proposée Ce projet a pour finalité donc la réalisation d’un réseau filaire authentifié pour satisfaire le besoins du SUNGARD au niveau de sécurité en utilisant la technologie 802.1x.
  34. 34. 3.6 Conduite du projet 23 3.6 Conduite du projet 3.6.1 Processus du projet Un processus d’un projet définit une séquence d’étapes, en partie ordonnée, qui concoure à l’obtention d’un nouveau système ou à l’évolution d’un système existant. Ce processus a pour objectif de produire des solutions informatiques de qualité ré- pondant aux besoins des utilisateurs dans des temps et des coûts prévisibles. De ce fait, l’adéquation du projet au processus peut largement affecter le sort d’un projet informatique. 3.6.2 Cycle de vie d’un projet On appelle "cycle de vie du projet" l’enchaînement dans le temps des étapes et des validations entre l’émergence du besoin et la livraison du produit. Le "cycle de vie de l’ouvrage" correspond aux étapes et aux livrables nécessaires à la réalisation de l’ouvrage (Figure 3.3). Figure 3.3: Cycle de vie d’un projet Le projet peut être découpé de façon basique de la manière suivante : — Phase préparatoire : Cette phase permet de prendre conscience du projet, puis d’étudier l’objet du projet pour s’assurer que sa mise en œuvre est pertinente et qu’il entre dans la stratégie de l’entreprise. Cette phase, généralement qualifiée d’avant-projet, doit se conclure par la mise au point de documents formalisant le projet et indiquant les conditions organisationnelles de déroulement du projet. — Phase de réalisation : Il s’agit de la phase opérationnelle de création de l’ouvrage. Elle est menée par la maîtrise d’œuvre, en relation avec la maîtrise d’ouvrage. Cette phase commence par la réception du cahier des charges et se clôture par la livraison de l’ouvrage. — Phase de fin de projet : il s’agit de la mise en production de l’ouvrage, c’est-à- dire s’assurer que l’ouvrage est conforme aux attentes des utilisateurs et faire en sorte que son "installation" et son utilisation se déroule correctement. Dans
  35. 35. 3.7 Spécification des besoins du projet 24 la mesure où la maîtrise d’œuvre connaît le produit qu’elle a mis au point, il lui revient de l’installer. 3.6.3 Choix du modèle en V Le modèle du cycle en V est un modèle conceptuel de gestion de projet imaginé suite au problème de réactivité du modèle en cascade. Ce modèle est très connu et son origine remonte à l’industrie ; il a été adapté à l’informatique dans les années 80. La grande force du cycle en V, c’est qu’il définit assez précisément la manière dont les choses devraient se passer. On peut y distinguer 3 grandes parties : La phase de conception, la phase de réalisation (codage) et la phase de validation. Les phases de conception et de validation se découpent en plusieurs parties. Chaque étape ne peut être réalisée que suite à l’achèvement de l’étape précédente, ce qui diminue les prises de risque sur le projet. Comme le montre la figure 3.4, chaque étape de conception possède son alter ego de validation. Il devient alors assez aisé de valider un projet, car le référentiel de test est connu très précisément. Figure 3.4: Cycle de vie Modèle en V 3.7 Spécification des besoins du projet Dans cette section, nous identifions une liste de besoins fonctionnelles et non fonc- tionnelles du système à concevoir. Certains besoins sont ajoutées pour clarifier d’avan- tage les besoins de SUNGARD. 3.7.1 L’utilisateur Chaque utilisateur d’un poste du travail branché au réseau filaire du SUNGARD comporte son propre fonctionnalité sur son groupe du VLAN. Seule l’équipe d’admi- nistration des réseaux a le droit de gérer et consulter les fonctionnalités de toutes les groupes.
  36. 36. 3.8 Spécification semi-fonctionnelle 25 3.7.2 Les besoins fonctionnels Nous avons choisi d’intégrer dans notre projet les fonctionnalités les plus impor- tantes qui sont les suivantes : — L’utilisateur doit s’identifier suivant sa session d’ordinateur par son login/mot de passe. — L’utilisateur va se déplacer dans son groupe de Vlan. — Utilisateur prend une adresse IP pour établir sa propre connexion. 3.7.3 Les besoins non fonctionnels Il s’agit des besoins qui caractérisent le système. Ce sont des besoins en matière de performance, de type de matériel ou de type de conception. Ces besoins peuvent concerner les contraintes d’implémentation (les protocoles utilisés, les composants ré- seaux, les serveurs, les annuaires, le système d’exploitation, etc.). Dans le cadre de ce travail, le projet devra être extensible, c’est-à-dire ouvert à de nouvelles fonctionnalités. En effet, le projet doit répondre aux besoins non fonctionnels suivants : — Besoins de performance : Le projet doit être avant tout performant c’est à- dire à travers ses fonctionnalités, il répond à toutes les exigences des utilisateurs d’une manière optimale. L’authentification ne doit pas durer plus que quelques secondes en conditions normales. — Besoins de sécurité : Dans ce projet, l’implémentation de la norme 802.1x a pour but de garantir l’authentification au niveau du réseau câblé. Ainsi le choix de serveur avec son protocole est très intéressant pour atteindre une bonne réalisation pratique sur le réseau filaire du SUNGARD. — La convivialité et l’intégrité : L’authentification se fait d’une manière auto- matique, donc il n’y aurait aucun problème pour l’utilisateur, il suffit de mettre sa machine en marche et insérer son login et son mot de passe. 3.8 Spécification semi-fonctionnelle 3.8.1 Diagramme de cas d’utilisation global La figure 3.5 présente une vue globale sur les différents besoins fonctionnels du projet.Ce diagramme de cas d’utilisation globale représente que l’utilisateur demandé une connexion mais avant le prendre il doit obligatoirement authentifier.
  37. 37. 3.8 Spécification semi-fonctionnelle 26 Figure 3.5: Cas d’utilisation global 3.8.1.1 Cas d’utilisation S’authentifier La figure 3.6 présente le cas d’utilisation "S’authentifier". Le tableau 3.1 en présente la description textuelle. Figure 3.6: Cas d’utilisation "s’authentifier" Table 3.1: Description textuelle pour le cas d’utilisation "s’authentifier" Titre s’authentifier But l’utilisateur tente d’accéder au service Acteur(s) utilisateurs scénario 1- l’utilisateur saisie un login et un mot de passe. 2- Vérification de la validité de login et mot de passe. Pré-condition l’utilisateur doit avoir un login et un mot de passe valides Post-condition Accès avec succès Scénario alternatif Si l’identifiant ou le mot de passe sont erronés alors un mes- sage d’avertissement sera affiché. On revient à l’étape 1 du scénario ci-dessus. 3.8.1.2 Cas d’utilisation "Demande de connexion" La figure 3.7 présente le cas d’utilisation "Demande de connexion". Le tableau 3.2 en présente la description textuelle.
  38. 38. 3.8 Spécification semi-fonctionnelle 27 Figure 3.7: Cas d’utilisation de demande de connexion Table 3.2: Description textuelle pour la demande de connexion Titre Demande de connexion. But l’utilisateur demande une adresse IP. Acteur(s) utilisateurs. Scénario 1- l’utilisateur affecté dans un groupe de Vlan. 2- l’utilisateur prend une adresse IP automatiquement. Pré-condition - login et mot de passe correcte. - Bien affecter dans un groupe de vlan. Post-condition utilisateur connecté et affecté à un Vlan. 3.8.2 Diagramme de séquence global La figure 3.8.2 indique le diagramme de séquence global.
  39. 39. 3.9 Conclusion 28 Figure 3.8: Diagramme de séquence Description :Tout d’abord, l’utilisateur se branche à un port réseau. Ensuite, le système affiche une interface d’authentification. L’utilisateur saisie son login et mot de passe, le système vérifie les informations saisies. Si les informations sont correctes, l’utilisateur obtient une adresse IP et accède au réseau. Sinon, le système demande de rentrer du nouveau le login et le mot de passe. 3.9 Conclusion Ce chapitre a détaillé les spécifications et les besoins du projet. En effet, nous avons identifié les cas d’utilisation et nous avons élaboré les différents besoins fonctionnels et non fonctionnels ainsi que les différents cas d’utilisation et scénarios. Ceci est fait en se basant sur une étude de l’existant pour détecter correctement les failles et les lacunes présentes au sein du réseau de SUNGARD. Après cette étape de spécification, la prochaine étape sera de concevoir le projet.
  40. 40. 4Réalisation du projet 4.1 Introduction Ce chapitre a pour objectif de présenter le système d’authentification réalisé. Tout d’abord, on va présenter l’environnement matériel et logiciel utilisé pour mettre en place le projet. Ensuite, on va présenter le travail accompli tout au long de la période du stage. Enfin, on va montrer les différentes difficultés de la réalisation du projet. 4.2 Environnement du travail On présente dans cette section l’environnement matériel et logiciel utilisés pour le travail demandée. 4.2.1 Environnement matériel Le projet a été réalisé sur un ordinateur équipé d’un processeur Intel Core Duo, une mémoire vive (RAM) de 2,00 Go et une capacité de stockage de 250 Go, L’ordinateur est relié au réseau local de sungard (carte filaire correspond au branchement ethernet). 4.2.2 Environnement logiciel Le long de la phase de réalisation, nous avons exploité l’environnement logiciel suivant : — système d’exploitation L’ordinateur utilisé pour le développement fonctionne sur Microsoft Windows 7. Ce système d’exploitation permet le fonctionnement des différents environne- ments et outils utilisés pour la réalisation de l’implémentation. — Centos version 6.3 29
  41. 41. 4.2 Environnement du travail 30 Centos (Community enterprise Operating System) est une distribution GNU/Linux principalement destinée aux serveurs. Tous ses paquets, à l’exception du logo, sont des paquets compilés à partir des sources de la distribution RHEL (Red Hat Enterprise Linux), éditée par la société Red Hat [6]. — Active Directory L’annuaire utilisé pour gérer les utilisateurs est Active Directory pour Win- dows server 2012. Active Directory (AD) est la mise en œuvre par microsoft des services d’annuaire LDAP pour les systèmes d’exploitation Windows. L’ob- jectif principal d’Active Directory est de fournir des services centralisés d’iden- tification et d’authentification à un réseau d’ordinateurs utilisant le système Windows. Il permet également l’attribution et l’application de stratégies, la distribution de logiciels, et l’installation de mises à jour critiques par les admi- nistrateurs. Active Directory répertorie les éléments d’un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées. Le service d’annuaire Active Directory peut être mis en œuvre sur Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2012 et Samba4, il résulte de l’évolution de la base de compte plane SAM. Un serveur informatique hébergeant l’annuaire Active Directory est appelé « contrôleur de domaine ». Active Directory stocke ses informations et paramètres dans une base de don- nées centralisée. La taille d’une base Active Directory peut varier de quelques centaines d’objets pour de petites installations à plusieurs millions d’objets pour des configurations volumineuses [7]. — WinSCP WinSCP est un client SFTP graphique pour Windows. Il utilise SSH et est open source. Le protocole SCP est également supporté. Le but de ce programme est de permettre la copie sécurisée de fichiers entre un ordinateur local et un ordinateur distant. Dans notre cas Winscp permet de faire des opérations sur le fichier, Winscp peut réaliser toutes les opérations de base sur les fichiers, comme télécharger et envoyer. Il permet aussi de renommer les fichiers et les dossiers, de créer de nouveaux dossiers, de changer les propriétés des fichiers et des dossiers, et de créer des liens symboliques et des raccourcis. — PuTTY PuTTY est un émulateur de terminal doublé d’un client pour les protocoles SSH, Telnet et TCP brut. Il permet également d’établir des connexions directes par liaison série RS-232. À l’origine disponible uniquement pour Windows, il est à présent porté sur diverses plates-formes Unix. Dans notre projet on a utilisé le putty comme un client SSH pour accéder à distance à notre serveur utilisé.
  42. 42. 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authentification 31 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authentification Dans cette section nous allons présenter les étapes de la réalisation de ce projet ainsi que les différentes techniques utilisées pour réaliser l’authentification 802.1x. Les paramétrages à effectuer concernent le client final, le client radius et le serveur radius sur lequel on trouve déjà un annuaire Active Directory sont présentés dans le tableau 4.1. Table 4.1: Paramétrages des différentes entités. Configurer le client final en 802.1x : - Service Configuration automatique de réseau câblé. - Onglet "Authentification" des propriétés de la carte réseau. Paramétrer le commutateur client : - Création des VLAN - Paramétrage général 802.1x - déclaration du serveur - Paramétrage des ports contrôlés 802.1x avec gestion des ac- cès refusés (placement en VLAN "guest") - Paramétrage des ports utiles non contrôlés. - Création des profils - Mise en place des règles de sécurités sur les profils - Liens externes (AD) - Correspondance (groupe/vlan) - Ceation des users - Attribution des groupes L’ordinateur sur lequel un utilisateur cherche à se connecter au réseau est appelé le "supplicant". Il est le "client final" de la demande de connexion. Ce peut-être avec toute forme de terminal portable ou d’ordinateur fixe. Dans la suite, nous garderons l’expression française "client final" à la place de "supplicant". L’équipement de réseau sur lequel le client final se connecte (un commutateur - compatible 802.1x) relaye, en tant que client RADIUS, cette demande de connexion à un serveur d’authentification,
  43. 43. 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authentification 32 le serveur RADIUS, qui va, par exemple, identifier la personne en rapprochant le nom de connexion et le mot de passe de ceux stockés dans un annuaire LDAP. Si l’identification réussit, l’accord est transmis au client RADIUS qui "ouvrira" alors le port de connexion. 4.3.1 Schéma général d’implémentation Le schéma de la figure 4.1 présente l’architecture de réalisation adoptée. L’accès au réseau est accordé uniquement au poste de travail si les informations d’identification ont été authentifiées par le serveur FreeRADIUS. Sinon, le port du commutateur sera en baisse pour tout le trafic réseau. Le serveur RADIUS est autorisé à communiquer avec le contrôleur de domaine pour l’authentification de l’utilisateur. Bien que le port du commutateur soit hors-service, la station de travail peut communiquer avec le serveur RADIUS par l’intermédiaire d’un protocole d’authentification. Le serveur RADIUS est en mesure de vérifier sur le contrôleur de domaine si l’utilisateur existe et si son mot de passe est correct. Si tel est le cas, le serveur RADIUS indique au commutateur pour ouvrir l’orifice et l’utilisateur d’accéder au réseau. Figure 4.1: Architecture de la plateforme proposée Comme présenté dans la figure 4.1, le déroulement d’une authentification 802.1x met en jeu les quatre acteurs suivants : — Système à authentifier (poste client). — Système authentificateur (routeurs). — Serveur d’authentification (FreeRadius). — Domaine de contrôle (Active Directory).
  44. 44. 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authentification 33 4.3.1.1 Système à authentifier ou poste client Le système à authentifier est en général un poste de travail, éventuellement un serveur. Le point d’accès au réseau varie donc selon ce dernier. Le point d’accès physique est une prise Rj45. Dans cette étape, le client 802.1x est un ordinateur sous Windows 7 qui désire accéder aux ressources internes à l’entreprise, notamment l’accès à internet, avec l’au- thentification basée sur le port. La première étape consiste à joindre le client au domaine Active Directory, pour cela il faut changer sa configuration pour que son serveur DNS soit bien le contrôleur de domaine. Pour l’étape de l’ajout au domaine de l’ordinateur, il est indispensable que la ré- solution du nom de domaine parte sur le DNS du contrôleur de ce même domaine. Si ce n’est pas le cas, le client ne pourra pas rejoindre le domaine, mais dans un contexte d’entreprise, il est fort possible que la configuration automatique attribuée par le ser- veur DHCP fasse l’affaire sans problème. L’opération suivante peut également se faire avant de joindre le client au domaine. Dans Active Directory Users and Groups, il faut placer un nouvel objet ordinateur avec le nom correspondant à l’ordinateur client dans le groupe des clients. Celui-ci sera alors automatiquement lié à cet objet lorsqu’il rejoint le domaine. Si cette opération n’a pas été faite, il faut déplacer le nouvel objet qui devrait être apparu dans le groupe correspondant. Une fois fait, l’ordinateur client peut être redémarré. La dernière opération est l’activation manuelle de client 802.1x sur la machine. Cette opération sera détaillée dans la section 4.3.2. 4.3.1.2 Système authentificateur Il s’agit d’un équipement réseau muni d’un PAE (Port Access Entity) qui permettra au supplicant d’accéder ou non aux ressources réseau. Dans un réseau local (LAN), l’utilisation d’un commutateur à la place d’un concen- trateur permet de réduire le nombre de messages que reçoivent les machines. En effet, les commutateurs disposent d’une table forwarding qui permet de savoir sur quel port physique il faut envoyer les données. Néanmoins, il reste certains problèmes. Dans un grand réseau commuté, le trafic multicast et broadcast peuvent être élevés ce qui pénalise les performances du réseau. Les commutateurs gèrent les domaines de diffusion de façon géographique. Ceci rend difficile le fait de déplacer une station d’un commutateur vers un autre. On observe aussi que les machines connectées sur un même port physique d’un commutateur peuvent recevoir du trafic qui ne leur est pas nécessairement destiné. On peut également relever la vitesse de convergence du STP (Spanning Tree Protocol) qui s’avère peu élevée en cas de coupure d’un lien entre deux commutateurs. Les VLANs peuvent apporter des solutions à ces problèmes. En effet, les VLANs permettent de créer des domaines de diffusion logiques, ce qui facilite le déplacement d’une station ainsi que la gestion du réseau. De plus, toutes les trames destinées à un VLAN particulier ne pourront pas être écoutées par des machines ne faisant pas partie du même VLAN. Il existe des solutions pour gérer plusieurs VLANs par le protocole STP. Il y a trois méthodes principales de gestion de VLAN :
  45. 45. 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authentification 34 — Par port, un VLAN est attribué pour chaque port physique du Switch. — Par adresse MAC, un VLAN est attribué pour une liste d’adresses MAC. — Par adresse IP, un VLAN est attribué pour un sous-réseau. Dans un réseau Ethernet, pour savoir à quel VLAN une trame appartient, la norme "802.1Q" propose de "tagger" l’entête Ethernet. Les trames "taggées" circulent uni- quement entre les commutateurs, ce qui rend transparent l’utilisation de VLAN pour les clients. Dans cette étape nous allons configurer et activer le protocole 802.1x sur le routeur cisco. Cette étape est nécessaire car un routeur est un élément intermédiaire dans un réseau informatique assurant le routage de paquet. Son rôle est de faire transiter des paquets d’une interface réseau vers une autre, au mieux, selon un ensemble de règles. La configuration détaillée du commutateur est présentée dans la section 4.3.2. 4.3.1.3 Serveur d’authentification Le serveur d’authentification vérifie sur la demande du commutateur si le client peut ou non accéder aux ressources réseaux. Le serveur d’authentification (Freeradius par exemple) va authentifier chaque client qui se connecte au réseau sur un port géré. Ce port connaît deux modes fonctionnels : contrôlé est non contrôlé. Avant authentification du demandeur, seul le mode non contrôlé permet des échanges d’information spécifique. Ces flux spécifiques sont appelés flux EAPOL pour (EAP Over Lan). Une fois la phase d’authentification achevée, le port contrôlé et basculé et les flux autorisés peuvent être émis à destination du réseau en lui attribuant un VLAN (Voir l’annexe B). Si un client ne supportant pas 802.1x se connecte sur un port attendant une authen- tification 802.1x, l’équipement réseau va demander au client de s’identifier. Le client ne sachant pas répondre à la requête, le port reste bloqué dans l’état non contrôlé et le client ne peut pas accéder au réseau. Freeradius est un serveur libre permettant de s’authentifier. Le protocole Radius permet de se connecter via un échange de paquets UDP, généralement sur le port 1812. Radius intègre également un module d’accounting, permettant par exemple la facturation. Radius gère également le 802.1x avec l’authentification via tunnel EAP (PEAP/TTLS/TLS). Freeradius s’appuie sur un système de modules qui sont activés et désactivés lors de phases d’autorisation et d’authentification. Le service peut gérer différents serveurs virtuels afin de pouvoir gérer plusieurs types d’authentification conflictuelle, des tunnels internes ou encore des requêtes de proxy radius(en cas de chaînage de différents serveurs radius). La phase d’autorisation définit les modules qui vont intervenir pour autoriser l’uti- lisation à utiliser la connexion. La phase d’authentification va s’appuyer sur différents modules pour authentifier l’utilisateur, via son mot de passe ou son adresse MAC par exemple. FreeRADIUS offre une authentification via le contrôle d’accès basé sur les ports. Un utilisateur ne peut se connecter au réseau que si ses pouvoirs ont été validés par le serveur d’authentification. Les identifiants de l’utilisateur sont vérifiés en utilisant des protocoles d’authentification spéciales qui appartiennent à la norme 802.1X.
  46. 46. 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authentification 35 4.3.1.4 Domaine de contrôle (Active Directory) Le service annuaire Active Directory peut être mis en œuvre sur Windows Ser- ver 2012. L’objectif principal d’Active Directory est de fournir de service centralisés d’identification et d’authentification à un réseau d’ordinateurs. Active Directory répertorie les éléments d’un réseau administré tel que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les adminis- trateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources réperto- riées. L’AD est utilisé pour vérifier l’existence de l’utilisateur et a quel groupe de VLAN appartient. Les détails de configurations sur les différentes entités sont présentés dans la section 4.3.2. 4.3.2 Détails de configuration Dans cette section nous allons détailler les différentes étapes de configuration et d’implémentation des différentes entités présentées dans la section précédente. 4.3.2.1 Configuration du serveur d’authentification Afin de configurer le serveur Linux pour se joindre à un domaine Windows. Ceci est fait en utilisant le serveur de fichiers Samba qui propose plusieurs outils intéressants le but n’est pas de créer un serveur samba, mais seulement d’utiliser des outils qui viennent avec ce serveur. Politique d’authentification Une fois le serveur installé, la configuration du serveur doit être faite. Les fichiers de configuration sont tous placés dans le répertoire /etc/freeradius. Toute la procédure d’authentification avec les fichiers de configuration nécessaires à Freeradius est visible dans la Figure 4.2.
  47. 47. 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authentification 36 Figure 4.2: Politique d’authentification — Le premier fichier lu est radius.conf. Ce fichier conditionne le chargement de tous les autres fichiers. — Le deuxième fichier de FreeRadius est le fichier clients.conf. Il contient la liste de toutes les adresses IP des éléments réseaux ou NAS (Network Authentication Service) clients, ainsi que leur type et le mot de passe partagé. — Une fois que le NAS s’est authentifié, la procédure d’authentification de l’utili- sateur est déclenchée par FreeRadius. La configuration de cette partie est faite dans le fichier users. Ce fichier détermine quels paramètres doivent être véri- fiés pour valider ou refuser une authentification. Un annuaire LDAP/AD est en place pour vérifier l’identification de l’utilisateur, etc. Une fois cette authenti- fication est effectuée, il est possible de passer les paramètres renvoyés vers le NAS, ce qui permet, par exemple, de mettre le port du commutateur dans un VLAN particulier, d’afficher un message à l’utilisateur, etc. Il est à noter que la syntaxe de ce fichier est très sensible : il faut que la procédure de test soit écrite sur une seule ligne, sinon FreeRadius ne la comprend pas. Il est par contre possible d’écrire les actions à réaliser sur plusieurs lignes. — Si l’utilisateur n’appartient pas au domaine local, il faut envoyer la requête d’au- thentification au serveur Radius national : c’est le mode proxy. Cette configura- tion est faite dans le fichier proxy.conf. Ce fichier contient la liste des domaines que l’on considère comme locaux et qui seront traités par le serveur Radius lo- cal, et le domaine DEFAULT qui couvre tous les autres noms de domaine. Par mesure de sécurité, tous les attributs Radius reçus dans le cas d’une utilisation en mode proxy sont supprimés, sauf ceux qui sont absolument nécessaires. Cette méthode est définie dans le fichier attrs. — Le serveur Radius doit se connecter à l’annuaire AD central du SUNGARD qui vérifie les identifiants de l’utilisateur, et qui indique le VLAN dans lequel celui-ci doit être placé. Pour cela, il faut configurer le fichier radiusd.conf pour activer le support de LDAPS (communication cryptée entre le serveur Radius et l’annuaire AD), et la requête nécessaire pour trouver l’utilisateur. De cette manière, le mot de passe de l’utilisateur ne transite pas en clair entre le serveur Radius et le serveur AD.
  48. 48. 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authentification 37 Configuration de fichier du service de Freeradius Linux doit être configuré pour se joindre à un domaine Windows. Ceci est fait en utilisant le serveur de fichiers Samba qui propose plusieurs outils intéressants. Le but n’est pas de créer un serveur de fichiers Samba, mais seulement d’utiliser des outils qui viennent avec ce serveur. Un serveur Samba contient entre autres les éléments suivants : — Winbind, un démon qui permet la connectivité à l’environnement Windows-NT. — ntlm-auth, un outil qui utilise winbind pour évaluer NTLM (NT Lan Manager) demandes. Cet outil permet de vérifier les informations d’identification de l’uti- lisateur sur le contrôleur de domaine et renvoie soit un succès ou un message d’erreur. Une fois Samba est installé sur Linux, on peut mettre en place l’authentification Freeradius, on va configurer certains fichiers pour que le serveur puisse communiquer avec l’AD et utiliser le protocole d’authentification souhaité. Cette section montre les étapes nécessaires à l’utilisation de Freeradius pour au- thentifier les utilisateurs sur un Active Directory (windows server 2012). Information générales Au long de réalisation ces informations et nécessaire pour la configuration, Il faut modifier ces différents paramètres : — Domaine DNS :Nom de domaine de sungard. — Nom de serveur AD :Nom AD du sungard. — Adresse du DNS :****.****.****.****. Une parfaite résolution DNS est essentielle à tout système en particulier quand il y a un annuaire Active Directory. On peut modifier donc les paramètres DNS de Centos pour utiliser le DNS de l’AD. Les figures 4.3 et 4.4 présentent respectivement comment configurer le DNS puis le modifier dans le fichier resolv.conf. Figure 4.3: Configuration DNS Figure 4.4: Modifier le DNS au fichier resolv.conf De même, une synchronisation horaire précise est essentielle. On peut modifier donc la configuration NTP(Network Time Protocol)pour utiliser le serveur AD comme source de temps. La figure 4.5 montre comment configurer NTP.
  49. 49. 4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authentification 38 NTP :Protocole d’heure réseaux Est un protocole qui permet de synchroniser, via un réseau informatique, l’horloge locale d’ordinateurs sur une référence d’heure Figure 4.5: Configuration NTP Ensuite, on redémarre le serveur pour bien prendre en compte les modifications déjà faites. Intégration du serveur dans l’Active Directory Active Directory(AD) est la mise en œuvre par microsoft des services d’annuaire LDAP pour les systèmes d’exploitation Windows. AD fournit des services centralisés d’identification et d’authentification à un réseau d’ordinateurs Windows et de contrô- leur de domaines. Il bien connu que les systèmes microsoft et unix ont une façon différente de gérer leur base d’utilisateurs. une difficulté est alors rencontrés lorsque l’on veut intégrer un serveur Samba dans un réseau de machine NT(New Technologie).En théorie il faudrait créer sur le serveur samba les comptes systèmes correspondant aux comptes du domaine mais aussi les comptes Samba. Installation de paquets Installation des différents paquets (samba,winibind,kerberos) pour l’intégration du ser- veur dans l’active directroy 4.6. Figure 4.6: Installation de paquets Configuration des différents paquets installée :

×