SlideShare une entreprise Scribd logo
1  sur  34
MISE EN PLACE D’UN SERVEUR
AAA [RADIUS ET TACACS]
UE : ITE 315 ADMINISTRATION RESEAUX
TRAVAIL PERSONNEL DE L’ETUDIANT
GROUPE 2
Nom de l’enseignant : M. AWE SAMALNA DENIS
Année académique 2022-2023
REPUBLIC OF CAMEROON
Peace -Work -Fatherland
*********
MINISTRY OF HIGHER EDUCATION
**********
THE UNIVERSITY OF MAROUA
**********
NATIONAL ADVANCED SCHOOL OF
ENGINEERING OF MAROUA
**********
DEPARTMENT OF COMPUTER SCIENCE AND
TELECOMMUNICATIONS
REPUBLIQUE DU CAMEROUN
Paix -Travail – Patrie
*********
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR
**********
UNIVERSITE DE MAROUA
**********
ECOLE NATIONALE SUPERIEURE
POLYTECHNIQUE DE MAROUA
**********
DEPARTEMENT D’INFORMATIQUE ET DE
TELECOMMUNICATIONS
BP 46 Maroua
Tél : (237) 242 62 30 76 / (237)242 62 08 90
Fax : (237) 242 29 15 41 / (237)242 29 31 12
Site : www.uni-maroua.citi.cm
E-mail : institutsupsahel.uma@gmail.com
1
Listes des membres du groupes
Noms et prénoms Matricules Parcours
ATO MVOGO MARC AURELCEDRIC 22E0496EP ING
BAHIT ALKALI 22E0523EP LSI
BAKOWE BAMO 22E0498EP ING
BASSIROU HAMADJODA TANKO 22E0499EP ING
DONGMO NOUMEDEM GORAN PERSON 18A0187P ING
GWETH GWETH DENIS RUFIN 20C0218EP ING
MOHAMADOU ISSA 19A0360P ING
VANA ZOKOM ELIE 20C0244EP ING
2
Introduction
Pour des raisons très variées, on peut avoir besoin de liste d’accès particulières. Par
exemple, pour définir les personnes ayant le droit d’utiliser un réseau, un proxy, le
Wifi, mais de manière réglementée : en passant par un login et un mot de passe
Beaucoup de systèmes proposent leurs propres ACls ( Access Lists ). Parfois cette
solution n’est pas pratique ou l’on peut vouloir utiliser ces listes dans plusieurs cas
( messagerie, Active Directory, accès… ).
Les solutions RADIUS et TACACS répondent a ce besoin en fournissant des listes
de login/Mot de passe sur demande d’un système « client ».
3
Protocole AAA (1/2)
• AAA désigne en anglais Authentification Authorization Accounting/Auditing ou encore
Authentification Autorisation et traçabilité
• AAA est un modèle de sécurité implémenté dans certains routeurs Cisco mais que l'on peut
également utiliser sur toute machine qui peut servir de NAS (Network Access Server), ou
certains switches Alcatel.
• AAA est la base des protocoles de télécommunication Radius et Diameter qui sont
notamment utilisés dans les réseaux mobiles UMTS et LTE pour authentifier et autoriser
l'accès des terminaux mobiles au réseau.
• Il est ainsi possible de contrôler qui se connecte au réseau et de définir ce que les
utilisateurs sont autorisés à faire. Ceci permet en outre de conserver une piste d’audit de
l’activité des utilisateurs.
4
Protocole AAA (2/2)
• Les protocoles AAA tels que RADIUS (RFC 2865) et TACACS+, qui a été
développé par Cisco, ont été créés pour faire face aux défis d’authentification
réseau et d’administration. L’architecture AAA permet aux utilisateurs
d’accéder aux périphériques en réseau qui leur ont été attribués et protège le
réseau contre les accès non autorisés..
• Le protocole AAA fonctionne en (03) étapes chronologiques dépendantes,
c’est-à-dire que le résultat de l’exécution d’une étape est important pour la
prochaine étape.
5
Nécessité du Protocole AAA
• Les systèmes de type ID utilisateur/mot de passe d’un périphérique réseau apportent
uniquement un niveau primitif de sécurité. Un nombre limité d’identifiants de
compte sont configurés et doivent être gérés sur chaque dispositif matériel. A chaque
fois qu'un compte est ajouté, supprimé ou modifié, chaque système doit être traité
individuellement, ce qui est coûteux et source d’erreurs. En outre, les utilisateurs
doivent mémoriser leur identifiant et leur mot de passe pour accéder à ces
périphériques. Etant donné le nombre sans cesse croissant d’informations de ce genre
à mémoriser, retrouver les identifiants corrects peut devenir un problème
• L’application du système AAA permet d'éliminer ces problèmes. Les identifiants et
les mots de passe sont centralisés, et les comptes existants peuvent être utilisés pour
accéder à de nouveaux équipements au fur et à mesure que le réseau change ou
grandit. Les processus de mise à jour des comptes existants évitent les erreurs et les
sources de frustration des utilisateurs. Les identifiants et les mots de passe sont
chiffrés au moyen d’un algorithme de hachage qui a fait ses preuves. Par conséquent,
Nos comptes sont protégés contre les accès malveillants. 6
Fonctionnement du protocole AAA
• Le protocole AAA se résume a trois fonctions
principales : l’authentification, l’autorisation et
l’audit
• Pour utiliser les ressources du réseau, l’utilisateur
émet une requête de demande destiné au serveur
AAA qui va transiter par le NAS. Il sera question
d’identifier l’utilisateur via son login et mot de
passe pour l’accorder ou non l’accès au réseau
(authentification, autorisation)
• L’audit va permettre de tracer les évènements qui
se déroulent lors des demandes d’accès au réseau.
Ceci permet aux administrateurs d’analyser les
violations de sécurité et les problèmes d’accès
opérationnels
7
Authentification
• L'authentification est le processus qui consiste à identifier un utilisateur et à
lui accorder l'accès au réseau. La plupart du temps, cela se fait à l'aide
d'identifiants traditionnels comme le nom d'utilisateur et le mot de passe.
Cependant, les utilisateurs peuvent également utiliser des méthodes
d'authentification sans mot de passe, y compris la biométrie comme les
scanners oculaires ou les empreintes digitales, et du matériel tel que des jetons
matériels ou des cartes à puce.
• Afin de garantir un accès ininterrompu, il est possible de mettre en place des
serveurs d’authentification redondants, primaires et secondaires. Nous
pouvons pour ce faire utiliser différents types de serveurs (RADIUS,
Diameter et TACACS).
8
Authorization
• Une fois l’utilisateur authentifié, les règles d’autorisation désignent les ressources
accessibles et les opérations possibles pour l'utilisateur. Des profils avec un niveau
lecture/écriture de type « Administration » et un niveau lecture seule peuvent être
configurés et contrôlés à partir du serveur d’authentification. Comme il s’agit d’un
processus centralisé, la nécessité d'intervenir indépendamment sur chaque
équipement est éliminée.
• Par exemple, une fois que le système a accordé l'accès au réseau, un utilisateur qui
travaille dans les ventes peut uniquement être en mesure d'utiliser le logiciel de
gestion de la relation client et non les ressources humaines. De plus, dans ce
logiciel, ils peuvent être uniquement autorisé à afficher et à modifier des données
et à ne pas gérer d'autres utilisateurs. C'est le processus d'autorisation qui
appliquerait toutes ces règles de réseau. 9
Accounting(Traçabilité )
• L’aspect traçabilité des serveurs AAA fournit une piste d’audit indiquant le mode de
connexion de chaque utilisateur, leur adresse IP de provenance et la durée de leur
connexion. Ceci permet aux administrateurs d’analyser les violations de sécurité et
les problèmes d’accès opérationnels, le cas échéant.
• La traçabilité aide à la fois aux évaluations de sécurité et aux évaluations
opérationnelles. Par exemple, les administrateurs réseau peuvent consulter les
privilèges d'accès des utilisateurs à des ressources spécifiques pour voir tout
changement. Ils pourraient également ajuster la capacité en fonction des ressources
les plus fréquemment utilisées et des tendances d'activité courantes.
10
Schéma récapitulatif
11
Exemple pratique
12
Serveur RADIUS
• RADIUS (Remote Authentication Dial-In User Service) est un protocole client-
serveur permettant de centraliser des données d'authentification
• Le protocole RADIUS est actuellement utilisé pour faire du AAA avec des
utilisateurs se connectant via des modems téléphoniques à Internet. L’utilisateur
utilise PPP pour accéder à un FAI via un serveur d’accès. Il envoie des informations
permettant de l’authentifier (typiquement login/password) au serveur d’accès.
Celui-ci les envoie alors à un serveur RADIUS qui se charge de l’authentifier. Si
l’utilisateur est correctement authentifié, le serveur RADIUS lui permet l’accès à
Internet.
• Le client RADIUS génère selon le protocole une requête Access-Request contenant
les informations d'authentification. le serveur RADIUS valide ou refuse
l'identification en renvoyant un paquet de type : Access-Accept ou Access-Reject.
13
Mise en place du Serveur RADIUS sous Cisco
PackettTracer 8.2
CAHIER DE CHARGE
• On va mettre en place une configuration à petite échelle, du serveur
RADIUS de notre groupe deTPE selon le protocole AAA.
• Chacun des 08 membres du groupe aura son nom comme login et son
matricule comme mot de passe
• Nous aurons besoin d’un RouteurWifi qui fera office de point d’accès, d’un
serveur RADIUS et d’un Switch Cisco pour acheminer les paquets vers les
bonnes destinations
14
Adressage du
Routeur Wifi
15
Adressage du
Serveur RADIUS
16
Configuration du
service AAA du
Serveur RADIUS
17
Client Name : nom du routeur
Client IP : adresse IP du routeur
Secret : un mot de passe en
commun entre le serveur et le
routeur
Configuration du routeur WIFI au serveur AAA avec la clé
secrète
18
Configuration d’un
utilisateur du
Serveur RADIUS
Ici, on authentifie l’utilisateur ATO avec
son login et mot de passe pour établir la
connexion avec le Routeur et donc le
serveur RADIUS. Ainsi de suite, pour les
autres membres du groupe.
19
Vue d’ensemble
20
Test de Ping
21
ServeurTACACS/TACACS+
• TACACS (Terminal Access Controller Access Control System) est un protocole
d’authentification distante créé en 1984, utilisé pour communiquer avec un serveur
d’authentification
• TACACS permet à un serveur d’accès distant de communiquer avec un serveur
d’authentification dans l'objectif de déterminer si l’utilisateur a le droit d'accéder au
réseau.
• TACACS+ également développé par Cisco, publié comme standard ouvert qui
ajoute le chiffrement et une option de défi-réponse et supporte les protocoles
AAA.TACACS+ est un serveur d’authentification permettant de centraliser les
autorisations d’accès (Les mots de passe utilisés sont gérés dans une base de
données centrale).TACACS+ permet de vérifier l’identité des utilisateurs distants
mais aussi, grâce au modèle AAA, d’autoriser et de contrôler leurs actions au sein
du réseau local
22
Les acteurs d’une sessionTACACS+
• Généralement, il existe trois acteurs lors des sessionsTACACS+ :
 L’utilisateur : émetteur de la requête d’authentification
 Le client TACACS+ : le point d’accès réseau
 Le serveur TACACS+ : relié a une base d’authentification (Base de données, annuaire
LDAP)
23
Mise en place du ServeurTACACS+ sous Cisco
PackettTracer
• Ici, on va configurer un réseau composé de deux machines et d’un
commutateur directement connecté au serveurTACACS+
• On va procéder autrement, en utilisant les commandes sur le terminal pour
configure le serveur selon le protocole AAA
24
Configuration du
protocole AAA et
du serveur
TACACS+ sur le
switch
25
On crée la sessionTACACS+
avec la commande
aaa new-model
Puis on configure les login et
MDP avec username login
password MDP
Configuration du
serveur TACACS+
26
Vue d’ensemble
27
Test de Ping sur
une machine
28
Demande
d’authentification
au serveur
TACACS+ via des
identifiants
29
On fournit le login et le MDP
au serveur AAA dans une
Access-Request. Si
l’authentification est réussi, il
nous accorde l’accès par un
Access-Accept
Affichage de
l’historique et des
paramètres avec
l’audit
30
RADIUS vsTACACS+ : Comparaison
Critères Serveur RADIUS Serveur TACACS+
Propriété IETF sous licence libre Cisco
Cryptage Mot de passe crypté Tout le paquet est crypté
Protocole UDP TCP
Port UDP Port 1812,1645 (
Authentification),
1813,1646(Accounting)
TCP Port 49
Sens de communication Unidirectionnel CHAP Bidirectionnel CHAP
Consommation des ressources Nécessite moins de ressources Nécessite plus de ressources
Usage Les accès réseaux L’administration réseau
Fonctions L’authentification et
l’autorisation sont combinées
L’authentification et l’autorisation
sont séparées
Audit Audit limité Audit étendu et plus fourni
31
TACACS vsTACACS+ : Comparaison
Critères Serveur TACACS Serveur TACACS+
Abréviation Terminal Access Control Access
Control System
Terminal Access Control Access
Control System Plus
Propriété Open source Cisco
Mot de passe TACACS ne prend pas en
charge l’invite de commande
pour changer de mot de passe
ou pour utiliser jetons de mot
de passe dynamiques
Pour les mot de passe dynamique,
TACACS+ fournit une
authentification a double facteurs et
améliore les outils d’audit
Protocole TCP et UDP TCP
Port 49 49
Date de création 1984 1993
Clé secrète d’authentification
KERBEROS
NON OUI
32
Bibliographie & Webographie
• Cours d’administration réseaux, AWE SAMALNA DENIS, Université de Maroua, ENSPM,
Département d’informatique et des télécommunications, IC3, Novembre 2022
• https://www.perlesystems.fr/supportfiles/aaa-security.shtml
• https://www.ipcisco.com
• https://www.ipwithease.com
• https://www.youtube.com/watch?v=H5_MpoL5PuM&t=30s
• https://www.youtube.com/watch?v=eWypCjoiFbk&t=227s
33
MERCI POUR VOTRE
ATTENTION !
C’était le groupe 2
Des questions ?
34

Contenu connexe

Tendances

Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Cour simulation ns2
Cour simulation ns2Cour simulation ns2
Cour simulation ns2
Gilles Samba
 

Tendances (20)

Sécurité des réseaux sans fil WIFI
Sécurité des réseaux sans fil WIFISécurité des réseaux sans fil WIFI
Sécurité des réseaux sans fil WIFI
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
PKI
PKIPKI
PKI
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Simulation d'un réseau Ad-Hoc sous NS2
Simulation d'un réseau Ad-Hoc sous NS2Simulation d'un réseau Ad-Hoc sous NS2
Simulation d'un réseau Ad-Hoc sous NS2
 
FreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAPFreeRadius + Pfsense + OpenLDAP
FreeRadius + Pfsense + OpenLDAP
 
Cour simulation ns2
Cour simulation ns2Cour simulation ns2
Cour simulation ns2
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
AAA & RADIUS Protocols
AAA & RADIUS ProtocolsAAA & RADIUS Protocols
AAA & RADIUS Protocols
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Routage
RoutageRoutage
Routage
 

Similaire à RADIUS ET TACACS+.pptx

Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
CERTyou Formation
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
depinfo
 
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceSwsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
CERTyou Formation
 
Cns 207-formation-mettre-en-oeuvre-citrix-netscaler-10-pour-les-solutions-xen...
Cns 207-formation-mettre-en-oeuvre-citrix-netscaler-10-pour-les-solutions-xen...Cns 207-formation-mettre-en-oeuvre-citrix-netscaler-10-pour-les-solutions-xen...
Cns 207-formation-mettre-en-oeuvre-citrix-netscaler-10-pour-les-solutions-xen...
CERTyou Formation
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
infcom
 
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
CERTyou Formation
 
3 certificats et csa - claire lenain
3   certificats et csa - claire lenain3   certificats et csa - claire lenain
3 certificats et csa - claire lenain
ASIP Santé
 

Similaire à RADIUS ET TACACS+.pptx (20)

Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceSwsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
 
Protocole Diameter
Protocole DiameterProtocole Diameter
Protocole Diameter
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
 
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiSolution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium Paris
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
 
Cns 207-formation-mettre-en-oeuvre-citrix-netscaler-10-pour-les-solutions-xen...
Cns 207-formation-mettre-en-oeuvre-citrix-netscaler-10-pour-les-solutions-xen...Cns 207-formation-mettre-en-oeuvre-citrix-netscaler-10-pour-les-solutions-xen...
Cns 207-formation-mettre-en-oeuvre-citrix-netscaler-10-pour-les-solutions-xen...
 
Présentation _réseaux_protocoles_sécurité.pptx
Présentation _réseaux_protocoles_sécurité.pptxPrésentation _réseaux_protocoles_sécurité.pptx
Présentation _réseaux_protocoles_sécurité.pptx
 
Cahier des charges
Cahier des charges Cahier des charges
Cahier des charges
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
 
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
3 certificats et csa - claire lenain
3   certificats et csa - claire lenain3   certificats et csa - claire lenain
3 certificats et csa - claire lenain
 

RADIUS ET TACACS+.pptx

  • 1. MISE EN PLACE D’UN SERVEUR AAA [RADIUS ET TACACS] UE : ITE 315 ADMINISTRATION RESEAUX TRAVAIL PERSONNEL DE L’ETUDIANT GROUPE 2 Nom de l’enseignant : M. AWE SAMALNA DENIS Année académique 2022-2023 REPUBLIC OF CAMEROON Peace -Work -Fatherland ********* MINISTRY OF HIGHER EDUCATION ********** THE UNIVERSITY OF MAROUA ********** NATIONAL ADVANCED SCHOOL OF ENGINEERING OF MAROUA ********** DEPARTMENT OF COMPUTER SCIENCE AND TELECOMMUNICATIONS REPUBLIQUE DU CAMEROUN Paix -Travail – Patrie ********* MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ********** UNIVERSITE DE MAROUA ********** ECOLE NATIONALE SUPERIEURE POLYTECHNIQUE DE MAROUA ********** DEPARTEMENT D’INFORMATIQUE ET DE TELECOMMUNICATIONS BP 46 Maroua Tél : (237) 242 62 30 76 / (237)242 62 08 90 Fax : (237) 242 29 15 41 / (237)242 29 31 12 Site : www.uni-maroua.citi.cm E-mail : institutsupsahel.uma@gmail.com 1
  • 2. Listes des membres du groupes Noms et prénoms Matricules Parcours ATO MVOGO MARC AURELCEDRIC 22E0496EP ING BAHIT ALKALI 22E0523EP LSI BAKOWE BAMO 22E0498EP ING BASSIROU HAMADJODA TANKO 22E0499EP ING DONGMO NOUMEDEM GORAN PERSON 18A0187P ING GWETH GWETH DENIS RUFIN 20C0218EP ING MOHAMADOU ISSA 19A0360P ING VANA ZOKOM ELIE 20C0244EP ING 2
  • 3. Introduction Pour des raisons très variées, on peut avoir besoin de liste d’accès particulières. Par exemple, pour définir les personnes ayant le droit d’utiliser un réseau, un proxy, le Wifi, mais de manière réglementée : en passant par un login et un mot de passe Beaucoup de systèmes proposent leurs propres ACls ( Access Lists ). Parfois cette solution n’est pas pratique ou l’on peut vouloir utiliser ces listes dans plusieurs cas ( messagerie, Active Directory, accès… ). Les solutions RADIUS et TACACS répondent a ce besoin en fournissant des listes de login/Mot de passe sur demande d’un système « client ». 3
  • 4. Protocole AAA (1/2) • AAA désigne en anglais Authentification Authorization Accounting/Auditing ou encore Authentification Autorisation et traçabilité • AAA est un modèle de sécurité implémenté dans certains routeurs Cisco mais que l'on peut également utiliser sur toute machine qui peut servir de NAS (Network Access Server), ou certains switches Alcatel. • AAA est la base des protocoles de télécommunication Radius et Diameter qui sont notamment utilisés dans les réseaux mobiles UMTS et LTE pour authentifier et autoriser l'accès des terminaux mobiles au réseau. • Il est ainsi possible de contrôler qui se connecte au réseau et de définir ce que les utilisateurs sont autorisés à faire. Ceci permet en outre de conserver une piste d’audit de l’activité des utilisateurs. 4
  • 5. Protocole AAA (2/2) • Les protocoles AAA tels que RADIUS (RFC 2865) et TACACS+, qui a été développé par Cisco, ont été créés pour faire face aux défis d’authentification réseau et d’administration. L’architecture AAA permet aux utilisateurs d’accéder aux périphériques en réseau qui leur ont été attribués et protège le réseau contre les accès non autorisés.. • Le protocole AAA fonctionne en (03) étapes chronologiques dépendantes, c’est-à-dire que le résultat de l’exécution d’une étape est important pour la prochaine étape. 5
  • 6. Nécessité du Protocole AAA • Les systèmes de type ID utilisateur/mot de passe d’un périphérique réseau apportent uniquement un niveau primitif de sécurité. Un nombre limité d’identifiants de compte sont configurés et doivent être gérés sur chaque dispositif matériel. A chaque fois qu'un compte est ajouté, supprimé ou modifié, chaque système doit être traité individuellement, ce qui est coûteux et source d’erreurs. En outre, les utilisateurs doivent mémoriser leur identifiant et leur mot de passe pour accéder à ces périphériques. Etant donné le nombre sans cesse croissant d’informations de ce genre à mémoriser, retrouver les identifiants corrects peut devenir un problème • L’application du système AAA permet d'éliminer ces problèmes. Les identifiants et les mots de passe sont centralisés, et les comptes existants peuvent être utilisés pour accéder à de nouveaux équipements au fur et à mesure que le réseau change ou grandit. Les processus de mise à jour des comptes existants évitent les erreurs et les sources de frustration des utilisateurs. Les identifiants et les mots de passe sont chiffrés au moyen d’un algorithme de hachage qui a fait ses preuves. Par conséquent, Nos comptes sont protégés contre les accès malveillants. 6
  • 7. Fonctionnement du protocole AAA • Le protocole AAA se résume a trois fonctions principales : l’authentification, l’autorisation et l’audit • Pour utiliser les ressources du réseau, l’utilisateur émet une requête de demande destiné au serveur AAA qui va transiter par le NAS. Il sera question d’identifier l’utilisateur via son login et mot de passe pour l’accorder ou non l’accès au réseau (authentification, autorisation) • L’audit va permettre de tracer les évènements qui se déroulent lors des demandes d’accès au réseau. Ceci permet aux administrateurs d’analyser les violations de sécurité et les problèmes d’accès opérationnels 7
  • 8. Authentification • L'authentification est le processus qui consiste à identifier un utilisateur et à lui accorder l'accès au réseau. La plupart du temps, cela se fait à l'aide d'identifiants traditionnels comme le nom d'utilisateur et le mot de passe. Cependant, les utilisateurs peuvent également utiliser des méthodes d'authentification sans mot de passe, y compris la biométrie comme les scanners oculaires ou les empreintes digitales, et du matériel tel que des jetons matériels ou des cartes à puce. • Afin de garantir un accès ininterrompu, il est possible de mettre en place des serveurs d’authentification redondants, primaires et secondaires. Nous pouvons pour ce faire utiliser différents types de serveurs (RADIUS, Diameter et TACACS). 8
  • 9. Authorization • Une fois l’utilisateur authentifié, les règles d’autorisation désignent les ressources accessibles et les opérations possibles pour l'utilisateur. Des profils avec un niveau lecture/écriture de type « Administration » et un niveau lecture seule peuvent être configurés et contrôlés à partir du serveur d’authentification. Comme il s’agit d’un processus centralisé, la nécessité d'intervenir indépendamment sur chaque équipement est éliminée. • Par exemple, une fois que le système a accordé l'accès au réseau, un utilisateur qui travaille dans les ventes peut uniquement être en mesure d'utiliser le logiciel de gestion de la relation client et non les ressources humaines. De plus, dans ce logiciel, ils peuvent être uniquement autorisé à afficher et à modifier des données et à ne pas gérer d'autres utilisateurs. C'est le processus d'autorisation qui appliquerait toutes ces règles de réseau. 9
  • 10. Accounting(Traçabilité ) • L’aspect traçabilité des serveurs AAA fournit une piste d’audit indiquant le mode de connexion de chaque utilisateur, leur adresse IP de provenance et la durée de leur connexion. Ceci permet aux administrateurs d’analyser les violations de sécurité et les problèmes d’accès opérationnels, le cas échéant. • La traçabilité aide à la fois aux évaluations de sécurité et aux évaluations opérationnelles. Par exemple, les administrateurs réseau peuvent consulter les privilèges d'accès des utilisateurs à des ressources spécifiques pour voir tout changement. Ils pourraient également ajuster la capacité en fonction des ressources les plus fréquemment utilisées et des tendances d'activité courantes. 10
  • 13. Serveur RADIUS • RADIUS (Remote Authentication Dial-In User Service) est un protocole client- serveur permettant de centraliser des données d'authentification • Le protocole RADIUS est actuellement utilisé pour faire du AAA avec des utilisateurs se connectant via des modems téléphoniques à Internet. L’utilisateur utilise PPP pour accéder à un FAI via un serveur d’accès. Il envoie des informations permettant de l’authentifier (typiquement login/password) au serveur d’accès. Celui-ci les envoie alors à un serveur RADIUS qui se charge de l’authentifier. Si l’utilisateur est correctement authentifié, le serveur RADIUS lui permet l’accès à Internet. • Le client RADIUS génère selon le protocole une requête Access-Request contenant les informations d'authentification. le serveur RADIUS valide ou refuse l'identification en renvoyant un paquet de type : Access-Accept ou Access-Reject. 13
  • 14. Mise en place du Serveur RADIUS sous Cisco PackettTracer 8.2 CAHIER DE CHARGE • On va mettre en place une configuration à petite échelle, du serveur RADIUS de notre groupe deTPE selon le protocole AAA. • Chacun des 08 membres du groupe aura son nom comme login et son matricule comme mot de passe • Nous aurons besoin d’un RouteurWifi qui fera office de point d’accès, d’un serveur RADIUS et d’un Switch Cisco pour acheminer les paquets vers les bonnes destinations 14
  • 17. Configuration du service AAA du Serveur RADIUS 17 Client Name : nom du routeur Client IP : adresse IP du routeur Secret : un mot de passe en commun entre le serveur et le routeur
  • 18. Configuration du routeur WIFI au serveur AAA avec la clé secrète 18
  • 19. Configuration d’un utilisateur du Serveur RADIUS Ici, on authentifie l’utilisateur ATO avec son login et mot de passe pour établir la connexion avec le Routeur et donc le serveur RADIUS. Ainsi de suite, pour les autres membres du groupe. 19
  • 22. ServeurTACACS/TACACS+ • TACACS (Terminal Access Controller Access Control System) est un protocole d’authentification distante créé en 1984, utilisé pour communiquer avec un serveur d’authentification • TACACS permet à un serveur d’accès distant de communiquer avec un serveur d’authentification dans l'objectif de déterminer si l’utilisateur a le droit d'accéder au réseau. • TACACS+ également développé par Cisco, publié comme standard ouvert qui ajoute le chiffrement et une option de défi-réponse et supporte les protocoles AAA.TACACS+ est un serveur d’authentification permettant de centraliser les autorisations d’accès (Les mots de passe utilisés sont gérés dans une base de données centrale).TACACS+ permet de vérifier l’identité des utilisateurs distants mais aussi, grâce au modèle AAA, d’autoriser et de contrôler leurs actions au sein du réseau local 22
  • 23. Les acteurs d’une sessionTACACS+ • Généralement, il existe trois acteurs lors des sessionsTACACS+ :  L’utilisateur : émetteur de la requête d’authentification  Le client TACACS+ : le point d’accès réseau  Le serveur TACACS+ : relié a une base d’authentification (Base de données, annuaire LDAP) 23
  • 24. Mise en place du ServeurTACACS+ sous Cisco PackettTracer • Ici, on va configurer un réseau composé de deux machines et d’un commutateur directement connecté au serveurTACACS+ • On va procéder autrement, en utilisant les commandes sur le terminal pour configure le serveur selon le protocole AAA 24
  • 25. Configuration du protocole AAA et du serveur TACACS+ sur le switch 25 On crée la sessionTACACS+ avec la commande aaa new-model Puis on configure les login et MDP avec username login password MDP
  • 28. Test de Ping sur une machine 28
  • 29. Demande d’authentification au serveur TACACS+ via des identifiants 29 On fournit le login et le MDP au serveur AAA dans une Access-Request. Si l’authentification est réussi, il nous accorde l’accès par un Access-Accept
  • 30. Affichage de l’historique et des paramètres avec l’audit 30
  • 31. RADIUS vsTACACS+ : Comparaison Critères Serveur RADIUS Serveur TACACS+ Propriété IETF sous licence libre Cisco Cryptage Mot de passe crypté Tout le paquet est crypté Protocole UDP TCP Port UDP Port 1812,1645 ( Authentification), 1813,1646(Accounting) TCP Port 49 Sens de communication Unidirectionnel CHAP Bidirectionnel CHAP Consommation des ressources Nécessite moins de ressources Nécessite plus de ressources Usage Les accès réseaux L’administration réseau Fonctions L’authentification et l’autorisation sont combinées L’authentification et l’autorisation sont séparées Audit Audit limité Audit étendu et plus fourni 31
  • 32. TACACS vsTACACS+ : Comparaison Critères Serveur TACACS Serveur TACACS+ Abréviation Terminal Access Control Access Control System Terminal Access Control Access Control System Plus Propriété Open source Cisco Mot de passe TACACS ne prend pas en charge l’invite de commande pour changer de mot de passe ou pour utiliser jetons de mot de passe dynamiques Pour les mot de passe dynamique, TACACS+ fournit une authentification a double facteurs et améliore les outils d’audit Protocole TCP et UDP TCP Port 49 49 Date de création 1984 1993 Clé secrète d’authentification KERBEROS NON OUI 32
  • 33. Bibliographie & Webographie • Cours d’administration réseaux, AWE SAMALNA DENIS, Université de Maroua, ENSPM, Département d’informatique et des télécommunications, IC3, Novembre 2022 • https://www.perlesystems.fr/supportfiles/aaa-security.shtml • https://www.ipcisco.com • https://www.ipwithease.com • https://www.youtube.com/watch?v=H5_MpoL5PuM&t=30s • https://www.youtube.com/watch?v=eWypCjoiFbk&t=227s 33
  • 34. MERCI POUR VOTRE ATTENTION ! C’était le groupe 2 Des questions ? 34

Notes de l'éditeur

  1. Matricules et parcours à vérifiés
  2. IMAGE TACACS