SlideShare une entreprise Scribd logo
Mise en place de la solution d’authentification
Radius sous réseau LAN câblé
Projet fin d’étude
5éme année en Ingénierie des Réseaux Informatique et Sécurité
INSTITUT SUPERIEUR DU GENIE APPLIQUE
Réalisé par :
- KHRICHFA Charif
Encadré par :
- M. KRAIMI Lahcen
Année universitaire 2016/2017
1
DEDICACES
Je dédie ce travail, comme preuve de respect, de gratitude, et de reconnaissance
à :
Ma chère famille, pour son affection, sa patience, et ses prières.
Mes meilleurs amis pour leur aide, leur temps, leur encouragements, leur
assistance et soutien.
Personnel de la SMT. Qui m’a aidé à améliorer mes connaissances en me
donnant informations et conseils.
A tous ceux qui ont contribué de près ou de loin à la réalisation de ce travail.
Merci infiniment.
2
REMERCIEMENT
Je commence donc mon rapport par un grand merci à Dieu qui me donne le pouvoir, la
santé et la patience pendant toutes ces années d’études, pour atteindre ce niveau.
Ce projet est le résultat d’un travail effectué pendant la durée de stage dans l’entreprise
Société Marocaine des Tabacs, Je tien donc à remercier Monsieur OUAZZINE
Mohamed le chef du département informatique de m’avoir accueillie pour me
permettre de mener à bien ce projet.
Mes remerciements et l’expression de ma grande satisfaction vont également à Mr
KRAIMI Lahcen qui m’a amplement honoré en acceptant de m’encadrer.
Je tiens à remercier, à témoigner de ma reconnaissance pour l’expérience enrichissante
et pleine d’intérêt qu’elles nous ont fait vivre durant la période de mon stage à SMT.
Mes remerciements aux membres du jury pour l’honneur qu’ils m’ont fait en acceptant
d’évaluer ce travail. Je remercie également ma famille, mes parents, et mes amis pour
le soutien permanent, et les encouragements.
Pour finir, je tiens à remercier toute personne ayant contribué de près ou de loin à
l’élaboration du présent travail.
3
TABLE DES MATIERES
Résumé....................................................................................................................................... 5
Introduction ................................................................................................................................ 6
Chapitre 1 : La structure d’accueil ............................................................................................. 7
1. Présentation de la Société Marociane des Tabacs.................................................................. 7
1.1.Historique............................................................................................................................. 7
1.2 Fiche Signalétique................................................................................................................ 9
2. Activités et implantation géographie...................................................................................... 9
2.1 Activités ............................................................................................................................... 9
a. La Fabrication ................................................................................................................ 9
b. La commercialisation ................................................................................................... 10
c. La distribution .............................................................................................................. 10
2.2. Implantation géographique................................................................................................ 11
Chapitre 2 : Authentification sur réseau local.......................................................................... 12
1. Pourquoi une authentification sur réseau local ?.................................................................. 12
2. Léevolution des architectures de réseau............................................................................... 12
3.Nouveau paramétre pour la sécuritè des réseau sans fils ...................................................... 13
4. Les nouvelles solutions de sécuritè ..................................................................................... 14
5. Qu’est-ce que l’authentifcation réseau................................................................................. 15
6. Pourquoi faire de l’authentification réseau .......................................................................... 15
7. Intérêts de l’authentification réseau .................................................................................... 16
a. Intérêt pour un réseau filaire ....................................................................................... 16
b. Intérêt pour un réseau sans fil ..................................................................................... 16
4
c. Eléments pour authentifier .......................................................................................... 16
d. Protocoles d’authentification ....................................................................................... 16
Chapitre 3 : Les protocoles d’authentification ......................................................................... 17
1. RADIUS (Remote Authentication Dial-In User Service).................................................... 17
2. Le fonctionnement de RADIUS........................................................................................... 19
3. L’authentification, l’autorisation et la gestion des connexions d’accès réseau.................... 20
4. Authentification par adresse MAC....................................................................................... 22
5. Authentification 802.1x........................................................................................................ 22
6. Radius et 802.1x................................................................................................................... 23
7. Les protocoles d’authentification......................................................................................... 24
7.1 Les différentes phases (simplifiées) d'une connexion 802.1x............................................ 24
7.2 Et que faire des périphériques non 802.1x ? ...................................................................... 26
Chapitre 4 : Mise en place d’un serveur RADIUS................................................................... 28
1. Pourquoi l'authentification 802.1x ?..................................................................................... 28
2. Configuration ....................................................................................................................... 31
A. Configuration du commutateur «HP ProCurve 2910»................................................. 31
B. Créer des groupes de sécurité Active Directory pour l'accès autorisé et le certificat
inscription..................................................................................................................... 31
C. Créer et inscrire les hôtes sur le réseau pour inscrire un certificat............................... 32
D. Configuration du serveur NPS ..................................................................................... 33
E. Créer un GPO sécurisé de base pour clients Windows 7 ordinateurs .......................... 36
F. Test & dépannage......................................................................................................... 37
CONCLUSION ........................................................................................................................ 39
Webographies........................................................................................................................... 40
5
Résumé
Mon stage professionnel s’inscrit dans le cadre d’un projet de fin d’étude de l’obtention du
diplôme d’ingénieur des réseaux informatique et sécurité, d’une durée de trois mois, a
consisté à mettre en place des outils de la sécurité : la configuration d’un serveur RADIUS.
Ce rapport présente le travail que j’ai effectué lors de mon stage au sein de l’entreprise
Société Marocaine des Tabacs. Pendant la période du stage, je me suis familiarisé avec un
environnement technique et professionnel qui est très complexe et un ensemble d’outils
réseau.
Le projet réalisé s’est avéré très intéressant et très enrichissant pour mon expérience
professionnelle. En effet, ma formation s’inscrit précisément dans ce secteur (Réseaux,
Sécurité et Systèmes Informatique).
Grâce à ce stage, j’ai travaillé sur des projets qui m’ont permis d’entrevoir en quoi consiste la
profession d’un administrateur réseaux dans ce secteur d’activité.
Je vous expose dans ce rapport, premièrement une présentation de la société Marocaine des
Tabacs. Deuxièmes, je vous explique les différents outils que j’ai utilisés pour réaliser mon
projet.
6
Introduction
C’est avec enthousiasme que j’ai effectué mon stage au sein de la société marocaine des
tabacs pour une durée de 3 mois. Pendant cette période, j'ai essayé de prendre le maximum de
connaissances possibles concernant l’activité de l’entreprise et son environnement.
La croissance de la société marocaine des tabacs et la modernisation de son outil de
production ayant mené des changements profonds, l’efficience de la gestion dans tous les
domaines et la recherche de développement ont été les thèmes dominants des vingt dernières
années de l’existence de la Régie.
L’évolution de cette société est remarquable à plusieurs égards. D’abord, au niveau des
structures, un nouvel organigramme, plus conforme à la taille et aux ambitions de la société, a
été mis en place pour permettre une large décentralisation et une répartition des
responsabilités et même d’imprimer une meilleure efficacité aux secteurs clés de son activité.
Le stage est devenu le principal élément de liaison entre la formation pédagogique et le
monde professionnel. C’est dans ce sens que j’ai choisi d’effectuer mon stage à la société
marocaine des tabacs, une entreprise de stature internationale, afin de m’adapter à son
organisation et de bénéficier d’un bon suivi.
7
Chapitre1 : La structure d’accueil
1) Présentation de la Société Marocaine des Tabacs :
1.1.Historique :
Bien qu’originaire d’Amérique, le tabac était connu au Maroc il y a plusieurs siècles.
Il y fut introduit vers la fin du 16ème siècle par les commerçants de Tombouctou.
L’institutionnalisation du commerce de tabacs remonte à l’époque de Moulay Abderrahmane
(1822-1859) qui a le monopole, afin de faire face aux dépenses militaires.
 En 1906, l’acte d’Algesiras précise les conditions relatives au monopole des tabacs au
Maroc.
 En 1910, l’adjudication est attribuée au sieur Léon Neil. Celui-ci transfère ses droits à la
Société Internationale de Régie des tabacs au Maroc, société de droit français créée en 1911.
Le monopole était attribué en concession, pour une période de 40 ans avec la possibilité
d’achat pour l’Etat marocain au bout de 20 ans. La société commença par l’implantation
d’une usine à Tanger.
 En 1931, une convention est conclue entre l’Etat marocain et la société Internationale.
Deux manufactures sont édifiées à Casablanca et Kenitra et une ferme expérimentale à El
Moudzine.
 En 1959, le Gouvernement marocain rachète le monopole de l‘ex-zone nord au
concessionnaire espagnol pour le donner en gérance à la Société Internationale.
 En 1967, l’Etat marocain a décidé de ne pas renouveler la concession. Il a opté pour la
création d’une société anonyme "Régie des Tabacs" avec laquelle une convention fut
conclue le 31 décembre 1967. Ce faisant et conformément à la politique qu’il a menée
depuis l’indépendance, l’Etat a rompu avec la concession privée pour adopter la
concession publique.
8
C’est ainsi que la Régie des Tabacs est devenue une société anonyme dont le capital est
entièrement souscrit par l’Etat. Cette société a pour objet l’exploitation et la vente des tabacs.
Par la suite, la Régie des Tabacs a connu une vaste extension quant à son infrastructure, ses
équipements productifs, son facteur humain, ses centres de culture et son réseau commercial.
Plusieurs réalisations importantes méritent cependant d’être signalées :
 En 1984, l’inauguration de la Manufacture d’Agadir.
 En 1994, un projet technologique sans précédent fut entrepris par l’inauguration de la
manufacture d’Ain Harrouda.
 En 1995, l’inauguration du centre de battage à El Moudzine.
 En 2002, adoption de la forme de Société Anonyme à Directoire et à Conseil de
Surveillance.
 En 2003, la privatisation de 80% du capital de la Régie des Tabacs par la société
franco-espagnol Altadis.
 En 2006, l’acquisition du 20% du capital restant de la Régie des Tabacs par la société
franco-espagnol Altadis ; à la fin de 2006, la mise en place du SAP au lieu de l’ancien
système d’information BPCS.
 Au début de 2007, changement de la dénomination de la Régie des Tabacs devenue
ALTADIS Maroc.
 En 2008 : le franco-espagnol Altadis fut racheté par le groupe Imperial Tobacco l’un des
principaux groupes de tabac internationaux (n°4) et le principal fabricant de tabac au
Royaume-Uni.
 En 2012 : changement de la dénomination qui est devenue La société Marocaine des
Tabacs.
9
1.2. Fiche signalétique :
2) Activités et implantation géographique :
2.1. Activités :
La Société Marocaine des Tabacs est, par son chiffre d’affaires, la 5ème plus grande
entreprise marocaine et la 1ère du secteur agroalimentaire. Elle opère dans le domaine de la
fabrication et de la commercialisation de produits de tabac, ainsi que dans la distribution.
Depuis son intégration, en 2008, le Groupe Imperial Tobacco, acteur international majeur du
secteur des tabacs, ne cesse de consolider sa contribution à l’économie nationale, à travers ses
activités agricoles industrielles et de distribution.
Première entreprise agro-alimentaire du Royaume, la Société Marocaine des Tabacs est
l’unique débouché de la filière de la tabaculture marocaine. C’est ainsi que la Société
Marocaine des Tabacs fabrique dans son usine d’Ain Harrouda, des marques internationales
qui étaient auparavant importées : 95% des cigarettes vendues officiellement au Maroc, toutes
marques confondues, sont fabriquées localement par la Société Marocaine des Tabacs.
Les activités de la Société Marocaine des Tabacs sont :
a. La fabrication :
L’usine d’Ain Harrouda, l’une des plus grandes d’Afrique et du monde arabe, assure 78,3%
de la production totale. Outre les marques de tabac blond marocaines (Marquise, Marvel,..),
elle fabrique pour le marché marocain les marques internationales du Groupe (Gauloises
Blondes et Fortuna).
10
L’intégration au groupe Imperial Tobacco l’usine d’Ain Harrouda est engagée dans un
processus de développement visant son alignement sur les standards internationaux de qualité
et d’efficience, afin de la positionner comme l’une des meilleures usines du Groupe.
Imperial Tobacco Maroc dispose d’un portefeuille de produits diversifié : plus de 201
références dont 28 fabriqués localement. Les marques marocaines détiennent 82% de parts de
marché.
b. La commercialisation :
Le réseau de distribution de la Société Marocaine des Tabacs comprend plus de 23.000 points
de vente. Il est structuré autour de 8 directions régionales qui coordonnent l’activité de 19
centres de vente. Les débitants sont approvisionnés à hauteur de 45% par les centres de vente,
42% par les fourgons de vente et 13% par les débitants principaux (grossistes).
La gamme des produits commercialisés par la Société Marocaine des Tabacs compte 75
produits dont 23 produits locaux et 52 produits importés. Sept produits locaux figurent parmi
le Top Ten des ventes et réalisent 70% de son chiffre d’affaires.
L’activité Cigare a été introduite au niveau de la société depuis 2004. Cette culture « cigare »
s’installe progressivement sur le marché grâce à une nouvelle politique produit/prix très
attrayante. Les marques du groupe Imperial Tobacco détiennent 77% de parts de marché.
c. La distribution :
- Extension de l’activité aux produits hors tabac : Papier à cigarette, cartes téléphoniques
prépayées, timbres postaux, articles de fumeur.
- Instauration du système de distribution capillaire.
- Informatisation des transactions.
- Développement du partenariat avec les débitants à travers le programme de fidélisation
Wafa.
- Modernisation des équipements.
11
2.2. Implantation géographique :
Les activités de la Société Marocaine des Tabacs couvrent tout le territoire national à travers :
 Une usine de fabrication de cigarettes (Ain Harrouda).
 Un Centre de Battage de Tabacs (El moudzine).
 Deux Centres de Culture de Tabacs (El Hajeb et Ouezzane).
 Deux Plateformes de Stockage (Ain Aatik, Lakhyayta).
 Quatre Directions Régionales de Distribution et de Vente (Nord, Sud, Est et Ouest).
 23.000 points de vente.
 19 Centres de Distribution : Casablanca (Nord et Sud), Agadir, El-Jadida, Kénitra,
Khouribga, Laâyoune, Marrakech, Fès-Meknès, Midelt, Mohammedia, Nador, Ouarzazate,
Oujda, Rabat-Salé, Safi, Taza, Tétouan-Tanger, Beni Mellal.
12
Chapitre2 : Authentification sur réseau local
1. Pourquoi une authentification sur réseau local ?
Ce début de XXIe siècle est marqué par l’explosion des réseaux sans fil qui constituent, de
plus en plus, une composante à part entière des réseaux locaux. Cette technologie sans fil était
considérée à l’origine comme un instrument d’appoint. Mais son évolution rapide, celles des
mentalités et des habitudes conduisent les administrateurs réseaux à repenser les relations
entre réseaux sans fil et filaires.
En effet, si le sans-fil se développe, il n’en reste pas moins que le réseau filaire est toujours
bien là et indispensable. On remarquera également qu’un poste de travail qui dispose de la
double connectique sans fil et filaire a la possibilité d’être connecté, simultanément, dans les
deux environnements.
2. L’évolution des architectures de réseau
Les réseaux locaux filaires ont aussi beaucoup évolué ces dernières années, passant
d’une architecture peu structurée à une segmentation en sous-réseaux souvent motivée
par la volonté de mieux maîtriser les flux entre différents utilisateurs ou types d’activités,
notamment grâce à l’utilisation de filtres. Cette évolution est facilitée par l’introduction de
réseaux virtuels (VLAN) dont la multiplication ne coûte rien.
On peut alors être tenté de placer les postes sans fil dans un sous-réseau dédié et les postes
filaires sur un autre.
Mais est-ce une bonne idée ? Pourquoi un poste donné serait-il traité différemment suivant la
méthode d’accès au réseau ? N’est-ce pas le même poste, le même utilisateur ? La logique ne
voudrait-elle pas qu’un même poste soit toujours perçu de la même manière sur le réseau,
quel que soit son mode d’accès ?
Autrement dit, un poste ne doit-il pas être placé sur le même sous-réseau, qu’il se connecte
par le biais du réseau sans fil ou par le biais du réseau filaire ? Cette banalisation du
traitement constitue une intégration logique des deux moyens physiques.
13
À ces questions, on pourrait répondre que la sécurité des réseaux sans fil n’est pas assez
poussée et qu’il vaut mieux ne pas mélanger les torchons avec les serviettes.
Pourtant cet argument est contraire à la sécurité car, si un poste dispose de la double
capacité sans fil/filaire, il a alors la possibilité de faire un pont entre les deux environnements
et de se jouer des filtrages établis entre les réseaux virtuels qui ne servent alors plus à rien.
3. Nouveau paramètre pour la sécurité des réseaux sans fil
Si on sait parfaitement où commence et où finit un réseau filaire, et qu’il faut se connecter sur
une prise physique pour avoir une chance de l’écouter, la difficulté avec les réseaux sans fil
réside dans le fait que leur enveloppe est floue. Il n’y a pas de limites imposables et
contrôlables.
Une borne Wi-Fi émet dans toutes les directions et aussi loin que porte son signal. Bien
souvent, ses limites dépassent les bâtiments de l’établissement et parfois plusieurs réseaux se
recouvrent. Donc, partout dans le volume couvert par une borne, des « espions » peuvent
s’installer et intercepter les communications ou s’introduire dans le réseau et l’utiliser à leur
profit.
Cette situation fut très problématique pour les premières installations Wi-Fi à cause de
l’absence de méthode d’authentification fiable des postes de travail et de mécanismes de
chiffrement fort des communications. Cela n’incitait pas à mélanger les postes filaires et sans
fil.
La première notion de sécurité fut introduite par les clés WEP (de l’anglais Wired Equivalent
Privacy), utilisées à la fois comme droit d’accès au réseau et pour chiffrer les
communications.
Cependant, il ne pouvait s’agir d’une méthode d’authentification sérieuse puisque la seule
connaissance de la clé partagée entre tous les utilisateurs et les bornes donnait accès au
réseau.
Quant au chiffrement, les pirates ont très vite eu raison de l’algorithme utilisé, qui ne résiste
pas à une simple écoute du trafic suivie d’une analyse. Des logiciels spécifiques ont été
développés, tels que Aircrack ou Airsnort, qui permettent d’automatiser ce type d’attaques.
14
4. Les nouvelles solutions de sécurité
Mais depuis, la situation a bien évolué grâce à l’arrivée des protocoles WPA puis WPA2 (Wi-Fi
Protected Access) et par là même des capacités d’authentification plus robustes. Il est désormais
possible d’établir une authentification forte et d’enchaîner sur un chiffrement solide des
communications de données. À partir de là, on peut atteindre un niveau de sécurité satisfaisant et
intégrer plus sereinement réseau sans fil et réseau filaire. Plusieurs écoles s’affrontent au sujet de la
sécurité des communications Wi-Fi. On peut considérer que le chiffrement est une tâche qui peut être
laissée aux applications de l’utilisateur (SSH, HTTPS…). On peut aussi chiffrer grâce à un serveur
VPN (Virtual Private Network). Dans ce dernier cas, un logiciel client doit être installé et configuré
sur chaque poste de travail. Il a pour rôle d’établir une communication chiffrée entre lui et un serveur
VPN, qui assure un rôle de passerelle avec le réseau filaire.
Cela revient donc à ajouter une couche logicielle supplémentaire sur le poste de travail. Pourtant, est-
ce bien nécessaire ? En effet, aujourd’hui, tous les systèmes d’exploitation possèdent déjà une couche
équivalente qui porte le nom de supplicant et qui est complètement intégrée au code logiciel des
fonctions réseau. De plus, ce supplicant est compatible avec WPA, ce qui lui procure à la fois des
fonctions de chiffrement et d’authentification. Afin de répondre aux requêtes des supplicants, il faut
installer, comme chef d’orchestre, un serveur d’authentification qui implémentera le protocole Radius
(Remote Authentication Dial In User Service).
15
5. Qu'est-ce que l'authentification réseau ?
Il s'agit d'authentifier une machine lorsqu'elle se branche sur le réseau afin de lui autoriser
ou refuser l'usage du réseau. On authentifie pour délivrer des autorisations Cette
authentification est indépendante d'autres authentifications vers des systèmes d'exploitation ou
applications.
6. Pourquoi faire de l’authentification réseau ?
•Sécuriser un réseau filaire ou sans-fil.
•Pour interdire les postes inconnus.
•Pour placer les postes connus a des endroits spécifiques du réseau (vlan) de façon
dynamique.
•Pour savoir quelle machine est connectée et où elle est connectée.
16
7. Intérêts de l’authentification réseau ?
a. Intérêt pour un réseau filaire
•Savoir qui se connecte sur quelle prise.
•Eviter une utilisation illicite du réseau par des « inconnus ».
•Affecter les machines sur des réseaux virtuels (cloisonnement).
b. Intérêt pour un réseau sans-fil
•Obligatoire pour intégrer le réseau filaire CAD que les machines sans-fil travaillent comme
les machines filaires.
• Affecter une machine sur le même vlan que lorsqu’elle se connecte sur le réseau filaire.
•Authentification + cryptage.
•Nécessité de gérer un périmètre aérien, flou, incontrôlable.
c. Eléments pour authentifier
•L’adresse MAC de la carte Ethernet
•Une base de login/mot de passe (Windows, LDAP…)
•De certificats (utilisateurs ou machines)
d. Protocoles d’authentification
 Protocoles propriétaires => Exemple: VMPS de Cisco
Authentification sur adresse MAC uniquement
Réseau filaire
 Protocoles ouverts => Radius et 802.1x
Authentification sur adresse MAC, Login/password
Certificats, cartes à puce...
Réseau filaire et sans-fil
17
Chapitre3 : Les protocoles d’authentification
1. RADIUS (Remote Authentication Dial-In User Service)
RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur
destiné à permettre à des serveurs d'accès de communiquer avec une base de données
centralisée regroupant en un point l'ensemble des utilisateurs distants.
Ce serveur central (appelé serveur RADIUS) va authentifier ces utilisateurs, et leur autoriser
l'accès à telle ou telle ressource. Une autre fonctionnalité importante d'un serveur RADIUS est
la comptabilisation des informations concernant les utilisateurs distants.
RADIUS a été inventé par Livingston, depuis devenu propriété de Lucent, et est un standard
de fait de l'industrie informatique. C'est un protocole ouvert, amendée par RFC, et déposé à
l'IETF.
C'est de loin le protocole le plus largement supporté par l'ensemble des constructeurs
d'équipements réseaux, dont CISCO, pourtant promoteur et inventeur de TACACS. RADIUS
Serveur est distribué librement par Livingston sur de nombreuses plateformes. D'autres
versions existent toutefois: Citons Radius Merit, assez diffusée sur Linux.
RADIUS offre un modularité complète en ce qui concerne le mécanisme d’authentification,
on effet la plus par de méthode actuelle sont supportées (LDAP, PAP, CHAP, MS-CHAP,
EAP, LEAP, ….).
Le protocole RADIUS est donc un protocole d’authentification, d’accounting mais pas
d’autorisation, il fait pourtant parti de la famille des protocoles AAA (Authentication,
Accounting, Authorization). Ceci est dû à sa grande extensibilité, en effet le protocole repose
sur la transmission d’attribut Clef/Valeur. Le liste de ces attributs n’est pas limitée c’est
pourquoi les principaux équipementiers développent leurs propres attributs (AvPairs) dans des
librairies propriétaires (VSA : Vendor Specific Attributes). La fonctionnalité d’autorisation
peut donc être assurer au travers de l’exploitation de ces attributs propriétaires par les
systèmes d’exploitation des équipements. D’où la présence de RADIUS dans la famille des
protocoles AAA.
18
L'ordinateur sur lequel un utilisateur cherche à se connecter au réseau est appelé le
"supplicant". Il est le "client final" de la demande de connexion. Ce peut-être avec toute forme
de terminal portable, de téléphone IP ou d'ordinateur fixe.
Dans la suite, nous garderons l'expression française "client final" à la place de "supplicant".
L'équipement de réseau sur lequel le client final se connecte (un commutateur – ou une borne
Wifi - compatible 802.1x) relaye, en tant que client RADIUS, cette demande de connexion à
un serveur d'authentification, le serveur RADIUS, qui va, par exemple, identifier la personne
en rapprochant le nom de connexion et le mot de passe de ceux stockés dans un annuaire
LDAP ou encore une base de données SQL.
Si l'identification réussit, l'accord est transmis au client RADIUS qui "ouvrira" alors le port de
connexion.
Rôles du serveur RADIUS
En premier lieu, RADIUS doit authentifier les requêtes qui sont issues des clients finals, via
les clients RADIUS. Cette authentification se basera soit sur un couple identifiant/mot de
passe, soit sur un certificat. Cela dépendra du protocole d'authentification négocié avec le
client final.
En deuxième lieu, RADIUS a pour mission de décider quoi faire du client authentifié, et donc
de lui délivrer une autorisation, un "laissez-passer". Pour ce faire, RADIUS envoie des
informations (on parle "d'attributs") aux clients RADIUS. Un exemple typique d'attribut est
un numéro du VLAN dans lequel placer le client authentifié et autorisé.
Enfin, en bon gestionnaire, RADIUS va noter plusieurs données liées à la connexion, comme
la date et l'heure, l'adresse MAC de l'adaptateur réseau du client final, le numéro de VLAN...).
C'est son rôle comptable ou "d'accounting".
RADIUS est donc un serveur d'authentification, d'autorisation et de comptabilité. De façon
imagée, c'est le "chef d'orchestre" des connexions 802.1X et les clients RADIUS sont ses
sbires... En ce sens, il se range dans le modèle AAA (Authentication, Authorization,
Accounting).
NPS (Network Policy Server) est le nom du service RADIUS des systèmes Microsoft
Windows 2008 Server, en remplacement du "Service d'Authentification Internet" de Windows
2003 Server. D'autres solutions propriétaires existent, comme CISCO ACS (Access Control
Server). Différentes versions libres de RADIUS existent également, comme FreeRADIUS
(sous Linux ou Windows) ou OpenRADIUS (sous Linux).
RADIUS peut aussi servir à centraliser les accès sécurisés aux pages ou aux terminaux de
paramétrage de tous les équipements réseau : commutateurs, routeurs, bornes wifi, contrôleurs
wifi, etc.
19
2. Le fonctionnement de RADIUS.
Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les
accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une
base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client
RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre
l'utilisateur final et le serveur.
L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et
authentifiée grâce à un secret partagé.
Le scénario du principe de fonctionnement est le suivant :
 Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance.
 Le NAS achemine la demande au serveur RADIUS.
 Le serveur RADIUS consulte la base de données d'identification afin de connaître le type
de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient,
soit une autre méthode d'identification est demandée à l'utilisateur.
Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :
 ACCEPT : l'identification a réussi ;
 REJECT : l'identification a échoué ;
 CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part
de l'utilisateur et propose un « défi » (en anglais « challenge ») ;
 CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau mot de
passe.
Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les
requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5
champs:
20
 Code : Définit le type de trame (acceptation, rejet, challenges, requête)
 Identifier : Associe les réponses reçues aux requêtes envoyées.
 Length : Champ longueur.
 Authentificator : Champ d'authentification comprenant les éléments nécessaires.
 Attributes : Ensemble de couples (attribut, valeur).
3. L’authentification, l’autorisation et la gestion des connexions d’accès
réseau.
Lorsque NPS est utilisé comme serveur RADIUS, les messages RADIUS fournissent
l’authentification, l’autorisation et la gestion des connexions d’accès réseau de la manière
suivante :
Les serveurs d’accès, tels que les serveurs d’accès réseau à distance, les serveurs et les points
d’accès sans fil reçoivent des demandes de connexion de la part des clients d’accès.
Le serveur d’accès, configuré de façon à utiliser RADIUS comme protocole
d’authentification, d’autorisation et de gestion, crée un message de demande d’accès et
l’envoie au serveur NPS.
21
Le serveur d’accès envoie également des messages de demande de compte durant la période
où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le
serveur d’accès est démarré et arrêté :
1. Le serveur NPS évalue le message de demande d’accès.
2. Si nécessaire, le serveur NPS envoie un message de challenge d’accès au serveur d’accès.
Celui-ci traite le challenge et envoie un message de demande d’accès mis à jour au serveur
NPS.
3. Les informations d’identification utilisateur sont vérifiées et les propriétés de numérotation
du compte d’utilisateur sont obtenues par le biais d’une connexion.
4. sécurisée à un contrôleur de domaine.
5. La tentative de connexion est autorisée avec les propriétés de numérotation du
compte d’utilisateur et avec les stratégies d’accès.
6. Si la tentative de connexion est authentifiée et autorisée, le serveur NPS envoie un message
d’acceptation d’accès au serveur d’accès. Si la tentative de connexion n’est pas authentifiée
ou n’est pas autorisée, le serveur NPS envoie un message de refus d’accès au serveur d’accès.
REMARQUE
Le serveur d’accès envoie également des messages de demande de compte durant la période
où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le
serveur d’accès est démarré et arrêté. Le serveur d’accès achève le processus de connexion
avec le client d’accès et envoie un message de demande de compte au serveur NPS, où le
message est enregistré dans le journal.
Le serveur NPS envoie une réponse de compte au serveur d’accès.
22
.
Pour authentifier au serveur Radius il existe Deux possibilités :
 Authentification par adresse MAC (Radius-Mac)
 Authentification 802.1x
4. Authentification par adresse MAC :
5. Authentification 802.1x
23
6. Radius et 802.1x
802.1x met en œuvre le protocole EAP pour les communications du client vers le serveur
d'authentification.
EAP (Extensible Authentication Protocol) est un protocole de transport de protocole
d'authentification.
L'intérêt de l'architecture d’EAP est de pouvoir utiliser divers mécanismes d'authentification
sans que l'équipement réseau (NAS) ait besoin de les connaître.
Dans ce cas il agit comme un tunnel transparent vers un serveur qui lui implémente les
mécanismes souhaités. Par exemple: Mot de passe, certificats, carte à puce …
Les principaux types d’EAP :
EAP-TLS (Transport Layer Security) : Authentification par certificat du client et du serveur
EAP-TTLS (Tunneled Transport Layer Security) : Authentification par certificat et mot de
passe grâce à la génération d’un tunnel sécurisé
EAP-MD5 : Authentification avec mot de passe
PEAP (Protected EAP) : Authentification avec mot de passe via une encapsulation sécurisée
LEAP (protocole Cisco) : Authentification avec mot de passe via une encapsulation sécurisée.
24
7. Les protocoles d’authentification
EAP est la couche protocolaire de base de l'authentification. Elle va servir à faire passer un
dialogue d'authentification entre le client final et le serveur RADIUS alors que le port de
connexion est fermé à toute autre forme de communication.
C'est un protocole extensible, au sens où il va permettre l'évolution de méthodes
d'authentification transportées, de plus en plus sûres au cours du temps.
Quelles ont été - et quelles sont - ces méthodes d'authentification ?
Le premier protocole a été PAP (Password Authentification Protocol) avec lequel les mots de
passe circulaient en clair. La sécurité proposée par ce protocole est faible. Le second
protocole qu'ont utilisé les serveurs RADIUS a été CHAP (Challenge Handshake
Authentication Protocol). Il est défini dans la RFC 1994. Avec CHAP, il n'y a pas d'échange
de mots de passe sur le réseau.
Les deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète,
s'authentifient sans échange du mot de passe par une technique de "challenge" (ou "défi")
basée sur une fonction de hachage à sens unique du secret partagé, telle que MD5.
Cette méthode était disponible avec le couple XP/Windows-2003-Server, mais ne l'est plus en
génération Seven/2008.
Au début de la connexion, le serveur réclame la preuve de l’identité du client, en lui
demandant de chiffrer une information. Le client ne peut relever le défi que s’il possède
effectivement la clé unique et secrète partagée.
PEAP est un protocole de transfert sécurisé (P comme "Protected") d'informations
d'authentification. Il a été mis au point par Microsoft, Cisco et RSA. Il ne nécessite pas de
certificat sur les postes clients, contrairement à EAP/TLS. MS-CHAP s'appuie sur PEAP.
7.1. Les différentes phases (simplifiées) d'une connexion 802.1x
Au démarrage de la communication, le client final est prié d'envoyer ses identifiants au
serveur RADIUS. Or, à ce moment-là, le client final ne connaît pas l'adresse du - ou des -
serveurs RADIUS du réseau. Il ne dispose peut-être même pas d'adresse IP. De même, le port
du commutateur sur lequel il est connecté est censé être fermé (état non contrôlé).
En réalité, le port contrôlé du commutateur n'est pas totalement fermé. Il va laisser passer le
protocole EAP Cette communication ne peut donc se faire que par des trames Ethernet de
base et non par des paquets IP.
Le client final peut donc envoyer son identité dans un paquet EAP au commutateur. Celui-ci
le retransmet, encapsulé dans un paquet au format RADIUS, au premier serveur RADIUS de
sa liste (s'il en connaît plusieurs).
25
Le serveur RADIUS reçoit le paquet et interroge sa base de données, Il renvoie le résultat de
cette interrogation au commutateur, sous forme d'un commandement d'ouverture du port,
éventuellement assorti d'un numéro de VLAN dans lequel placer le client final. A partir de ce
moment seulement, il peut y avoir d'autres trames échangées entre le client final et le reste du
réseau, comme une trame de requête DHCP par exemple.
Conséquence de ce fonctionnement général.
L'équipement réseau ne connaît que le protocole RADIUS. Le protocole d'authentification
entre le client final et le serveur RADIUS pourra varier sans que cela soit un blocage pour
l'équipement. En ce sens, on dit que le client RADIUS est "transparent".
26
7.2. Et que faire des périphériques non 802.1x ?
L'objectif de contrôler toutes les prises réseau d'une entreprise en y imposant une
authentification peut se heurter au fait que certains périphériques qui y sont connectés
(comme des imprimantes, des vidéoprojecteurs ...) n'implémentent pas 802.1x.
Il faut donc trouver d'autres solutions pour protéger ces prises : un VLAN spécifique par
exemple réunissant les imprimantes, avec un serveur d'impression situé dans un autre VLAN
joignable au travers d'un routeur filtrant, une protection des ports par adresse MAC, ou encore
une connexion sans-fil des vidéoprojecteurs dans une technologie de cryptage comme WPA2.
Fonctionnement détaillé :
27
 Étape 1 - identité externe
L'équipement demande au client final de décliner son identité (trame EAPRequest-Identity),
Le client répond par une trame EAP contenant son nom d'utilisateur (trame EAP-Response-
Identity). Ça tombe bien, les trames EAP sont les seules autorisées à entrer dans l'équipement.
L'équipement fabrique un paquet IP [access-request] encapsulant la trame [EAPresponse
Identity].
Il ajoute d'autres informations comme l'adresse MAC du client final. Ce paquet IP est envoyé
au serveur RADIUS.
 Étape 2 - Négociation de protocole.
Le serveur RADIUS reçoit le paquet [Access-Request] et fabrique un paquet [Access-
challenge] encapsulant une trame [EAP-Request] contenant une proposition de protocole
d'identification, comme PEAP.
L'équipement décapsule le paquet pour transmettre la trame EAP au client final. Le client
final répond dans une trame [EAP-response] transmis de la même manière - indirecte par
encapsulation - au serveur RADIUS.
Le client et le serveur étant tombés d'accord sur le protocole d'authentification, on passe à
l'étape suivante.
 Étape 3 - TLS handshake
Le serveur RADIUS envoie au client une requête de démarrage [PEAP-START] toujours par
le mécanisme d'encapsulation d'une trame EAP.
Le client final répond par un message [client hello] avec la liste des algorithmes de
chiffrement qu'il connait. Le serveur envoie son choix d'algorithme, ainsi que son certificat et
sa clé publique au client final. Le client final authentifie le serveur. Il génère une "pré-master
key" avec la clé publique du serveur. Le serveur fait de même et un tunnel chiffré est établi
entre eux.
Le tunnel sert à protéger l'échange du mot de passe par rapport à une authentification EAP
simple.
 Étape 4 - TLS record
Les échanges liés au protocole de validation du mot de passe vont être effectués dans le tunnel
TLS. Avec MSCHAP-V2, il s'agit des échanges vus au point I.7. Le port s'ouvre lorsque le
serveur envoie au client final un message [Access-Accept] après avoir vérifié le mot de passe
de l'utilisateur et s'être assuré de ses autorisations.
28
Chapitre4 : Mise en place d’un serveur RADIUS
1. Pourquoi l'authentification 802.1x?
Le but est de guider l'administrateur du réseau via la procédure comment activer
l'authentification 802.1x d'ajouter un niveau de sécurité supplémentaire lorsque les
ordinateurs clients se connectent au réseau local SMT. Avant un ordinateur client dispose d'un
accès à notre réseau, les besoins de l'ordinateur client être authentifié. Si l'authentification est
réussie, l'ordinateur client est autorisé à accéder. Si l'authentification échoue, l'ordinateur
client n'a pas accès limité ou inexistant. Les clients peuvent être authentifiés à l'aide d'un mot
de passe ou un certificat.
Sans un accès adéquat à notre réseau, les utilisateurs malveillants peuvent utiliser notre réseau pour
accéder à des données privées ou lancer des attaques vers des serveurs ou des ordinateurs clients sur
notre réseau.
Composants 802.1x :
Suppliante (poste de travail): Est un client qui demande l'accès au réseau local et répondre
aux demandes du commutateur.
Serveur d'authentification (RADIUS / serveur NPS): Ce serveur authentifie fait le client.
Le serveur d'authentification valide l'identité du client et informe le commutateur si le client
est autorisé à accéder au réseau local. Le serveur d'authentification est essentiellement un
serveur RADIUS configuré pour supporter l'authentification EAP.
Authenticator (HP 2900 commutateur PROCURVE): Contrôle d'accès physique au réseau
en fonction du statut d'authentification du client. Ce dispositif relaie les informations
d’identification suppliante au serveur d'authentification.
Processus d'authentification :
29
L'état du port de commutateur détermine si le client est autorisé à accéder au réseau local ou
non. Le port commence dans un état non autorisé. Dans cet état, le port, sauf tout le trafic
interdit pour les cadres 802.1x. Lorsqu'un client est authentifié, le port est dans un état
autorisé et autorise tout le trafic du client au commutateur.
Si un client ne prend pas en charge l'authentification 802.1x et se connecte à un port non
autorisé, le commutateur demande l'identité du client. Dans ce cas, le client ne peut pas
répond à la demande et le port reste dans un état non autorisé. Le client n'a pas accès au
réseau.
Schéma Design «testé dans nos laboratoires»
Pour ce laboratoire, j'utiliser un commutateur HP ProCurve 2910, qui fournit également le
routage inter-VLAN entre les différents réseaux.
30
Etapes de la mise en place
Paramétrages à effectuer concernent le client final, le client RADIUS et le serveur RADIUS
sur lequel on trouve déjà un annuaire Active Directory.
31
2. Configuration
A. Configuration du commutateur «HP ProCurve 2910» .
B. Créer des groupes de sécurité Active Directory pour l'accès autorisé et le certificat
inscription.
a) Créer un groupe d'authentification NPS Certificat Inscription automatique du serveur
«SAC-Inscription automatique»
b) Ajouter des comptes de l'ordinateur client au groupe d'ordinateurs autorisés «CAC
Inscription automatique».
c) Créer un groupe filaire Ordinateurs VLAN «Wired-ordinateur VLAN»
32
C. Créer et inscrire les hôtes sur le réseau pour inscrire un certificat
a) Créer un certificat d'authentification serveur NPS
b) Créer un certificat d'authentification Workstation
c) Ajout des modèles de certificats à l'autorité de certification
33
d) Ajoutez le compte du serveur NPS au groupe d'inscription automatique
e) Ajouter des comptes de l'ordinateur client au groupe d'inscription automatique
f) Ajouter des comptes de l'ordinateur client au groupe d'ordinateurs autorisés
g) Créer un GPO pour l'inscription de certificat de serveur NPS
34
D. Configuration du serveur NPS
a) Configurer les clients RADIUS sur serveur NPS :
b) Configurer la connexion Stratégie de demande
35
c) Configurer une stratégie réseau pour PEAP-EAP-MSCHAPv2
36
E. Créer un GPO sécurisé de base pour clients Windows 7 ordinateurs
a) Configurer les ordinateurs clients Windows 7 pour l'inscription de certificat.
b) Configurer les ordinateurs clients Windows 7 pour activer l'authentification Wired
37
c) Configurer les ordinateurs clients Windows 7 pour l'authentification 802.1x via le centre de
partage de réseau et PEAP-EAP-MSCHAPv2
F. Test & dépannage
Le client envoie une demande d'authentification. Si l'authentification est réussie, l'ordinateur
client reçoit une adresse IP de notre serveur DHCP. Si l'ordinateur client est membre du
VLAN filaire Ordinateurs 20, le client « DUMCA  mactacbb » reçoit une adresse IP de la
gamme réseau 192.168.20.20-192.168.10.100.
Si l'authentification échoue « utilisateur externe », le client devient membre du VLAN 30 et
reçoit une adresse IP dans la plage de 192.168.30.20-192.168.30.100.
Si l'ordinateur client est authentifié avec succès, vous recevez une adresse IP du VLAN 20
38
Si l'ordinateur client « sans authentification 802.1X et appartient à un autre domaine
(ame.imptobnet.com) » l'authentification échoue, vous recevez une adresse IP du VLAN 3.
39
Conclusion
Pour proposer un bon mécanisme de sécurité d’un WiFi, comme solution contre les points
faibles dont souffre un réseau académique, il nous a fallu penser à une issue qui s’adapte avec
l’architecture du réseau existant, tout en tenant compte de la durabilité, l’évolution et la
fiabilité de cette solution, assez bien en termes techniques que économiques.
Pour cela, nous avons pensé à mettre en place un serveur Radius, pour sécuriser notre petit
réseau de test, avant de passer à le mettre en œuvre sur le grand réseau de notre société
d’accueil SMT.
Les solutions qui présentent le résultat de nos recherches, exigeaient toujours d’utiliser le
protocole Radius sur un système d’exploitation serveur comme le 2008 ou le 2012 server.
C’est une solution très fiable à nos jours mais ce n’est pas le cas pour toujours, vu la
progression très rapide de l’invention des méthodes d’attaque et d’autres méthodes de défonce
en informatique.
40
Webographie
http://www.commentcamarche.net/authentification/radius.php3
http://www.journaldunet.com/solutions/0611/061122-qr-radius.shtml
http://fr.wikipedia.org/wiki/Radius_(informatique)
http://en.wikipedia.org/wiki/Diameter_(protocol)
http://en.wikipedia.org/wiki/802.1x
http://www.nantes-wireless.org/
http://www.supinfo-projects.com/
http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf
http://raisin.u-bordeaux.fr/IMG/pdf/Protocoles-auth-2pages.pdf
http://tools.ietf.org/html/rfc2865
http://tools.ietf.org/html/rfc2866

Contenu connexe

Tendances

Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
Ayoub Rouzi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
OlivierMawourkagosse
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
Aziz Rgd
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
Ahmed Slim
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WANMise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Ghassen Chaieb
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Bamoussa Bamba
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
Jeff Hermann Ela Aba
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Raoua Bennasr
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
MortadhaBouallagui
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
marwenbencheikhali
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de Nagios
Erwan 'Labynocle' Ben Souiden
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
Mohammed Zaoui
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagios
hindif
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
HibaFarhat3
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
bamaemmanuel
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
Chiheb Ouaghlani
 

Tendances (20)

Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WANMise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de Nagios
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagios
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
 

Similaire à Mise en place de la solution d’authentification Radius sous réseau LAN câblé

RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDES
TombariAhmed
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
dodoooooo
 
Rapport de projet de fin d’étude
Rapport  de projet de fin d’étudeRapport  de projet de fin d’étude
Rapport de projet de fin d’étude
OumaimaOuedherfi
 
Rapport_deStage
Rapport_deStageRapport_deStage
Rapport_deStage
Omar TRAI
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
Massimo Russo
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
Massimo Russo
 
Mémoire de fin d'études - Twitch : Quand l'utilisateur prend les manettes du ...
Mémoire de fin d'études - Twitch : Quand l'utilisateur prend les manettes du ...Mémoire de fin d'études - Twitch : Quand l'utilisateur prend les manettes du ...
Mémoire de fin d'études - Twitch : Quand l'utilisateur prend les manettes du ...
Guillaume Dubuis
 
Rapport de stage
Rapport de stageRapport de stage
Rapport de stage
Abderrahim Nakkat
 
Medical openerp
Medical openerpMedical openerp
Medical openerp
HORIYASOFT
 
Rapport stage onee-be_2
Rapport stage onee-be_2Rapport stage onee-be_2
Rapport stage onee-be_2
Mounir Kaali
 
Comment conduire un projet web entre planification ?
Comment conduire un projet web entre planification ?Comment conduire un projet web entre planification ?
Comment conduire un projet web entre planification ?
MarineS6
 
Rapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdfRapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdf
AhmedDhib6
 
Rapport de stage PFE ( DUT) chez Synthèse Conseil - Jaiti Mohammed
Rapport de stage PFE ( DUT) chez Synthèse Conseil  - Jaiti MohammedRapport de stage PFE ( DUT) chez Synthèse Conseil  - Jaiti Mohammed
Rapport de stage PFE ( DUT) chez Synthèse Conseil - Jaiti Mohammed
Mohammed JAITI
 
Dvp chaine mesure gsm
Dvp chaine mesure gsmDvp chaine mesure gsm
Dvp chaine mesure gsm
Mohamed Jacem
 
Optimisation d'une stratégie web éditoriale
Optimisation d'une stratégie web éditorialeOptimisation d'une stratégie web éditoriale
Optimisation d'une stratégie web éditoriale
Damien Mady
 
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed AmineRapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Mohamed Amine Mahmoudi
 
Rapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework KinectRapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework Kinect
Amine MEGDICHE
 
Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital
Karim Ben Alaya
 
Concéption et réalisation d'un processus décisionnel, tableau de bord social.
Concéption et réalisation d'un processus décisionnel, tableau de bord social.Concéption et réalisation d'un processus décisionnel, tableau de bord social.
Concéption et réalisation d'un processus décisionnel, tableau de bord social.
Rim ENNOUR
 
Backup & Restore SharePoint 2013 Farm
Backup & Restore SharePoint 2013 FarmBackup & Restore SharePoint 2013 Farm
Backup & Restore SharePoint 2013 Farm
Youssef El Idrissi
 

Similaire à Mise en place de la solution d’authentification Radius sous réseau LAN câblé (20)

RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDES
 
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
La pratique de l'audit interne dans les entreprises d'assurances   copie (2)La pratique de l'audit interne dans les entreprises d'assurances   copie (2)
La pratique de l'audit interne dans les entreprises d'assurances copie (2)
 
Rapport de projet de fin d’étude
Rapport  de projet de fin d’étudeRapport  de projet de fin d’étude
Rapport de projet de fin d’étude
 
Rapport_deStage
Rapport_deStageRapport_deStage
Rapport_deStage
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
 
Mémoire de fin d'études - Twitch : Quand l'utilisateur prend les manettes du ...
Mémoire de fin d'études - Twitch : Quand l'utilisateur prend les manettes du ...Mémoire de fin d'études - Twitch : Quand l'utilisateur prend les manettes du ...
Mémoire de fin d'études - Twitch : Quand l'utilisateur prend les manettes du ...
 
Rapport de stage
Rapport de stageRapport de stage
Rapport de stage
 
Medical openerp
Medical openerpMedical openerp
Medical openerp
 
Rapport stage onee-be_2
Rapport stage onee-be_2Rapport stage onee-be_2
Rapport stage onee-be_2
 
Comment conduire un projet web entre planification ?
Comment conduire un projet web entre planification ?Comment conduire un projet web entre planification ?
Comment conduire un projet web entre planification ?
 
Rapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdfRapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdf
 
Rapport de stage PFE ( DUT) chez Synthèse Conseil - Jaiti Mohammed
Rapport de stage PFE ( DUT) chez Synthèse Conseil  - Jaiti MohammedRapport de stage PFE ( DUT) chez Synthèse Conseil  - Jaiti Mohammed
Rapport de stage PFE ( DUT) chez Synthèse Conseil - Jaiti Mohammed
 
Dvp chaine mesure gsm
Dvp chaine mesure gsmDvp chaine mesure gsm
Dvp chaine mesure gsm
 
Optimisation d'une stratégie web éditoriale
Optimisation d'une stratégie web éditorialeOptimisation d'une stratégie web éditoriale
Optimisation d'une stratégie web éditoriale
 
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed AmineRapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
 
Rapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework KinectRapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework Kinect
 
Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital
 
Concéption et réalisation d'un processus décisionnel, tableau de bord social.
Concéption et réalisation d'un processus décisionnel, tableau de bord social.Concéption et réalisation d'un processus décisionnel, tableau de bord social.
Concéption et réalisation d'un processus décisionnel, tableau de bord social.
 
Backup & Restore SharePoint 2013 Farm
Backup & Restore SharePoint 2013 FarmBackup & Restore SharePoint 2013 Farm
Backup & Restore SharePoint 2013 Farm
 

Mise en place de la solution d’authentification Radius sous réseau LAN câblé

  • 1. Mise en place de la solution d’authentification Radius sous réseau LAN câblé Projet fin d’étude 5éme année en Ingénierie des Réseaux Informatique et Sécurité INSTITUT SUPERIEUR DU GENIE APPLIQUE Réalisé par : - KHRICHFA Charif Encadré par : - M. KRAIMI Lahcen Année universitaire 2016/2017
  • 2. 1 DEDICACES Je dédie ce travail, comme preuve de respect, de gratitude, et de reconnaissance à : Ma chère famille, pour son affection, sa patience, et ses prières. Mes meilleurs amis pour leur aide, leur temps, leur encouragements, leur assistance et soutien. Personnel de la SMT. Qui m’a aidé à améliorer mes connaissances en me donnant informations et conseils. A tous ceux qui ont contribué de près ou de loin à la réalisation de ce travail. Merci infiniment.
  • 3. 2 REMERCIEMENT Je commence donc mon rapport par un grand merci à Dieu qui me donne le pouvoir, la santé et la patience pendant toutes ces années d’études, pour atteindre ce niveau. Ce projet est le résultat d’un travail effectué pendant la durée de stage dans l’entreprise Société Marocaine des Tabacs, Je tien donc à remercier Monsieur OUAZZINE Mohamed le chef du département informatique de m’avoir accueillie pour me permettre de mener à bien ce projet. Mes remerciements et l’expression de ma grande satisfaction vont également à Mr KRAIMI Lahcen qui m’a amplement honoré en acceptant de m’encadrer. Je tiens à remercier, à témoigner de ma reconnaissance pour l’expérience enrichissante et pleine d’intérêt qu’elles nous ont fait vivre durant la période de mon stage à SMT. Mes remerciements aux membres du jury pour l’honneur qu’ils m’ont fait en acceptant d’évaluer ce travail. Je remercie également ma famille, mes parents, et mes amis pour le soutien permanent, et les encouragements. Pour finir, je tiens à remercier toute personne ayant contribué de près ou de loin à l’élaboration du présent travail.
  • 4. 3 TABLE DES MATIERES Résumé....................................................................................................................................... 5 Introduction ................................................................................................................................ 6 Chapitre 1 : La structure d’accueil ............................................................................................. 7 1. Présentation de la Société Marociane des Tabacs.................................................................. 7 1.1.Historique............................................................................................................................. 7 1.2 Fiche Signalétique................................................................................................................ 9 2. Activités et implantation géographie...................................................................................... 9 2.1 Activités ............................................................................................................................... 9 a. La Fabrication ................................................................................................................ 9 b. La commercialisation ................................................................................................... 10 c. La distribution .............................................................................................................. 10 2.2. Implantation géographique................................................................................................ 11 Chapitre 2 : Authentification sur réseau local.......................................................................... 12 1. Pourquoi une authentification sur réseau local ?.................................................................. 12 2. Léevolution des architectures de réseau............................................................................... 12 3.Nouveau paramétre pour la sécuritè des réseau sans fils ...................................................... 13 4. Les nouvelles solutions de sécuritè ..................................................................................... 14 5. Qu’est-ce que l’authentifcation réseau................................................................................. 15 6. Pourquoi faire de l’authentification réseau .......................................................................... 15 7. Intérêts de l’authentification réseau .................................................................................... 16 a. Intérêt pour un réseau filaire ....................................................................................... 16 b. Intérêt pour un réseau sans fil ..................................................................................... 16
  • 5. 4 c. Eléments pour authentifier .......................................................................................... 16 d. Protocoles d’authentification ....................................................................................... 16 Chapitre 3 : Les protocoles d’authentification ......................................................................... 17 1. RADIUS (Remote Authentication Dial-In User Service).................................................... 17 2. Le fonctionnement de RADIUS........................................................................................... 19 3. L’authentification, l’autorisation et la gestion des connexions d’accès réseau.................... 20 4. Authentification par adresse MAC....................................................................................... 22 5. Authentification 802.1x........................................................................................................ 22 6. Radius et 802.1x................................................................................................................... 23 7. Les protocoles d’authentification......................................................................................... 24 7.1 Les différentes phases (simplifiées) d'une connexion 802.1x............................................ 24 7.2 Et que faire des périphériques non 802.1x ? ...................................................................... 26 Chapitre 4 : Mise en place d’un serveur RADIUS................................................................... 28 1. Pourquoi l'authentification 802.1x ?..................................................................................... 28 2. Configuration ....................................................................................................................... 31 A. Configuration du commutateur «HP ProCurve 2910»................................................. 31 B. Créer des groupes de sécurité Active Directory pour l'accès autorisé et le certificat inscription..................................................................................................................... 31 C. Créer et inscrire les hôtes sur le réseau pour inscrire un certificat............................... 32 D. Configuration du serveur NPS ..................................................................................... 33 E. Créer un GPO sécurisé de base pour clients Windows 7 ordinateurs .......................... 36 F. Test & dépannage......................................................................................................... 37 CONCLUSION ........................................................................................................................ 39 Webographies........................................................................................................................... 40
  • 6. 5 Résumé Mon stage professionnel s’inscrit dans le cadre d’un projet de fin d’étude de l’obtention du diplôme d’ingénieur des réseaux informatique et sécurité, d’une durée de trois mois, a consisté à mettre en place des outils de la sécurité : la configuration d’un serveur RADIUS. Ce rapport présente le travail que j’ai effectué lors de mon stage au sein de l’entreprise Société Marocaine des Tabacs. Pendant la période du stage, je me suis familiarisé avec un environnement technique et professionnel qui est très complexe et un ensemble d’outils réseau. Le projet réalisé s’est avéré très intéressant et très enrichissant pour mon expérience professionnelle. En effet, ma formation s’inscrit précisément dans ce secteur (Réseaux, Sécurité et Systèmes Informatique). Grâce à ce stage, j’ai travaillé sur des projets qui m’ont permis d’entrevoir en quoi consiste la profession d’un administrateur réseaux dans ce secteur d’activité. Je vous expose dans ce rapport, premièrement une présentation de la société Marocaine des Tabacs. Deuxièmes, je vous explique les différents outils que j’ai utilisés pour réaliser mon projet.
  • 7. 6 Introduction C’est avec enthousiasme que j’ai effectué mon stage au sein de la société marocaine des tabacs pour une durée de 3 mois. Pendant cette période, j'ai essayé de prendre le maximum de connaissances possibles concernant l’activité de l’entreprise et son environnement. La croissance de la société marocaine des tabacs et la modernisation de son outil de production ayant mené des changements profonds, l’efficience de la gestion dans tous les domaines et la recherche de développement ont été les thèmes dominants des vingt dernières années de l’existence de la Régie. L’évolution de cette société est remarquable à plusieurs égards. D’abord, au niveau des structures, un nouvel organigramme, plus conforme à la taille et aux ambitions de la société, a été mis en place pour permettre une large décentralisation et une répartition des responsabilités et même d’imprimer une meilleure efficacité aux secteurs clés de son activité. Le stage est devenu le principal élément de liaison entre la formation pédagogique et le monde professionnel. C’est dans ce sens que j’ai choisi d’effectuer mon stage à la société marocaine des tabacs, une entreprise de stature internationale, afin de m’adapter à son organisation et de bénéficier d’un bon suivi.
  • 8. 7 Chapitre1 : La structure d’accueil 1) Présentation de la Société Marocaine des Tabacs : 1.1.Historique : Bien qu’originaire d’Amérique, le tabac était connu au Maroc il y a plusieurs siècles. Il y fut introduit vers la fin du 16ème siècle par les commerçants de Tombouctou. L’institutionnalisation du commerce de tabacs remonte à l’époque de Moulay Abderrahmane (1822-1859) qui a le monopole, afin de faire face aux dépenses militaires.  En 1906, l’acte d’Algesiras précise les conditions relatives au monopole des tabacs au Maroc.  En 1910, l’adjudication est attribuée au sieur Léon Neil. Celui-ci transfère ses droits à la Société Internationale de Régie des tabacs au Maroc, société de droit français créée en 1911. Le monopole était attribué en concession, pour une période de 40 ans avec la possibilité d’achat pour l’Etat marocain au bout de 20 ans. La société commença par l’implantation d’une usine à Tanger.  En 1931, une convention est conclue entre l’Etat marocain et la société Internationale. Deux manufactures sont édifiées à Casablanca et Kenitra et une ferme expérimentale à El Moudzine.  En 1959, le Gouvernement marocain rachète le monopole de l‘ex-zone nord au concessionnaire espagnol pour le donner en gérance à la Société Internationale.  En 1967, l’Etat marocain a décidé de ne pas renouveler la concession. Il a opté pour la création d’une société anonyme "Régie des Tabacs" avec laquelle une convention fut conclue le 31 décembre 1967. Ce faisant et conformément à la politique qu’il a menée depuis l’indépendance, l’Etat a rompu avec la concession privée pour adopter la concession publique.
  • 9. 8 C’est ainsi que la Régie des Tabacs est devenue une société anonyme dont le capital est entièrement souscrit par l’Etat. Cette société a pour objet l’exploitation et la vente des tabacs. Par la suite, la Régie des Tabacs a connu une vaste extension quant à son infrastructure, ses équipements productifs, son facteur humain, ses centres de culture et son réseau commercial. Plusieurs réalisations importantes méritent cependant d’être signalées :  En 1984, l’inauguration de la Manufacture d’Agadir.  En 1994, un projet technologique sans précédent fut entrepris par l’inauguration de la manufacture d’Ain Harrouda.  En 1995, l’inauguration du centre de battage à El Moudzine.  En 2002, adoption de la forme de Société Anonyme à Directoire et à Conseil de Surveillance.  En 2003, la privatisation de 80% du capital de la Régie des Tabacs par la société franco-espagnol Altadis.  En 2006, l’acquisition du 20% du capital restant de la Régie des Tabacs par la société franco-espagnol Altadis ; à la fin de 2006, la mise en place du SAP au lieu de l’ancien système d’information BPCS.  Au début de 2007, changement de la dénomination de la Régie des Tabacs devenue ALTADIS Maroc.  En 2008 : le franco-espagnol Altadis fut racheté par le groupe Imperial Tobacco l’un des principaux groupes de tabac internationaux (n°4) et le principal fabricant de tabac au Royaume-Uni.  En 2012 : changement de la dénomination qui est devenue La société Marocaine des Tabacs.
  • 10. 9 1.2. Fiche signalétique : 2) Activités et implantation géographique : 2.1. Activités : La Société Marocaine des Tabacs est, par son chiffre d’affaires, la 5ème plus grande entreprise marocaine et la 1ère du secteur agroalimentaire. Elle opère dans le domaine de la fabrication et de la commercialisation de produits de tabac, ainsi que dans la distribution. Depuis son intégration, en 2008, le Groupe Imperial Tobacco, acteur international majeur du secteur des tabacs, ne cesse de consolider sa contribution à l’économie nationale, à travers ses activités agricoles industrielles et de distribution. Première entreprise agro-alimentaire du Royaume, la Société Marocaine des Tabacs est l’unique débouché de la filière de la tabaculture marocaine. C’est ainsi que la Société Marocaine des Tabacs fabrique dans son usine d’Ain Harrouda, des marques internationales qui étaient auparavant importées : 95% des cigarettes vendues officiellement au Maroc, toutes marques confondues, sont fabriquées localement par la Société Marocaine des Tabacs. Les activités de la Société Marocaine des Tabacs sont : a. La fabrication : L’usine d’Ain Harrouda, l’une des plus grandes d’Afrique et du monde arabe, assure 78,3% de la production totale. Outre les marques de tabac blond marocaines (Marquise, Marvel,..), elle fabrique pour le marché marocain les marques internationales du Groupe (Gauloises Blondes et Fortuna).
  • 11. 10 L’intégration au groupe Imperial Tobacco l’usine d’Ain Harrouda est engagée dans un processus de développement visant son alignement sur les standards internationaux de qualité et d’efficience, afin de la positionner comme l’une des meilleures usines du Groupe. Imperial Tobacco Maroc dispose d’un portefeuille de produits diversifié : plus de 201 références dont 28 fabriqués localement. Les marques marocaines détiennent 82% de parts de marché. b. La commercialisation : Le réseau de distribution de la Société Marocaine des Tabacs comprend plus de 23.000 points de vente. Il est structuré autour de 8 directions régionales qui coordonnent l’activité de 19 centres de vente. Les débitants sont approvisionnés à hauteur de 45% par les centres de vente, 42% par les fourgons de vente et 13% par les débitants principaux (grossistes). La gamme des produits commercialisés par la Société Marocaine des Tabacs compte 75 produits dont 23 produits locaux et 52 produits importés. Sept produits locaux figurent parmi le Top Ten des ventes et réalisent 70% de son chiffre d’affaires. L’activité Cigare a été introduite au niveau de la société depuis 2004. Cette culture « cigare » s’installe progressivement sur le marché grâce à une nouvelle politique produit/prix très attrayante. Les marques du groupe Imperial Tobacco détiennent 77% de parts de marché. c. La distribution : - Extension de l’activité aux produits hors tabac : Papier à cigarette, cartes téléphoniques prépayées, timbres postaux, articles de fumeur. - Instauration du système de distribution capillaire. - Informatisation des transactions. - Développement du partenariat avec les débitants à travers le programme de fidélisation Wafa. - Modernisation des équipements.
  • 12. 11 2.2. Implantation géographique : Les activités de la Société Marocaine des Tabacs couvrent tout le territoire national à travers :  Une usine de fabrication de cigarettes (Ain Harrouda).  Un Centre de Battage de Tabacs (El moudzine).  Deux Centres de Culture de Tabacs (El Hajeb et Ouezzane).  Deux Plateformes de Stockage (Ain Aatik, Lakhyayta).  Quatre Directions Régionales de Distribution et de Vente (Nord, Sud, Est et Ouest).  23.000 points de vente.  19 Centres de Distribution : Casablanca (Nord et Sud), Agadir, El-Jadida, Kénitra, Khouribga, Laâyoune, Marrakech, Fès-Meknès, Midelt, Mohammedia, Nador, Ouarzazate, Oujda, Rabat-Salé, Safi, Taza, Tétouan-Tanger, Beni Mellal.
  • 13. 12 Chapitre2 : Authentification sur réseau local 1. Pourquoi une authentification sur réseau local ? Ce début de XXIe siècle est marqué par l’explosion des réseaux sans fil qui constituent, de plus en plus, une composante à part entière des réseaux locaux. Cette technologie sans fil était considérée à l’origine comme un instrument d’appoint. Mais son évolution rapide, celles des mentalités et des habitudes conduisent les administrateurs réseaux à repenser les relations entre réseaux sans fil et filaires. En effet, si le sans-fil se développe, il n’en reste pas moins que le réseau filaire est toujours bien là et indispensable. On remarquera également qu’un poste de travail qui dispose de la double connectique sans fil et filaire a la possibilité d’être connecté, simultanément, dans les deux environnements. 2. L’évolution des architectures de réseau Les réseaux locaux filaires ont aussi beaucoup évolué ces dernières années, passant d’une architecture peu structurée à une segmentation en sous-réseaux souvent motivée par la volonté de mieux maîtriser les flux entre différents utilisateurs ou types d’activités, notamment grâce à l’utilisation de filtres. Cette évolution est facilitée par l’introduction de réseaux virtuels (VLAN) dont la multiplication ne coûte rien. On peut alors être tenté de placer les postes sans fil dans un sous-réseau dédié et les postes filaires sur un autre. Mais est-ce une bonne idée ? Pourquoi un poste donné serait-il traité différemment suivant la méthode d’accès au réseau ? N’est-ce pas le même poste, le même utilisateur ? La logique ne voudrait-elle pas qu’un même poste soit toujours perçu de la même manière sur le réseau, quel que soit son mode d’accès ? Autrement dit, un poste ne doit-il pas être placé sur le même sous-réseau, qu’il se connecte par le biais du réseau sans fil ou par le biais du réseau filaire ? Cette banalisation du traitement constitue une intégration logique des deux moyens physiques.
  • 14. 13 À ces questions, on pourrait répondre que la sécurité des réseaux sans fil n’est pas assez poussée et qu’il vaut mieux ne pas mélanger les torchons avec les serviettes. Pourtant cet argument est contraire à la sécurité car, si un poste dispose de la double capacité sans fil/filaire, il a alors la possibilité de faire un pont entre les deux environnements et de se jouer des filtrages établis entre les réseaux virtuels qui ne servent alors plus à rien. 3. Nouveau paramètre pour la sécurité des réseaux sans fil Si on sait parfaitement où commence et où finit un réseau filaire, et qu’il faut se connecter sur une prise physique pour avoir une chance de l’écouter, la difficulté avec les réseaux sans fil réside dans le fait que leur enveloppe est floue. Il n’y a pas de limites imposables et contrôlables. Une borne Wi-Fi émet dans toutes les directions et aussi loin que porte son signal. Bien souvent, ses limites dépassent les bâtiments de l’établissement et parfois plusieurs réseaux se recouvrent. Donc, partout dans le volume couvert par une borne, des « espions » peuvent s’installer et intercepter les communications ou s’introduire dans le réseau et l’utiliser à leur profit. Cette situation fut très problématique pour les premières installations Wi-Fi à cause de l’absence de méthode d’authentification fiable des postes de travail et de mécanismes de chiffrement fort des communications. Cela n’incitait pas à mélanger les postes filaires et sans fil. La première notion de sécurité fut introduite par les clés WEP (de l’anglais Wired Equivalent Privacy), utilisées à la fois comme droit d’accès au réseau et pour chiffrer les communications. Cependant, il ne pouvait s’agir d’une méthode d’authentification sérieuse puisque la seule connaissance de la clé partagée entre tous les utilisateurs et les bornes donnait accès au réseau. Quant au chiffrement, les pirates ont très vite eu raison de l’algorithme utilisé, qui ne résiste pas à une simple écoute du trafic suivie d’une analyse. Des logiciels spécifiques ont été développés, tels que Aircrack ou Airsnort, qui permettent d’automatiser ce type d’attaques.
  • 15. 14 4. Les nouvelles solutions de sécurité Mais depuis, la situation a bien évolué grâce à l’arrivée des protocoles WPA puis WPA2 (Wi-Fi Protected Access) et par là même des capacités d’authentification plus robustes. Il est désormais possible d’établir une authentification forte et d’enchaîner sur un chiffrement solide des communications de données. À partir de là, on peut atteindre un niveau de sécurité satisfaisant et intégrer plus sereinement réseau sans fil et réseau filaire. Plusieurs écoles s’affrontent au sujet de la sécurité des communications Wi-Fi. On peut considérer que le chiffrement est une tâche qui peut être laissée aux applications de l’utilisateur (SSH, HTTPS…). On peut aussi chiffrer grâce à un serveur VPN (Virtual Private Network). Dans ce dernier cas, un logiciel client doit être installé et configuré sur chaque poste de travail. Il a pour rôle d’établir une communication chiffrée entre lui et un serveur VPN, qui assure un rôle de passerelle avec le réseau filaire. Cela revient donc à ajouter une couche logicielle supplémentaire sur le poste de travail. Pourtant, est- ce bien nécessaire ? En effet, aujourd’hui, tous les systèmes d’exploitation possèdent déjà une couche équivalente qui porte le nom de supplicant et qui est complètement intégrée au code logiciel des fonctions réseau. De plus, ce supplicant est compatible avec WPA, ce qui lui procure à la fois des fonctions de chiffrement et d’authentification. Afin de répondre aux requêtes des supplicants, il faut installer, comme chef d’orchestre, un serveur d’authentification qui implémentera le protocole Radius (Remote Authentication Dial In User Service).
  • 16. 15 5. Qu'est-ce que l'authentification réseau ? Il s'agit d'authentifier une machine lorsqu'elle se branche sur le réseau afin de lui autoriser ou refuser l'usage du réseau. On authentifie pour délivrer des autorisations Cette authentification est indépendante d'autres authentifications vers des systèmes d'exploitation ou applications. 6. Pourquoi faire de l’authentification réseau ? •Sécuriser un réseau filaire ou sans-fil. •Pour interdire les postes inconnus. •Pour placer les postes connus a des endroits spécifiques du réseau (vlan) de façon dynamique. •Pour savoir quelle machine est connectée et où elle est connectée.
  • 17. 16 7. Intérêts de l’authentification réseau ? a. Intérêt pour un réseau filaire •Savoir qui se connecte sur quelle prise. •Eviter une utilisation illicite du réseau par des « inconnus ». •Affecter les machines sur des réseaux virtuels (cloisonnement). b. Intérêt pour un réseau sans-fil •Obligatoire pour intégrer le réseau filaire CAD que les machines sans-fil travaillent comme les machines filaires. • Affecter une machine sur le même vlan que lorsqu’elle se connecte sur le réseau filaire. •Authentification + cryptage. •Nécessité de gérer un périmètre aérien, flou, incontrôlable. c. Eléments pour authentifier •L’adresse MAC de la carte Ethernet •Une base de login/mot de passe (Windows, LDAP…) •De certificats (utilisateurs ou machines) d. Protocoles d’authentification  Protocoles propriétaires => Exemple: VMPS de Cisco Authentification sur adresse MAC uniquement Réseau filaire  Protocoles ouverts => Radius et 802.1x Authentification sur adresse MAC, Login/password Certificats, cartes à puce... Réseau filaire et sans-fil
  • 18. 17 Chapitre3 : Les protocoles d’authentification 1. RADIUS (Remote Authentication Dial-In User Service) RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur destiné à permettre à des serveurs d'accès de communiquer avec une base de données centralisée regroupant en un point l'ensemble des utilisateurs distants. Ce serveur central (appelé serveur RADIUS) va authentifier ces utilisateurs, et leur autoriser l'accès à telle ou telle ressource. Une autre fonctionnalité importante d'un serveur RADIUS est la comptabilisation des informations concernant les utilisateurs distants. RADIUS a été inventé par Livingston, depuis devenu propriété de Lucent, et est un standard de fait de l'industrie informatique. C'est un protocole ouvert, amendée par RFC, et déposé à l'IETF. C'est de loin le protocole le plus largement supporté par l'ensemble des constructeurs d'équipements réseaux, dont CISCO, pourtant promoteur et inventeur de TACACS. RADIUS Serveur est distribué librement par Livingston sur de nombreuses plateformes. D'autres versions existent toutefois: Citons Radius Merit, assez diffusée sur Linux. RADIUS offre un modularité complète en ce qui concerne le mécanisme d’authentification, on effet la plus par de méthode actuelle sont supportées (LDAP, PAP, CHAP, MS-CHAP, EAP, LEAP, ….). Le protocole RADIUS est donc un protocole d’authentification, d’accounting mais pas d’autorisation, il fait pourtant parti de la famille des protocoles AAA (Authentication, Accounting, Authorization). Ceci est dû à sa grande extensibilité, en effet le protocole repose sur la transmission d’attribut Clef/Valeur. Le liste de ces attributs n’est pas limitée c’est pourquoi les principaux équipementiers développent leurs propres attributs (AvPairs) dans des librairies propriétaires (VSA : Vendor Specific Attributes). La fonctionnalité d’autorisation peut donc être assurer au travers de l’exploitation de ces attributs propriétaires par les systèmes d’exploitation des équipements. D’où la présence de RADIUS dans la famille des protocoles AAA.
  • 19. 18 L'ordinateur sur lequel un utilisateur cherche à se connecter au réseau est appelé le "supplicant". Il est le "client final" de la demande de connexion. Ce peut-être avec toute forme de terminal portable, de téléphone IP ou d'ordinateur fixe. Dans la suite, nous garderons l'expression française "client final" à la place de "supplicant". L'équipement de réseau sur lequel le client final se connecte (un commutateur – ou une borne Wifi - compatible 802.1x) relaye, en tant que client RADIUS, cette demande de connexion à un serveur d'authentification, le serveur RADIUS, qui va, par exemple, identifier la personne en rapprochant le nom de connexion et le mot de passe de ceux stockés dans un annuaire LDAP ou encore une base de données SQL. Si l'identification réussit, l'accord est transmis au client RADIUS qui "ouvrira" alors le port de connexion. Rôles du serveur RADIUS En premier lieu, RADIUS doit authentifier les requêtes qui sont issues des clients finals, via les clients RADIUS. Cette authentification se basera soit sur un couple identifiant/mot de passe, soit sur un certificat. Cela dépendra du protocole d'authentification négocié avec le client final. En deuxième lieu, RADIUS a pour mission de décider quoi faire du client authentifié, et donc de lui délivrer une autorisation, un "laissez-passer". Pour ce faire, RADIUS envoie des informations (on parle "d'attributs") aux clients RADIUS. Un exemple typique d'attribut est un numéro du VLAN dans lequel placer le client authentifié et autorisé. Enfin, en bon gestionnaire, RADIUS va noter plusieurs données liées à la connexion, comme la date et l'heure, l'adresse MAC de l'adaptateur réseau du client final, le numéro de VLAN...). C'est son rôle comptable ou "d'accounting". RADIUS est donc un serveur d'authentification, d'autorisation et de comptabilité. De façon imagée, c'est le "chef d'orchestre" des connexions 802.1X et les clients RADIUS sont ses sbires... En ce sens, il se range dans le modèle AAA (Authentication, Authorization, Accounting). NPS (Network Policy Server) est le nom du service RADIUS des systèmes Microsoft Windows 2008 Server, en remplacement du "Service d'Authentification Internet" de Windows 2003 Server. D'autres solutions propriétaires existent, comme CISCO ACS (Access Control Server). Différentes versions libres de RADIUS existent également, comme FreeRADIUS (sous Linux ou Windows) ou OpenRADIUS (sous Linux). RADIUS peut aussi servir à centraliser les accès sécurisés aux pages ou aux terminaux de paramétrage de tous les équipements réseau : commutateurs, routeurs, bornes wifi, contrôleurs wifi, etc.
  • 20. 19 2. Le fonctionnement de RADIUS. Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813. Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé. Le scénario du principe de fonctionnement est le suivant :  Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance.  Le NAS achemine la demande au serveur RADIUS.  Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :  ACCEPT : l'identification a réussi ;  REJECT : l'identification a échoué ;  CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ;  CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau mot de passe. Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5 champs:
  • 21. 20  Code : Définit le type de trame (acceptation, rejet, challenges, requête)  Identifier : Associe les réponses reçues aux requêtes envoyées.  Length : Champ longueur.  Authentificator : Champ d'authentification comprenant les éléments nécessaires.  Attributes : Ensemble de couples (attribut, valeur). 3. L’authentification, l’autorisation et la gestion des connexions d’accès réseau. Lorsque NPS est utilisé comme serveur RADIUS, les messages RADIUS fournissent l’authentification, l’autorisation et la gestion des connexions d’accès réseau de la manière suivante : Les serveurs d’accès, tels que les serveurs d’accès réseau à distance, les serveurs et les points d’accès sans fil reçoivent des demandes de connexion de la part des clients d’accès. Le serveur d’accès, configuré de façon à utiliser RADIUS comme protocole d’authentification, d’autorisation et de gestion, crée un message de demande d’accès et l’envoie au serveur NPS.
  • 22. 21 Le serveur d’accès envoie également des messages de demande de compte durant la période où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le serveur d’accès est démarré et arrêté : 1. Le serveur NPS évalue le message de demande d’accès. 2. Si nécessaire, le serveur NPS envoie un message de challenge d’accès au serveur d’accès. Celui-ci traite le challenge et envoie un message de demande d’accès mis à jour au serveur NPS. 3. Les informations d’identification utilisateur sont vérifiées et les propriétés de numérotation du compte d’utilisateur sont obtenues par le biais d’une connexion. 4. sécurisée à un contrôleur de domaine. 5. La tentative de connexion est autorisée avec les propriétés de numérotation du compte d’utilisateur et avec les stratégies d’accès. 6. Si la tentative de connexion est authentifiée et autorisée, le serveur NPS envoie un message d’acceptation d’accès au serveur d’accès. Si la tentative de connexion n’est pas authentifiée ou n’est pas autorisée, le serveur NPS envoie un message de refus d’accès au serveur d’accès. REMARQUE Le serveur d’accès envoie également des messages de demande de compte durant la période où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le serveur d’accès est démarré et arrêté. Le serveur d’accès achève le processus de connexion avec le client d’accès et envoie un message de demande de compte au serveur NPS, où le message est enregistré dans le journal. Le serveur NPS envoie une réponse de compte au serveur d’accès.
  • 23. 22 . Pour authentifier au serveur Radius il existe Deux possibilités :  Authentification par adresse MAC (Radius-Mac)  Authentification 802.1x 4. Authentification par adresse MAC : 5. Authentification 802.1x
  • 24. 23 6. Radius et 802.1x 802.1x met en œuvre le protocole EAP pour les communications du client vers le serveur d'authentification. EAP (Extensible Authentication Protocol) est un protocole de transport de protocole d'authentification. L'intérêt de l'architecture d’EAP est de pouvoir utiliser divers mécanismes d'authentification sans que l'équipement réseau (NAS) ait besoin de les connaître. Dans ce cas il agit comme un tunnel transparent vers un serveur qui lui implémente les mécanismes souhaités. Par exemple: Mot de passe, certificats, carte à puce … Les principaux types d’EAP : EAP-TLS (Transport Layer Security) : Authentification par certificat du client et du serveur EAP-TTLS (Tunneled Transport Layer Security) : Authentification par certificat et mot de passe grâce à la génération d’un tunnel sécurisé EAP-MD5 : Authentification avec mot de passe PEAP (Protected EAP) : Authentification avec mot de passe via une encapsulation sécurisée LEAP (protocole Cisco) : Authentification avec mot de passe via une encapsulation sécurisée.
  • 25. 24 7. Les protocoles d’authentification EAP est la couche protocolaire de base de l'authentification. Elle va servir à faire passer un dialogue d'authentification entre le client final et le serveur RADIUS alors que le port de connexion est fermé à toute autre forme de communication. C'est un protocole extensible, au sens où il va permettre l'évolution de méthodes d'authentification transportées, de plus en plus sûres au cours du temps. Quelles ont été - et quelles sont - ces méthodes d'authentification ? Le premier protocole a été PAP (Password Authentification Protocol) avec lequel les mots de passe circulaient en clair. La sécurité proposée par ce protocole est faible. Le second protocole qu'ont utilisé les serveurs RADIUS a été CHAP (Challenge Handshake Authentication Protocol). Il est défini dans la RFC 1994. Avec CHAP, il n'y a pas d'échange de mots de passe sur le réseau. Les deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète, s'authentifient sans échange du mot de passe par une technique de "challenge" (ou "défi") basée sur une fonction de hachage à sens unique du secret partagé, telle que MD5. Cette méthode était disponible avec le couple XP/Windows-2003-Server, mais ne l'est plus en génération Seven/2008. Au début de la connexion, le serveur réclame la preuve de l’identité du client, en lui demandant de chiffrer une information. Le client ne peut relever le défi que s’il possède effectivement la clé unique et secrète partagée. PEAP est un protocole de transfert sécurisé (P comme "Protected") d'informations d'authentification. Il a été mis au point par Microsoft, Cisco et RSA. Il ne nécessite pas de certificat sur les postes clients, contrairement à EAP/TLS. MS-CHAP s'appuie sur PEAP. 7.1. Les différentes phases (simplifiées) d'une connexion 802.1x Au démarrage de la communication, le client final est prié d'envoyer ses identifiants au serveur RADIUS. Or, à ce moment-là, le client final ne connaît pas l'adresse du - ou des - serveurs RADIUS du réseau. Il ne dispose peut-être même pas d'adresse IP. De même, le port du commutateur sur lequel il est connecté est censé être fermé (état non contrôlé). En réalité, le port contrôlé du commutateur n'est pas totalement fermé. Il va laisser passer le protocole EAP Cette communication ne peut donc se faire que par des trames Ethernet de base et non par des paquets IP. Le client final peut donc envoyer son identité dans un paquet EAP au commutateur. Celui-ci le retransmet, encapsulé dans un paquet au format RADIUS, au premier serveur RADIUS de sa liste (s'il en connaît plusieurs).
  • 26. 25 Le serveur RADIUS reçoit le paquet et interroge sa base de données, Il renvoie le résultat de cette interrogation au commutateur, sous forme d'un commandement d'ouverture du port, éventuellement assorti d'un numéro de VLAN dans lequel placer le client final. A partir de ce moment seulement, il peut y avoir d'autres trames échangées entre le client final et le reste du réseau, comme une trame de requête DHCP par exemple. Conséquence de ce fonctionnement général. L'équipement réseau ne connaît que le protocole RADIUS. Le protocole d'authentification entre le client final et le serveur RADIUS pourra varier sans que cela soit un blocage pour l'équipement. En ce sens, on dit que le client RADIUS est "transparent".
  • 27. 26 7.2. Et que faire des périphériques non 802.1x ? L'objectif de contrôler toutes les prises réseau d'une entreprise en y imposant une authentification peut se heurter au fait que certains périphériques qui y sont connectés (comme des imprimantes, des vidéoprojecteurs ...) n'implémentent pas 802.1x. Il faut donc trouver d'autres solutions pour protéger ces prises : un VLAN spécifique par exemple réunissant les imprimantes, avec un serveur d'impression situé dans un autre VLAN joignable au travers d'un routeur filtrant, une protection des ports par adresse MAC, ou encore une connexion sans-fil des vidéoprojecteurs dans une technologie de cryptage comme WPA2. Fonctionnement détaillé :
  • 28. 27  Étape 1 - identité externe L'équipement demande au client final de décliner son identité (trame EAPRequest-Identity), Le client répond par une trame EAP contenant son nom d'utilisateur (trame EAP-Response- Identity). Ça tombe bien, les trames EAP sont les seules autorisées à entrer dans l'équipement. L'équipement fabrique un paquet IP [access-request] encapsulant la trame [EAPresponse Identity]. Il ajoute d'autres informations comme l'adresse MAC du client final. Ce paquet IP est envoyé au serveur RADIUS.  Étape 2 - Négociation de protocole. Le serveur RADIUS reçoit le paquet [Access-Request] et fabrique un paquet [Access- challenge] encapsulant une trame [EAP-Request] contenant une proposition de protocole d'identification, comme PEAP. L'équipement décapsule le paquet pour transmettre la trame EAP au client final. Le client final répond dans une trame [EAP-response] transmis de la même manière - indirecte par encapsulation - au serveur RADIUS. Le client et le serveur étant tombés d'accord sur le protocole d'authentification, on passe à l'étape suivante.  Étape 3 - TLS handshake Le serveur RADIUS envoie au client une requête de démarrage [PEAP-START] toujours par le mécanisme d'encapsulation d'une trame EAP. Le client final répond par un message [client hello] avec la liste des algorithmes de chiffrement qu'il connait. Le serveur envoie son choix d'algorithme, ainsi que son certificat et sa clé publique au client final. Le client final authentifie le serveur. Il génère une "pré-master key" avec la clé publique du serveur. Le serveur fait de même et un tunnel chiffré est établi entre eux. Le tunnel sert à protéger l'échange du mot de passe par rapport à une authentification EAP simple.  Étape 4 - TLS record Les échanges liés au protocole de validation du mot de passe vont être effectués dans le tunnel TLS. Avec MSCHAP-V2, il s'agit des échanges vus au point I.7. Le port s'ouvre lorsque le serveur envoie au client final un message [Access-Accept] après avoir vérifié le mot de passe de l'utilisateur et s'être assuré de ses autorisations.
  • 29. 28 Chapitre4 : Mise en place d’un serveur RADIUS 1. Pourquoi l'authentification 802.1x? Le but est de guider l'administrateur du réseau via la procédure comment activer l'authentification 802.1x d'ajouter un niveau de sécurité supplémentaire lorsque les ordinateurs clients se connectent au réseau local SMT. Avant un ordinateur client dispose d'un accès à notre réseau, les besoins de l'ordinateur client être authentifié. Si l'authentification est réussie, l'ordinateur client est autorisé à accéder. Si l'authentification échoue, l'ordinateur client n'a pas accès limité ou inexistant. Les clients peuvent être authentifiés à l'aide d'un mot de passe ou un certificat. Sans un accès adéquat à notre réseau, les utilisateurs malveillants peuvent utiliser notre réseau pour accéder à des données privées ou lancer des attaques vers des serveurs ou des ordinateurs clients sur notre réseau. Composants 802.1x : Suppliante (poste de travail): Est un client qui demande l'accès au réseau local et répondre aux demandes du commutateur. Serveur d'authentification (RADIUS / serveur NPS): Ce serveur authentifie fait le client. Le serveur d'authentification valide l'identité du client et informe le commutateur si le client est autorisé à accéder au réseau local. Le serveur d'authentification est essentiellement un serveur RADIUS configuré pour supporter l'authentification EAP. Authenticator (HP 2900 commutateur PROCURVE): Contrôle d'accès physique au réseau en fonction du statut d'authentification du client. Ce dispositif relaie les informations d’identification suppliante au serveur d'authentification. Processus d'authentification :
  • 30. 29 L'état du port de commutateur détermine si le client est autorisé à accéder au réseau local ou non. Le port commence dans un état non autorisé. Dans cet état, le port, sauf tout le trafic interdit pour les cadres 802.1x. Lorsqu'un client est authentifié, le port est dans un état autorisé et autorise tout le trafic du client au commutateur. Si un client ne prend pas en charge l'authentification 802.1x et se connecte à un port non autorisé, le commutateur demande l'identité du client. Dans ce cas, le client ne peut pas répond à la demande et le port reste dans un état non autorisé. Le client n'a pas accès au réseau. Schéma Design «testé dans nos laboratoires» Pour ce laboratoire, j'utiliser un commutateur HP ProCurve 2910, qui fournit également le routage inter-VLAN entre les différents réseaux.
  • 31. 30 Etapes de la mise en place Paramétrages à effectuer concernent le client final, le client RADIUS et le serveur RADIUS sur lequel on trouve déjà un annuaire Active Directory.
  • 32. 31 2. Configuration A. Configuration du commutateur «HP ProCurve 2910» . B. Créer des groupes de sécurité Active Directory pour l'accès autorisé et le certificat inscription. a) Créer un groupe d'authentification NPS Certificat Inscription automatique du serveur «SAC-Inscription automatique» b) Ajouter des comptes de l'ordinateur client au groupe d'ordinateurs autorisés «CAC Inscription automatique». c) Créer un groupe filaire Ordinateurs VLAN «Wired-ordinateur VLAN»
  • 33. 32 C. Créer et inscrire les hôtes sur le réseau pour inscrire un certificat a) Créer un certificat d'authentification serveur NPS b) Créer un certificat d'authentification Workstation c) Ajout des modèles de certificats à l'autorité de certification
  • 34. 33 d) Ajoutez le compte du serveur NPS au groupe d'inscription automatique e) Ajouter des comptes de l'ordinateur client au groupe d'inscription automatique f) Ajouter des comptes de l'ordinateur client au groupe d'ordinateurs autorisés g) Créer un GPO pour l'inscription de certificat de serveur NPS
  • 35. 34 D. Configuration du serveur NPS a) Configurer les clients RADIUS sur serveur NPS : b) Configurer la connexion Stratégie de demande
  • 36. 35 c) Configurer une stratégie réseau pour PEAP-EAP-MSCHAPv2
  • 37. 36 E. Créer un GPO sécurisé de base pour clients Windows 7 ordinateurs a) Configurer les ordinateurs clients Windows 7 pour l'inscription de certificat. b) Configurer les ordinateurs clients Windows 7 pour activer l'authentification Wired
  • 38. 37 c) Configurer les ordinateurs clients Windows 7 pour l'authentification 802.1x via le centre de partage de réseau et PEAP-EAP-MSCHAPv2 F. Test & dépannage Le client envoie une demande d'authentification. Si l'authentification est réussie, l'ordinateur client reçoit une adresse IP de notre serveur DHCP. Si l'ordinateur client est membre du VLAN filaire Ordinateurs 20, le client « DUMCA mactacbb » reçoit une adresse IP de la gamme réseau 192.168.20.20-192.168.10.100. Si l'authentification échoue « utilisateur externe », le client devient membre du VLAN 30 et reçoit une adresse IP dans la plage de 192.168.30.20-192.168.30.100. Si l'ordinateur client est authentifié avec succès, vous recevez une adresse IP du VLAN 20
  • 39. 38 Si l'ordinateur client « sans authentification 802.1X et appartient à un autre domaine (ame.imptobnet.com) » l'authentification échoue, vous recevez une adresse IP du VLAN 3.
  • 40. 39 Conclusion Pour proposer un bon mécanisme de sécurité d’un WiFi, comme solution contre les points faibles dont souffre un réseau académique, il nous a fallu penser à une issue qui s’adapte avec l’architecture du réseau existant, tout en tenant compte de la durabilité, l’évolution et la fiabilité de cette solution, assez bien en termes techniques que économiques. Pour cela, nous avons pensé à mettre en place un serveur Radius, pour sécuriser notre petit réseau de test, avant de passer à le mettre en œuvre sur le grand réseau de notre société d’accueil SMT. Les solutions qui présentent le résultat de nos recherches, exigeaient toujours d’utiliser le protocole Radius sur un système d’exploitation serveur comme le 2008 ou le 2012 server. C’est une solution très fiable à nos jours mais ce n’est pas le cas pour toujours, vu la progression très rapide de l’invention des méthodes d’attaque et d’autres méthodes de défonce en informatique.