Le document traite du protocole RADIUS (Remote Authentication Dial-In User Service), qui est utilisé pour l'authentification et la gestion d'accès des utilisateurs distants, et explique ses fonctionnalités de sécurité, y compris l'utilisation de secrets partagés et le cryptage des mots de passe. Il souligne également les vulnérabilités de RADIUS, notamment des failles dans la méthode de hachage MD5 et l'absence de protection dans la couche de transport. Le document conclut que RADIUS est largement utilisé pour la gestion centralisée des utilisateurs et mentionne Diameter comme une amélioration de RADIUS.

1. Radius
Remote Authentification Dial In User
ServiceHadrich Mohamed
@hadrichmohamed
www.hadrichmed.com
hadrichmed@gmail.co
m

2. Problématique

3. De nos jours, la plupart des entreprises possèdent de
nombreuses postes informatiques qui sont en général
reliées entre eux par un réseau local.
Ce réseau permet d’échanger des données entre les
divers collaborateurs internes à l’entreprise et aussi de
connecter à l’Internet.
Problématique

4. Problématique
VPN - Firewall
Serveur
d’Authentification
Ouvrir l’entreprise vers le monde
extérieur signifie laisser une porte
ouverte à divers acteurs étrangers.
Cette porte peut etre exploité pour la
destruction des données ou pour le
piratage des données
C’est pourquoi on doit sécuriser notre
réseau en utilisant:

5. Radius

6. Radius
RADIUS est un acronyme de Remote Authentification Dial
In User Service. RADIUS définit une norme les plus
courants utilisée pour la maintenance et la gestion de
validation et authentification de l'utilisateur distant. Le
nouveau routage et accès distant (RRAS) peuvent
fonctionner en tant que client RADIUS. Ainsi, les clients
d'accès distant et les routeurs d'accès à distance doivent
être authentifiées par rapport à un serveur RADIUS.
RADIUS est défini par la RFC 2138.

7. Fonctionnalités du Radius

8. Functionalitiés du Radius
Modèle client/serveur
Un serveur d'accès réseau (NAS) fonctionne en tant que
client RADIUS. Le client est chargé de transmettre les
informations utilisateur vers des serveurs RADIUS
désignés et agir en fonction de la réponse qui est
renvoyée.

9. Functionalitiés du Radius
Serveurs RADIUS sont chargés de recevoir les demandes
de connexion utilisateur, l'authentification de l'utilisateur et
retournant ensuite toutes les informations de configuration
nécessaires au client fournir un service à l'utilisateur.
Un serveur RADIUS peut agir comme un client de proxy
pour d'autres serveurs RADIUS ou d'autres types de
serveurs d'authentification.

10. Functionalitiés du Radius
Sécurité du réseau
Les transactions entre le client et le serveur RADIUS sont
authentifiées par l'utilisation d'un secret partagé qui n'est
jamais transmis sur le réseau. En outre, les mots de passe
utilisateur sont envoyés cryptées entre le client et le
serveur RADIUS, pour éliminer la possibilité que quelqu'un
snooping sur un réseau non sécurisé peut déterminer un
mot de passe utilisateur.

11. Functionalitiés du Radius
Mécanismes d'authentification souples
Le serveur RADIUS peut prendre en charge une variété de
méthodes pour authentifier un utilisateur. Lorsqu'il est
fourni avec le nom d'utilisateur et un mot de passe
d'origine donné par l'utilisateur, il prend en charge PPP
PAP, CHAP, connexion UNIX et autres mécanismes
d'authentification.

12. Functionalitiés du Radius
Protocole extensible
Toutes les transactions sont constituées de longueur
variable attribut-longueur-valeur 3-tuples. Nouvelles
valeurs d'attribut peuvent être ajoutés sans perturber les
implémentations existantes du protocole.

13. Options d’un Client Radius

14. Options D’un client Radius
Client RADIUS d'accès distant et de routage prend
en charge les options suivantes : Id de Session de
compte Durée de Session de compte
Type de statut de compte Numéro de
rappel
Framed-IP-Address Protocole tramé
Délai d'inactivité NAS-Identifier
NAS-Port NAS-Port-Type
Limite de port Délai d'expiration
de session
Nom d'utilisateur

15. Flux génerale d’un Radius

16. Flux génerale d’un Radius

17. Détails du Radius

18. Détails du Radius
RADIUS utilise UDP et non le protocole TCP pour quelques raisons:
 l'utilisateur ne peut pas attendre pendant plusieurs minutes, alors
l'algorithme de retransmission de TCP ACK et pas nécessaire.
 Pas de traitement spécial pour les clients hors ligne et les
serveurs
 Stateless Protocole
 Facile à mettre en œuvre serveur multi-thread et fournir des
services aux demandes des clients multiples.

19. Fonctionnalités du PfSense
Pfsense utilise p0f, un utilitaire qui permet de filtrer de façon
passive en fonction du type de Système d’Exploitation qui
initie la connexion.
Il est capable aussi d’archiver les traces règle par règle.

20. Radius et la Sécurité

21. Radius et la sécurité
La sécurité est bien maintenu grâce :
Deux fonction principale sont fournies pour cacher les
Attribut (principalement mots de passe) et l’authentification
des messages
chaque fonction est exécutée par la fonction de hachage
MD5 et le secret partagé

22. Réseau Local : Représenté en une machine virtuel Ubunto
DMZ: Machine virtuel dans laquelle installé un serveur web
L’internet c’est notre machine Réelle ou on peut acceder à
l’Internet
Pare-feu: Pfsense
Architecture

23. Après la création des machines virtuelles on passe au réglage du pfsense afin de permettre le
réseau local de connecter au DMZ et à l’internet et Empécher le cas inverse.
Etape de réalisation

24. Implémentation du client/Serveur

25. Le Serveur Radius: Win Radius
Le Client: Win Radius Test
Base de Donnée: Microsoft Access
Implémentation du client/ Serveur

26. Vulnérabilités de RADIUS

27. Vulnérabilités de RADIUS
 La méthode du hachage MD5 a des failles
 Il n’y pas de protection dans la couche transport
 Utilisation de mauvais générateur aléatoire de génération de
demande

28. Conclusion

29. Conclusion
 Radius est couramment utilisé dans les systèmes embarqués
(routeurs, commutateurs, etc), qui ne peut pas gérer grand
nombre de l'utilisateur avec des informations d'authentification
distinct
 RADIUS facilite la gestion centralisée d'administration des
utilisateurs
 RADIUS fournit certain niveau de protection contre le ‘sniffing’
attaque active
 Largement mis en œuvre par le fournisseur de matériel
 Diameter est une amélioration de Radius.