Introduction

Un système d’information est un ensemble organisé d’éléments qui permet de regrouper, de classifier, de traiter et de diffuser de l’information sur un phénomène donné. Sa structure est constituée de l’ensemble des ressources organisées pour : collecter, stocker, traiter et communiquer les informations. Face à un environnement sans cesse plus complexe, imprévisible et bousculé, l’entreprise ou l’organisation travaille à produire un vaste stock de normes et de valeurs, de procédures et d’informations. Ce système d’information permet à l’entreprise de gérer tous les entrées et sorties au niveau de son réseau par le billet de la gestion de la sécurité. En effet, la sécurité est un des éléments les plus sensibles. Le terme sécurité est large et il englobe une multitude de concepts. La sécurité physique des données de l'entreprise contribue au maintien de l'existence de l'entreprise. La majorité des réseaux d'entreprise sont aujourd'hui connectés à Internet. Dès lors, la sécurisation des systèmes d’information des entreprises est presque nécessaire puis qu’ils sont vulnérables et qu'ils sont au cœur de leurs activités vitales. Etant donné que, les règles de sécurité sont devenues beaucoup plus draconiennes, ses entreprises préfèrent se tourner vers des méthodes d'authentification fiables à savoir les protocoles de sécurité en utilisant les serveurs en abandonnant peu à peu l'utilisation de compte utilisateur. C’est ainsi que Microsoft a mis en place au niveau de Windows server 2008 de nombreux protocoles qui permettent de gérer la sécurité des réseaux par des mécanismes compatibilité. Parmi les nombreux protocoles de d’authentifications, d’autorisations et

sécurité utilisant les serveurs, le serveur RADIUS parait être le plus appropriée pour l’authentification au niveau du réseau sans fil. En effet, RADIUS (Remote Authentication Dial In User Service) est un protocole réseau qui fournit des services centralisés d'authentification, d'autorisation et de compatibilité pour la gestion des ordinateurs et équipements réseaux pour se connecter à un service réseau . La réalisation de notre projet de mise en place de la sécurité au niveau de Windows serveur 2008 va s’articuler sur quatre thèmes à savoir : •La présentation du sujet ; •La sécurité de manière générale sous Windows serveur 2008 ; •Le concept d’AAA ; •Le choix du serveur RADIUS ;
M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page

•Implémentation su serveur RADIUS sous Windows Server 2008.

I.

Contexte du projet

Le projet porte sur la mise en œuvre de la sécurité sous Windows serveur 2008.Par sécurité informatique, on entend l'ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité des systèmes informatiques. Elle est intrinsèquement liée à la sécurité de l’information et des systèmes d'information.

II.

Problématique du projet

Pour la protection des informations au sein de l’entreprise, il est nécessaire de mettre en place des stratégies qui permettra de lutter contre tout genre d’attaques mais aussi de bien sécuriser son réseau sans fil puis que n’importe qui peut se connecter à distance dans un réseau sans fil. Si on sait parfaitement où commence et où finit un réseau filaire, et qu’il faut se connecter sur une prise physique pour avoir une chance de l’écouter, la difficulté avec les réseaux sans fil réside dans le fait que leur enveloppe est floue. Il n’y a pas de limites imposables et contrôlables. Une borne Wi-Fi émet dans toutes les directions et aussi loin que porte son signal. Cette situation fut très problématique pour les premières installations Wi-Fi à cause de l’absence de méthode d’authentification fiable des postes de travail et de mécanismes de chiffrement fort des communications. Des lors, notre véritable problème est de pouvoir identifier une personne qui veut se connecter à distance dans notre réseau sans fil. Pour cela nous avons utilisé le serveur RADIUS qui nous permet d’identifier les personnes qui veulent se connecter à distance.

III.

Analyse des besoins

Le projet doit fournir pour l’entreprise qui met en place des stratégies pour sécuriser son réseau sans fil les fonctionnalités suivantes : •L’administrateur doit avoir la possibilité de définir les autorisations de demande de connexion par les clients ; •L’administrateur doit également mettre en place des stratégies d’authentification de demande de connexion par les clients ;

M i s e

e n

œ u v r e

d ’ u n

s e r v i c e

d e s é c u r i t é a v e c R a d i u s

Page

•L’administrateur définira en fin une gestion des comptes centralisés des connexions d’accès sans fil et d’accès par connexion à distance.

I.

Solution proposée

La solution la plus appropriée pour les sécurisations des informations, des systèmes d’information et du réseau, est de mettre en place une stratégie qui permettra de mieux gérer la sécurité en utilisant une stratégie de configuration d’un serveur d’authentification sous le système d’exploitation Windows server 2008. La stratégie de sécurité est un ensemble de règles configurables que le système d’exploitation applique pour déterminer les autorisations à accorder en réponse à une demande d’accès à des ressources, c’est en quelque sorte une combinaison de paramètres de sécurité qui affectent la sécurité sur un ordinateur. Ces paramètres que nous allons définir, vont nous permettre de : •déterminer les personnes qui ont accès aux ordinateurs, et les ressources auxquelles les

utilisateurs sont autorisés à accéder sur les ordinateurs ; •Ils permettent également de déterminer si les actions d’un groupe ou d’un utilisateur sont enregistrées dans le journal des événements.

M i s e

e n

œ u v r e

d ’ u n

s e r v i c e

d e s é c u r i t é a v e c R a d i u s

Page

Il fallait donc que ce système d’exploitation réponde à plusieurs exigences essentielles [6] à savoir : 1. Lors de l’étude des axes majeurs à suivre pour cette version de Windows server.Sous Windows Server 2008. L’accès au réseau leur est refusé tant qu’ils ne remplissent pas les critères de conformité que l’administrateur aurait jugée nécessaires. Sécurité et Protection La protection du serveur dans l’entreprise est assurée par des technologies et des fonctionnalités contribuant à sécuriser le système d’exploitation Windows Server 2008. Les nouveaux services associés à l’Active Directory renforcent également la sécurité de l’informatique . quelle que soit la configuration des rôles serveur. Microsoft a totalement retravaille le noyau de Windows server 2008 comparé au noyau de ses prédécesseurs. Ce noyau possède ainsi la nouvelle technologie Patchguard développée par Microsoft afin de protéger au maximum le système d’exploitation et ainsi mettre un terme au rootkit ou autre attaque visant à modifier le noyau du système. Les contrôleurs de domaine en lecture seule renforcent la sécurité de nos domaines Active Directory dans la mesure où l’administrateur pouvait limiter la diffusion de certain mot de passe en cas de compromission de ces contrôleurs de domaines. il existe plusieurs nouveautés qui sont spécifiquement conçues pour fonctionner de pair : l'accès à distance simplifié pour les ordinateurs de l’entreprise. Celui-ci présente de nombreuses similitudes avec celui de Windows vista puisque les deux systèmes d’exploitation se basent sur le noyau répondant au nom de NT6. Des technologies et fonctionnalités de sécurité supplémentaires peuvent éventuellement s’appliquer à des rôles serveur ou configurations particuliers. de meilleures performances lors de la centralisation d'applications ou de la virtualisation de postes de travail et des performances améliorées lors des accès aux fichiers centralisés.Le rôle M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . La protection de l’accès réseau devient également accessible et nous permet de mettre en place des conditions d’utiliser notre réseau d’entreprise en éliminant les personnes externes arrivant avec un ordinateur portable qui n’est pas à la norme de l’entreprise. les fondateurs ont pris en considération la charge de travail et la pression sur le service des technologies d’informatique des entreprises qui est sans cesse grandissante.

Afin d’augmenter cette qualité d’administration. Microsoft propose également la possibilité d’installer une version minimum de Windows serveur 2008. Les fonctionnalités de sécurité présentes sous Windows server 2008 permettent donc de limiter au maximum le risque d’attaque sur le serveur tout en garantissant une productivité et une flexibilité importante [6].Windows server 2008 fonctionne alors sans interface graphique et tout doit donc être configuré en ligne de commande . Windows server 2008 possède la capacité de scripts et d’autorisation de tâches accrues grâce à son nouveau langage de script Microsoft Windows Powshell.Cela est idéal pour définir un chiffrement entre des contrôleurs de domaines ou entre des postes d’administrateurs de domaine et des serveurs d’administration. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . 2.L’avantage majeur de ce type d’installation réside dans le fait que la surface d’attaque est réduite de par le fait que le strict minimum est installer sur le serveur. Le chiffrement de lecteur disque avec l’outil Bitlocker permet également d’empêcher l’accès aux données du disque dur depuis une installation parallèle d’un autre système d’exploitation. la nouvelle console de gestion MMC pour le pare-feu avancé permet de configurer des flux IPSec afin d’assurer l’intégrité ou chiffrer le flux entre ordinateurs . L’autorisation des tâches courantes d’administration se voit ainsi grandement améliorée et flexible grâce à cette nouvelle fonctionnalité. Les assistants disponibles permettent de limiter au maximum les erreurs de configuration grâce aux nombreuses explications qui viennent accompagner l’administration lors de l’installation d’un composant. Le pare-feu avancé de Windows server 2008 permet de limiter la surface d’attaque des serveurs en faisant un filtrage de ports sur le trafic réseau entrant ou sortant. Identité et contrôle d’accès Windows server 2008 propose un meilleur contrôle de l’information afin de garantir une meilleure efficacité d’administration et par conséquent une meilleure productivité. De plus. Le pare-feu analyse le flux au niveau applicatif et l’administrateur pourrait donc n’autoriser un trafic que pour un service spécifique. connue aussi sous le nom de Windows server core .Active Directory Certicate Services permet la diffusion de certificats basés sur la cryptographie nouvelle génération. Le rôle Active Directory Right Management Service donne l’administrateur la possibilité de maitriser la diffusion des documents de l’entreprise. L’installation basée sur les rôles et fonctionnalité grâce à la console de gestionnaire de serveur facilite l’administration.

Il offre également beaucoup d’information précise sur l’utilisation des composants systèmes de notre choix. il existe de nombreux outils qui aident à préserver la sécurité des serveurs. Le . M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Services de domaine Actives et Stratégie de groupe. Des nouvelles consoles comme le moniteur de performance et de fiabilité permettent également de détecter en amont des problèmes de configuration sur nos systèmes d’exploitation et d’en informer automatiquement le service informatique. La gestion de la stratégie de sécurité du serveur consiste à maintenir les paramètres de sécurité à jour alors que les différentes configurations serveur évoluent au fil du temps. Enfin. Les trois outils que nous pouvons utiliser séparément ou conjointement pour gérer les stratégies de sécurité sur des serveurs : •Assistant Configuration de la sécurité et outil en ligne de commande Scwcmd •Composant logiciel enfichable Modèles de sécurité •Composant logiciel enfichable Configuration et analyse de la sécurité Contrairement aux outils eux-mêmes.Les administrateurs viendront alors ajouter les rôles de leurs choix. tels que Protection d’accès réseau. •Mise à jour d’une stratégie serveur en cas de modification de la configuration serveur. En effet. une meilleure gestion de l’impression est désormais possible.NET Framework n’est pas installé et l’exécution de code comme PowerShell n’est donc pas possible. Afin de ne pas trop exposer ces serveurs. contrôler et dépanner les imprimantes de notre domaine [6]. dernière bonne nouvelle pour les administrateurs. les différentes façons de les utiliser sont entièrement nouvelles. 3. Une nouvelle console MMC vous permet de mieux gérer. Mais aussi il existe d’autres outils et technologies permettant de sécuriser le réseau et les ordinateurs. La sécurisation des serveurs via la gestion de la stratégie inclut les opérations suivantes : •Analyse des paramètres de sécurité du serveur pour garantir que la stratégie appliquée à un serveur convient au rôle serveur. La sécurité des serveurs Dans Windows Server 2008. les imprimantes peuvent être automatiquement installées sur les ordinateurs des utilisateurs à l’aide des stratégies de groupes.

L'évaluation de la preuve obtenue détermine si les systèmes d'information sont la sauvegarde des actifs. le maintien de l’intégrité des données. À cette fin. L’Assistant peut toujours être utilisé pour créer et appliquer la stratégie de sécurité du serveur. on peut utilisait l’Assistant Configuration de sécurité pour préserver la sécurité des serveurs en recherchant les vulnérabilités tandis que les configurations serveur changent au fil du temps et en appliquant les modifications requises aux paramètres de stratégie. les serveurs sont conçus pour être sécurisés par défaut. •Utilisation des outils de gestion de la stratégie de sécurité pour appliquer les paramètres de la stratégie de sécurité du serveur spécifiques à notre environnement. 1.•Création d’une stratégie pour une nouvelle application ou un nouveau rôle serveur non inclus dans le Gestionnaire de serveur. Dans Windows Server 2008. des services de rôle et des fonctionnalités via le Gestionnaire de serveur. Après l’installation du rôle serveur initial. et fonctionnent efficacement pour atteindre les objectifs de l'organisation ou des objectifs. La fonctionnalité Assistant Configuration de sécurité de Windows Server 2008 est très similaire à la version de l’Assistant incluse dans Windows Server 2003 Service Pack 1. Lorsqu’ un administrateur veut configurer Windows Server 2008. mais dans la majorité des cas on n’aura pas besoin d’y recourir pour sécuriser les serveurs lors de l’installation. il n’existe pas de modèles de sécurité prédéfinis. Dans Windows Server 2008. Cependant. Audit de sécurité Une vérification technologies de l'information ou des systèmes d'information d'audit est un examen des contrôles de gestion au sein d'une technologie de l’informatique. il peut être nécessaire de limiter encore plus certains privilèges ou certaines stratégies locales de notre réseau [6]. le Gestionnaire de serveur ne peut pas être utilisé pour effectuer des modifications personnalisées des paramètres de sécurité. les stratégies qui satisfont aux exigences de sécurité de la plupart des entreprises sont automatiquement mises en place. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Cependant. dans certaines entreprises. Cela signifie que lorsque qu’on installe des rôles. les paramètres de sécurité de la configuration d’un serveur donné sont automatiquement configurés. il va falloir utiliser plutôt les outils de gestion de la stratégie de sécurité.

M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . deux évolutions peuvent avoir un impact important sur les procédures et les outils en place. serveurs et composants de l'infrastructure des réseaux et de la sécurité des applications ainsi que la sécurité des serveurs. L’administrateur peut effectuer le suivi des activités d'utilisateurs ainsi que des activités le Server correspondant à des événements nommés sur un ordinateur et spécifier aussi quels événements sont enregistrés dans le journal de sécurité. Cela aidera l’administrateur à mettre en évidence certains problèmes de configuration ou bien encore à vérifier la sécurité de certains éléments critiques du système d’exploitation. ces évolutions ont elles aussi pour objectif de permettre une plus grande lisibilité des informations contenues dans les journaux dont celles liées à l'audit.L’audit de sécurité des informations est un élément vital de toute vérification informatique et est souvent compris comme étant le but principal d'un audit informatique. La génération intégrale de la politique d’audit se fait avec AUDITPOL qui est une commande nouvelle dans Windows Server 2008 et est nécessaire pour l'interrogation ou de la configuration politique de vérification au niveau sous-catégorie. Parmi les évolutions liées à l'audit introduites dans Windows Server 2008. les stratégies d’audit peuvent en effet être définies de façon beaucoup plus fine désormais et les paramètres affichés au niveau de la stratégie de groupe ne représentent que très grossièrement la configuration effective. l'objectif étant de limiter le volume d'événements générés. La première évolution concerne la création de nouvelles catégories et sous catégories d'audit. afin de permettre une mise en œuvre plus granulaire de l'audit. Auditer les serveurs consiste à recenser les évènements que l’on juge intéressant dans le journal des évènements. Une entrée d'audit dans le journal de sécurité permet de définir les informations suivantes : •l'action effectuée . Sous Windows Server 2008. Cette commande est la seule façon qui permet de configurer la stratégie d'audit au niveau de Windows server 2008. La seconde évolution concerne la gestion des journaux des événements qui bénéficient bien la possibilité de créer des journaux spécifiques ou des vues. La portée large de la sécurité des informations d'audit comprend des sujets tels que la sécurité physique des centres de données et la sécurité logique des bases de données. À l'aide de la fonctionnalité d'audit de Windows Server 2008.

Le Gestionnaire d’autorisations peut faciliter le contrôle d’accès aux ressources dans de nombreuses situations. •Les rôles de configuration d’ordinateurs s’appuient sur la fonction d’un ordinateur. •Les rôles d’autorisation utilisateur s’appuient sur la fonction d’un utilisateur. L’administrateur peut faire appel aux rôles de configuration d’ordinateurs pour sélectionner des fonctionnalités à installer. Etant donné qu’il existe plusieurs domaines dont Windows server 2008 parvient à gérer la sécurité dans son environnement. Sous Windows server 2008. Les règles d’autorisation permettent de contrôler la relation entre le contrôle d’accès et la structure de l’entreprise. 1.•l'utilisateur qui a effectué l'action . mais ne peut pas créer d’applications ni définir d’opérations [6]. •le succès ou l'échec de l'événement et l'heure à laquelle il s'est produit [6]. nous allons essayer d’étudier seulement les outils qui nous M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Le Gestionnaire d’autorisations nous permet de faire appel à deux types de modes : •Le mode développeur qui permet de créer. activer des services et choisir des options. •Le mode administrateur qui est un mode par défaut. En mode administrateur. deux catégories de rôles bénéficient souvent de l’administration basée sur les rôles : les rôles d’autorisation utilisateur et les rôles de configuration ordinateur. L’administrateur peut également exercer un contrôle très spécifique à l’aide de scripts appelés règles d’autorisation. L’administrateur peut faire appel à des rôles d’autorisations pour autoriser l’accès aux privilèges administratifs. il existe un outil appelé gestionnaire d’autorisations qui est fréquemment utilisé par les applications personnalisées écrites pour un objectif spécifique dans l’environnement de travail. En règle générale. on peut déployer et gérer des applications et l’utilisateur à accès à toutes les fonctionnalités du Gestionnaire d’autorisations. déployer et gérer des applications même si son accès est illimité à toutes les fonctionnalités du Gestionnaire d’autorisations. Gestion d’autorisation Sous Windows server 2008. les déléguer ou gérer l’interaction avec des ressources basées sur l’ordinateur. le contrôle d’accès basé sur les rôles permet d’affecter les utilisateurs aux rôles et de superviser les autorisations accordées à chaque rôle.

Ce groupe. les différentes fonctions de base nécessaires aux fournisseurs de services. le groupe de travail AAA a été créé au sein de l’Internet Engineering Task Force (IETF). composé d’intervenants de divers horizons à savoir les universités et les entreprises. Ils décrivent dans ce concept de base d’AAA.permettra de respecter le concept du AAA c'est-à-dire les outils qui permettent de faire une authentification. une autorisation mais aussi vérifier la compatibilité au niveau de Windows server 2008. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . fonctions regroupées autour d’un même thème baptisé AAA. Constitué afin de standardiser les opérations d’accès aux fournisseurs de services Internet nécessitant une identification. est à l’origine de plusieurs publications appelées RFC (Request For Comment) considérées comme des standards.

Les fonctions principales sont au nombre de trois : l’authentification des utilisateurs. I. • A = Autorisation : accorder des droits au client . Ce login est unique et identifie l’entité de manière non équivoque au sein d’un système. La divulgation ou la découverte du mot de passe cassant ce schéma d’authentification. les opérateurs de services Internet facturant fréquemment leurs utilisateurs en fonction de ce qu’ils font. il convient de l’affecter correctement aux services auxquels il a préalablement souscrit . Le choix de baptiser cette fonction « comptabilité » n’est pas un hasard. le concept d’autorisation a pour but de déterminer ce à quoi l’utilisateur a accès. • A = Accounting : enregistrer les données de comptabilité de l’usage du réseau par le client. et la comptabilité des opérations effectuées. Autorisation Apres avoir identifié un utilisateur avec succès. La comptabilité permet de déterminer entre autres : •à quel moment un utilisateur s’est connecté . Plus simplement. Ce procédé. un abonné haut débit aura le droit de se connecter aussi via une connexion bas débit à son opérateur. Comptabilité (accounting) Pour cette dernière notion. on s’intéresse à ce que fait l’utilisateur des ressources auxquelles il a accès. très courant en informatique. En anglais. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . authorization et accounting. tandis qu’un autre client n’ayant pas ce type d’abonnement sera restreint à un accès bas débit. consiste souvent en l’introduction d’un nom d’utilisateur (ou login) et d’un mot de passe. Par exemple. Authentification L’authentification est le processus par lequel une entité prouve son identité.Plus largement. Diverses règles seront donc appliquées souvent en concordance avec des profils types d’utilisateurs permettant leur regroupement. La connaissance du mot de passe associé à cet identifiant représente la preuve que l’on est qui l’on prétend être. ces trois notions s’appellent authentication. III. Un des aspects clés de l’authentification est qu’elle établit une relation de confiance entre les deux entités. Ces initiales résument les trois fonctions du protocole : • A = Authentication : authentifier l’identité du client . il a pour but de répondre à la question : « Qui êtes-vous ? ». II. les autorisations qui leur sont accordées.

Le protocole RADIUS Le protocole RADIUS (Remote Authentication Dial-In User Service) est un protocole d'authentification standard. Le contrôle d'accès est le moyen de contrôler qui est autorisé à accéder au serveur de réseau et les services qu'ils sont autorisés à utiliser une fois qu'ils ont accès. Les outils respectant le concept d’AAA sous Windows server 2008 Les systèmes d'exploitation Windows server 2008 implémente un ensemble par défaut des protocoles d'authentification tel que Kerberos ainsi que d’autres protocoles tels que TACACS+ et RADIUS que l’administrateur peut activer pour ainsi permettre de gérer l’authentification des utilisateurs. Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau. Le traitement de ces données n’est bien sûr pas limité aux seuls aspects de facturation. relié à une base d'identification comme une base de données ou un annuaire et un client RADIUS. TACACS+ et Kerberos. nous avons essayé d’expliquer chaque protocole à savoir RADIUS. •le volume de données transféré. Parmi tous les protocoles qui permettent de respecter le concept d’AAA. I. Authentification. •le temps de connexion . Il s'agit du protocole de prédilection des fournisseurs d'accès à Internet car il est relativement standard et propose des fonctionnalités de comptabilité. 1. des ordinateurs et des services. Le protocole RADIUS repose principalement sur un serveur. Les opérations statistiques que ces données permettent d’effectuer sont nombreuses. leurs autorisations sur leurs ressources et aussi la gestion de la compatibilité au niveau de leurs applications. Ces protocoles et des forfaits permettant l'authentification des utilisateurs.•la raison d’une déconnection on d’un refus de connexion . •le type de connexion employé . Le processus d'authentification permet aux utilisateurs autorisés et les services d'accès aux ressources de bien gérer la sécurisée. d'autorisation et de comptabilité (AAA) des services de sécurité de réseau fournissent le cadre M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Pour mieux comprendre le fonctionnement de chaque protocole. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré et authentifié grâce à un secret partagé. le serveur RADIUS ainsi que Kerberos. faisant office d'intermédiaire entre l'utilisateur final et le serveur. nous pouvons citer TACACS+.

Etant donné que dans ce projet. Le protocole Kerberos Kerberos est un réseau informatique d’authentification qui fonctionne sur la base de «tickets» pour permettre aux nœuds de communication sur un réseau non sécurisé pour prouver leur identité à l'autre de manière sécurisée. l’objectif est de mettre en place un serveur RADIUS. nous allons nous en rester là pour le moment et passer aux autres protocoles tels que Kerberos. Etant donné que Kerberos utilise comme base le symétrique du protocole. Pour la communication entre deux entités. Terminal Accès Controller Accès Control System+ (TACACS+) TACACS + (Terminal Access Controller Access-Control System Plus) est un protocole propriétaire de Cisco qui fournit un contrôle d'accès pour les routeurs. Il permet de protéger le système d’information contre les écoutes et les attaques et il s’appuie sur la cryptographie à clé symétrique et nécessite un tiers de confiance et peut aussi éventuellement utiliser la clé publique en utilisant la cryptographie asymétrique lors de certaines phases d’authentification. Kerberos fonctionne sur la base des «tickets» qui servent à prouver l'identité des utilisateurs. 3. TACACS+ est un protocole d'authentification utilisé pour la communication à distance avec n'importe quel serveur installé dans un réseau. Le KDC maintient une base de données de clés secrètes. serveurs d'accès réseau et autres appareils informatiques en réseau via un ou plusieurs serveurs centralisés. Il utilise un centre de distribution de clés (KDC) qui se compose de deux parties logiquement distinctes: un serveur d'authentification (AS) et Ticket Granting Server (TGS). La sécurité du protocole s'appuie fortement sur les participants de maintenir le temps vaguement synchronisée et sur courte durée affirmations d'authenticité appelée tickets Kerberos [9]. une autorisation et une gestion de la comptabilité. 2. le KDC génère une clé de session qu'ils peuvent utiliser pour sécuriser leurs interactions. Chaque entité c'est-à-dire un client ou un serveur sur le réseau partage une clé secrète connue de lui seul et le KDC.principal à travers lequel l’administrateur met en place un contrôle d'accès sur le routeur ou un serveur d'accès. TACACS+ peut M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Ses concepteurs visent principalement à un modèle client-serveur et il permet à l'utilisateur de vérifier l'identité du serveur et vice-versa. La connaissance de cette clé sert à prouver l’identité d’une entité. TACACS+ fournit un moyen facile de déterminer l'accès au réseau de communication et d'authentification des utilisateurs via un serveur distant. TACACS + fournit une authentification. Le protocole TACACS+ utilise le port 49 par défaut.

4. Il accepte une requête utilisateur à partir d'un serveur distant et transmet cette requête à l'action nécessaire pour le serveur d'authentification. nous avons essayé de faire la comparaison entre TACACS+ et RADIUS et Kerberos et RADIUS dans le tableau suivant. •Permet de prévoir des droits distincts pour des RADIUS utilise UDP qui permet à •Sécurisation de l’accès des utilisateurs et des l'utilisateur d'accéder avant d'abandonner administrateurs au réseau M i s e e n œ u v r e d ’ u n s e r v i c e alors que TACACS+ utilise TCP qui est d e s é c u r i t é a v e c R a d i u s Page . Le serveur d'authentification peut autoriser ou refuser une requête utilisateur au nom de l'hôte. Cela permet des solutions ressources réseau TACACS+ •Contrôle de l’accès administratif équipements réseau groupes d'utilisateurs aux d'authentification distinct que peut toujours utiliser TACACS + pour l'autorisation et la comptabilité. Le résultat de la requête est transmis à l'initiateur de la requête comme une réponse de rétroaction. Comparaison des trois protocoles Pour relater les différences et ressemblances qui existent entre les trois protocoles. L'hôte est un système ou une plateforme qui s'exécute sur le serveur.autoriser ou refuser des mécanismes d'authentification avec des touches qui correspondent aux noms d'utilisateur et mots de passe. Protocoles RADIUS combine l'authentification •Contrôle et gestion centralisée d'un accès à l'autorisation alors que distance d’un réseau •Protocoles pour contrôler les accès à leurs Ressemblances Ils respectent le concept d’AAA Différences et TACACS + utilise l'architecture AAA séparément. Le protocole TACACS+ a un mécanisme très simple de travail. Le nœud de routage utilisé dans les connexions à distance pendant le processus de connexion de l'utilisateur autorise ou refuse l'accès utilisateur basé sur la réponse de la requête [9].

l’attaquant peut parier sur le Contrôle et gestion de l’accès à distance d’un sécurité alors que RADIUS s’occupe très sont est un service d’authentification mot de passe puis que toute la confiance et centralisé pour des systèmes en réseau mise ouvert partagés dans le logiciel implémentant Kerberos Au moment où RADIUS lui parviennent d’un poste client •Kerberos fait de l’authentification unique •Repose sur un mécanisme de clés secrètes à permet d’authentifier les requêtes qui lui alors que RADIUS peut authentifier plusieurs clients à la fois. Justification du choix de RADIUS D’après la comparaison que nous avons faite au niveau des protocoles qui utilisent le principe d’AAA. c’est-à-dire d’engager des échanges avec lui pour obtenir la preuve qu’il est bien qui il prétend être . •L’unification des méthodes d’authentification puis que les techniques d’authentification ne sont pas spécifiques aux réseaux sans fil car l’administrateur du réseau sans fil à la possibilité M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .beaucoup plus lent puis que en cas de perte de paquet il y’aura retransmission des paquets. il suffira de le télécharger et de l’installer sur le serveur 2008. Tableau1 : Comparaison de Kerberos et TACACS+ a Radius 1. RADIUS offre plusieurs fonctionnalités que nous voulons mettre en œuvre à savoir : •La première tâche de ce serveur est d’authentifier les requêtes qui lui parviennent d’un poste client. KERBEROS Ils respectent le concept d’AAA réseau Contrôle de l’accès au service d’un serveur •Ils Kerberos a des faiblesses au niveau de la bien de la sécurisation du réseau •Sous Kerberos. De plus. Par exemple si nous prenons le cas de Kerberos lui il est déjà intégré au niveau de Windows server 2008 et il suffit juste de l’activer et pour le cas de TACCAS+. nous avons pu choisir le protocole RADIUS car il apporte plusieurs avantages par rapport aux autres protocoles puis que le réseau est beaucoup plus sécurisé et aussi nous avons jugé que son implémentation est plus intéressante et plus délicate pour un sujet de licence.

Livingston fut le premier à répondre à cet appel et implémenta ainsi le premier serveur RADIUS [8]. tout en étant capable de différencier les méthodes soit par mot de passe . I. RADIUS fut développé à l’origine par Livingston Entreprises. En effet. les similitudes sont remarquables. Bien que sa création et sa standardisation soient antérieures aux travaux du working group AAA. Présentation du serveur RADIUS RADIUS est l’abréviation de Remote Access Dial-In User Service. Le poste de travail est banalisé et sa place dans le réseau dépend uniquement de son identité. Le nombre d’utilisateurs allant croissant. II. avant cela chaque clients Radius possédait une liste des utilisateurs et des scripts de synchronisation étaient employés pour répliquer ces même listes.d’unifier la gestion des accès étant donné que le serveur Radius authentifie les clients quelle que soit leur origine. soit par certificat. les employés de Merit firent la proposition d’une standardisation sur la gestion des utilisateurs des systèmes d’accès distants. Fonctionnement du serveur RADIUS Le but de RADIUS était à l'origine de permettre aux fournisseurs d'accès à Internet d'authentifier les utilisateurs distants utilisant les connexions par modem RTC à partir de M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . à la demande de l’opérateur californien Merit Neworks qui souhaitait une meilleure intégration de la gestion de ses utilisateurs.

les protocoles PPP. Architecture de type client/serveur Le client typique est un client Radius c’est-à-dire un serveur de stockage. un autre serveur. L’une de ces méthodes est l’envoi d’un login et d’un mot de passe. Il est chargé de transmettre les requêtes de connexion des utilisateurs vers le serveur RADIUS et d’ensuite interpréter la réponse qu’il lui est donnée. lorsqu’une technique de relais est employée.multiples serveurs mais d'une seule base utilisateurs. mais de plus en plus les réseaux sans fil ou filaires y ont aussi recours pour identifier les utilisateurs. Les noms et mots de passe des utilisateurs devaient être dupliqués dans chaque poste de travail ayant besoin d'identifier des utilisateurs. L'identification sur les sites Web par un nom et un mot de passe est aussi gérée en RADIUS. le serveur RADIUS devient client d’un autre serveur AAA. un commutateur. De même. annuaire LDAP. d’identifier ces utilisateurs et de finalement renvoyer les informations nécessaires au client Radius pour qu’il puisse établir les connexions demandées par ces utilisateurs. PAP et PPP CHAP doivent être implémentés. L'opération d'authentification est initiée par un client du service RADIUS. Le serveur la traite en accédant si nécessaire à une base externe : base de données SQL. Le standard possède plusieurs caractéristiques : 1. Le protocole RADIUS permet de faire la liaison entre des besoins d'identification et une base d'utilisateurs en assurant le transport des données d'authentification de façon normalisée. Sécurité des messages Un serveur RADIUS supporte diverses méthodes pour identifier un utilisateur. Le serveur n’est pas restreint à ces protocoles. Un serveur Radius dispose pour cela d'un certain nombre d'interfaces ou méthodes. 3. qui peut être un boîtier d'accès distant c'est-à-dire un NAS : Network Access Server. Il est également important de noter que. Dans ce cas. il est chargé de recevoir les requêtes des utilisateurs. un point d'accès réseau sans fil. l'authentification POP c'est-à-dire les messageries électroniques devait être gérées par RADIUS. RADIUS est défini principalement dans le RFC 2138. comptes d'utilisateur de machine ou de domaine. un pare-feu. d’autres méthodes peuvent être ajoutées. Quant au serveur. Protocole extensible M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . 2. C'est toujours l'utilisation la plus courante du protocole RADIUS : nom et mot de passe de connexion à l'Internet.

il ne garde pas de trace de ses précédentes actions. Elles devront être gérées par l’application elle-même. Cette propriété commune simplifie les problèmes de pertes de connexion ou de congestion du réseau qui peuvent devenir problématiques lorsqu’on utilise un protocole tel que TCP. Tous les paquets ont le format général indiqué par la figure suivante : M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . UDP non plus n’utilise pas d’état. le protocole RADIUS ne maintient pas d’état. Celui-ci se basant sur le temps moyen écoulé avant d’effectuer une retransmission paraît trop agressive aux concepteurs du protocole. • Les exigences en termes de temps de réponse de TCP ne sont pas adaptées à RADIUS. la couche transport ne les prenant pas en charge. Pour ce faire. La seule complexité avec UDP réside dans la gestion des retransmissions. aussi bien dans sa version initiale que pour ses extensions. l’idée générale étant que le comportement de RADIUS implique le choix d’UDP : • Si une requête n’aboutit pas au près du serveur primaire. elle doit être renvoyée à un serveur secondaire. la bonne compréhension de leur signification et de leur rôle est indispensable pour tirer le meilleur parti de Radius. Utilisation d'UDP (User Datagram Protocol) La justification de ce choix est expliquée en quatre points dans le RFC. Format des paquets Radius utilise quatre types de paquets pour assurer les transactions d’authentification. Accounting-Response et Accounting-Status pour la comptabilité. il faut donc conserver une copie du paquet original avant la couche de transport. Par conséquent. Il existe aussi trois autres types de paquets à savoir Accounting-Request. • Globalement. De nouveaux attributs peuvent être définis sans perturber les implémentations existantes du protocole. Les champs attributs sont le fondement du protocole. la longueur ainsi que la valeur. 4. Ces derniers considèrent que l’utilisateur peut attendre les quelques secondes durant la phase d’identification. Un attribut constitue le principe le plus important du protocole Radius. En clair. 5. l’utilisation d’UDP simplifie l’implémentation du serveur. • Par essence.Tous les échanges clients/serveur sont basés sur l’emploi de tuples c'est-à-dire un attribut. L’utilisation d’un temporisateur permettant de déduire que le serveur primaire est inaccessible.

Sa valeur est calculée de façon aléatoire. Ce dernier peut alors exécuter le même calcul que le serveur sur cette chaîne pour s’assurer qu’il obtient bien la valeur de l’authentificateur de réponse. Longueur : Champ de seize octets contenant la longueur totale du paquet . Authentificateur : Ce champ de seize octets a pour but de vérifier l’intégrité des paquets. longueur.Figure 1:Format des paquets du Radius • Code : Ce champ d’un seul octet contient une valeur qui identifie le type du paquet. contient une valeur permettant au client Radius d’associer les requêtes et les réponses . Sa valeur est calculée par le serveur à partir d’une formule de hachage MD5 sur une chaîne de caractères composée de la concaténation des champs code. d’un seul octet. quatre d’entre eux seront suffisants pour les problèmes qui nous préoccupent ici. ID. c’est-à-dire les attributs et leur valeur qui seront envoyés soit par le client Radius e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page M i s e . On distingue l’authentificateur de requête et l’authentificateur de réponse. • • L’authentificateur de réponse est présent dans les paquets de réponse de type Access. • ID : Ce champ. Si c’est bien le cas. Le premier est inclus dans les paquets de type Access-Request ou Accounting-Request envoyés par le client Radius.Accept.  Access-Challenge (code=11) . Access-Challenge ou Access-Reject. • Attributs et valeurs : Ce champ du paquet est de longueur variable et contient la charge utile du protocole. Il s’agit de :  Access-Request (code=1) . il peut considérer que la réponse lui vient bien du serveur auquel il a soumis la requête et qu’elle n’a pas été modifiée pendant la transmission . Par chance.  Access-Accept (code=2) . La RFC 3575 définit 255 types de paquets.  Access-Reject (code=3) . Il s’agit d’un mot de passe connu à la fois par le serveur et le client. authentificateur de requête et attributs ainsi que d’un secret partagé.

2. Des attributs permettant la configuration du lien réseau sont donc souvent joints à ce paquet de réponse .• en requête. • Paquet Accounting-Request : Il est défini dans le RFC 2139. mais il est clair que le serveur doit en retourner s’il gère les autorisations. Celui-ci est partagé entre un client et un serveur. Aucun attribut n’est réellement requis. Secret Partagé Afin de renforcer la sécurité et garantir l’intégrité des transactions. L’identifiant utilisé dans ce paquet est le même que celui transmis au serveur lors de l’Access-Request. • Paquet Access-Accept : Il est renvoyé par le serveur pour signifier que la demande d’authentification a été acceptée. L’identifiant utilisé dans ce paquet est le même que celui transmis au serveur lors de l’Access-Request. Types de paquets Il existe plusieurs types de paquets pour l’authentification sous RADIUS. Les paquets Accounting-Request sont utilisés pour effectuer une demande d’accounting auprès d’un serveur RADIUS. Le secret est également utilisé pour chiffré l’attribut User-Password. Le secret partagé est utilisé dans le calcul de l’authentifiant et ce quand il s’agit d’un authentifiant de réponse. soit par le serveur en réponse. Les attributs User-Password ou CHAP-Password doivent y figurer . Il est recommandé que chaque client possède son propre secret et la taille de celui-ci soit d’au minimum 16 octets. • Paquet Access-Reject : Il est renvoyé par le serveur pour signifier que la demande d’authentification a échoué. Les deux derniers types de requêtes sont. Elles sont généralement de type start. Leur format est en tout point similaire à la requête de type Access. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Un paquet de ce type peut être théoriquement envoyé à n’importe quel moment afin de forcer l’arrêt d’une session . L’authentifiant est le résultat d’une fonction de hachage MD5. L’authentifiant est le résultat d’une fonction de hachage MD5 qui consiste à convertir une suite d’octets un mot de passe par exemple en une empreinte réputée unique. le protocole utilise un secret. stop ou update. Les seuls attributs tolérés sont ceux qui peuvent apparaitre plusieurs fois et le Proxy-Etat qui est employé par les serveurs lors des opérations. Elles permettent au serveur de connaître l’état d’avancement d’une session. • Paquet Access-Request : Il est utilisé pour effectuer une demande d’authentification auprès d’un serveur RADIUS. 1.

le mot de passe est alors transmis en clair du client au client Radius en principe sur une liaison point à point. CHAP est basé sur l’idée de transmettre une preuve de la connaissance du mot de passe mais pas ce dernier à proprement parler. a. le haché (CHAP Response) et un identifiant de transaction (CHAP ID) au client Radius. L’identifiant utilisé dans le paquet est le même que celui transmis au serveur lors de l’Accounting-Request. PAP L’utilisation de PAP est suggérée au serveur RADIUS lorsque l’attribut User-Password est trouvé dans un paquet Access-Request. Ce dernier transfère alors : • • M i s e le login via l’attribut User-Name . Le client Radius génère un flux de bytes aléatoire de 16 octets et le transmet au client. Dans ce cas. Méthodes d'authentification RADIUS connaît nativement deux protocoles de mot de passe : PAP qui consiste à faire un échange en clair du nom et du mot de passe et CHAP qui consiste à faire un échange basé sur un hachage de part et d'autre avec échange seulement du challenge mais aussi d’autres protocoles peuvent être utilisés comme l’EAP. Certains NAS ne supportent pas ce type de requête et l’interprètent comme s’il s’agissait d’un Access-Reject. Le NAS transmet ce mot de passe au serveur RADIUS par l’intermédiaire de l’attribut User-Password après l’avoir dû le chiffré. Le client retourne le login. le CHAP ID suivit de CHAP Response via l’attribut CHAP-Password . • Paquet Access-Challenge : Les paquets Access-Challenge sont envoyés au NAS lorsque qu’une tentative d’authentification paraît suspecte au serveur. le nombre d’octets transférés etc . Aucun attribut n’est réellement requis étant donné qu’il s’agit ici d’un pur accusé de réception . œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page e n . • Paquet Accounting-Response : Il est renvoyé par le serveur pour signifier que la demande d’accounting a été acceptée. Le protocole prévoit deux attributs séparés : User-Password et CHAP-Password. accompagnés d’informations sur la session en cours comme la durée de la session. b. CHAP L’utilisation de CHAP est suggérée au serveur RADIUS lorsque l’attribut CHAP-Password est trouvé dans un paquet Access-Request. 1.en principe. L’authentifiant est le résultat d’une fonction de hachage MD5. Le client utilise ce nombre dans une fonction de hachage MD5 avec son mot de passe comme clé.

est un transport sécurisé (chiffrement. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . contrôle d’intégrité). pour sécuriser le Web. Une écoute du trafic peut dans le cas d’un mot de passe mal choisi de permettre de le retrouver par une attaque par dictionnaire ou par force brute. la version sécurisée de HTTP. Le client est authentifié par le serveur en utilisant un mécanisme de défi réponse. Cela reste relativement contraignant du fait de la nécessité de déployer une IGC (Infrastructure de Gestion de Clés). la version normalisée par l’IETF de SSL (Secure Socket Layer). Il faut noter cependant que l’identité de l’utilisateur (paquet EAP-Response/Identity) n’est pas protégée . Le serveur qui connaît le mot de passe calcule sa propre empreinte. a. le client concatène à ce défi le mot de passe et en calcule. et a conduit à une explosion de types EAP. Il n’y a pas d’authentification mutuelle. C’est lui qui est utilisé de façon sous-jacente par HTTPS. ce qui n’est pas toujours une situation enviable. une empreinte qu’il renvoie au serveur.• le challenge original (l’aléatoire de 16 octets) via l’attribut CHAP-Challenge. EAP EAP (Extensible Authentication Protocol) est un protocole conçu pour étendre les fonctions du protocole Radius à des types d'identification plus complexes. en utilisant l’algorithme MD5. Si CHAP a l’avantage de ne pas faire transiter le mot de passe sur le réseau. il implique la lecture de celui-ci côté serveur. C'est ce qui a permis de le mettre en place rapidement sur un maximum d'appareils réseau puisqu'il n'utilise que deux attributs Radius servant de protocole de transport. Le serveur effectue la même opération que le client et compare le résultat obtenu à CHAP Response. • EAP-TLS : C’est la plus sûre. Le protocole d’authentification continue alors avec le nombre d’itérations nécessaires aboutissant en fin de parcours soit à un Access-Accept ou à un Access-Reject de la part du serveur RADIUS. authentification mutuelle. il est indépendant du matériel du client Radius et négocié directement avec le suppliant (poste client. Il existe différentes méthodes d’authentification pour EAP : • EAP-MD5 : C’est la plus simple. Rappelons que TLS. terminal d'accès). C’est à dire le serveur envoie une valeur aléatoire (le défi). Le serveur et le client possèdent chacun leur certificat qui va servir à les authentifier mutuellement. le serveur n’est pas authentifié par le client . compare les deux et en fonction du résultat valide ou non l’authentification.

Nous pouvons éventuellement configurer la gestion de comptes RADIUS de sorte que NPS enregistre les informations de gestion de comptes dans des fichiers journaux sur le disque dur local ou dans une base de données Microsoft SQL Server ou dans Active Directory . Elle est développée par Microsoft. Nous devons également configurer les stratégies réseau utilisées par NPS pour autoriser les demandes de connexion. On peut alors utiliser toutes les méthodes d’authentification supportées par EAP . Schéma de fonctionnement du serveur RADIUS NPS (Network Policy Server) permet de créer et appliquer des stratégies d’accès réseau à l’échelle de l’entreprise pour le contrôle d’intégrité. • PEAP (Protected EAP) : Il est une méthode très semblable dans ses objectifs et voisine dans la réalisation à EAP-TTLS. Elle n'utilise aucun certificat et est basé sur l'échange de défi et réponse. l’authentification et l’autorisation des demandes de connexion des clients. • LEAP (Lightweight EAP) : Il est une méthode propre à Cisco qui repose sur l’utilisation de secrets partagés pour authentifier mutuellement le serveur et le client. 1. NPS peut être également utilisé en tant que proxy RADIUS (Remote Authentication Dial-In User Service) pour le transfert des demandes de connexion au serveur NPS ou à d’autres serveurs RADIUS configurés dans les groupes de serveurs RADIUS distants. Pratiquement n’importe quelle méthode d’authentification peut être utilisée. Lorsque nous utilisons NPS en tant que serveur RADIUS.• EAP-TTLS (tunneled TLS) : Il utilise TLS comme un tunnel pour échanger des couples attribut-valeur à la manière de RADIUS servant à l’authentification. tels que les points d’accès sans fil en tant que clients RADIUS dans NPS.  RADIUS proxy : Lorsque nous utilisons NPS en tant que proxy RADIUS. nous devons configurer les stratégies de demande de connexion indiquant au serveur NPS quelles M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . nous devons configurer les serveurs d’accès réseau. d’accès par commutateur d’authentification et d’accès par connexion à distance et réseau privé virtuel (VPN). une autorisation et une gestion des comptes centralisées des connexions d’accès sans fil. NPS permet la configuration et la gestion centralisées de l’authentification et l’autorisation d’accès réseau ainsi que des stratégies de contrôle d’intégrité des clients à l’aide des trois fonctionnalités suivantes :  RADIUS server : NPS effectue une authentification. Elle se sert d’un tunnel TLS pour faire circuler de l’EAP.

Le fonctionnement du protocole RADIUS peut se faire grâce à l’utilisation du rôle sous Windows server 2008 de NPS (Network Policy Server) qui permet de centraliser la configuration et la gestion des stratégies réseau à l’aide des fonctionnalités du serveur RADIUS mais aussi d’effectuer l’authentification. Lorsque NPS est utilisé en tant que serveur RADIUS.  Network Access Protection (NAP) Policy server: Lorsque nous configurons NPS en tant que serveur de stratégie NAP. Les explications sont illustrées dans la figure qui suit : M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Nous pouvons configurer les stratégies et paramètres NAP dans NPS. notamment les programmes de validation d’intégrité système (SHV). Un client RADIUS peut être un serveur d’accès. la stratégie de contrôle d’intégrité et les groupes de serveurs de mise à jour permettant aux ordinateurs clients de mettre à jour leur configuration de sorte qu’ils deviennent conformes à la stratégie réseau de l’entreprise. NPS évalue les déclarations d’intégrité envoyées par les ordinateurs clients compatibles NAP qui souhaitent se connecter au réseau. en assurant l’authentification et l’autorisation des demandes de connexion. ou un proxy RADIUS. il fournit les services suivants : •Un service d’authentification et d’autorisation centralisé pour toutes les demandes de connexion envoyées par des clients RADIUS . •NPS peut utiliser le domaine des services d’Active Directory (AD DS) afin d’authentifier les informations d’identification des utilisateurs pour les tentatives de connexion. tel qu’un serveur d’accès à distance ou un point d’accès sans fil. Nous pouvons éventuellement configurer NPS pour le transfert des données de gestion de comptes à enregistrer par un ou plusieurs ordinateurs d’un groupe de serveurs RADIUS distants . NPS joue également le rôle d’un serveur RADIUS lorsqu’il est configuré avec NAP. l’autorisation et la gestion des clients RADIUS. Dans notre cas NPS sera utiliser comme serveur RADIUS et il nous permettra de configurer le serveur ainsi que ses clients.demandes de connexion doivent être transférées à d’autres serveurs RADIUS et de spécifier ces derniers.

M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . le serveur RADIUS NPS envoie un message d’acceptation d’accès au serveur d’accès . d’autorisation et de gestion. •Les informations d’identification utilisateur sont vérifiées et les propriétés de numérotation du compte d’utilisateur sont obtenues par le biais d’une connexion sécurisée à un contrôleur de domaine .Figure 2:Vue d’ensemble de l’utilisation de Radius •Le point d’accès sans fil reçoit des demandes de connexion de la part des clients d’accès . •La tentative de connexion est autorisée avec les propriétés de numérotation du compte d’utilisateur et avec les stratégies d’accès . Celui-ci traite le challenge et envoie un message de demande d’accès mis à jour au serveur RADIUS NPS . le serveur RADIUS NPS envoie un message de challenge d’accès au serveur d’accès. configuré de façon à utiliser RADIUS comme protocole d’authentification. •Si nécessaire. •Le point d’accès. •Si la tentative de connexion n’est pas authentifiée ou n’est pas autorisée. le serveur RADIUS NPS envoie un message de refus d’accès au serveur d’accès . crée un message de demande d’accès et l’envoie au serveur RADIUS NPS . •Le serveur RADIUS NPS évalue le message de demande d’accès . •Si la tentative de connexion est authentifiée et autorisée.

la gestion de l'authentification et de l'autorisation sera gérée par un serveur Radius. Parmi ceux-là. Certains serveurs et protocoles permettent une sécurité accrue des échanges d'informations. En revanche. Néanmoins. où le message est enregistré dans le journal . Le serveur Radius pourra aussi être représenté par un serveur d'accès distant. Dans notre cadre. De ce fait. si on souhaite une authentification très forte il faudra utiliser une autre méthode. Les types d’authentification du serveur RADIUS La sécurité reste un élément important dans l'établissement de connexions distantes. fonctionnant sous Windows 2008. Authentification par adresse MAC L’adresse MAC de la carte Ethernet du poste de travail identifie ce dernier. connaître une adresse MAC valide et réussir à s’en servir. cette solution est suffisante si on considère qu’il s’agit là d’une première barrière. sur un réseau filaire. pour tromper le système d’authentification. Même si on peut imaginer qu’une personne décidée peut y arriver. Pour la gestion de la sécurité sous Windows server 2008. Son fonctionnement est illustre dans la figure suivante : M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . a. cette adresse peut être suffisante puisque.•Le serveur d’accès achève le processus de connexion avec le client d’accès et envoie un message de demande de compte au serveur RADIUS NPS. il existe plusieurs méthodes d’authentification au sein du protocole RADIUS que nous allons essayer d’expliquer par la suite. à savoir 802. pour les clients Radius. il faudra tout de même pénétrer sur le site. on distingue un protocole permettant de centraliser l'authentification et l'autorisation des utilisateurs distants. Le protocole Radius pourra être utilisé dans plusieurs circonstances si nous voulons renforcer la sécurité de votre réseau. Ce protocole client/serveur fonctionne sur le protocole UDP. Cette adresse MAC n’est pas une preuve absolue d’identité puisqu’il est relativement facile de la modifier et d’usurper l’identité d’un autre poste de travail. 1. Ce type d’authentification est appelé Radius-MAC ou encore MAC-based. •Le serveur RADIUS NPS envoie une réponse de compte au serveur d’accès.1X. un serveur Windows server 2008 pourra jouer le rôle de serveur Radius.

l’adresse MAC du poste de travail fait office d’identifiant .1x 802. le port du commutateur reste fermé et le poste n’est pas connecté au réseau. •4: Le serveur envoie sa réponse au commutateur. dans ce type d’authentification. il n'est pas lié explicitement à RADIUS dans son principe et utilise dans toutes ses définitions les termes "serveur AAA" et "protocole AAA" et s'appuient sur RADIUS.Figure 3:Schéma du fonctionnement par adresse mac L’authentification par adresse MAC est appelée Radius-MAC est la plus simple à mettre en œuvre puis que son principe de fonctionnement est la suivante : •1 : Le poste de travail se branche sur un des ports du commutateur . Authentification par 802. Si la réponse est positive (Access-Accept). Son fonctionnement est illustre dans la figure suivante : M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . •3 : Le serveur reçoit ce paquet et utilise l’adresse MAC comme point d’entrée dans la base de données d’où il récupère. le VLAN auquel sera connecte ce poste de travail . il n’y a pas de communication entre le poste de travail et le serveur Radius. Donc. Dans cette requête.1x est un protocole assurant l'identification par port pour l'accès à un réseau . a. elle contient le numéro de VLAN autorisé. Tous les échanges interviennent entre le commutateur et le serveur. •2 : Le commutateur détecte cette connexion et envoie une requête d’authentification (Access-Request) au serveur Radius. Le commutateur ouvre alors le port sur ce VLAN et le poste peut commencer à travailler. si l’adresse MAC est connue. Si elle est négative (Access-Reject).

à la condition d'avoir un ordinateur relativement récent. Choix de la méthode d’authentification : 802. il ne communique pas directement avec le serveur car il ne connait pas que le serveur existe . il y a bien une communication. c'est-à-dire que le système d'exploitation soit supérieur ou égal à Windows XP. avec Radius-MAC. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Le protocole 802.1x permet d’authentifier les éléments connectés sur le réseau. le serveur RADIUS a besoin d’un identifiant qu’il utilise comme point d’entrée. L’identifiant sera configuré et envoyé par l’utilisateur .1X En résumé. Pour les ordinateurs plus anciens. Les solutions d'authentification basée sur 802.1X •1 : L’utilisateur envoie une demande d’authentification vers le serveur RADIUS Cependant.Figure 5:Schéma du fonctionnement de l’authentification par 802. Nous allons choisir pour l’authentification le nouveau standard 802. •4 : Le serveur accepte ou refuse l’authentification et renvoie sa réponse au commutateur. a. l’authentification est réalisée sans aucune communication entre le poste de travail et le serveur. •3 : pour interroger sa base de données. dans la mesure où c’est l’utilisateur qui envoie les éléments d’authentification.1X.1x fonctionnent bien. •2 : Le commutateur servira d’intermédiaire car c’est qui va envoyer la requête vers le serveur . il n'est pas possible d'effectuer une authentification de l'utilisateur de manière fiable.1x qui est une réponse au besoin d’authentifier les machines ou les utilisateurs connectés sur un réseau sans fil. En 802.

1X et EAP .Le but du projet est de mettre en place une infrastructure Wi-Fi sécurisé WPA (Wi-Fi Protected Access) de 802. il est le client Radius puisque c’est lui qui soumet les requêtes au serveur Radius. I. Les matériels nécessaires Toute la difficulté de la mise en œuvre d’une solution d’authentification réside dans le fait qu’il s’agit d’un fonctionnement triparti : •l’équipement réseau : c’est le point d’accès. • le poste utilisateur : nous avons utilisé une machine virtuelle installer sur la machine qui héberge le serveur grâce à l’installation de VMware . l’utilisation d’Active Directory est nécessaire. •le serveur d’authentification : Il s’agit d’une machine implémentant un serveur RADIUS. En fonction du résultat de l’authentification ce serveur va envoyer à l’authentificateur un message comme quoi ce dernier peut autoriser ou non le port . •Un système d’exploitation : Windows server 2008 pour héberger le serveur Radius. Active Directory Domain Services) stockent des informations à propos des utilisateurs. C’est lui qui va authentifier l’utilisateur.1X utilisant un serveur Radius et une authentification par certificat. Création du réseau Pour la création de ce réseau. des ordinateurs et d’autres ressources d’un réseau. Ils doivent impérativement supporter au moins les standards du protocole Radius et les protocoles IEEE 802. Les services de domaine Active Directory (AD DS. I. Les M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .

L'assistant commence par nous proposer l'installation en mode avancé. Ou bien nous avons utilisé l’installation en ligne de commande avec la commande DCPROMO. •En intégrant le stockage de nos bases de données de zones DNS dans les services de domaine Active Directory. Ces zones présentent les avantages suivants : •DNS propose une réplication des données multi maître et une sécurité améliorée basées sur les capacités des services de domaine Active Directory . L’intégration de DNS (Domain Name System) aux services de domaine Active Directory (AD DS) fournit une réplication automatique entre les contrôleurs de domaine dans un domaine ou une forêt commune. nous pouvons optimiser la planification de réplication de base de données pour notre réseau.services AD DS nécessitent qu’un serveur DNS (Domain Name System) soit installé sur le réseau. Pour installer active directory. Nous aurons le choix entre rejoindre une forêt existante ou créer un nouveau domaine dans une nouvelle M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . "Gestionnaire de serveur". •Les zones sont répliquées et synchronisées automatiquement sur les nouveaux contrôleurs de domaine chaque fois que nous en ajoutons un à un de domaine AD DS . Si le serveur DNS n’est pas disponible pour la résolution de noms dans le domaine. pour les réseaux qui déploient DNS afin de prendre en charge les services de domaine Active Directory. se placer sur "Rôles" et faire "Ajouter des rôles". Nous allons maintenant commencer la création de notre Active Directory. Les avantages offerts par l’intégration de DNS aux services de domaine Active Directory. il est vivement recommandé d’utiliser des zones principales intégrées à l’annuaire. Il aurait également été possible de faire "Outils d'administration". Ce mode avancé nous permet de fournir un fichier de réponses issu d'une autre installation ou encore de charger une sauvegarde de notre Active Directory. Cela nous procure également la possibilité de trouver les serveurs sur les sites où ils peuvent être atteints de la manière la plus efficace par les clients DNS. l’assistant d’installation d’Active Directory va-nous demandé d’installer le rôle du serveur DNS. L’installation de plusieurs contrôleurs de domaine dans un domaine exécutant le service Serveur DNS nous permet de nous assurer que DNS continuera de fonctionner en cas de défaillance d’un contrôleur de domaine ou de sa mise hors service à des fins de maintenance. il faut aller dans la fenêtre "Tâches de configuration initiales" utilisez "Ajouter des rôles".

Nous avons ensuite la possibilité de pouvoir indiquer le nom mûrement réfléchi de notre domaine racine de forêt. nous avons donné un mot de passe. Si nous n'avons pas déjà installé un serveur DNS compatible avec les besoins d'Active Directory.sn. Le nom NetBIOS est également important. Si notre Active Directory. Pour le nom DNS licprosoir. Dans mon cas. l'assistant doit contrôler la disponibilité de ce dernier. nous pourrons le restaurer. Le serveur ne trouvant pas de serveur DNS parente. Etant donné l'importance du nom NetBIOS. le nom NetBIOS est LICPROSOIR. Figure 6:Nom du domaine racine de foret L'assistant va alors détecter si le domaine DNS est déjà utilisé ou non sur le réseau. En mode avancé. Cliquons sur Oui pour continuer l'installation du contrôleur de domaine. Pour protéger notre serveur et ainsi éviter des restaurations non souhaitées. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .forêt. Un message d'avertissement apparaît ensuite parce que le serveur n'arrive pas à contacter le DNS qui gère la zone parente. Nous avons ensuite indiqué le futur emplacement des fichiers servant à Active Directory. venait à tomber en panne. nous sélectionnons l'installation du serveur DNS de Windows. nous avons sélectionné un nom NetBIOS différent. nous sélectionnons le niveau fonctionnel de notre forêt.aicha. nous avons pris le niveau 2008 R2 puisque notre future infrastructure supporte ce niveau fonctionnel. Il est recommandé de placer ces fichiers ailleurs que sur le disque système. Nous avons créé un nouveau domaine. Si les noms DNS et NetBIOS ne sont pas déjà pris. il prend la partie la plus à gauche de notre nom DNS. pour une raison quelconque. il ne peut pas demander de délégation.

168.Nous avons ensuite entré l'ID de notre réseau. faisons un clic droit sur Zones de recherche directes. Nouvelle zone.1. Pour éviter les problèmes désactivons les mises à jour.  Configuration du DNS • Zone de recherche directe : Nous avons commencé par créer la zone de recherche directe. nous sélectionnons le fonctionnement de la réplication pour la zone DNS. nous avons choisi le type d'IP qui constituera la zone. Sélectionnons la zone IPv4. Nous avons ensuite sélectionné le type de zone. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .sn comme celle que nous avons donné lors de la création du domaine de d’Active Directory. Nous avons besoin d'une zone principale stockée dans Active Directory. les redirecteurs conditionnels et les journaux concernant le DNS. notre domaine s’appelle licprosoir. Le choix par défaut est correct. Nouvelle zone. Ouvrons la console de gestion DNS dans le gestionnaire de serveur ou bien par Menu démarrer. Nous avons exporté les paramètres de cette installation afin de la reproduire ailleurs : il s'agit du fichier de réponses exploitable en mode avancé. faisons un clic droit sur Zone de recherche inversée. Nous indiquons le nom de notre zone.168.1. DNS. Nous avons alors les zones de recherche directe et inversée. La zone étant stockée dans Active Directory. Lors de la création de la zone inversée.Nous arrivons ensuite sur le résumé de l'installation qui va être faite. Notre adresse réseau IP est 192. Dans la console de gestion du DNS.aicha. • Zone de recherche inversée : La création de cette zone est simple. Outils d'administration.2 d’où notre IP réseau est 192. Pour ajouter une nouvelle zone inversée DNS.

Dans l'arborescence de la console. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Dans la zone Nom. autoriser ou refuser l'accès aux ressources et à auditer l'activité des utilisateurs individuels de notre réseau. Il est possible de créer des comptes d'utilisateurs et des comptes de groupes dans Active Directory pour gérer des utilisateurs de domaine. tapons le prénom de l'utilisateur . Pour créer un compte d'utilisateur dans Active Directory : • • Ouvrons Utilisateurs et ordinateurs Active Directory . • • • • Pointons-nous sur Nouveau. puis cliquons sur Utilisateur . Dans la zone Prénom.Figure 7:Création de la zone de recherche inversée  Ajout des comptes utilisateur Les comptes d'utilisateurs servent à authentifier. des ordinateurs et d'autres groupes. tapons le nom de l'utilisateur . Un groupe peut également contenir des contacts. cliquons avec le bouton droit sur le dossier dans lequel nous souhaitons ajouter un compte d'utilisateur . tapons les initiales de l'utilisateur . Un compte de groupe est un ensemble de comptes d'utilisateurs que nous pouvons utiliser pour attribuer un jeu de droits et d'autorisations à plusieurs utilisateurs en même temps. Nous pouvons également créer des comptes d'utilisateurs et des comptes de groupes sur un ordinateur local afin de gérer les utilisateurs de cet ordinateur. Dans la zone Initiales.

Ensuite. tapons le nom avec lequel l'utilisateur se connecte. Pour notre mise en œuvre. Figure 9:Création d’un groupe sur AD M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . De la même façon. nous pouvons aussi ajouter des groupes. Dans la zone Nom d'ouverture de session de l'utilisateur. cliquons sur Suivant. tapons le mot de passe de l'utilisateur et sélectionnons les options de mot de passe adéquates. nous avons créé quatre utilisateurs et deux groupes dont les groupes professeurs et groupes étudiants et nous avons mis dans chaque groupe deux utilisateurs. puis cliquons dans la liste déroulante.• Modifions Nom complet pour ajouter des initiales ou inverser l'ordre des nom et prénom. Figure 8:Création d’un utilisateur d’AD Dans les zones Mot de passe et Confirmer le mot de passe.

168.I. nous avons ouvert un navigateur quelconque et y taper l’adresse IP suivant : http://192. Nous avons utilisé le point d’accès linksys illustres dans la figure qui suit. Une fois que nous avons entré le login correct et son mot de passe ici Admin/Admin.1.1. nous avons configuré le DHCP qui nous a permis de gérer l’attribution des adresses IP dans notre M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Les points d'accès agissent comme un émetteur central et d'un récepteur de signaux radio. Figure 10:Schématisation d’un linksys Pour visualiser le contenu du linksys. Figure 11:Page d’accueil du point d’accès Entrons notre login et notre mot de passe puis aller dans le menu paramètres sans fil. Configuration du point d’accès Wi-Fi Un point d'accès sans fil est spécialement configuré sur des nœuds réseaux locaux sans fil.

le numéro de port et la même clé partagée que celle que nous avons saisi sur le Serveur Radius. Figure 13:Configuration du SSID Nous avons utilisé comme mode de sécurité wifi le mode RADIUS ainsi nous renseignons les informations suivantes : l’adresse IP de notre Serveur Radius. nous avons désactivé la diffusion du nom SSID (Service Set Identifier) ce qui empêche le nom de notre réseau de ne pas être visible aux yeux de tout le monde. Figure 12:Configuration du DHCP Apres avoir configuré le DHCP. nous avons fixé l’adresse IP de domaine de résolution des noms de domaine et la plage d’adresse. Ainsi dans cette configuration du DHCP. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .réseau comme ça nous n’aurons pas à l’installer au niveau de notre serveur.

Ainsi nous aurons la possibilité d’installer les rôles comme NPS. Pour l’installation du rôle NPS au niveau de Windows server 2008. naviguons jusqu’à : Rôles Services de stratégies d’accès distant. •Cochons NPS . Installation du NPS Le Server Manager de Windows Server 2008 prend en charge le rôle NPS (Network Policy Server). Dans la console Gestionnaire de Serveur. lesquels sont donc des sous-éléments d’un ou plusieurs rôles. •Cliquons sur routage et accès distant . il est très facile de dédier une machine à un ou plusieurs rôles particuliers. cliquons sur services de stratégies et d’accès distant puis sur suivant . 1.Figure 14:Configuration du Radius II. Les rôles sont composés de services. •Cliquons sur installer. Ainsi. Installation et configuration du serveur Radius dans Windows server 2008 permet à l’administrateur du La gestion avancée des rôles système de maîtriser les fonctions principales associées à un serveur. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . nous devons suivre les instructions suivantes : •Dans l’onglet ajout de nouveau rôle.

est une instruction signée numériquement qui lie la valeur d’une clé publique à l’identité de la personne. les certificats contiennent les informations suivantes : •La valeur de la clé publique du sujet . Un certificat n’est valide que pour la durée spécifiée à l’intérieur. •La signature numérique de l’émetteur qui atteste de la validité de la liaison entre la clé publique du sujet et les informations d’identification de ce dernier. généralement appelé simplement un certificat. Installation du certificat Un certificat de clé publique. de la machine ou du service qui contient la clé privée correspondante. par exemple son nom et son adresse de messagerie . Il suffit désormais à l’hôte d’établir une relation d’approbation avec un émetteur de certificats.Figure 15:Sélection des rôles du routage et accès distant 1. •Des informations identifiant l’émetteur . •La période de validité (durée pendant laquelle le certificat est valide) . L’un des principaux avantages des certificats est que les hôtes n’ont plus besoin de gérer un jeu de mots de passe pour des sujets individuels qui doivent être authentifiés avant d’obtenir un accès. •Des informations identifiant le sujet. Chaque certificat contient les dates Valide à partir du et Valide jusqu’au qui définissent les limites de la période de M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . En général.

validité. Une fois que la période de validité d’un certificat est dépassée, un nouveau certificat doit être demandé par le sujet du certificat expiré. Voici les principaux types d’utilisation des certificats : •Authentification : vérification de l’identité d’une personne ou d’une autre entité ; •Confidentialité : assurance que les informations ne sont accessibles qu’au public concerné ; •Chiffrement : codage des informations de telle sorte que les lecteurs non autorisés ne puissent pas les déchiffrer ; •Signatures numériques : garantie de non-répudiation et de l’intégrité des messages. Ces services peuvent être primordiaux pour la sécurité de nos communications à savoir :

Authentification : L’authentification est vitale pour rendre la communication plus fiable. Les utilisateurs doivent pouvoir prouver leur identité à leurs partenaires de communication et doivent également pouvoir vérifier l’identité des autres utilisateurs ;

Confidentialité :

Lorsque

des

informations

sensibles

sont

transmises

entre

périphériques informatiques sur n’importe quel type de réseau, les utilisateurs souhaitent certainement utiliser une méthode de chiffrement afin de protéger la confidentialité de leurs données ;

Chiffrement : Le chiffrement peut être considéré comme la mise sous verrous d’un objet de valeur dans un coffre à toute épreuve. À l’inverse, le déchiffrement peut être considéré comme l’ouverture de ce coffre et l’extraction de l’objet;

Signatures numériques : Une signature numérique nous permet de protéger l’intégrité et l’origine des données. Elle constitue une preuve évidente que les données n’ont pas été modifiées depuis leur signature et confirme l’identité de la personne ou de l’entité qui a signé les données.

Pour installer les services du certificat sur Windows 2008 server au sein d’un domaine Active directory. Nous avons procédé de la façon suivante, nous allons dans la console de gestionnaire de serveur pour ajouter le rôle des services de certificats Active Directory.

M i s e

e n

œ u v r e

d ’ u n

s e r v i c e

d e s é c u r i t é a v e c R a d i u s

Page

Figure 16:Installer du rôle du certificat Les services de certificats Active Directory dans le système d’exploitation Windows Server 2008 fournissent des services personnalisables pour la création et la gestion de certificats de clé publique utilisés dans les systèmes de sécurité logiciels employant des technologies de clé publique. Les organisations peuvent utiliser les services AD CS pour renforcer la sécurité en liant l’identité d’une personne, d’un périphérique ou d’un service à une clé privé correspondante. Les services de certificats Active Directory comportent également des fonctions qui nous permettent de gérer l’inscription et la révocation de certificats dans différents environnements évolutifs.la présentation du service de certificat d’Active Directory est illustré dans la figure suivante :

M i s e

e n

œ u v r e

d ’ u n

s e r v i c e

d e s é c u r i t é a v e c R a d i u s

Page

Figure 17:Présentation du certificat d’Active Directory Apres avoir cliqué sur le suivant de l’introduction du service de certificat, nous sélectionnons les services de rôles à installer pour le certificat d’Active Directory, ici nous installons les autorités de certification et les inscriptions des autorités de certification pour le web.

Figure 18:Sélection des rôles à installer pour le certificat

M i s e

e n

œ u v r e

d ’ u n

s e r v i c e

d e s é c u r i t é a v e c R a d i u s

Page

pour gérer et émettre des certificats à des clients. Figure 19:Sélection des rôles à installer pour le certificat Apres avoir choisi une autorité de certificat d’entreprise.Nous devons faire un choix entre les autorités de certificats d’entreprise si cette autorité de certificat est un membre du domaine et peut utiliser les services d’annuaire pour émettre et gérer des certificats sinon utilisons les autorités de certificats autonome si celle-ci n’utilise pas les services d’annuaire d’Active Directory. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . nous devons créer une clé privée pour améliorer la sécurité.

ainsi que un algorithme de hachage.Figure 20:Création de la clé privée Pour créer cette clé privée. RSA #Microsoft Software Key Storage Provider. ici le SHA256. et en fin une longueur de clé adapte. nous devons sélections un fournisseur de services de chiffrement dans notre cas. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .

Figure 21:Configuration du chiffrement pour l’autorisation de certification Après nous pouvons donner un nom commun de cette autorité de certificat qui sera ajouté à tous les certificats émis par l’autorité de certification. Figure 22:Configuration du nom de l’autorité de certification M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .

C est une plateforme Web unifiée intégrant IIS.NET. nous configurons la base de données de certificat qui permet d’enregistrer toutes les demandes de certificats. Apres cette configuration de la base de données du certificat. les certificats émis et les certificats expirés. IIS nous permet de partager des M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .Nous sélectionnons la période de validité du certificat qui permet de définir la durée d’un certificat. Le rôle Serveur Web (IIS) signifie Internet Information Services . ASP. nous installons le rôle du serveur web(IIS). Figure 23:Période de validité du certificat Apres avoir déterminé la durée de validité de notre certificat.

Figure 24:Présentation du serveur web (IIS) Nous sélectionnons et installons les rôles les plus importants pour notre application c’est-àdire le ASP. Figure 25:Sélection des rôles de l’IIS M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .informations avec d’autres utilisateurs sur Internet.Net et le ASP ainsi que les autres rôles qui sont facultatifs. intranet ou extranet.

le serveur Web (IIS) ainsi que les Services d’activation des processus Windows. Une fois l’autorité de certification installée nous créons un certificat SSL pour pouvoir demander un certificat car par défaut nous ne pouvons pas demander un certificat en http. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Pour cela nous allons sur la mmc gestionnaire de services internet. Figure 26:Gestionnaire des services internet Nous nous pointons vers notre serveur et nous cliquons sur clique sur certificat de serveur.Ainsi après confirmation. l’installation des trois rôles est en cours c’est-à-dire les services de certificats Active directory.

ensuite il faut donner un nom et valider. Ensuite nous allons forcer l’accès web en SSL au niveau de IIS. donc dans le site certsrv cliquons sur paramètres SSL et cochons sur Exiger SSL. Figure 28:Ajout d’une liaison de site Donc là il faut choisir https et ensuite le certificat que nous venons de créer et valider.Figure 27:Création d’un certificat auto-signé Donc là nous créons un certificat auto-signé. Maintenant que notre certificat est créé nous allons configurer notre site web (certsrv) pour qu’il utilise ce certificat en https sur le port 443: Donc nous ajoutons une liaison https sur le site de demande de certificat. pour cela sur le site nous faisons un clic droit ensuite modifions les liaisons et ensuite nous cliquons sur ajouter. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .

sn. Configuration du client Radius Un serveur d’accès réseau est un appareil qui fournit un certain niveau d’accès à un réseau de grande taille. Un serveur d’accès réseau utilisant une infrastructure RADIUS est également un M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .aicha. Figure 30:Page d’accueil de l’autorité de certification I.Figure 29:Paramétrage du SSL Donc voilà maintenant notre autorité de certification est montée et nous pouvons demander des certificats directement sur l’interface Web : https://win-dj3a01nd0158.licprosoir.

nous pouvons choisir le type de connexion 802.client RADIUS. Figure 31:Sélection d’un scenario du NPS Par la suite.Ce service nous permet de créer et de mettre en application sur l’ensemble du réseau des stratégies d’accès réseau portant sur l’intégrité des clients ainsi que sur l’authentification et l’autorisation des demandes de connexion. qui envoie des demandes de connexion et des messages de gestion de comptes à un serveur RADIUS à des fins d’authentification. nous allons sélectionner un scénario de configuration dans la liste c’est-à-dire ici le Serveur RADIUS pour les connexions câblées ou sans fil 802.1X car il nous permettra de créer des stratégies réseau qui permettent au serveur NPS d’authentifier les autorisations des connexions provenant des clients RADIUS. Ainsi dit.1X que nous voulons utiliser. La configuration du client Radius nécessite l’installation du rôle de NPS « Network Policy and Access Services ». dans notre cas nous allons utiliser une connexion 802.1X de type connexion sans fil sécurisé et après donné le nom de la stratégie utilisée ici le nom wifi licprosoir. d’autorisation et de gestion. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .

si l’attribut d’authentificateur de message M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Cette chaîne de caractères doit être configurée sur le client RADIUS et dans le composant logiciel enfichable NPS . le secret partagé sert également de clé pour chiffrer les messages RADIUS. •Attribut d’authentification de message : Il décrit dans le document RFC. l’extension RADIUS . Lorsque nous configurons un client RADIUS dans NPS. De même. nous pouvons spécifier les propriétés suivantes : •Nom : C’est le nom convivial du client RADIUS qui facilitera l’identification lorsque nous utilisons le composant logiciel enfichable NPS . Si la vérification échoue.Cet attribut est un hachage MD5 (Message Digest 5) de l’intégralité du message RADIUS. •Adresse : Ici nous pouvons donner l’IP ou le nom du domaine du client RADIUS . nous configurons NPS pour recevoir des messages de requête d’accès RADIUS émanant d’un serveur d’accès réseau. le message RADIUS est ignoré.1X Lorsque nous ajoutons un client RADIUS à la configuration NPS à travers le composant logiciel enfichable NPS. S’il est présent. l’attribut d’authentificateur de message RADIUS est vérifié.Figure 32:Sélection du type de connexions 802. Lorsque l’attribut d’authentificateur de message est utilisé. •Fournisseur : C’est le fournisseur du client RADIUS . •Secret partage : C’est une chaine de caractères qui est utilisée comme mot de passe entre les clients et les serveurs RADIUS.

Figure 33:Ajout d’un client Radius Apres avoir créé le client RADIUS.est absent alors que les paramètres du client demandent sa présence. L’utilisation de l’attribut d’authentificateur de message est recommandée.Ici nous allons choisir le EAP-MSCHAP qui nous permet d’avoir un mot de passe sécurisé. nous configurons une méthode d’authentification . M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . le message RADIUS est ignoré.

nous pouvons spécifier les groupes d’utilisateur qui seront paramétrés en fonction des besoins de l’administrateur c’est-à-dire définir les différentes autorisations sur les deux groupes créer au niveau d’Active Directory. Figure 35:Spécification des groupes d’utilisateur Apres avoir spécifié les groupes d’utilisation. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .Figure 34:Configuration d’une méthode d’authentification Apres avoir choisi le type de mot passe à utiliser. l’assistant nous indique l’installation et la configuration du client RADIUS est terminer et il affiche les stratégies que nous avons créés.

pour ce faire. Tout d’abord ouvrons une session sous le nom de l’utilisateur qui recevra le certificat sur cette machine. nous cliquons sur le lien correspondant en bas de la fenêtre sur installer ce de chaîne de certificats d’autorité de certification.sn puis taper le login et le mot de passe de l’utilisateur qui est enregistré dans l’Active Directory.Figure 36:Fin de l'installation du 802. Pour cela nous allons procéder de la façon suivante : •Installation du certificat Nous allons devoir récupérer un certificat émis par l’autorité de certification. Configuration des clients d’accès Wi-Fi Dans notre cas nous utiliserons un système d’exploitation Windows Seven pour voir si un utilisateur du domaine avec les droits qu’on les a fixé parviendra à se connecter au réseau sans problème. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .aicha. Puis ouvrir Internet Explorer ou Google Chrome ou Mozilla et se connecter sur le serveur Web de l’autorité de certification : http:// "nom de votre serveur "/certsrv. il va falloir maintenant installer une chaine de certificats. ici https://licprosoir.1X I. Une fois dans la page d’accueil.

Figure 37:Selection de l’autorité de certification Une fenêtre s’ouvre nous demandant de confirmer l’installation. puis le lien certificat utilisateur et sélection le niveau de puissance de la clé ici nous avons utilisé le niveau moyen et enfin cliquer sur le bouton envoyer. Puis nous devons retourner à la page d’accueil et cliquer sur le lien demander un certificat. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . cliquons sur oui.

Figure 38:Choix du niveau de la puissance de la clé Nous devons confirmer la demande de certificat en cliquant sur oui et suivre le lien installer ce certificat. Figure 39:Fin de l'installation du certificat M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . Puis cliquer sur oui pour valider que nous faisons confiance à ce site.

Le certificat est maintenant installé. propriétés . Pour vérifier que les paramètres sont corrects. nous devons procéder de la façon suivante :     M i s e Réseaux . Ajouter . Figure 40:Verification de la présence du serveur de certificat L’installation du certificat est maintenant terminé nous allons pouvoir passer à la configuration de la connexion réseau sans-fil. •Configuration de la connexion réseau sans-fil Pour configurer la connexion du réseau sans fil dans la machine de l’utilisateur. Nous devons vérifier également que le serveur de certificat est bien présent dans la liste des autorités principales de confiance. Gérer les réseaux sans fil. e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . dans Internet Explorer nous allons dans le menu déroulant outils puis option Internet puis dans l’onglet contenu cliquons sur certificats.

Décochons l’option connexion à ces serveurs puis sélectionnons notre serveur de certificat dans la liste des autorités de certification racine de confiance. M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .  Créer un profil réseau manuellement . Choisissons une authentification de type WPA et un cryptage de type TKIP.1X pour ce réseau et cliquons sur propriétés du type EAP. Figure 41:Configuration de la connexion réseau sans fil Dans l’onglet authentification nous devons sélectionner activation de l’authentification IEEE 802.

Figure 42: Propriétés du certificat Notre connexion est maintenant configurée et opérationnelle.sn M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .aicha. nous pouvons donc nous connecter au réseau sans-fil. Figure 43:Connexion au réseau licprosoir.

Aussi pour mieux sécuriser et gérer les données au sein d’une entreprise. en l’occurrence la disponibilité du matériel pour tester à tant notre mise en œuvre. Certes des problèmes ont été rencontres. pourquoi ne pas cumuler les trois protocoles d’authentifications pour ainsi produire une sécurité sans faille au niveau de la sécurité ? M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page . nous avons pu choisir Radius que nous avons essayé de mettre en œuvre par la suite sous Windows server 2008. En effet. est atteint car le projet nous a permis d’acquérir des connaissances considérables dans le domaine du réseau informatique. Parmi ces protocoles nous en avons étudié trois à savoir Kerberos.Conclusion L’objectif principal du projet était de mettre en place une étude sur la sécurité au niveau de Windows server 2008. Ainsi pour assurer la sécurité des données de l’entreprise ainsi que la gestion des privilèges de ces données par rapport aux différents utilisateurs. l’objectif qui a été visé. nous pouvons estimer le bilan de notre travail globalement positif. il est nécessaire d’utiliser des protocoles d’authentification. l’implantation d’une solution d’authentification sur un réseau produit des bénéfices importants. L’introduction des réseaux sans fil exacerbe les questions de sécurité et pousse au déploiement de ces technologies d’authentification. Au terme de ce projet. le développement d’un system d’information est toujours entièrement et nécessairement paramétrable aux besoins réels de l’activité de l’entreprise . La réalisation de ce projet avait nécessité tout d’abord une large étude des protocoles d’authentification-d ‘autorisation et de comptabilité.Il en va de même pour la sécurité au sein de cette entreprise où les menaces sont de plus en plus fréquentes à cause de l’existence du réseau sans fil. Radius et TACACS+. En effet. Apres une petite comparaison entre les trois. Dans tous les cas.

M i s e e n œ u v r e d ’ u n s e r v i c e d e s é c u r i t é a v e c R a d i u s Page .

Sign up to vote on this title
UsefulNot useful