slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Chapitre 2: Sécurité d’accès interne à réseau PowerPoint Presentation
Download Presentation
Chapitre 2: Sécurité d’accès interne à réseau

Loading in 2 Seconds...

play fullscreen
1 / 79

Chapitre 2: Sécurité d’accès interne à réseau - PowerPoint PPT Presentation


  • 86 Views
  • Uploaded on

Chapitre 2: Sécurité d’accès interne à réseau. Partie 1: contrôle d’accès aux réseaux avec les ACL. Les listes de contrôle d'accès . Sont des listes d'instructions applicables à une interface du routeur pour indiquer le type de paquets à accepter et le type à refuser

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Chapitre 2: Sécurité d’accès interne à réseau' - lerato


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

Chapitre 2:

Sécurité d’accès interne à réseau

Dr. M. Jarraya, ,Cours Réseaux

slide2

Partie 1:

contrôle d’accès aux réseaux avec les ACL

Dr. M. Jarraya, ,Cours Réseaux

slide3

Les listes de contrôle d'accès

  • Sont des listes d'instructions applicables à une interface du routeur pour indiquer le type de paquets à accepter et le type à refuser
  • L'acceptation et le refus peuvent être fondés sur certaines caractéristiques :
    • Adresse Source et Adresse de Destination
    • Port Source et Port de destination
    • Protocole Applicatif
  • filtrent le trafic réseau en commandant aux interfaces d'un routeur d'acheminer ou de bloquer des paquets routés
  • Un routeur examine chaque paquet afin de déterminer s'il doit l'acheminer ou l'abandonner
slide5

Les listes de contrôle d'accès

  • Sont configurées au niveau du routeur en vue de contrôler l'accès à un réseau ou à un sous-réseau pour :
    • Limiter le trafic réseau et accroître les performances
    • Contrôler le flux de trafic
    • Fournir un niveau de sécurité d'accès réseau de base
    • Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces du routeur
slide6

Vérification des paquets

  • L'ordre des instructions ACL (Access Control List) est important
  • Dès que la plateforme IOS-CISCO découvre une correspondance, elle cesse de vérifier les instructions de condition
  • Si une instruction de condition autorisant l'accès à tout le trafic est créée, aucune instruction créée par la suite ne sera vérifiée
slide7

Fonctionnement des listes de contrôle d'accès

  • Une liste de contrôle d'accès est un groupe d'instructions précisant divers facteurs relatifs aux paquets :
    • Comment les paquets entrent-ils par les interfaces d'arrivée ?
    • Comment sont-ils relayés par le routeur ?
    • Comment sortent-ils par les interfaces de départ du routeur ?
  • Si aucune des instructions ne correspond au paquet, une instruction implicite " deny any " interdisant l'accès est imposée
slide9

Configuration de listes de contrôle d’accès

  • Créer des listes de contrôle d'accès en mode de configuration globale.
  • Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 : ACL standards.
  • Spécifier un numéro de liste de contrôle d'accès entre 100 et 199 : ACL étendues.
  • Sélectionner avec soin et classer logiquement les éléments de la liste de contrôle d'accès. Préciser les protocoles IP autorisés, tous les autres protocoles seront refusés.
  • Sélectionner les protocoles IP à vérifier, les autres protocoles ne seront pas vérifiés. Plus tard dans la procédure, il sera également possible d'indiquer un port de destination en option pour plus de précision.
slide10

Configuration de listes de contrôle d’accès

  • La plupart des protocoles nécessitent deux étapes de base pour effectuer le filtrage :
    • la première étape est la création d'une définition de liste de contrôle d'accès
    • la seconde, l'application de cette liste à une interface.
  • Il convient d'identifier chaque liste de protocole en lui attribuant un numéro unique

Router{config}#access-list numéro-liste-accés {permit|deny} {conditions-de-test)

Router(config-if) # {protocole} access-group numéro-liste-d’accès

slide11

Les bits de masque générique

  • Un masque générique est une quantité de 32 bits divisés en quatre octets contenant chacun 8 bits:
    • Un bit 0 de masque générique signifie " vérifier la valeur du bit correspondant "
    • un bit 1 signifie " ne pas vérifier (ignorer) la valeur du bit correspondant "
slide12

Les bits de masque générique

  • les masques génériques et les masques de sous-réseaux IP fonctionnent différemment :
    • les 0 et les 1 du masque de sous-réseau déterminent les portions réseau, sous-réseau et hôte de l'adresse IP correspondante
    • Les 0 et les 1 du masque générique déterminent si les bits correspondants de l'adresse IP doivent être vérifiés ou ignorés à des fins de contrôle d'accès
slide13

La commande any

  • Travailler avec des représentations décimales de bits de masque générique peut se révéler fastidieux :
  • Pour les usages les plus courants de masquage générique, vous pouvez recourir à des abréviations pour indiquer :
    • n'importe quelle adresse IP, tapez 0.0.0.0,
    • puis pour indiquer que la vérification doit ignorer(c.-à-d. autoriser sans vérifier)toute valeur, tapez les bits de masque générique correspondants pour cette adresse, qui seraient tous des 1 (c.-à-d. 255.255.255.255).

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit any

slide14

La commande host

  • permet également d'utiliser une abréviation dans le masque générique de liste de contrôle d'accès lorsque vous souhaitez faire correspondre tous les bits d'une adresse d'hôte IP complète :
  • Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera refusée par une vérification de liste de contrôle d'accès :
    • Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit host 172.30.16.29

slide15

Les listes de contrôle d'accès standard

  • Vous pouvez utiliser les listes de contrôle d'accès standard pour refuser l'accès à un réseau à tout le trafic, autoriser tout le trafic issu d'un réseau particulier ou refuser des ensembles de protocoles :
  • Router(config)# access-list numéro-liste-d'accès {deny | permit} source [masque-générique-source ] [log]
slide16

Vérification des listes de contrôle d'accès

  • la commande EXEC show access-list permet d’afficher le contenu de toutes les listes de contrôle d'accès :
  • Exemple :

access-list 1 permit 192.5.34.0 0.0.0.255 access-list 1 permit 128.88.0.0 0.0.255.255 access-list 1 permit 36.0.0.0 0.255.255.255 !(Remarque : tous les autres accès sont implicitement refusés.)

  • La commande ip access-group associe une liste de contrôle d'accès existante à une interface

Router(config-if)#ip access-group numéro-liste-d'accès {in | out}

slide17

Exemple 1 de configuration

  • la liste de contrôle d'accès permet uniquement l'acheminement du trafic du réseau d'origine 172.16.0.0
slide18

Exemple 2 de configuration

  • bloquer le trafic d'une adresse particulière, 172.16.4.13, et permettre l'acheminement du trafic de toutes les autres adresses
slide19

Exemple 3 de configuration

  • liste de contrôle d'accès est conçue pour bloquer le trafic d'un sous-réseau particulier, 172.16.4.0, et permettre l'acheminement de tout autre trafic
slide20

Les listes de contrôle d'accès étendues

  • les listes de contrôle d'accès étendues fournissent une plus grande gamme de contrôles que les listes d'accès standard
  • Exemple : vous pouvez utiliser une liste de contrôle d'accès étendue pour autoriser le trafic Web, mais refuser le trafic FTP ou Telnet en provenance de réseaux externes
  • Les listes de contrôle d'accès étendues vérifient les adresses d'origine et de destination d'un paquet.
  • Elles peuvent également vérifier des protocoles et des numéros de port particuliers, ainsi que d'autres paramètres
slide22

Les listes de contrôle d'accès étendues

  • La forme complète de la commande access-list est :  

Router(config)# access-list numéro-liste-d'accès {permit | deny}

protocol source [source-mask] destination [destination-mask] operator operand] [established]

  • La commande ip access-group lie une liste de contrôle d'accès étendue existante à une interface.
  • une seule liste de contrôle d'accès est permise par interface, par direction et par protocole. Le format de cette commande est le suivant :  

Router(config-if)# ipaccess-group numéro-liste-d'accès {in | out}

slide24

Exemple 1 de configuration

  • un exemple de liste de contrôle d'accès étendue bloquant le trafic FTP
slide25

Exemple 2 de configuration

  • Empêche que le trafic Telnet (eq 23) dont l'adresse d'origine est 172.16.4.0. soit acheminé par l'interface E0. Tout le trafic transmis depuis un autre point vers une autre destination peut être acheminé par cette interface
slide26

Emplacement des listes de contrôle d'accès

  • La règle est de placer les listes de contrôle d'accès étendues le plus près possible de la source du trafic refusé
  • Étant donné que les listes de contrôle d'accès standard ne précisent pas les adresses de destination, vous devez les placer le plus près possible de la destination

refuser le trafic Telnet ou FTP acheminé par

le routeur A vers le LAN Ethernet commuté

connecté au port E1 du routeur D et autoriser

le reste de trafic en utilisation une liste de contrôle

d'accès étendue et la placez la liste de contrôle

d'accès étendue dans le routeur A

slide27

Emplacement des listes de contrôle d'accès

  • Les listes de contrôle d'accès doivent être utilisées dans les routeurs pare-feu, lesquels sont souvent placés entre le réseau interne et un réseau externe, tel qu'Internet
  • Le routeur pare-feu fournit un point d'isolation qui protège l'ensemble de la structure du réseau interne
  • Vous pouvez également utiliser les listes de contrôle d'accès sur un routeur situé entre deux sections du réseau pour contrôler le trafic entrant ou sortant d'une section particulière du réseau interne
  • Pour tirer parti des avantages des listes de contrôle d'accès en matière de sécurité, vous devez au moins configurer des listes de contrôle d'accès sur les routeurs périphériques situés aux frontières du réseau
slide28

Partie 2:

contrôle d’accès avec les VLAN

slide29

Introduction

  • De nos jours, les concepteurs de réseaux tendent à délaisser les ponts et les concentrateurs au profit des commutateurs et des routeurs
  • Ethernet est l'architecture LAN la plus répandue utilisée pour transporter des données entre les unités d'un réseau
  • Le média Ethernet utilise un mode de broadcast de trames de données pour transmettre et recevoir des données entre tous les nœuds du média partagé
slide30

Qu’est-ce qu’un VLAN ?

  • Un commutateur Ethernet segmente physiquement un LAN en domaines de collision individuels
  • Toutefois, tous les segments font toujours partie d'un même domaine de broadcast
  • tous les nœuds de tous les segments peuvent voir un broadcast d'un nœud situé sur un segment
  • Un réseau local virtuel (ou VLAN) est un groupe d'unités réseau ou d'utilisateurs qui ne sont pas limités à un segment de commutation physique
  • Les unités ou les utilisateurs d'un VLAN peuvent être regroupés par fonction, service, application, etc., et ce, quel que soit le segment physique où ils se trouvent
slide31

Qu’est-ce qu’un VLAN ?

  • Un VLAN crée un domaine de broadcast unique qui n'est pas limité à un segment physique et qui est traité comme un sous-réseau
  • La configuration d'un VLAN est effectuée, par logiciel, dans le commutateur
  • Les VLAN ont été uniformisés conformément à la spécification IEEE 802.1Q
slide33

VLAN et frontières physiques

  • Les configurations de LAN virtuels regroupent les utilisateurs par association logique plutôt que par emplacement physique
slide34

VLAN et frontières physiques

  • Les LAN virtuels fonctionnent au niveau des couches 2 et 3 du modèle de référence OSI.
  • La communication entre les LAN virtuels est assurée par le routage de couche 3. 
  • Les LAN virtuels fournissent une méthode de contrôle des broadcasts de réseau.
  • L'administrateur réseau affecte les utilisateurs à un LAN virtuel.
  • Les LAN virtuels peuvent améliorer la sécurité des réseaux en définissant quels nœuds de réseau peuvent communiquer entre eux.
slide35

Le transport des LAN virtuels (VLAN) dans les backbones

  • La circulation des informations VLAN entre des commutateurs et des routeurs interconnectés résidant sur le backbone d'une entreprise est très importante pour toute architecture VLAN.
  • Cette fonction de transport présente les avantages suivants :
    • elle élimine les frontières physiques entre les utilisateurs ;
    • elle améliore la flexibilité de configuration d'une solution VLAN lorsque des utilisateurs déménagent ;
    • elle fournit des mécanismes permettant l'interopérabilité entre les composants du système backbone.
slide36

Le transport des LAN virtuels (VLAN) dans les backbones

  • Le backbone sert habituellement de point de convergence pour les volumes de trafic importants
  • Il transporte également les informations VLAN et l'identification de l'utilisateur final entre les commutateurs, les routeurs et les serveurs directement connectés
slide37

L'utilisation des trames dans les LAN virtuels (VLAN)

  • Les commutateurs sont un des éléments de base des communications VLAN
  • Chaque commutateur est en mesure de prendre les décisions relatives au filtrage et à l'acheminement par trame, en fonction des paramètres VLAN définis par les administrateurs réseau.
  • Le commutateur peut aussi communiquer ces informations à d'autres commutateurs et routeurs du réseau. 
  • Les méthodes les plus utilisées pour regrouper logiquement des utilisateurs en LAN virtuels distincts sont le filtrage de trames et l'identification de trames (étiquetage de trames).
slide38

L'utilisation des trames dans les LAN virtuels (VLAN)

  • Ces deux techniques examinent la trame au moment de sa réception ou de son acheminement par le commutateur
  • Selon l'ensemble de règles définies par l'administrateur, ces techniques déterminent l'endroit où la trame doit être envoyée, filtrée ou diffusée
  • Le filtrage de trames consiste à examiner les informations particulières à chaque trame
  • Une table de filtrage est élaborée pour chaque commutateur
slide40

L'utilisation des trames dans les LAN virtuels (VLAN)

  • L'étiquetage de trames est le mécanisme de liaison standard utilisé pour le filtrage de trames
  • Il fournit une solution plus évolutive pour le déploiement de LAN virtuels à l'échelle d'un campus
  • Cette méthode place un identificateur unique dans l'en-tête de chaque trame au moment où celle-ci est acheminée dans le backbone du réseau
  • L'identificateur est interprété et examiné par chaque commutateur avant tout broadcast ou transmission à d'autres commutateurs, routeurs ou équipements de station d'extrémité
slide41

L'utilisation des trames dans les LAN virtuels (VLAN)

  • Lorsque la trame quitte le backbone du réseau, le commutateur retire l'identificateur avant de transmettre la trame à la station d'extrémité cible
  • L'identification des trames est effectuée au niveau de la couche 2 ; elle nécessite des temps de traitement ou d'administration peu élevés
slide42

La relation entre les ports, les LAN virtuels et les broadcasts

  • Chaque port de commutateur peut être attribué à un LAN virtuel
  • Les ports affectés au même LAN virtuel partagent les broadcasts
  • Trois méthodes de mise en œuvre de LAN virtuels qui peuvent être utilisées pour affecter un port de commutateur à un LAN virtuel :
    • Les LAN virtuels axés sur le port
    • Les LAN virtuels statiques
    • Les LAN virtuels dynamiques
slide43

VLAN axés sur les ports

  • les utilisateurs sont affectés en fonction de chaque port,
  • les LAN virtuels sont faciles à administrer,
  • la sécurité entre les LAN virtuels est accrue,
  • les paquets ne passent pas dans d'autres domaines.
slide44

VLAN statiques

  • les ports d'un commutateur que sont affectés de manière statique à un LAN virtuel
  • Ces ports conservent les configurations VLAN attribuées jusqu'à ce que vous les changiez
slide45

VLAN dynamiques

  • Lorsqu'une station est connectée pour la première fois à un port de commutateur non affecté, le commutateur approprié vérifie l'adresse MAC dans la base de données de gestion VLAN et configure dynamiquement le port selon la configuration VLAN correspondante
slide46

La contribution des LAN virtuels au contrôle de l'activité de broadcast

  • Les LAN virtuels constituent un mécanisme efficace pour étendre les pare-feu des routeurs à la matrice de commutation et protéger le réseau contre des problèmes de broadcast potentiellement dangereux
  • Ce type de configuration réduit substantiellement l'ensemble du trafic de broadcasts, libère de la bande passante pour le véritable trafic utilisateur et réduit la vulnérabilité globale du réseau aux tempêtes de broadcast
  • Plus le groupe VLAN est réduit, plus le nombre d'utilisateurs touchés par le trafic de broadcasts à l'intérieur du groupe est petit
slide47

L'amélioration de la sécurité des réseaux grâce aux LAN virtuels

  • Cette technique offre à l'administrateur les avantages suivants :
    • elle restreint le nombre d'utilisateurs dans un groupe VLAN,  
    • elle configure tous les ports non utilisés et les affecte à un LAN virtuel à faible niveau de service par défaut.
    • Elle limite l’accès du trafic qu’au VLAN correspondant à la source du trafic
slide48

Mise en pratique des VLAN

  • Dans la cas habituel les switchs agissent d’une façon indépendante
  • En utilisant les Vlans un certain niveau d’interdépendence doit exister entre les switchs :
    • Chaque Vlan logique est considéré comme un pont physique séparé
    • VLANs peuvent recouvrir plusieurs switchs
    • Les liaisons d’agrégation de type « trunk » portent le trafic pour plusieurs VLANS.

Switch A

Switch B

Fast Ethernet

Trunk

Vlan

Rouge

Vlan

vert

Vlan

Rouge

Vlan

vert

Vlan

Bleu

Vlan

Bleu

slide49

Configuration des VLAN statiques

  • Les VLAN statiques correspondent à l'affectation manuelle des ports d’un commutateur à un VLAN via une application de gestion de VLAN ou directement en travaillant sur le commutateur.
  • La création d’un VLAN sur un commutateur est une tâche très simple et directe :
      • Switch#vlan databaseSwitch(vlan)#vlan numéro_vlan name nom_vlanSwitch(vlan)#exit
slide50

Configuration des VLAN statiques

  • L’étape suivante consiste à affecter le VLAN à une ou à plusieurs interfaces:
      • Switch(config)#interface fastethernet 0/9
      • Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan numéro_vlan
  • Il est fortement recommandé de vérifier la configuration VLAN à l’aide des commandes show vlan
  • Pour enlever un VLAN entièrement d'un commutateur, entrez les commandes:
      • Switch#vlan database Switch(vlan)#no vlan 300
slide51

Configuration des VLAN statiques

  • Les VLANs sont implémentés au niveau de la couche liaison de donnée (niveau 2) dans la topologie de commutation du réseau.
  • Pour mettre un port donné dans un VLAN :
    • vous devez créer un VLAN sur le commutateur
    • assigner ensuite cette adhésion de port sur le commutateur
  • Dans le IOS de Cisco, un port niveau 2 est définie comme switchport
  • Un switchport peut être membre d’un seul VLAN ou configuré comme une agrégation ( trunk ) pour porter le trafic sur plusieurs VLANS.
  • ISL (propriétaire de Cisco) et IEEE 802.1Q sont deux méthodes différentes pour mettre en œuvre un identificateur VLAN dans une trame communiquée entre plusieurs switch en mode trunk.
slide52

Configuration des VLAN statiques

Un ID du VLAN

Ajouté par le

Port d’entrée

La liaison

d'inter-switch

porte l‘ID vlan

L’ID VLAN

Supprimé par le

Port de sortie

slide53

La norme IEEE802.1Q

  • Un switch Cisco supporte la norme IEEE 802.1Q pour les interfaces réseaux FastEthernet et GigabitEthernet.
  • Une liaison 802.1Q fournit une identification VLAN en ajoutant une étiquette de 4 octets à une trame sortant d’un port en mode trunk
slide54

La norme IEEE802.1Q

  • Le Tag protocol ID est égal à la valeur 8100 (hexa) pour spécifier le protocole 802.1Q
  • Les trois premiers bits du TCI (Tag control Information) indiquent la priorité de la trame utilisée comme paramètre de qualité de service
  • Le bit suivant indiquent le CFI (canonical Format Identifier) qui est égal à 0 pour les trames Ethernets
  • Le reste représente l’identificateur du VLAN
  • Le protrocole ISL propriétaire de Cisco utilise un autre format du tag et ne peut être appliqué qu’entre les switch cisco
slide55

¨Protocole VTP (VLAN Trunking protocol)

  • Pour assurer qu'un VLAN existe entre chaque paire de ports en modeTrunk, un administrateur doit créer manuellement tout le VLANS nécessaires sur chacun des commutateurs.
  • Un VLAN Cisco fournit une méthode plus facile pour maintenir la configuration VLAN cohérente entre les switchs en utilisant le protocole VTP (Vlan Trunking Protocol) .
  • VTP est un protocole permettant de distribuer et synchroniser des informations sur les VLANS configurés partout les switchs appartenant au même domaine VTP
  • Les configurations faites par un serveur VTP seul sont propagées, à travers des liaisons en mode trunk, à tous les switchs clients connectés dans le réseau
slide56

Protocole VTP (VLAN Trunking protocol)

  • Trois modes VTP¨disponibles pour les switch cisco :
    • Serveur : ceux qui sont configurés manuellement et propagent l’information aux autres switch (synchronisation).
    • Client : ceux qui reçoivent et ré-envoient les nouvelles configs Vlan du switch serveur et affectent leurs valeurs
    • Transparent : reçoivent et ré-envoient les nouvelles configs Vlan du switch serveur et n’affectent pas leurs valeurs
slide57

Configuration d’une agrégation « Trunk »

  • Pour créer ou configurer une agrégation de VLAN sur un commutateur à base de commandes Cisco IOS, configurez d'abord le port en mode d'agrégation de VLAN :
      • Switch(config-if)#switchport mode trunk
  • spécifiez ensuite l’encapsulation d’agrégation
    • Switch(config-if)#switchporttrunk encapsulation {dot.1q|isl}
      • Dot.1q : le protocole 802.1Q
      • isl: le protocole ISL
slide58

Mise en œuvre de VTP

  • Pour créer un domaine de gestion, utilisez la commande suivante:
      • Switch(vlan)#vtpdomaincisco
  • Pour définir le mode approprié du commutateur à base de commandes Cisco IOS, utilisez la commande suivante:
      • Switch(vlan)#vtp { [mode {server | transparent | client}] [domaindomain-name] [passwordpassword] [pruning {enable | disable}]}
  • La configuration par défaut de VTP
    • VTP domainname: None
    • VTP mode: Server
    • VTP password: None
    • VTP pruning: Disabled
    • VTP trap: Disabled
slide59

Partie 3:

contrôle d’accès avec les serveurs d’authentification

slide60

Qu'est-ce que l'authentification réseau ?

  • Il s'agit d'authentifier une machine lorsqu'elle se branche sur le réseau afin de lui autoriser ou refuser l'usage du réseau.
  • On authentifie pour délivrer des autorisations
  • Cette authentification est indépendante d'autres authentifications vers des systèmes d'exploitation ou applications
slide61

Pourquoi faire de l’authentification réseau ?

  • Il s'agit d'authentifier une machine lorsqu'elle se branche sur le réseau afin de lui autoriser ou refuser l'usage du réseau.
  • Sécuriser un réseau filaire ou sans-fil
  • Pour interdire les postes inconnus
  • Pour placer les postes connus a des endroits spécifiques du réseau (vlan) de façon dynamique.
  • Pour savoir quelle machine est connectée et où elle est connectée
slide62

Intérêts de l’authentification réseau

  • Intérêt pour un réseau filaire
    • Savoir qui se connecte sur quelle prise
    • Eviter une utilisation illicite du réseau par des « inconnus »
    • Affecter les machines sur des réseaux virtuels (cloisonnement)
  • Intérêt pour un réseau sans-fil
    • Obligatoire pour intégrer le réseau filaire c’est-à-dire que les machines sans-fil travaillent comme les machines filaires
    • Affecter une machine sur le même vlan que lorsqu’elle se connecte sur le réseau filaire.
    • Authentification + cryptage
    • Nécessité de gérer un périmètre aérien, flou, incontrôlable.
slide63

Eléments pour authentifier

  • L’adresse MAC de la carte Ethernet
  • Et/ou
  • Une base de login/mot de passe (windows, LDAP…)
  • Et/ou
  • De certificats (utilisateurs ou machines)
  • Obligatoire : ne pas rajouter de contraintes sur l’utilisateur
slide64

Autoriser quoi ?

  • On autorise une machine à utiliser tout ou partie d’un réseau.
  • Dans un réseau plat (sans sous-réseau) on autorise tout le réseau obligatoirement
  • Dans un réseau segmenté on autorise la connexion sur un sous-réseau (Vlan)
slide66

Protocoles d’authentification ?

  • Protocoles propriétaires => Exemple: VMPS de Cisco.
    • Authentification sur adresse MAC uniquement
    • Réseau filaire
  • Protocoles ouverts => Radius et 802.1x
    • Authentification sur adresse MAC, Login/password, Certificats, cartes à puce ….
    • Réseau filaire et sans-fil
slide69

Protocoles d’authentification :

Radius et 802.1x

  • 802.1x met en œuvre le protocole EAP pour les communications du client vers le serveur d'authentification.
  • EAP (Extensible Authentication Protocol) est un protocole de transport de protocole d'authentification.
  • L'intérêt de l'architecture de EAP est de pouvoir utiliser divers mécanismes d'authentification sans que l'équipement réseau (NAS) aient besoin de les connaître.
    • Par exemple: Mot de passe, certificats, carte à puce ….
slide70

Protocoles d’authentification :

EAP

  • Principales méthodes d'authentification EAP:
    • EAP/TLS :
      • Authentification mutuelle entre le serveur et le client par certificat.
    • EAP/PEAP ou EAP/TTLS :
      • le client est authentifié par un login/mot de passe. Le serveur peut être authentifié par son certificat.
slide72

Protocole Radius

  • Radius est un serveur de type AAA
    • Authentification: Qui me parle ?
    • Authorization :Quelle autorisation je lui accorde ?
    • Accounting : Que fait-il ?
slide73

Protocole Radius : les types de paquets

  • Le protocole utilise 4 types de paquets suffisants pour assurer toutes les transactions: (hors accounting)
      • Access-Request
      • Access-Accept
      • Access-Reject
      • Access-Challenge
slide75

Protocole Radius : Format des paquets

  • Authentificateur
    • Lorsque le client NAS envoi un paquet access-request il inclut un authentificateur appelé request-authenticator qui est une séquence aléatoire.
    • Le serveur répond par un paquet access-accept ou accept-reject ou accept-challenge avec un response-authenticator composé avec les informations contenues dans le paquet « access-request, le requestauthenticator et un secret partagé » avec le NAS et le tout crypté MD5.
    • Le NAS est alors en mesure de vérifier que le serveur qui répond est biencelui qu'il a contacté.
slide76

Protocole Radius : les attributs

  • Les transactions RADIUS ont pour but de véhiculer des attributs et leur valeur entre le client NAS et le serveur.
  • Ces attributs et leur valeur sont appelés paires attribut-valeur (AVP= attribut-value pair)
  • Ces attributs permettent au client de communiquer des informations au serveur (password, MAC adresse…) et au serveur de communiquer les paramètres des autorisations qu'il délivre (vlan…) ou bien demander des informations complémentaires.
slide77

Les extensions du protocole Radius: support EAP (802.1x)

Authentification avec certificat (TLS)

slide78

support EAP (802.1x) : Authentification avec certificat (TLS)

  • 1- Le NAS envoi au client une requète EAP lui demandant son identité
  • 2- Le client répond avec le CN (certificat Name) comme identité
  • 3- Le serveur démarre la séquence TLS par l’envoi du message TLS_start
  • 4- Le client répond par un message client_hello :
    • La version de TLS
    • Un challenge (nombre aléatoire)
    • Un identifiant de session
    • La liste des algorithmes de chiffrement supportés par le client
  • 5- Le serveur répond par un message server_hello :
    • Son certificat et sa clé publique
    • Demande au client d’envoyer son certificat
    • Un challenge
    • Un identifiant de session calculé à partir de celui du client.
    • Choisit un algorithme de chiffrement en fonction de ceux connus par le client
slide79

support EAP (802.1x) : Authentification avec certificat (TLS)

6- Le client vérifie le certificat du serveur et envoi le sien et sa clé publique

7- Le client et le serveur calculent une clé de chiffrement pour la session principale (à partir des challenges échangés)

8- Le client renvoi une réponse EAP vide et le serveur répond par un message EAP_success avec une clé de session pour la borne wifi.

9- A partir de cette clé de session la borne calcule une clé WEP ou WPA et l’envoi au client.

Dans le cas d’authentification EAP/TLS la clé de session principale n’est pas utilisée.

Seul l’échange de validation mutuelle des certificats est utile