authentification centralisée - olivier raulin · d’équipements et de machines, au sein du...
TRANSCRIPT
OLIVIER RAULIN
PROMOTION 2013
Authentification centraliséeSimplification et centralisation de l’authentification dans un Système d’Information
RAULIN OlivierJuin – Août 2012
CWF- Children Worldwide Fashion
Avenue des Sables
85505 Les Herbiers Cedex
EPSI Nantes
2 rue Fénelon
44000 Nantes
Ce rapport retranscrit mes recherches, principalement concernant l’authentification centralisée
d’équipements et de machines, au sein du Système d’Information de CWF.
REMERCIEMENTSJe tiens à remercier premièrement la société CWF (Children Worldwide Fashion) pour son accueil
chaleureux. Merci à toute l’équipe du service informatique ainsi qu’à son DSI Bertrand BEAUFORT pour
l’atmosphère de travail conviviale tout au long de ces trois mois.
Merci à Monsieur Julien CHARPENTIER, mon tuteur de stage, qui m’a permis de réaliser ce stage au sein
de CWF et qui m’a suivi pendant toute la durée de ce stage.
Ma gratitude va également à tous les membres de l’équipe Systèmes & Réseaux et plus particulièrement
Anthony LAPEYRE, Jean MONNIER, Christophe GUILLOTON pour leur aide technique et leur soutien.
Je tiens à exprimer ma reconnaissance envers le corps enseignant de l’EPSI de Nantes pour leurs
enseignements dispensés ces deux dernières années.
Merci aux membres du jury qui seront en charge d’apprécier le travail effectué au cours de mon stage.
Merci à mes camarades de promotion avec lesquels l’entraide a pu amener des échanges bénéfiques.
Je tiens également à remercier ma famille et mes amis pour leur soutien quotidien.
22 Olivier RAULIN Juin – Août 2012
SOMMAIRERemerciements.............................................................................................................................................................................. 2I – Introduction.............................................................................................................................................................................. 51/ Contexte du stage............................................................................................................................................................... 52/ Présentation de l’entreprise........................................................................................................................................... 53/ Le système d’information................................................................................................................................................ 74/ L’infrastructure du Système d’Information de CWF............................................................................................8II – Missions..................................................................................................................................................................................... 91/ Introduction.......................................................................................................................................................................... 92/ Authentification AAA sur matériel Cisco................................................................................................................ 143/ Authentification centralisée des serveurs Linux................................................................................................. 284/ Authentification des machines connectées sans fil............................................................................................325/ Proxy transparent sur firewall Cisco....................................................................................................................... 37Autres projets effectués........................................................................................................................................................... 41Conclusion..................................................................................................................................................................................... 43Table des illustrations.............................................................................................................................................................. 45Table des matières..................................................................................................................................................................... 46Index................................................................................................................................................................................................ 49Glossaire......................................................................................................................................................................................... 50Bibliographie................................................................................................................................................................................ 53Annexes.......................................................................................................................................................................................... 54
33 Olivier RAULIN Juin – Août 2012
I – INTRODUCTION1/ CONTEXTE DU STAGELe stage que j’ai pu effectuer dans l’entreprise CWF, basée aux Herbiers, fût mon stage de
quatrième année d’informatique à l’EPSI de Nantes.
Sa durée a été de trois mois, du premier juin au 31 août 2012.
J’ai principalement choisi ce stage parce qu’il me permettait de me perfectionner dans le domaine
de l’ingénierie systèmes et réseaux, étant donné que mon avenir professionnel s’oriente nettement
vers ce domaine de l’informatique.
2/ PRÉSENTATION DE L’ENTREPRISENée du rachat d’Albert SA (spécialiste du prêt-à-porter enfant) par le groupe Artal, CWF est fort de
plus de quarante ans d’expérience de mode enfantine.
Devenu leader Européen dans son domaine, CWF est partenaire de marques de notoriété mondiale
pour leurs collections de vêtements, de 0 à 16 ans.
Albert SA a été créée en 1965 aux Herbiers (Vendée). Cette petite entreprise familiale produisait et
distribuait des vêtements de marques enfant développées en propre.
Entre 1995 et 1997, cette société a connu un tournant stratégique suite à la signature de licence de
marques haut de gamme tel que « ELLE », « Timberland » ou encore « Donna Karan New York ».
Forte de cette réussite, l’entreprise est passée d’une production intégrée à une stratégie de sourcing.
Autrement dit, CWF ne produisait plus mais déléguait la production à des sous-traitants.
Au début des années 2000, le fonds de commerce d’Albert SA est racheté par le groupe Artal sous
le pilotage de la société Invus. De ce rachat découle la création de Children Worldwide Fashion,
ainsi que la signature de l’accord de licence pour la marque « Burberry ».
En cinq ans, CWF a démarré des concessions intégrées de grands magasins en France avec les
Galeries Lafayette ainsi qu’en Espagne avec El Corte Inglés.
En 2006, la signature de l’accord des licences « Marithé+François Girbaud », « Chloé », « Escada »
et « Missoni » permettent à CWF d’ouvrir sa première boutique en propre, Younly, à Paris, et ainsi
d’externaliser sa logistique.
44 Olivier RAULIN Juin – Août 2012
Entre 2007 et 2008, l’entreprise a poursuivi le développement des concessions de grands magasins
en Europe, La Rinascente en Italie, Inno en Belgique, House of Fraser au Royaume-Uni ainsi que
des ouvertures de boutiques Younly à Dubaï et Saint Petersburg. Grâce à cette croissance, CWF a
développé son activité mondiale sur de nouveaux territoires : Japon, Chine, Moyen Orient.
Entre 2009 et 2011, les accords de licences « BOSS enfant » et « Little Marc Jacobs » ont été
conclus. Un nouveau concept a été lancé avec les boutiques « ATELIER DE COURCELLES » : 5
boutiques ouvertes fin 2009, une vingtaine d’ouvertures ont été réalisées en 2010 au niveau
international.
En 2012, CWF créé sa propre marque de luxe pour enfant, nommée « BillieBlush », et détient
maintenant des licences pour les 8 marques suivantes :
FIGURE 1 : MARQUES SOUS LICENCE DÉTENUES PAR CWF
55 Olivier RAULIN Juin – Août 2012
3/ LE SYSTÈME D’INFORMATIONUn Système d’Information (couramment appelé SI) est une structure disposant de diverses
ressources, telles que matériels, logiciels, personnels, données et procédures, dont le but est de
regrouper, classifier, traiter et diffuser de l’information dans un environnement comme l’entreprise
CWF.
Le SI représente donc l’ensemble des éléments participant à la gestion, au traitement, au transport et
à la diffusion de l’information au sein de l’organisation.
Le système d’information peut recouvrir tout ou partie des éléments suivants :
bases de données de l’entreprise ;
progiciel de gestion intégré (ERP) ;
outils de gestion (relation client, chaîne logistique, marketing) ;
applications métier ;
infrastructure réseau ;
infrastructure système ;
dispositifs de sécurité ;
Le système d’information de CWF est représenté par le service informatique qui est scindé en trois
grandes parties :
le pôle Systèmes & Réseaux
o Il comprend le responsable de cette équipe, un ingénieur systèmes et réseaux,
deux techniciens ayant un rôle de support (helpdesk) pour les utilisateurs et
un poste de stagiaire que j’ai occupé.
le pôle développement
le pôle Etude
Un système d’information a besoin d’éléments essentiels pour fonctionner correctement : une
infrastructure systèmes et réseaux fiable, évolutive et redondante, afin d’assurer une pérennité ainsi
qu’un plan de reprise et de continuité d’activité en cas d’incident majeur.
66 Olivier RAULIN Juin – Août 2012
4/ L’INFRASTRUCTURE DU SYSTÈME D’INFORMATION DE CWFD’une façon générale, une architecture informatique au sein d’une entreprise se présente en quatre
grands points distincts :
une infrastructure réseau
une DMZ (DeMilitarized Zone ou Zone Démilitarisée) fiable et sécurisée
une infrastructure système
une solution de stockage
Le service informatique dispose de deux salles serveurs afin d’assurer, comme vu dans le point
précédent, la redondance et la fiabilité du service. Ces salles sont situées dans deux bâtiments
physiquement distincts. Afin de les relier, des connexions par fibre optique ont été installées puis
connectées au cœur de réseau dans chacune des deux salles. Le cœur de réseau, comme son nom
l’indique, est le point névralgique où toutes les interconnexions sont effectuées. Il est composé de
trois switchs, dont un switch fibre optique afin de recevoir, entre autres, les connexions des
différentes baies de brassage réparties dans l’entreprise. Ces baies de brassage permettent d’amener
le réseau au sein des différents services de la société. Chaque baie est donc constituée de plusieurs
switchs montés en cascade. Le choix de la fibre optique n’est pas anodin : en effet, la quantité
importante de données qui transite nécessite un débit conséquent que la technologie Ethernet ne
peut fournir sur de longues distances (selon les normes définies par les RFC, un câble RJ45 ne peut
excéder 100 mètres, puisqu’au-delà, la perte de qualité de signal est trop importante).
Le réseau de CWF ne s’arrête pas à des concepts de réseau local, puisqu’il abrite également une
zone démilitarisée. Cette dernière, plus couramment appelée DMZ, est une zone située entre le
réseau local de l’entreprise et l’Internet, permettant de faire tampon entre le réseau à protéger et le
réseau hostile (Internet), grâce à des pare-feux situés à chacune des entrées (côté Internet et réseau
local). Le fonctionnement des pare-feux extérieurs est simple : ils n’acceptent, globalement, que les
connexions entrantes déjà existantes, c’est-à-dire initiées par un ordinateur du réseau local (par
exemple, un ordinateur qui va aller chercher une page web). Ce concept est utilisé lorsque certains
services ont besoin d’être accessibles depuis l’extérieur (serveur web, etc.). Cette zone permet de
protéger les données internes à l’entreprise en les séparant réellement du réseau extérieur. La
sécurité de la DMZ est indispensable à la sécurité des données de l’entreprise, et donc à sa survie
dans un contexte concurrentiel.
77 Olivier RAULIN Juin – Août 2012
II – MISSIONS1/ INTRODUCTIONJ’ai eu pour mission, au cours de mon stage, d’étudier et de mettre à jour une partie du Système
d’Information, notamment la partie systèmes et réseaux, avec un questionnement qui pourrait être,
pour la majeure partie de ce stage, le suivant :
« Comment simplifier et uniformiser l’authentification au sein d’un Système
d’Information ? »
Ce rapport aura donc pour principal objectif d’apporter des éléments de réponse vis-à-vis de points
très spécifiques concernant l’uniformisation et la simplification de l’authentification au sein du
Système d’Information, mais n’aura pas que cette vocation, puisque je traiterai également d’autres
sujets, que je juge importants et intéressants de par la complexité technique qu’ils ont représenté
pour moi durant ces trois mois.
J’ai eu la chance d’être en autonomie sur différents sujets : à partir d’un existant et d’un but final,
j’avais pour mission de rechercher, puis d’étudier les différentes technologies utilisables pour
parvenir à la réalisation de chaque projet. J’ai eu, à cet effet, la possibilité de mettre en place une
plateforme de tests composée :
d’un serveur de virtualisation permettant de mettre en place plusieurs serveurs de test
de machines clientes (ordinateurs de bureau, ordinateurs portables)
de bornes WiFi
de matériels Cisco (commutateurs, pare-feux …)
J’avais le contrôle total de ces équipements et ai donc pu mettre en place une architecture assez
évoluée et assez représentative d’un réseau local.
Au contraire du développement, où il est assez simple de ne traiter qu’une seule mission, le
domaine des systèmes et réseaux impose bien souvent une variété de sujets, souvent plus courts :
c’est la raison pour laquelle ce rapport est décomposé en plusieurs parties, cependant, pour la
majorité d’entre elles, un point central a dominé : l’authentification.
88 Olivier RAULIN Juin – Août 2012
J’ai donc décidé de résumer mes recherches sur les sujets les plus importants, des manuels
d’utilisation étant également disponibles en annexe pour permettre la mise en place de ces différents
protocoles.
Les références bibliographiques et citations seront présentées selon le standard IEEE 2006
Les noms de serveurs et adresses éventuellement mentionnés dans ce rapport sont fictifs, pour des
raisons de sécurité.
FIGURE 2 : TOPOLOGIE RÉSEAU DE TESTSur cette illustration, nous pouvons voir les éléments suivants :
Serveur : machine servant à rendre un service particulier à des clients
Point d’accès Wifi : équipement diffusant un signal WiFi permettant aux
ordinateurs portables de se connecter au réseauCommutateur (anglais : switch) : Equipement réseau permettant l’interconnexion
de matériels (autres switchs, machines clientes …)
PC portable : machine transportable facilement dotée de matériel permettant
l’accès à un réseau sans fil
99 Olivier RAULIN Juin – Août 2012
PC de bureau : ordinateur moins facilement transportable, équipé de matériel
réseau ne permettant l’accès qu’à un réseau câblé
Routeur : équipement permettant d’interconnecter des réseaux (réseau local,
Internet, etc.)
Au niveau des fonctionnalités et services rendus, on trouvera :
le serveur AD, servant de contrôleur de domaine (Windows 2008 : Active
Directory), de serveur DNS, et de serveur Radius ;
le serveur Radius, faisant office de proxy Radius (il récupère les requêtes de points
multiples et les redirige vers AD) ;
le serveur proxy, utilisant la solution Trend Micro IWSVA, qui fera l’intermédiaire
entre les utilisateurs et le Web.
l’ASA 5505, qui fera office de routeur et de pare-feu entre le réseau interne à
l’entreprise et Internet.
Les trois premiers sont des serveurs qui sont virtualisés grâce à une solution de type ESXi, solution
présentée au point B ci-dessous.
Le dernier est un équipement Cisco, présenté au point C ci-dessous.
A) INTRODUCTION À LA VIRTUALISATIONLa virtualisation, technologie qui fait parler d’elle depuis quelques années, est une technologie
permettant, à partir d’une seule machine physique, de faire fonctionner plusieurs systèmes
d’exploitation, tous indépendants les uns des autres, de la même manière que s’ils étaient chacun
sur une machine distincte. Toutes les ressources de la machine hôte (puissance de calcul, mémoire
vive, disque dur, etc.) sont partagées entre les machines dites « virtuelles », selon les choix effectués
par les administrateurs à l’installation desdites machines.
Etant donné que l’hyperviseur (le système qui va permettre la répartition des ressources) partage
toutes les ressources, cela permet d’en optimiser la gestion. Par exemple, si l’on fait un rapide
comparatif entre une machine physique avec 6 Gio de RAM et utilisant une technologie de
virtualisation par rapport à 3 machines disposant de 2 Gio de RAM chacune :
1010 Olivier RAULIN Juin – Août 2012
1. Sur le serveur de virtualisation, celui-ci va répartir l’usage de la mémoire vive
entre les 3 serveurs, dynamiquement (imaginons que l’administrateur affecte par
exemple 3Gio de mémoire maximum à chaque machine) :
o lorsque le serveur 1 a besoin uniquement de 1 Gio de RAM, le reste sera
disponible pour les autres machines
o lorsque le serveur 2 aura un besoin de plus de mémoire (par exemple les 3
Gio qui lui ont été alloués), il sera possible qu’il puisse les obtenir si les
autres serveurs n’en ont pas besoin à ce moment là2. Sur le serveur physique, la machine n’aura que 2 Gio de RAM, et même si, à un
instant donné, elle a besoin de plus, elle ne pourra pas en avoir. De la même
manière, si elle n’a pas l’utilité d’autant de mémoire, elle ne pourra pas en faire
profiter à d’autres machines.
B) PRÉSENTATION D’ESXIESXi est un hyperviseur de virtualisation, édité par la société VMware, et est une version
alternative d’un autre de ses produits « phare », ESX, avec quelques différences par rapport à celle-
ci :
la console de service est absente : l’administration de l’hyperviseur se fait
obligatoirement à distance ;
ESXi est doté d’une interface de gestion à distance ;
ESXi est beaucoup plus léger qu’ESX (dû à la console de gestion qui a été retirée) ;
ESXi peut être installé sur clé USB ;
le pare-feu d’ESXi est beaucoup plus limité en fonctionnalités.
Une version d’essai de 60 jours est disponible gratuitement afin d’en tester les fonctionnalités.
C) PRÉSENTATION DE L’ASA 5505Source : [1]
Les boitiers de sécurité adaptatifs de type ASA 5505, 5510, 5520 et 5540 sont des matériels de
sécurité, de type pare-feu.
1111 Olivier RAULIN Juin – Août 2012
Ce sont les remplaçants des matériels nommés PIX, ils sont plus performants, plus efficaces, plus
modernes, grâce à une architecture multi-processeurs.
Ces solutions permettent notamment :
de mettre en place une défense proactive (devancer les attaques)
de bloquer les attaques avant qu’elles ne se propagent
d’offrir une connectivité VPN en natif (pour les collaborateurs travaillant à
l’extérieur du site)
Des boitiers de ce type ont été choisis pour assurer la sécurité entre le réseau Internet et le réseau
interne de l’entreprise. Ces matériels ont cependant une configuration un peu différente par rapport
aux autres équipements Cisco, qu’il faut appréhender et bien étudier avant de mettre en place
certaines nouvelles fonctionnalités
1212 Olivier RAULIN Juin – Août 2012
2/ AUTHENTIFICATION AAA SUR MATÉRIEL CISCOEXISTANTTout le matériel réseau de l’entreprise est de marque Cisco1 : celui-ci est très utilisé dans le monde
professionnel, car de grande qualité. Avant mon arrivée, chaque matériel était configuré pour être
administré par une connexion avec un seul utilisateur et un mot de passe : ceci pose différents
problèmes :
de sécurité (ancien personnel connaissant les mots de passe) ;
de confidentialité (il est indispensable de divulguer ces mots de passe à quelques
personnes de l’entreprise) ;
de suivi (qui s’est connecté, et quand ?)
BESOINParfois, l’équipe systèmes et réseaux a besoin de se connecter aux matériels d’interconnexion afin
d’effectuer des modifications de configuration, ou toute autre opération de maintenance.
L’entreprise dispose d’un annuaire Active Directory : celui-ci permettrait de récupérer les comptes
utilisateurs, et de vérifier quels droits a chacun sur le matériel réseau (par exemple technicien,
ingénieur, etc.), et si cette personne a effectivement le droit de se connecter pour administrer le
matériel.
Je vais étudier les différentes solutions possibles pour mettre une authentification comme celle-ci en
place : ce type d’authentification porte le nom d’AAA2
Pour se faire, je vais donc orienter mes études sur trois possibilités : l’authentification via Cisco
Secure Access Server, via un serveur Kerberos et via un serveur Radius.
Ces trois solutions sont, globalement, les seules méthodes permettant de mettre en place une
politique AAA au sein d’une entreprise. Le protocole Radius semble le plus utilisé, mais il est
possible que d’autres protocoles soient plus performants, ou offrent plus de possibilités. Je vais
donc étudier ces différentes possibilités, afin de répondre au mieux au besoin.
1 Equipementier leader mondial de télécommunications2 Authentication, Authorization and Accounting (authentification, autorisation et traçabilité)1313 Olivier RAULIN Juin – Août 2012
J’étudierai également, pour le protocole retenu, quelle solution logicielle sera la plus opportune afin
de mettre en place ces authentifications, en fonction principalement de critères :
de coût ;
d’adaptabilité (rajout de fonctionnalités dans le futur)
de maintenance
de configuration
Cette réflexion mènera à une solution complète d’authentification AAA pour les équipements
Cisco, et sera, dans l’idéal, adaptative à d’autres besoins ultérieurs.
RECHERCHECISCO SECURE ACCESS SERVERCisco vend une solution appelée Cisco Secure Access Server, qui est une plateforme de contrôle
d’accès, qui fonctionne sur plusieurs appareils :
autorise la connexion des administrateurs de matériels ;
permet d’authentifier des utilisateurs VPN, d’accès distant ;
authentifie des utilisateurs au niveau des connexions sans-fil et propose des sécurités
spécifiques ;
communique et audite les serveurs pour renforcer le contrôle d’admission.
Pour faire simple, Cisco Secure ACS permet de gérer l’accès aux ressources réseau pour une grande
variété de types d’accès, matériels, et groupes utilisateurs. Etant donné qu’elle est développée par
Cisco, cette solution est celle qui offrirait la plus grande flexibilité, et le plus grand nombre de
possibilités pour l’administration des équipements.
Cependant, les prix pour une solution TACACS débutent à plus de 9000€. Pour des contraintes de
coût, elle sera dans un premier temps écartée, le temps que les autres solutions puissent être étudiées
en profondeur.
1414 Olivier RAULIN Juin – Août 2012
KERBEROSPRÉSENTATION
Kerberos est un protocole d’authentification créé au MIT3.
Il utilise des clés secrètes pour fonctionner, et remplace les mots de passe par des tickets, rendant
plus difficile l’interception de ces mots de passe.
Son nom provient du nom grec de Cerbère, gardien des Enfers.
On pourrait faire une analogie de son fonctionnement avec le fonctionnement d’une billetterie de
cinéma, se déroulant en 3 étapes :
1. Le client paye son ticket
2. A l’entrée, un employé du cinéma déchire le ticket et en garde la moitié
3. Si besoin, on peut vérifier que les deux morceaux vont ensemble et n’ont pas été
falsifiés
Sa durée de vie est limitée (1 séance, généralement)
3 Massachussets Institute of Technology1515 Olivier RAULIN Juin – Août 2012
FONCTIONNEMENT
FIGURE 3 : PROCESSUS D'AUTHENTIFICATION KERBEROSLe serveur hébergeant l’AD utilise déjà Kerberos, puisque c’est le protocole utilisé nativement pour
l’authentification des ordinateurs clients dans un domaine Microsoft. Il devrait donc être possible
d’authentifier les matériels Cisco via cet AD, directement. De plus, les switchs, routeurs et firewalls
Cisco sont compatibles Kerberos depuis IOS4 version 11.2
Cependant, le protocole Kerberos ne fournit que le service d’Authentification (qui permet de savoir
si une personne a le droit de se connecter au matériel). Il faudra se tourner vers d’autres solutions
pour mettre en place l’Autorisation (qui indique quels droits à la personne sur le matériel) et la
Traçabilité (qui s’est connecté, quand, et sur quel équipement)
Pour des raisons de facilité de mise en œuvre, de limitation du nombre de protocoles utilisés et de
limitations techniques et de maintenance, la mise en place de Kerberos sera malheureusement
également écartée.
4 IOS : Système d’exploitation des matériels CISCO1616 Olivier RAULIN Juin – Août 2012
RADIUSPRÉSENTATION
LE PROTOCOLE RADIUS (REMOTE AUTHENTICATION DIAL-IN USER
SERVICE) EST UN PROTOCOLE D’AUTHENTIFICATION STANDARD. LE
FONCTIONNEMENT DE RADIUS EST BASÉ SUR UN SYSTÈME
CLIENT/SERVEUR CHARGÉ DE DÉFINIR LES ACCÈS D’UTILISATEURS
DISTANTS À UN RÉSEAU. […]. LE PROTOCOLE RADIUS REPOSE
PRINCIPALEMENT SUR UN SERVEUR, RELIÉ À UNE BASE
D’IDENTIFICATION COMME UNE BASE DE DONNÉES OU UN
ANNUAIRE, ET UN CLIENT RADIUS, FAISANT OFFICE
D’INTERMÉDIAIRE ENTRE L’UTILISATEUR FINAL ET LE SERVEUR.
L’ENSEMBLE DES TRANSACTIONS ENTRE LE CLIENT RADIUS ET LE
SERVEUR EST CHIFFRÉ ET AUTHENTIFIÉ GRÂCE À UN SECRET
PARTAGÉ. [1]
Le protocole RADIUS est implémenté dans IOS depuis la version 11.1
FONCTIONNEMENT
1717 Olivier RAULIN Juin – Août 2012
FIGURE 4 : FONCTIONNEMENT D'UNE ARCHITECTURE RADIUS SUR CONNEXION WIFISur cette figure, on voit le déroulement d’une authentification par Radius, qui se déroule en 5
étapes : 1. PC-portable envoie à Borne-WiFi les identifiants et mot de passe de l’utilisateur qui
désire se connecter au réseau ;2. Borne-WiFi chiffre le mot de passe grâce au secret qu’il partage avec Serveur
Radius, et transmet ces informations à celui-ci ;3. Serveur Radius lit le mot de passe de l’utilisateur qu’il a dans sa base de données
(l’administrateur est libre de choisir plusieurs méthodes de stockage des utilisateurs),
chiffre celui-ci avec le secret partagé puis le compare avec celui envoyé par Borne-
WiFi (c’est le principe d’irréversibilité du chiffrage, qui permet de chiffrer un mot de
passe avec un secret partagé mais ne permet pas de le déchiffrer : le MD5
fonctionnera sur le même principe) ;
4. Serveur Radius renvoie sa réponse :
a. Access-Accept, s’il autorise la connexion
b. Access-Reject, s’il refuse la connexion
c. il peut également renvoyer d’autres attributs, en fonction de sa configuration
5. Borne-Wifi reçoit la réponse de Serveur Radius, et accepte, ou non, l’utilisateur en
fonction de celle-ci.
Il est bien évidemment primordial que le secret partagé reste secret entre la borne et le serveur, car
dans le cas contraire la sécurité des mots de passe risquerait d’être compromise.
PROTOCOLES ET SERVICES RENDUS1818 Olivier RAULIN Juin – Août 2012
FIGURE 5 : TABLEAU DES MÉTHODES SUPPORTÉES PAR LES DIFFÉRENTS PROTOCOLESLa figure ci-dessus indique le support de chaque protocole au niveau des 3 méthodes
(Authentification, Autorisation et Traçabilité), pour les matériels de type ASA principalement (les
autres équipements ne supportant pas nécessairement tous ces protocoles).
Il est donc facile de remarquer que le TACACS+ (protocole de Cisco) est compatible avec tout,
tandis que Kerberos est uniquement limité à l’Authentification.
Cependant, le protocole Radius tire son épingle du jeu avec quasiment toutes les méthodes
supportées. Il ne reste que l’autorisation de l’administrateur, qui, via IOS, se contourne en utilisant
un utilisateur fictif nommé $enabXX, où XX est remplacé par un nombre compris entre 1 et 15, et
qui représente le niveau d’autorisation accordé : ainsi, on peut créer 15 niveaux d’autorisation
différents, tous avec un mot de passe différent : malheureusement, il n’est pas possible d’affecter à
un compte d’utilisateur un niveau d’autorisation, bien que le serveur Radius le permette et le prenne
en charge : c’est une limitation du système de Cisco, IOS.
CHOIX FINAL DU PROTOCOLEAprès étude des principaux protocoles permettant l’authentification AAA sur un équipement Cisco, il ressort principalement 2 critères d’exclusion concernant les deux premiers :1919 Olivier RAULIN Juin – Août 2012
Cisco Secure Access Server, et son protocole TACACS+, est écarté pour son coût trop élevé ; Kerberos est écarté par sa limitation technique et sa complexité de mise en œuvre.Il reste donc le protocole Radius, qui semble, lui, n’avoir aucun aspect négatif à son utilisation, notamment parce que : il est sécurisé ; il n’est pas lié à l’achat de serveurs spécifiques ; il est très compatible, polyvalent, et semble pouvoir s’adapter à toute quantité de situations.La partie suivante va donc faire un comparatif entre deux solutions mettant en œuvre le protocole Radius : NPS, le serveur Radius intégré à Windows Server 2008, et FreeRadius, solution libre la plus utilisée au monde5.
NPS, SERVEUR RADIUS DE MICROSOFTWINDOWS SERVER
Windows Server est une marque, déposée par Microsoft, pour sa gamme de systèmes d’exploitation
dédiée pour les serveurs.
Un serveur est une machine, parfois physique, parfois virtualisée (cf p. Error: Reference source not
found : Error: Reference source not foundError: Reference source not found), destinée à rendre un
service à un ou des clients, comme par exemple l’affichage d’un site web, le partage de données,
etc.)
Tout serveur de type Windows Server est capable d’héberger un serveur NPS, qui fait office de
serveur Radius : la dernière version sur le marché est la version 2008 R2, la suivante étant la
version 2012, la précédente étant la version 2003. Généralement, les sorties de nouvelles versions
de Windows Server coïncident avec une sortie d’un système pour le grand public :
Windows server 2003 est sorti avec Windows XP ;
Windows Server 2008 est sorti avec Windows Vista ;
Windows Server 2012 sortira avec Windows 8, prévu pour le 26 octobre 2012.5 voir http://freeradius.org/2020 Olivier RAULIN Juin – Août 2012
CWF, parmi sa centaine de serveurs, migre progressivement ses anciens serveurs Windows Server
2003 vers des versions 2008, et n’installe de nouveaux serveurs qu’avec cette version. Cela permet
à CWF d’être toujours à jour au niveau de sa sécurité et des fonctionnalités rendues.
Windows Server 2008 est décomposé en plusieurs versions, permettant plus ou moins de
fonctionnalités, et à des tarifs différents, avec notamment, pour principales :
Web Server ;
Standard ;
Enterprise ;
Datacenter ;
Foundation.
CWF installe principalement des versions Standard, moins coûteuses que les versions Enterprise,
mais bien moins limitées que les versions Web Server, destinées uniquement pour l’hébergement de
sites web.
NPSNPS6 est le remplaçant, sous Windows Server 2008, d’IAS7, présent lui sur les systèmes Windows
Server 2003.
Il a pour principale fonctionnalité de servir de serveur Radius, et peut servir également de proxy ou
de sécurisation d’accès.
La version Standard de Windows Server 2008 limite à 50 le nombre de clients Radius (un client
étant par exemple une borne WiFi, ou un équipement Cisco). Cependant, cette limite n’est pas
clairement indiquée par le système : c’est en ajoutant le 51ème client qu’un message d’erreur assez
peu explicite fait son apparition, empêchant l’ajout d’un client supplémentaire.
Une solution à cette limite existe, et elle consiste à passer sur une version supérieure de 2008
Server, par exemple la version Enterprise ou Datacenter, qui suppriment cette limite de clients. Cela
a un coût, et s’il n’est pas possible de trouver une solution moins coûteuse, on la retiendra.
Cependant, une alternative semble possible avec Freeradius.
6 Network Policy Server7 Internet Authentication Service2121 Olivier RAULIN Juin – Août 2012
FREERADIUS AVEC AUTHENTIFICATION SUR LDAPFreeRadius est une implémentation libre et gratuite du protocole RADIUS, qui permet donc
d’ajouter à son réseau un serveur répondant aux besoins de l’AAA. Il est considéré comme étant le
plus utilisé au monde des serveurs RADIUS. Il peut s’authentifier auprès de fichiers texte, d’une
base SQL, d’un annuaire LDAP, d’une base SQL, et auprès de bien d‘autres services par le biais de
modules supplémentaires. Ici, on montrera l’authentification auprès d’un annuaire LDAP, qui
stocke déjà actuellement des utilisateurs : cette solution a été retenue pour sa simplicité d’usage : en
effet, il apparaîtrait trivial de récupérer la liste d’utilisateurs à intervalles réguliers, afin d’alimenter
une seconde base, et d’obtenir une architecture soumise à beaucoup de risques :
de synchronisation ;
d’incompréhension (utilité d’avoir un réplica de la première base ?) ;
de lourdeur (doublement des données).
Le choix de Freeradius s’est imposé parce que c’est une référence dans le domaine de
l’authentification Radius, et que, de plus, il permet de conserver des coûts très limités (au vu de la
licence libre et gratuite)
LDAP est protocole devenu un standard permettant l’interrogation et la modification des services
d’annuaire, reposant sur TCP/IP. On peut trouver des annuaires compatibles LDAP sur toutes les
plateformes, comme par exemple OpenLDAP sur un système GNU/Linux ou Active Directory sur
un système Microsoft (Microsoft ayant ajouté des couches supplémentaires à son annuaire).
FONCTIONNEMENTDans la configuration de FreeRadius, il va falloir lui spécifier plusieurs renseignements, tels que le
schéma de l’annuaire, son adresse, ainsi que le mot de passe de l’administrateur de celui-ci (cette
obligation est due à Windows Server, qui n’autorise pas la connexion anonyme sur son annuaire). A
chaque requête, notre serveur Radius va donc aller effectuer une requête auprès de la fonctionnalité
LDAP de l’Active Directory, et celui-ci répondra si l’utilisateur est autorisé ou pas à se connecter.
Cependant, une seule configuration est envisageable : en effet, le module est configuré de telle sorte
qu’il aille chercher, par exemple, les utilisateurs dans l’unité Personnes de l’annuaire : que se passe-
t-il si, dans le futur, nous désirons rajouter une nouvelle fonctionnalité utilisant l’authentification
Radius, telle que, par exemple, une authentification des clients sans-fil au sein de l’entreprise ?
2222 Olivier RAULIN Juin – Août 2012
La réponse est simple : il ne sera pas possible de cumuler les deux avec deux configurations
différentes. On ne pourra par exemple pas authentifier une machine, il faudra obligatoirement
authentifier un utilisateur, qui sera dans l’unité Personnes de l’annuaire, et qui enverra son mot de
passe d’une manière non chiffrée (donc non sécurisée).
Dans le cadre d’un serveur voué à n’accueillir qu’un seul service d’authentification, cela pourrait
suffire, mais l’entreprise étant en perpétuelle évolution, cette configuration n’est pas envisageable.
Dans la partie suivante, nous verrons qu’il est possible d’utiliser FreeRadius en tant que proxy, et
les conséquences de ceci.CONFIGURATION DE FREERADIUS EN TANT QUE PROXYNous nous retrouvons donc avec, globalement, 2 contraintes :
le coût d’une licence Enterprise, ou la limite à 50 clients Radius sur la version
Standard de Windows Server 2008.
les problèmes de configurations multiples d’une authentification FreeRadius sur
LDAP.
Serait-il possible, par exemple, d’obtenir les fonctionnalités de NPS, avec autant de clients que l’on
souhaite, sans changer de licence et sans dépasser le nombre de 50 clients ?
INTRODUCTION AU FONCTIONNEMENT D’UN PROXYUn serveur proxy est un serveur qui va servir d’intermédiaire entre un client et un autre serveur, en
se faisant passer pour le client auprès de l’autre serveur. Généralement, ce système de proxy est
utilisé afin d’augmenter la sécurité du parc informatique, ou d’augmenter les performances d’un
réseau local, parce qu’il peut être associé de plusieurs services, tels que, dans l’exemple d’un proxy
web (le plus couramment rencontré) :
un service de cache (les éléments fréquemment demandés sont stockés en local) ;
un service antiviral (les retours de requêtes vont être scannés) ;
un service de sécurité (certaines requêtes vont être autorisées, d’autres non).
2323 Olivier RAULIN Juin – Août 2012
FIGURE 6 : FONCTIONNEMENT D'UN PROXYCette figure illustre parfaitement le fonctionnement d’un proxy : à gauche se situe le réseau local,
composé de machines clientes, et qui envoient toutes leurs requêtes vers la machine faisant office de
proxy. Celle-ci contacte les serveurs Internet avec les requêtes des clients, en se faisant donc passer
pour eux (en réalité, le serveur sur Internet croira que toutes les requêtes viennent de la même
machine, qui est donc le serveur proxy), et répond aux clients en se faisant passer pour les serveurs
présents sur Internet : le fonctionnement est donc totalement transparent pour les clients, qui, selon
la configuration, peuvent ne pas s’apercevoir qu’ils passent au travers d’un proxy.
MISE EN PLACE ET CONFIGURATIONUne solution de proxy via Freeradius a été imaginée, et a semblé pertinente, à la fois pour des
raisons de simplicité de et maintenance : en effet, Freeradius supporte, à l’instar des licences
Enterprise et Datacenter de Windows Server, l’ajout de sous-réseaux en tant que clients. Cela
permet donc d’ajouter très simplement un nombre important de clients, sans devoir les ajouter un
par un, comme c’est le cas sur Windows Server Standard. De plus, l’aspect gratuit de la solution a
joué dans la décision finale, ainsi que mon intérêt personnel pour les solutions open-source.
La configuration est assez simple, et fonctionnera sur tout mécanisme d’authentification choisi : en
effet, le Freeradius n’agira qu’en tant que proxy, ce qui signifie qu’il ne fera que transférer les
requêtes vers le serveur Windows Server, qui lui, n’aura donc qu’un seul client configuré.
Il suffira de spécifier dans les modules à activer de n’activer qu’IPASS, et de configurer les
royaumes (REALMS) dans son fichier de configuration.
Le module détectera ensuite, selon qu’un nom de domaine soit indiqué ou non dans chaque
requête : exemple OLIVIER\Administrateur, ou EPSI\utilisateur, le serveur vers lequel il doit
2424 Olivier RAULIN Juin – Août 2012
renvoyer cette requête afin qu’elle soit traitée. Il est possible de ne travailler qu’avec un serveur, ou
bien, si l’on dispose de plusieurs royaumes, de définir un serveur pour chacun. Une fois le résultat
reçu, le module retransmettra le résultat reçu au client.
FIGURE 7 : TOPOLOGIE DU RÉSEAU AVEC PROXY RADIUSSur cette figure, Switch0 et Switch1 servent d’interconnexion aux différents matériels possibles :
ceux-ci sont administrables, et une configuration Radius leur sera appliquée.
Switch2 n’est présent que pour montrer qu’il est également possible de configurer des équipements
« esseulés », pouvant représenter n’importe quel équipement réseau.
Les PC portables se connecteront via une authentification Radius également, le proxy recevant donc
toutes les connexions des machines et équipements et redirige tous ces flux vers le serveur Radius
final, sans faire de distinction entre les différentes méthodes d’authentification (EAP, PEAP, LEAP,
MsCHAP …).
Le serveur final, fonctionnant avec Windows Server, saura faire la distinction et appliquer la bonne
procédure définie à chaque protocole d’authentification.
CONCLUSION QUANT À LA CONFIGURATION DE FREERADIUSLa configuration de Freeradius avec authentification via LDAP implique que le mot de passe de
l’administrateur soit rentré dans un fichier de configuration : cela peut poser des problèmes de
2525 Olivier RAULIN Juin – Août 2012
sécurité. De plus, nous rencontrerons des problèmes lorsqu’une autre architecture va être installée
sur l’infrastructure, notamment une authentification via Radius des clients WiFi.
En effet, la configuration effectuée dans le cas d’une authentification par LDAP est spécifique à un
type de connexion, et toute requête arrivant au serveur sera traitée de la même manière par le
module LDAP.
Ainsi, il faudra jongler, au niveau de l’AD, à détecter de quel endroit provient chaque requête, et
adapter en conséquence : la maintenance en devient rapidement trop complexe.
Il ne sera donc pas idéal de devoir gérer au niveau de l’AD ces différentes requêtes. Pour cette
raison, l’utilisation du module LDAP de Freeradius sera abandonnée, malgré sa simplicité d’usage
et ses possibilités offertes. La configuration de Freeradius en tant que proxy apparaît la solution la
plus stable, la moins coûteuse, et la plus maintenable possible.
2626 Olivier RAULIN Juin – Août 2012
3/ AUTHENTIFICATION CENTRALISÉE DES SERVEURS LINUXEXISTANTActuellement, tous les serveurs Windows sont automatiquement joints au domaine : étant supporté
nativement, c’est donc très simple de le faire, et cela apporte beaucoup d’avantages (résolution de
noms simplifiée, authentification centralisée, services supplémentaires, etc.)
Cette situation n’a pas été exportée vers les serveurs Linux (distribution Debian), car n’est pas
supportée nativement, et nécessite quelques ajustements afin de pouvoir fonctionner
convenablement
BESOINIl apparaît évident qu’une solution comme celle d’un seul compte utilisateur par machine vienne à
poser de multiples problèmes dans le futur, au même niveau que les problèmes touchant les
matériels Cisco : confidentialité, sécurité, etc.
Il faut donc étudier une solution permettant d’authentifier ces machines Non-Windows sur le
domaine, qui lui fonctionne avec Windows.
RECHERCHE1. AUTHENTIFICATION SUR L’ANNUAIRE LDAPActive Directory étant compatible avec le protocole LDAP, il est possible d’utiliser celui-ci pour
interroger la partie LDAP de l’AD.
Toutes les documentations qu’on peut trouver à ce propos ont entre 7 et 12 ans, et sont donc
clairement dépassées technologiquement : si cette méthode d’authentification pouvait s’envisager il
y a encore 5 ans, elle n’est plus acceptable aujourd’hui, elle est totalement obsolète.
Cette méthode d’identification fait transiter le mot de passe en clair (sans chiffrage) sur le réseau, ce
qui est un comportement qui est peu recommandé.
Cette technologie ne permet pas, non plus, de conserver son identification pour l’accession des
partages réseau : il faudra s’authentifier à nouveau quand on désirera accéder à chaque disque
réseau (chaque utilisateur ayant en moyenne accès à 4 lecteurs réseau)
2727 Olivier RAULIN Juin – Août 2012
FIGURE 8 : AUTHENTIFICATION LDAP1. AUTHENTIFICATION VIA LE PROTOCOLE KERBEROS
Le protocole Kerberos est celui utilisé par défaut pour les connexions des utilisateurs Windows.
Le client Linux va utiliser Kerberos pour s’authentifier, et LDAP pour obtenir les informations
relatives au compte.
Le protocole Kerberos est celui utilisé par défaut pour les connexions des utilisateurs Windows.
Le client Linux va utiliser Kerberos pour s’authentifier, et LDAP pour obtenir les informations
relatives au compte.
FIGURE 9 : AUTHENTIFICATION AVEC KERBEROS ET LDAP
2828 Olivier RAULIN Juin – Août 2012
2. AUTHENTIFICATION VIA WINBINDLa troisième solution est d’utiliser le démon appelé Winbind pour transformer les appels de Linux
en appels compatibles Active Directory.
Ce démon va se charger de transformer toute requête d’authentification dans des méthodes que
comprendra l’Active Directory, et fera le nécessaire pour contacter celui-ci. De l’autre côté, il n’y a
que peu de choses à rajouter à la configuration, il suffit juste d’indiquer au démon PAM8 que c’est
Winbind qui se charge de l’authentification.
FIGURE 10 : AUTHENTIFICATION AVEC WINBIND 3. SOLUTION RETENUEAu premier abord, la seconde solution, apparaissant plus simple à mettre en œuvre, avait été
retenue.
Cependant, au fur et à mesure des tests et des recherches, il est apparu que cette solution était
finalement beaucoup plus complexe à mettre en œuvre et potentiellement destructrice. Elle utilisait
en effet les fonctionnalités LDAP de l’Active Directory - ces fonctionnalités étant limitées par
Microsoft, les champs de l’annuaire étant spécifiques pour la gestion des utilisateurs d’un domaine
Windows. Il aurait donc fallu apporter de lourdes modifications à la structure de l’annuaire pour
pouvoir mettre en place ces solutions, qui risquaient donc d’endommager le fonctionnement pour
les clients Windows.
Finalement, c’est la troisième solution qui sera mise en œuvre, puisqu’elle est transparente pour
l’annuaire (pas de modification de structure, il ne voit rien d’autre qu’une machine comme une
autre), et c’est un démon sur chaque machine Linux qui se chargera d’effectuer la compatibilité et
8 Pluggable Authentication Modules : démon d’authentification utilisé par défaut sur les machines Linux2929 Olivier RAULIN Juin – Août 2012
d’aller chercher dynamiquement dans l’annuaire les utilisateurs. Cependant, l’accès via le compte
local de la machine est toujours possible sans manipulation spécifique, ce qui permet de garder le
contrôle en cas de panne sur le réseau (annuaire, réseau, etc.)
Afin de faciliter l’intégration au domaine des serveurs, j’ai proposé un script afin que la jonction du
domaine s’effectue en seulement quelques secondes (contre plusieurs minutes de manipulations
répétitives lorsque l’on configure manuellement), avec le moins d’actions humaines à effectuer, tout
en conservant un niveau de sécurité optimal : aucun mot de passe n’est renseigné dans ce script
d’automatisation.
3030 Olivier RAULIN Juin – Août 2012
4/ AUTHENTIFICATION DES MACHINES CONNECTÉES SANS FILEXISTANTLes ordinateurs portables doivent s’authentifier afin de pouvoir accéder au réseau sans-fil de
l’entreprise. Pour cela, un paramétrage doit être effectué sur chaque machine après installation afin
de rentrer un nom d’utilisateur et un mot de passe qui permettront l’authentification de l’ordinateur.
BESOINOn voudrait, pour des raisons de simplification, une automatisation de ce procédé afin d’éviter de
devoir passer sur chaque machine rentrer l’identifiant et le mot de passe spécifique afin que
l’utilisateur aie accès au réseau. Cela complique les changements de postes, et donne un travail
supplémentaire aux administrateurs.
RECHERCHELes moyens de sécurisation d’un réseau sans fil de type Wi-Fi sont nombreux, et évoluent
rapidement.
On trouvera des moyens de sécurisation orientés grand public, et des moyens de sécurisation plus
axés vers le monde professionnel, mais plus compliqués à mettre en œuvre.SOLUTIONS GRAND PUBLIC- le WEP (dépassé depuis des années)
- le WPA-PSK (moyennement fiable)
- le WPA2-PSK (assez fiable)
Ces solutions se basent sur une clé partagée entre le point d’accès et la station cliente, et n’est que
très difficilement applicable à l’entreprise, pour les raisons suivantes :
chaque poste doit avoir cette clé, et donc un changement régulier de clé est très
contraignant, voire impossible lorsque le parc devient conséquent. ;
le non-changement de cette clé expose l’entreprise à des risques (anciens employés,
matériel volé, etc.) ;
3131 Olivier RAULIN Juin – Août 2012
des pirates pourraient finir par découvrir cette clé de chiffrage en écoutant le réseau,
et ainsi s’y connecter.SOLUTIONS PROFESSIONNELLES- le WPA-Entreprise
- le WPA2-Entreprise
- le contrôle d’accès via la norme 802.1X et le protocole EAP
Le WPA2 n’est qu’une version mise à jour de WPA, supportant un algorithme plus sûr que
l’ancienne version (AES au lieu de TKIP)
Ces trois solutions sont basées sur un serveur d’authentification (Radius pour le 802.1X, une
diversité pour le WPA/WPA2)PROTOCOLE EAPExtensible Authentication Protocol (EAP) est un mécanisme d'identification universel,
fréquemment utilisé dans les réseaux sans fil.
Il existe 5 types d’EAP officialisés par les standards WPA/WPA2 :
• EAP-TLS
• EAP-TTLS/MSCHAPv2
• PEAPv0/EAP-MS-CHAPv2
• PEAPv1/EAP-GTC
• EAP-SIM
Il en existe cependant d’autres, ceux-ci étant les plus connus.
EAP-TLSC’est le seul protocole obligatoirement supporté par un appareil portant le logo WPA ou WPA2.
Il oblige d’avoir un certificat de chaque côté de l’identification. L’utilisation de ce protocole est
donc sécuritaire, mais très contraignante.
3232 Olivier RAULIN Juin – Août 2012
EAP-TTLSTrès bon niveau de sécurité, un certificat est présent au niveau du serveur uniquement. Il faudra
cependant toujours rentrer manuellement un nom d’utilisateur et un mot de passe pour pouvoir se
connecter.
PEAPProtocole similaire à EAP-TTLS : il en existe 2 versions :
• PEAPv0/EAP-MS-CHAPv2, développé par Microsoft
• PEAPv1/EAP-GTC
PEAP se déroule en 2 étapes :
1. Identification du serveur (optionnel)
2. Identification du client au travers d’un tunnel chiffré
EAP-SIMProtocole d’authentification pour mobiles, ne nous concernant pas dans le cadre de ce rapport.CHOIX MIS EN PLACELes clients utilisant un système d’exploitation Microsoft, et l’annuaire (le serveur auprès duquel les
clients vont s’authentifier) également, le choix se limite rapidement : en effet, Windows ne supporte
nativement que PEAP et MS-CHAPv2, protocole développé par Microsoft lui-même, et qui est une
modification du protocole d’authentification CHAP, permettant l’authentification sans avoir de mot
de passe transitant en clair sur le réseau.
Le choix va donc, pour des raisons de compatibilité et de sécurité, à une authentification via
PEAPv0/MS-CHAP-v2, supportée nativement par Windows.
MS-CHAP-v2 est défini par la RFC 2759.
3333 Olivier RAULIN Juin – Août 2012
CE QUI SE PASSE DANS LA PRATIQUERappel : topologie du réseau
FIGURE 11 : RAPPEL DE LA TOPOLOGIE RÉSEAU1. pc-portable contacte AP via la technologie Wi-Fi : celui-ci contacte Radius, qui
transmet la requête de connexion à AD (Radius agissant comme un simple proxy).
AD répond avec un « Challenge » (une série aléatoire de caractères), qui est
retransmis tour à tour à Radius, puis à AP, puis à pc-portable.
2. pc-portable calcule une valeur de réponse en fonction du mot de passe de l’utilisateur
(la connexion sans-fil est configurée pour envoyer les identifiants servant à
authentifier l’utilisateur), et le renvoie à AD.
3. AD connaissant le mot de passe de l’utilisateur, il sait la valeur qu’il est censé
recevoir : si celle-ci est correcte, il renvoie un Access-Accept à pc-portable, qui
autorise donc pc-portable à se connecter à la borne ; sinon, il envoie un Access-
Reject, qui n’autorise pas pc-portable à être associé à la borne.
A intervalle aléatoire, AD renverra à nouveau un challenge permettant de confirmer
l’authentification de l’utilisateur (et éviter une éventuelle usurpation d’identité)
3434 Olivier RAULIN Juin – Août 2012
Le chiffrage utilisé pour la transmission des données est le WPA. A cela, 802.1X propose une
rotation à intervalles prédéfinis (par l’administrateur) des clés WPA. Ce délai peut souvent être
choisi de 10 secondes à plusieurs jours. Ceci signifie que la borne informera les stations clientes
(donc authentifiées avec le 802.1X) du changement de clé : si un pirate venait à écouter ce qui se
passe sur le réseau, il n’arriverait pas à capturer une quantité suffisante de données afin de
déchiffrer la clé avant que celle-ci ne soit changée. [3]
3535 Olivier RAULIN Juin – Août 2012
5/ PROXY TRANSPARENT SUR FIREWALL CISCOEXISTANT Les navigateurs Internet (Internet Explorer, Mozilla Firefox, Google Chrome …) des ordinateurs
sont configurés pour utiliser un proxy, et seul ce proxy est autorisé à accéder à Internet. Sans cette
configuration renseignée dans chaque navigateur, l’accès à Internet est impossible. Cette politique a
été mise en place afin d’obliger les utilisateurs à passer par le proxy. Celui-ci fait office de première
barrière antivirale, puisqu’il scanne le contenu des pages web et des téléchargements par rapport à
une liste de virus connus, et empêche ceux-ci d’arriver sur les machines clientes.
Le proxy est un IWSVA, édité par la société Trend Micro.
PROBLÈMESLes ordinateurs portables de l’entreprise changent de lieu, et donc la configuration doit être changée
manuellement, puisque bloquant l’accès Internet à l’extérieur de l’entreprise (le proxy n’est pas
accessible depuis l’extérieur de l’entreprise) si le proxy est renseigné et bloquant l’accès Internet à
l’intérieur de l’entreprise si celui-ci n’est pas renseigné (comme indiqué en A)
BESOINPermettre de ne plus avoir besoin de proxy configuré dans le navigateur de chaque ordinateur. Pour
cela, étude du protocole WCCP, de son activation sur le pare-feu, et études des conséquences et
limitations du protocole. Le but final sera d’appliquer la configuration sur le pare-feu actuel.
A) RECHERCHE1/ PRÉSENTATION D’IWSVAIWSVA9 est une solution de sécurité éditée par Trend Micro, fonctionnant sur plusieurs
plateformes : Linux, Solaris et Windows, avec comme rendu final une interface web permettant
l’administration depuis n’importe quel ordinateur du réseau. Un accès via SSH sera aussi possible si
la solution est installée sur des machines Linux.
Dans la liste de ses fonctionnalités, on peut citer :
9 InterScan Web Security Virtual Appliance3636 Olivier RAULIN Juin – Août 2012
une protection contre les menaces Internet ;
une protection antivirale ;
une protection contre les logiciels malveillants (espionnage de frappe, etc) ;
une protection contre le phishing ;
une intégration facile dans LDAP ou Active Directory ;
une surveillance en temps réel ;
un filtrage des sites web autorisés ou interdits ;
et encore bien d’autres fonctionnalités mineures.
Cette solution est apparue comme la plus performante par de nombreux tests, et c’est celle qui a été
choisie par l’entreprise, et qu’elle utilise actuellement.
2/ PRÉSENTATION DE WCCPWCCP (Web Cache Communication Protocol) est un protocole développé par Cisco qui permet la
gestion dynamique d’un système de cache, dans le but de réduire la latence et le trafic web. WCCP
est supporté par divers équipements de marque Cisco, tels que les routeurs, les pare-feux, et certains
commutateurs travaillant sur la couche 4 du modèle OSI.
C’est un protocole qui va, en temps réel, analyser le trafic entrant sur une interface de l’équipement,
et, premièrement, il va appliquer à ce trafic les règles de contrôle d’accès qui s’appliquent. Ensuite,
s’il trouve une correspondance par rapport à sa configuration, va renvoyer ce flux vers le proxy
(beaucoup de proxys sont compatibles) : en revanche, si le trafic ne correspond pas à sa
configuration, celui-ci part directement vers Internet.
La version 12.1 d’IOS ou supérieure est requise pour utiliser les fonctionnalités de WCCPv2, qui
permet notamment le support d’autres protocoles que le HTTP et HTTPS, et supporte les groupes
de service (255 groupes configurables).
Trend Micro déconseille les versions 12.2(23) et 12.3(9) d’IOS, car elles sont reconnues comme
ayant des problèmes avec WCCP.
3737 Olivier RAULIN Juin – Août 2012
FIGURE 12 : FONCTIONNEMENT DU WCCPExplications concernant cette figure :
1- Un client envoie sa requête
2- Le routeur intercepte la requête et la renvoie vers le cache
3- Le cache va chercher le contenu désiré
4- Le cache répond au client
Il n’y a pas de configuration à effectuer sur les clients, le fonctionnement étant totalement
transparent pour ceux-ci (il n’y a plus de configuration à rentrer manuellement dans les navigateurs)
4/ NON PRIORITÉ DU PROTOCOLELe protocole n’est cependant pas prioritaire par rapport à d’autres règles qui auraient pu être mises
en place.
3838 Olivier RAULIN Juin – Août 2012
Par exemple, une ACL en entrée prend toujours la priorité sur WCCP.
Si, par exemple, on désire bloquer l’accès au site web « www.google.fr », alors dans ce cas
cette règle devient prioritaire, et le site de Google ne sera pas accessible pour les clients à
l’intérieur du réseau : le WCCP ne sera pas appliqué
Cependant, si on désire autoriser explicitement un autre site Internet, cela ne l’empêchera pas
de passer par le filtre WCCP après.
Si on devait schématiser ce fonctionnement, on pourrait obtenir quelque chose comme la figure
suivante :
Sur cette figure, on peut observer la priorité du traitement du WCCP :
Quelque soit le site visité (l’exemple pris ici n’est de traiter que du Web), toute la liste va être
testée, règle par règle :
imaginons que, par exemple, nous désirions accéder à www.google.fr :
1. la règle 1 ne correspond pas
2. la règle 2 correspond : bloquer le trafic
maintenant, imaginons que nous voulions accéder à www.epsi.fr :
1. la règle 1 correspond : le trafic est autorisé, cependant il sera quand même
traité par le WCCP
si maintenant, nous voulons accéder à www.free.fr :
1. la règle 1 ne correspond pas
2. la règle 2 ne correspond pas
3. la règle 3 ne correspond pas
3939 Olivier RAULIN Juin – Août 2012
Règle 1 : autoriser www.epsi.frRègle 2 : interdire www.google.frRègle 3 : autoriser www.olivier-raulin.frSi accepté : WCCP s’applique
FIGURE 13 : PRIORITÉ DU WCCP
4. le trafic est rejeté par défaut, il ne passera donc pas par le WCCP
Le fonctionnement de ce protocole est donc un peu particulier, et pas simple à comprendre au
premier abord.
5/ SERVICES WCCP COURANTSService 0 : HTTP10
Service 53 : DNS11
Service 60 : FTP12
Service 70 : HTTPS13
Service 80 : Streaming RTSP14
Service 90-97 : Personnalisables
Service 99 : proxy inverse
Ces services, bien que semblant être figés, sont entièrement configurables sur l’ASA via des ACL.
6/ PROBLÈMES ENTRE WCCP ET IWSVAUne fois la plateforme de test mise en place et fonctionnels, on m’a apporté quelques détails sur ce
qui est actuellement mis en place, principalement au niveau du service comptabilité.
Parmi ces spécificités, on trouve :
Des accès directs vers certaines adresses, sans passer par le proxy
Des serveurs effectuant des requêtes sur d’autres protocoles que du HTTP(s)
Il a donc été nécessaire d’étudier la mise en place de ces spécificités entre l’ASA et la solution de
sécurité IWSVA
AUTRES PROJETS EFFECTUÉSEn ce qui concerne les autres projets sur lesquels j’ai travaillé, on pourra trouver :10 HyperText Transfer Protocol11 Domain Name Service12 File Transfer Protocol13 HyperText Transfer Protocol Secured14 Real Time Streaming Protocol
4040 Olivier RAULIN Juin – Août 2012
un script permettant de vérifier la présence de comptes utilisateurs sur certains serveurs ; un script permettant de vérifier le nombre de caractères des répertoires personnels des utilisateurs, afin qu’ils correspondent à la norme mise en place au sein du SI ; une vérification et mise à jour de pilotes d’imprimantes ; des réparations de smartphones ; la création, dans plusieurs langues (anglaise, espagnole, italienne) de MSI permettant l’installation simplifiée et silencieuse (sans demander à l’utilisateur de cliquer sur un quelconque bouton) de programmes ; du support utilisateur.Cependant, je n’estime pas ces sujets assez importants pour être détaillés, mais je tenais ce que ceux-ci sont tout de même représentés dans ce rapport.
4141 Olivier RAULIN Juin – Août 2012
CONCLUSIONAu travers de ce rapport, je me suis efforcé de démontrer l’importance d’une authentification
centralisée au sein d’un système d’information. Une politique qui ne doit pas être négligée,
puisqu’elle est facteur d’un gain de temps important, et qu’elle simplifie et sécurise des démarches
concernant les éléments systèmes et réseaux de sécurité indispensables à l’entreprise.
Pour être efficace, un Système d’Information a besoin d’être le plus automatisé possible, puisque
des manipulations répétitives nuisent à la productivité d’un service informatique.
Au cours de ce stage chez CWF, j’ai pu appréhender les méthodes appliquées sur les projets
informatiques, j’ai eu à cœur de proposer des solutions en prenant en compte tous les critères
nécessaires, tels que le coût, la maintenabilité, la mise en place, et j’ai effectué le travail nécessaire
pour simplifier au maximum toute procédure afférente.
J’ai eu la possibilité de mettre en pratique ce qu’on appelle le « savoir-faire » ingénieur : mettre en
place, à partir d’un besoin, une procédure simple et compréhensible, générée par la synthèse à la
fois d’un aspect théorique (manuels administrateurs ou utilisateurs) et d’un aspect pratique (batterie
de tests fonctionnels, de configurations référencées dans les manuels ou non, confrontation de
différentes informations, etc.), le tout menant à un réel apport de valeur ajoutée à un système
d’information.
L’autonomie qui m’a été offerte m’a permis de confirmer mon avis sur le fait qu’avec un point de
départ et un point d’arrivée, il existe une multitude de chemins, parfois très éloignés les uns des
autres, parfois très proches, parfois se rejoignant ou s’écartant mutuellement.
Parfois, je n’avais qu’un point de départ pour bâtir ma réflexion : de celui-ci, il m’a fallu explorer
les différents chemins, et analyser ce que serait le meilleur point d’arrivée pour l’entreprise, en
respectant toutes les contraintes nécessaires.
J’ai également vu que, malgré qu’on puisse imaginer que tout est faisable, il arrive parfois que des
sujets sur lesquels on a travaillé et dépensé beaucoup de temps n’arrivent pas à leur terme, par
exemple à cause d’incompatibilités techniques qui nécessiteraient trop de changements pour
pouvoir fonctionner (comme par exemple la limitation technique entre le protocole WCCP et
l’IWSVA, bloquante pour le service comptabilité, qui imposerait un changement d’un matériel
complet).
4242 Olivier RAULIN Juin – Août 2012
J’ai eu l’opportunité de découvrir tous les aspects du travail d’ingénieur en informatique au sein
d’une société de la taille de CWF, avec tout ce que cela implique, notamment :
le support utilisateur, local et à distance (international) ;
la cohésion d’une équipe en situation réelle ;
l’autonomie sur les projets ;
la réactivité en cas de crise.
Mon parcours s’enrichit donc avec CWF, qui, suite à mes stages précédents, améliore ma vision du
monde de l’entreprise :
dans le domaine de l’éducation (Oniris, 2010) ;
dans la Moyenne Entreprise (ME) ne disposant que d’un informaticien (MBP,
2011) ;
dans la grande entreprise industrielle (CWF, 2012).
Cet enrichissement se poursuivra lors de ma dernière année d’études, via un contrat d’alternance
avec une grande entreprise.
J’estime les missions qui m’ont été confiées comme réussies, puisque, même si je n’ai pu atteindre
le stade de mise en place de tous ces projets, j’ai mené à bien une étude théorique et pratique du
fonctionnement de celles-ci, et ai proposé des solutions lorsque la mise en place était bloquée par un
problème technique.
Pour conclure, je tenais à remercier une nouvelle fois Monsieur Julien CHARPENTIER, pour sa
disponibilité, la confiance qu’il m’a accordé sur ces projets et son accueil au sein de CWF.
4343 Olivier RAULIN Juin – Août 2012
TABLE DES ILLUSTRATIONSFIGURE 1 : MARQUES SOUS LICENCE DÉTENUES PAR CWF.............................................................................................................5
FIGURE 2 : TOPOLOGIE RÉSEAU DE TEST....................................................................................................................................9
FIGURE 3 : PROCESSUS D'AUTHENTIFICATION KERBEROS...............................................................................................................16
FIGURE 4 : FONCTIONNEMENT D'UNE ARCHITECTURE RADIUS SUR CONNEXION WIFI...............................................................................17
FIGURE 5 : TABLEAU DES MÉTHODES SUPPORTÉES PAR LES DIFFÉRENTS PROTOCOLES................................................................................18
FIGURE 6 : FONCTIONNEMENT D'UN PROXY..............................................................................................................................23
FIGURE 7 : TOPOLOGIE DU RÉSEAU AVEC PROXY RADIUS...............................................................................................................24
FIGURE 8 : AUTHENTIFICATION LDAP...................................................................................................................................27
FIGURE 9 : AUTHENTIFICATION AVEC KERBEROS ET LDAP............................................................................................................27
FIGURE 10 : AUTHENTIFICATION AVEC WINBIND.......................................................................................................................28
FIGURE 11 : RAPPEL DE LA TOPOLOGIE RÉSEAU.........................................................................................................................33
FIGURE 12 : FONCTIONNEMENT DU WCCP............................................................................................................................37
FIGURE 13 : PRIORITÉ DU WCCP.......................................................................................................................................38
4444 Olivier RAULIN Juin – Août 2012
TABLE DES MATIÈRESRemerciements.............................................................................................................................................................................. 2I – Introduction.............................................................................................................................................................................. 41/ Contexte du stage............................................................................................................................................................... 42/ Présentation de l’entreprise........................................................................................................................................... 43/ Le système d’information................................................................................................................................................ 64/ L’infrastructure du Système d’Information de CWF............................................................................................7II – Missions..................................................................................................................................................................................... 81/ Introduction.......................................................................................................................................................................... 8Introduction à la virtualisation.................................................................................................................................... 10Présentation d’ESXi.......................................................................................................................................................... 11Présentation de l’ASA 5505........................................................................................................................................... 112/ Authentification AAA sur matériel Cisco................................................................................................................ 13Existant................................................................................................................................................................................. 13Besoin.................................................................................................................................................................................... 13Recherche............................................................................................................................................................................. 14Cisco Secure Access Server....................................................................................................................................... 14Kerberos........................................................................................................................................................................... 15Présentation.............................................................................................................................................................. 15Fonctionnement....................................................................................................................................................... 16Radius............................................................................................................................................................................... 17Présentation.............................................................................................................................................................. 17Fonctionnement....................................................................................................................................................... 17Protocoles et services rendus............................................................................................................................. 18Choix final du protocole............................................................................................................................................. 19NPS, serveur Radius de Microsoft.......................................................................................................................... 19Windows Server....................................................................................................................................................... 20NPS................................................................................................................................................................................ 21
4545 Olivier RAULIN Juin – Août 2012
FreeRadius avec authentification sur LDAP...................................................................................................... 21Fonctionnement....................................................................................................................................................... 22Configuration de Freeradius en tant que proxy...............................................................................................22Introduction au fonctionnement d’un proxy................................................................................................ 23Mise en place et configuration........................................................................................................................... 24Conclusion quant à la configuration de Freeradius...................................................................................253/ Authentification centralisée des serveurs Linux................................................................................................. 26Existant................................................................................................................................................................................. 26Besoin.................................................................................................................................................................................... 26Recherche............................................................................................................................................................................. 264/ Authentification des machines connectées sans fil............................................................................................30Existant................................................................................................................................................................................. 30Besoin.................................................................................................................................................................................... 30Recherche............................................................................................................................................................................. 30Solutions grand public................................................................................................................................................ 30Solutions professionnelles........................................................................................................................................ 31Protocole EAP................................................................................................................................................................ 31EAP-TLS....................................................................................................................................................................... 31EAP-TTLS.................................................................................................................................................................... 32PEAP............................................................................................................................................................................. 32EAP-SIM....................................................................................................................................................................... 32Choix mis en place........................................................................................................................................................ 32Ce qui se passe dans la pratique............................................................................................................................. 335/ Proxy transparent sur firewall Cisco....................................................................................................................... 35Existant ................................................................................................................................................................................ 35Problèmes............................................................................................................................................................................ 35Besoin.................................................................................................................................................................................... 35Recherche............................................................................................................................................................................. 351/ Présentation d’IWSVA.......................................................................................................................................... 354646 Olivier RAULIN Juin – Août 2012
2/ Présentation de WCCP.......................................................................................................................................... 364/ Non priorité du protocole................................................................................................................................... 375/ Services WCCP courants...................................................................................................................................... 396/ Problèmes entre WCCP et IWSVA.................................................................................................................... 39Autres projets effectués........................................................................................................................................................... 39Conclusion..................................................................................................................................................................................... 41Table des illustrations.............................................................................................................................................................. 43Table des matières..................................................................................................................................................................... 44Index................................................................................................................................................................................................ 47Glossaire......................................................................................................................................................................................... 48Bibliographie................................................................................................................................................................................ 51Annexes.......................................................................................................................................................................................... 52
4747 Olivier RAULIN Juin – Août 2012
INDEXAAA............................................................................................................................................................ 11, 12, 19, II, IIIACL........................................................................................................................................................................ 35, 46, VIActive Directory.................................................................................................................................. 12, 25, 26, 27, IVAD.............................................................................................................................................................. 9, 14, 24, 25, 31ASA.......................................................................................................................... 10, 11, 17, 36, 37, 46, III, VI, VIIICHAP.................................................................................................................................................................... 30, 46, 47Cisco................................................................................8, 11, 12, 13, 14, 17, 18, 19, 25, 32, 33, 46, 47, II, VIIIDebian........................................................................................................................................................................... 24, IVDMZ....................................................................................................................................................................................... 7DNS................................................................................................................................................................................. 9, 36Gio........................................................................................................................................................................................ 10IWSVA................................................................................................................................................ 10, 32, 33, 46, VIIIKerberos...................................................................................................................................................... 13, 14, 25, 26LDAP................................................................................................................... 19, 20, 21, 24, 25, 26, 27, 33, 47, IVMIT...................................................................................................................................................................................... 13MS-CHAP.......................................................................................................................................................................... 30PAM..................................................................................................................................................................................... 26PEAP.................................................................................................................................................................................... 30Radius..................................................................................................................................... 9, 15, 20, 29, 31, II, III, IVRAM.................................................................................................................................................................................... 10RFC................................................................................................................................................................................. 7, 30switchs............................................................................................................................................................................ 7, 14TACACS+.................................................................................................................................................................. 17, 18VPN....................................................................................................................................................................... 11, 13, 47WCCP..................................................................................................................................... 33, 34, 35, 36, VI, VII, VIIIWEP.............................................................................................................................................................................. 28, 31WiFi............................................................................................................................................................. 8, 9, 16, 19, 24WPA............................................................................................................................................................................. 28, 29
4848 Olivier RAULIN Juin – Août 2012
GLOSSAIREAAA Authentication, Authorization and Accounting (Authentification,
Autorisation et Traçabilité) : modèle de sécurité permettant une gestion centralisée des accès à un équipement.
ACL Access control List : Liste de contrôle d’accès, utilisée partout où des
permissions sont accordées à des utilisateurs selon plusieurs critères
AD Voir Active Directory
Active Directory Adaptation des services d’annuaire LDAP par Microsoft, pour les systèmes d’exploitation Windows.
ASA Adaptive Security Appliance : Matériel Cisco Assurant des
fonctionnalités de pare-feu, génération suivante des PIX.
CHAP Protocole d’authentification sans mot de passe, à base de « challenge ».
Chaque partie (client et serveur) doit disposer d’un « secret » commun
Cisco Fabricant de matériel réseau, leader mondial.
Debian Distribution Linux axé sur le tout « open-source »
DMZ DeMilitarized Zone (zone démilitarisée) : zone de sécurité entre le
réseau Internet et le réseau local, servant à séparer ceux-ci
DNS Domain Name Service (Service de Noms de Domaine) : service permettant de translater une adresse intelligible (exemple www.google.fr) en adresse qui sera utilisée par la machine pour accéder au service demandé
Gio Gibioctet : unité de mesure informatique, représentant 230 octets (1073741824 octets) : à ne pas confondre avec Go, pour gigaoctet, qui représente 109 octets (1000000000 octets)
IWSVA InterWeb Security Virtual Appliance : Distribution Linux CentOS avec
le logiciel de sécurité Trend Micro IWSS intégré.
Kerberos Protocole d’authentification très sécuritaire
LDAP Lightweight Directory Access Protocol : Protocole d’accès à un annuaire
d’entreprise (recensant généralement toutes les informations utiles
concernant les employés d’une entreprise)
4949 Olivier RAULIN Juin – Août 2012
MIT Massachussets Institute of Technology : Université du Massachussets,
regroupant des chercheurs dans tous les domaines scientifiques (science,
technologie, informatique, etc.)
MS-CHAP Protocole, défini par la RFC2759 de janvier 2000, qui est la version
Microsoft du protocole CHAP en en supprimant principalement
l’obligation de secrets partagés.
PAM Pluggable Authentication Modules : démon d’authentification par défaut sous Linux, fonctionnant via des modules.
PEAP Protected Extensible Authentication Protocol : méthode de transfert
sécurisée d’informations d’authentification
Radius Remote Authentication Dial-In User Service : Protocole permettant de
centralizer des données d’authentification
RAM Random Access Memory (mémoire à accès aléatoire) : terme utilisé pour désigner la mémoire vive d’une machine, servant à stocker des données temporaires, généralement le temps de l’exécution d’un programme
RFC Request For Comments (demande de commentaire) : série de documents, numérotés, décrivant des aspects techniques du domaine des réseaux
Switch (commutateur) : équipement d’interconnexion à l’intérieur d’un réseau local
TACACS+ Protocole propriétaire, développé par Cisco, permettant une authentification AAA.
VPN Virtual Private Network : Réseau privé virtuel (créé via un tunnel), créé
à partir de réseaux physiques distincts (par exemple, dans des pays
différents)
WCCP Web Cache Communication Protocol : protocole de routage de contenu
développé par Cisco : il permet notamment la redirection de flux de
manière totalement transparente pour l’utilsiateur
WEP Wired Equivalent Privacy : protocole de sécurisation des réseaux sans-fil
de type Wi-Fi : cassable en quelques secondes, il n’est plus recommandé
au profit du WPA ou du WPA2.
WiFi Ensemble de protocoles permettant la communication sans fil
WPA Wi-Fi Protected Access : mécanisme de sécurisation des réseaux sans-fil
5050 Olivier RAULIN Juin – Août 2012
de type Wi-Fi.
5151 Olivier RAULIN Juin – Août 2012
BIBLIOGRAPHIE[1] Cisco Systems, Serveurs de sécurité adaptatifs de la gamme ASA 5500, San José, CA, 2007. [2] A. Mbaye, Mise en oeuvre d'un service de sécurité. [3] B. Boutherin, Sécuriser un réseau Linux, Eyrolles, 2006. [4] Cisco, «Cisco IOS Firewall feature guide,» [En ligne]. Available: http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/iosfw2_1.html#wp11997. [Accès le 12 Juin 2012].[5] Cisco, «Cisco Security Appliance Command Line Configuration Guide,» [En ligne]. Available: http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/dhcp.html#wp1094445. [Accès le 4 Juin 2012].[6] F. Facciola, «Be transparent with WCCP,» [En ligne]. Available: http://doublef.org/archives/be-transparent-with-wccp.[7] T. Micro, «IWSVA 5.1 Installation Guide,» [En ligne]. Available: http://docs.trendmicro.com/all/ent/iwsva/v5.1/en-us/iwsva_5.1_ig.pdf . [Accès le 20 Juin 2012].
5252 Olivier RAULIN Juin – Août 2012
ANNEXES
5353 Olivier RAULIN Juin – Août 2012
CONFIGURATION DE L’AAA SUR ÉQUIPEMENT CISCOOrigine : [2]
router(config)# aaa new-model
Cette commande active l’authentification AAA sur le routeur
router(config)# aaa authentication login default group radius local
Définit la liste des méthodes d’authentification : dans le cas présent, si le serveur Radius ne répond
pas, on pourra passer par une authentification locale. C’est une sécurité indispensable.
router(config) # aaa authentication login CONSOLE local
On garde ici le login classique actuellement en place quand on se connecte via la console.
router(config)# aaa authorization exec default group radius local
router(config)# aaa authorization network default group radius local
Même configuration ici pour l’autorisation que pour l’authentification.
router(config)# radius-server host hostname auth-port port acct-port port key cle
Spécifie le nom du serveur AAA, ses ports de fonctionnement et la clé de chiffrage qui sera utilisée
entre le routeur et le serveur AAA. On peut entrer plusieurs fois cette commande dans le cas où
nous aurions plusieurs serveurs RADIUS.
router(config)# access-list access-list-number permit tcp host source eq radius host destination
Créé une liste d’accès pour permettre au serveur AAA de renvoyer du trafic. L’adresse source est
l’adresse IP du serveur AAA, la destination est l’adresse IP de l’interface du routeur où se situe le
serveur AAA.
router(config)# aaa accounting exec default start-stop group radius local
router(config)# aaa accounting network default start-stop group radius local
router(config)# aaa processes 6
IIII Olivier RAULIN Juin - Août 2012
SPÉCIFICITÉS DE L’ASA POUR LA CONFIGURATION AAAhostname(config)# aaa-server radius protocol radius
Ici, on commence donc par créer le “groupe”, nommé radius (pour plus de simplicité à retenir),
utilisant le protocole radius.
hostname(config)# aaa-server radius (INSIDE) host 192.168.1.249
Ici, on spécifie le groupe auquel on va rajouter un serveur (radius), puis l’interface (que l’on aura au
préalable nommée via nameif), puis enfin l’adresse IP du serveur auquel l’ASA devra s’authentifier.
Ensuite, la configuration pour activer le AAA est différente : pas besoin de aaa new-model :
hostname(config)# aaa authentication ssh console radius LOCAL
Ici par exemple, on va activer l’authentification AAA pour la connexion au SSH. Si le serveur
Radius ne répond pas, on garde tout de même une méthode locale d’authentification (attention, le
LOCAL s’écrit bien en majuscules)
hostname(config)# ssh 192.168.1.0 255.255.255.0 inside
Activation de l’écoute SSH sur l’interface inside, pour le réseau 192.168.1.0
hostname(config)# crypto key generate rsa
Génération de la clé publique/privée du serveur pour le SSH, nous pouvons maintenant nous y
connecter depuis un client SSH ! (Par exemple, PuTTY sous Windows, ou nativement sous Linux)
Les commandes debug aaa authentication, debug aaa authorization, debug aaa common nous permettrons de
débuguer, si besoin, le comportement de l’authentification.
IIIIII Olivier RAULIN Juin - Août 2012
CONFIGURATION DE FREERADIUS AVEC LDAPNous utiliserons les compatibilités LDAP15 de l’Active Directory pour permettre ceci. Autrement, il
nous aurait fallu joindre la machine au domaine, ce qui n’était pas nécessaire,
Depuis une machine Debian16, on effectue la commande :apt-get install freeradius
Le fichier de configuration global est situé ici : /etc/freeradius/radiusd.conf
Le fichier de configuration pour joindre un annuaire LDAP est situé ici : /etc/freeradius/modules/ldap
Il faudra modifier la ligne server= par l’adresse de son serveur LDAP, ainsi que la ligne basedn, par
l’arborescence que nous avons au niveau de notre annuaire.
Il faudra également rajouter une ligne dans /etc/freeradius/clients.conf :client 192.168.1.0/24 {
secret = testing123
shortname = LAN
}
Avec l’adresse réseau, puis la clé partagée (qui sera donc à renseigner sur les machines se
connectant au serveur Radius), et un nom pour ce réseau.
Une autre étape est d’activer l’interrogation du serveur LDAP dans le fichier /etc/freeradius/sites-enabled/default
Dans la section authorize, décommenter la ligne ldap
Dans la section authenticate, décommenter les 3 lignes suivantes :Auth-Type LDAP {
ldap
}
Lancer freeradius en mode de test avec la commande freeradius –X
Lancer, depuis un autre terminal, une commande radtest : radtest <user> <password> <ip>:<port> <port_local> <clé partagée>
<user> : nom d’utilisateur que l’on désire tester (il doit exister dans l’annuaire)
<password> : mot de passe de l’utilisateur que l’on désire tester (il doit être correct)
<ip> : adresse IP du serveur Radius
<port> : port d’écoute du serveur Radius (par défaut, c’est le 1812)
15 Lightweight Directory Access Protocol16 Distribution Linux : voir www.debian.orgIVIV Olivier RAULIN Juin - Août 2012
<port_local> : port local depuis lequel la requête va être émise (on choisit ce que l’on veut)
<clé partagée> : suite de caractères devant être identique dans le serveur Radius (dans sa section
clients)
Si l’on obtient en réponse un Access-Accept, c’est que le test est correct. Dans le cas d’un Access-
Reject, il y a plusieurs possibilités :
- Erreur de configuration
- Erreur de couple login/mot de passe
- Annuaire injoignable
Dans ces trois cas, il faut se référer à la sortie terminal de la commande freeradius –X qui donnera
plus de détails.
VV Olivier RAULIN Juin - Août 2012
ACTIVATION DU WCCP SUR L’ASAPages de référence : [4] [5]
L’activation de WCCP se déroule en trois étapes :
- Création d’une ACL
- Identifier le service à rediriger avec la commande wccp
- Identifier l’interface sur laquelle la redirection s’effectue avec la commande wccp redirect
ETAPE 1Création d’une ACL, exemple : création d’une ACL marquant le trafic http et HTTPS depuis
10.10.10.0 en /24
ACCESS-LIST WCCP EXTENDED PERMIT TCP 10.10.10.0 255.255.255.0 ANY EQ HTTPSACCESS-LIST WCCP EXTENDED PERMIT TCP 10.10.10.0 255.255.255.0 ANY EQ WWW
Attention, un bug affecte quelques versions d’ASA qui cause la redirection de TOUT le trafic
correspondant à une ACL standard vers le proxy. Il faut bien spécifier une ACL étendue et les ports
concernés.
ETAPE 2Commande d’activation d’un groupe de service WCCP :wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] [password password]
Le service par défaut est web-cache, qui intercepte le trafic du port 80 (http) et le redirige vers le
proxy, mais il est possible d’identifier un service entre 0 et 254, si besoin. (par exemple, FTP =
wccp service 60).
Il est possible d’entrer plusieurs fois cette commande pour activer plusieurs groupes.
L’argument redirect-list contrôle le trafic redirigé à ce groupe de service. Access-list doit être une
chaîne de moins de 64 caractères qui spécifie l’ACL.
Le password spécifie l’authentification MD5 pour les messages reçus depuis le groupe de service.
Les messages non acceptés par l’authentification sont abandonnés.
VIVI Olivier RAULIN Juin - Août 2012
ETAPE 3Pour activer la redirection WCCP sur une interface, entrer la commande suivante :
wccp interface INTERFACE_NAME {web-cache | SERVICE_NUMBER} redirect in
Exemple : activer le web-cache et rediriger le trafic http qui entre sur l’interface inside vers le
proxy :
wccp 0 redirect-list WCCP
wccp 70 redirect-list WCCP
wccp interface INSIDE 0 redirect in
wccp interface INSIDE 70 redirect in
VIIVII Olivier RAULIN Juin - Août 2012
ACTIVATION DE WCCP SUR PROXY IWSS / IWSVAPré-requis :
- WCCPv2 disponible (Et donc IOS 12.1 ou supérieur installé sur le routeur)
CONFIGURATION DE WCCP SUR IWSVA VIA L’INTERFACE WEBDocumentation : [6]
Dans le menu, il faut se diriger vers Administration > Deployment Wizard > Deployment mode.
Dans la page suivante, il faudra entrer les adresses IP des routeurs (l’ASA ne supportant pas la
configuration multi-routeurs, il ne faudra en mettre qu’une)
Mot de passe optionnel (mais si spécifié, doit être identique sur le matériel Cisco)
Choisir ensuite l’auto-négociation des protocoles (ainsi, IWSVA demandera au routeur ce qu’il
supporte, et s’adaptera en fonction)
Il n’y a plus qu’à valider les étapes suivantes.
La commande show ip wccp 80 detail sur le routeur doit retourner une liste d’informations.
VIIIVIII Olivier RAULIN Juin - Août 2012
JONCTION D’UNE MACHINE LINUX À UN DOMAINE WINDOWSSCRIPT D’AUTOMATISATION#!/bin/bash# Script de jonction d'une machine à un AD# Définition des variables# Définition du realm (nom de domaine, en majuscules : ex CWF.FR)read -p "Note préalable : - Le serveur DNS doit être renseigné dans /etc/resolv.conf- Ce script doit avoir été relu / modifié pour coller à la configuration- Internet doit être accessible directement (sinon, 'export http_proxy=http://<proxy>:<port>' fera l'affaire)- Le système doit être de la famille Debian (Debian, Ubuntu, Mint ...)- Quand vous êtes prêt, appuyez sur Entrée !" varr
# 2 solutions ici : Soit on entre en dur les infos dans le script, soit la personne qui lance le script les tape : la solution en dur est probablement plus simple à déployer
#read -p 'Nom du domaine (ex CWF) : ' domaine#read -p 'REALM du domaine, en majuscules (ex CWF.FR) : ' realm#read -p "Adresse ou nom de l'AD : " ad#read -p "Login de l'Administrateur du domaine" administrateurdomaine="OLIVIER"realm="OLIVIER.COM"ad="ldap.olivier.com"administrateur="Administrateur"
echo "Installation des paquets, veuillez patienter ..."yes | apt-get install krb5-config krb5-user samba winbind > /dev/nullif [ $? != 0 ] then
echo "Problème de récupération des paquets : vérifier l'accès à Internet"exit 2
fimv /etc/krb5.conf /etc/krb5.conf.oldmv /etc/samba/smb.conf /etc/samba/smb.conf.oldecho "smb.conf et krb5.conf sauvegardés en smb.conf.old et krb5.conf.old"
IXIX Olivier RAULIN Juin - Août 2012
echo "# REALM Kerberosrealm = $realm# Domaineworkgroup = $domaine# Active Directory Server gère la sécurité des ressources partagéessecurity = ADS# Active Directory n'accepte pas les mots de passe en clairencrypt passwords = yes" > /etc/samba/smb.conf
# Jonction au domaineecho "Test de jonction au domaine, le mot de passe de l'admin du domaine est demandé :"net ads join -U $administrateurif [ $? != 0 ] then
echo "Problème de jonction au domaine ... "exit 2
fi
echo "# Correspondances des uids entre le serveur Linux et Active Directoryidmap uid = 10000-20000# Correspondances des gids entre le serveur Linux et Active Directoryidmap gid = 10000-20000# Lister les utilisateurs au démarrage de Winbindwinbind enum users = yes# Lister les groupes au démarrage de Winbindwinbind enum groups = yes# Caractère de séparation domaine/nom d'utilisateur (ex: DOMAINE+utilisateur)winbind separator = +# Si le domaine n'est pas spécifié on utilise celui par défautwinbind use default domain = yes# Shell par défauttemplate shell = /bin/bash# Répertoire home par défauttemplate homedir = /home/AD/%U" >> /etc/samba/smb.confmkdir /home/AD/
# Restart des servicesecho "Redémarrage des services"service winbind restart
XX Olivier RAULIN Juin - Août 2012
service samba restart
echo Backup de nsswitchmv /etc/nsswitch.conf /etc/nsswitch.conf.oldcat /etc/nsswitch.conf.old | grep -v compat > /etc/nsswitch.confecho "passwd: compat winbindgroup: compat winbindshadow: compat winbind" >> /etc/nsswitch.conf
# Doit renvoyer les comptes de l'ADecho "Les 10 derniers comptes de l'AD devraient s'afficher : "getent passwd | tailecho " "echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0077" >> /etc/pam.d/common-sessionecho "Pour autoriser la modification du mot de passe, supprimer 'user_authtok' après winbind.so dans le fichier /etc/pam.d/common-password"
echo "Tout devrait fonctionner, essayer de se connecter avec un utilisateur de l'AD dans un autre terminal !"
XIXI Olivier RAULIN Juin - Août 2012