authentification centralisée - olivier raulin · d’équipements et de machines, au sein du...

OLIVIER RAULIN

PROMOTION 2013

Authentification centraliséeSimplification et centralisation de l’authentification dans un Système d’Information

RAULIN OlivierJuin – Août 2012

CWF- Children Worldwide Fashion

Avenue des Sables

85505 Les Herbiers Cedex

EPSI Nantes

2 rue Fénelon

44000 Nantes

Ce rapport retranscrit mes recherches, principalement concernant l’authentification centralisée

d’équipements et de machines, au sein du Système d’Information de CWF.

REMERCIEMENTSJe tiens à remercier premièrement la société CWF (Children Worldwide Fashion) pour son accueil

chaleureux. Merci à toute l’équipe du service informatique ainsi qu’à son DSI Bertrand BEAUFORT pour

l’atmosphère de travail conviviale tout au long de ces trois mois.

Merci à Monsieur Julien CHARPENTIER, mon tuteur de stage, qui m’a permis de réaliser ce stage au sein

de CWF et qui m’a suivi pendant toute la durée de ce stage.

Ma gratitude va également à tous les membres de l’équipe Systèmes & Réseaux et plus particulièrement

Anthony LAPEYRE, Jean MONNIER, Christophe GUILLOTON pour leur aide technique et leur soutien.

Je tiens à exprimer ma reconnaissance envers le corps enseignant de l’EPSI de Nantes pour leurs

enseignements dispensés ces deux dernières années.

Merci aux membres du jury qui seront en charge d’apprécier le travail effectué au cours de mon stage.

Merci à mes camarades de promotion avec lesquels l’entraide a pu amener des échanges bénéfiques.

Je tiens également à remercier ma famille et mes amis pour leur soutien quotidien.

22 Olivier RAULIN Juin – Août 2012

SOMMAIRERemerciements.............................................................................................................................................................................. 2I – Introduction.............................................................................................................................................................................. 51/ Contexte du stage............................................................................................................................................................... 52/ Présentation de l’entreprise........................................................................................................................................... 53/ Le système d’information................................................................................................................................................ 74/ L’infrastructure du Système d’Information de CWF............................................................................................8II – Missions..................................................................................................................................................................................... 91/ Introduction.......................................................................................................................................................................... 92/ Authentification AAA sur matériel Cisco................................................................................................................ 143/ Authentification centralisée des serveurs Linux................................................................................................. 284/ Authentification des machines connectées sans fil............................................................................................325/ Proxy transparent sur firewall Cisco....................................................................................................................... 37Autres projets effectués........................................................................................................................................................... 41Conclusion..................................................................................................................................................................................... 43Table des illustrations.............................................................................................................................................................. 45Table des matières..................................................................................................................................................................... 46Index................................................................................................................................................................................................ 49Glossaire......................................................................................................................................................................................... 50Bibliographie................................................................................................................................................................................ 53Annexes.......................................................................................................................................................................................... 54


I – INTRODUCTION1/ CONTEXTE DU STAGELe stage que j’ai pu effectuer dans l’entreprise CWF, basée aux Herbiers, fût mon stage de

quatrième année d’informatique à l’EPSI de Nantes.

Sa durée a été de trois mois, du premier juin au 31 août 2012.

J’ai principalement choisi ce stage parce qu’il me permettait de me perfectionner dans le domaine

de l’ingénierie systèmes et réseaux, étant donné que mon avenir professionnel s’oriente nettement

vers ce domaine de l’informatique.

2/ PRÉSENTATION DE L’ENTREPRISENée du rachat d’Albert SA (spécialiste du prêt-à-porter enfant) par le groupe Artal, CWF est fort de

plus de quarante ans d’expérience de mode enfantine.

Devenu leader Européen dans son domaine, CWF est partenaire de marques de notoriété mondiale

pour leurs collections de vêtements, de 0 à 16 ans.

Albert SA a été créée en 1965 aux Herbiers (Vendée). Cette petite entreprise familiale produisait et

distribuait des vêtements de marques enfant développées en propre.

Entre 1995 et 1997, cette société a connu un tournant stratégique suite à la signature de licence de

marques haut de gamme tel que « ELLE », « Timberland » ou encore « Donna Karan New York ».

Forte de cette réussite, l’entreprise est passée d’une production intégrée à une stratégie de sourcing.

Autrement dit, CWF ne produisait plus mais déléguait la production à des sous-traitants.

Au début des années 2000, le fonds de commerce d’Albert SA est racheté par le groupe Artal sous

le pilotage de la société Invus. De ce rachat découle la création de Children Worldwide Fashion,

ainsi que la signature de l’accord de licence pour la marque « Burberry ».

En cinq ans, CWF a démarré des concessions intégrées de grands magasins en France avec les

Galeries Lafayette ainsi qu’en Espagne avec El Corte Inglés.

En 2006, la signature de l’accord des licences « Marithé+François Girbaud », « Chloé », « Escada »

et « Missoni » permettent à CWF d’ouvrir sa première boutique en propre, Younly, à Paris, et ainsi

d’externaliser sa logistique.


Entre 2007 et 2008, l’entreprise a poursuivi le développement des concessions de grands magasins

en Europe, La Rinascente en Italie, Inno en Belgique, House of Fraser au Royaume-Uni ainsi que

des ouvertures de boutiques Younly à Dubaï et Saint Petersburg. Grâce à cette croissance, CWF a

développé son activité mondiale sur de nouveaux territoires : Japon, Chine, Moyen Orient.

Entre 2009 et 2011, les accords de licences « BOSS enfant » et « Little Marc Jacobs » ont été

conclus. Un nouveau concept a été lancé avec les boutiques « ATELIER DE COURCELLES » : 5

boutiques ouvertes fin 2009, une vingtaine d’ouvertures ont été réalisées en 2010 au niveau

international.

En 2012, CWF créé sa propre marque de luxe pour enfant, nommée « BillieBlush », et détient

maintenant des licences pour les 8 marques suivantes :

FIGURE 1 : MARQUES SOUS LICENCE DÉTENUES PAR CWF


3/ LE SYSTÈME D’INFORMATIONUn Système d’Information (couramment appelé SI) est une structure disposant de diverses

ressources, telles que matériels, logiciels, personnels, données et procédures, dont le but est de

regrouper, classifier, traiter et diffuser de l’information dans un environnement comme l’entreprise

CWF.

Le SI représente donc l’ensemble des éléments participant à la gestion, au traitement, au transport et

à la diffusion de l’information au sein de l’organisation.

Le système d’information peut recouvrir tout ou partie des éléments suivants :

bases de données de l’entreprise ;

progiciel de gestion intégré (ERP) ;

outils de gestion (relation client, chaîne logistique, marketing) ;

applications métier ;

infrastructure réseau ;

infrastructure système ;

dispositifs de sécurité ;

Le système d’information de CWF est représenté par le service informatique qui est scindé en trois

grandes parties :

le pôle Systèmes & Réseaux

o Il comprend le responsable de cette équipe, un ingénieur systèmes et réseaux,

deux techniciens ayant un rôle de support (helpdesk) pour les utilisateurs et

un poste de stagiaire que j’ai occupé.

le pôle développement

le pôle Etude

Un système d’information a besoin d’éléments essentiels pour fonctionner correctement : une

infrastructure systèmes et réseaux fiable, évolutive et redondante, afin d’assurer une pérennité ainsi

qu’un plan de reprise et de continuité d’activité en cas d’incident majeur.


4/ L’INFRASTRUCTURE DU SYSTÈME D’INFORMATION DE CWFD’une façon générale, une architecture informatique au sein d’une entreprise se présente en quatre

grands points distincts :

une infrastructure réseau

une DMZ (DeMilitarized Zone ou Zone Démilitarisée) fiable et sécurisée

une infrastructure système

une solution de stockage

Le service informatique dispose de deux salles serveurs afin d’assurer, comme vu dans le point

précédent, la redondance et la fiabilité du service. Ces salles sont situées dans deux bâtiments

physiquement distincts. Afin de les relier, des connexions par fibre optique ont été installées puis

connectées au cœur de réseau dans chacune des deux salles. Le cœur de réseau, comme son nom

l’indique, est le point névralgique où toutes les interconnexions sont effectuées. Il est composé de

trois switchs, dont un switch fibre optique afin de recevoir, entre autres, les connexions des

différentes baies de brassage réparties dans l’entreprise. Ces baies de brassage permettent d’amener

le réseau au sein des différents services de la société. Chaque baie est donc constituée de plusieurs

switchs montés en cascade. Le choix de la fibre optique n’est pas anodin : en effet, la quantité

importante de données qui transite nécessite un débit conséquent que la technologie Ethernet ne

peut fournir sur de longues distances (selon les normes définies par les RFC, un câble RJ45 ne peut

excéder 100 mètres, puisqu’au-delà, la perte de qualité de signal est trop importante).

Le réseau de CWF ne s’arrête pas à des concepts de réseau local, puisqu’il abrite également une

zone démilitarisée. Cette dernière, plus couramment appelée DMZ, est une zone située entre le

réseau local de l’entreprise et l’Internet, permettant de faire tampon entre le réseau à protéger et le

réseau hostile (Internet), grâce à des pare-feux situés à chacune des entrées (côté Internet et réseau

local). Le fonctionnement des pare-feux extérieurs est simple : ils n’acceptent, globalement, que les

connexions entrantes déjà existantes, c’est-à-dire initiées par un ordinateur du réseau local (par

exemple, un ordinateur qui va aller chercher une page web). Ce concept est utilisé lorsque certains

services ont besoin d’être accessibles depuis l’extérieur (serveur web, etc.). Cette zone permet de

protéger les données internes à l’entreprise en les séparant réellement du réseau extérieur. La

sécurité de la DMZ est indispensable à la sécurité des données de l’entreprise, et donc à sa survie

dans un contexte concurrentiel.


II – MISSIONS1/ INTRODUCTIONJ’ai eu pour mission, au cours de mon stage, d’étudier et de mettre à jour une partie du Système

d’Information, notamment la partie systèmes et réseaux, avec un questionnement qui pourrait être,

pour la majeure partie de ce stage, le suivant :

« Comment simplifier et uniformiser l’authentification au sein d’un Système

d’Information ? »

Ce rapport aura donc pour principal objectif d’apporter des éléments de réponse vis-à-vis de points

très spécifiques concernant l’uniformisation et la simplification de l’authentification au sein du

Système d’Information, mais n’aura pas que cette vocation, puisque je traiterai également d’autres

sujets, que je juge importants et intéressants de par la complexité technique qu’ils ont représenté

pour moi durant ces trois mois.

J’ai eu la chance d’être en autonomie sur différents sujets : à partir d’un existant et d’un but final,

j’avais pour mission de rechercher, puis d’étudier les différentes technologies utilisables pour

parvenir à la réalisation de chaque projet. J’ai eu, à cet effet, la possibilité de mettre en place une

plateforme de tests composée :

d’un serveur de virtualisation permettant de mettre en place plusieurs serveurs de test

de machines clientes (ordinateurs de bureau, ordinateurs portables)

de bornes WiFi

de matériels Cisco (commutateurs, pare-feux …)

J’avais le contrôle total de ces équipements et ai donc pu mettre en place une architecture assez

évoluée et assez représentative d’un réseau local.

Au contraire du développement, où il est assez simple de ne traiter qu’une seule mission, le

domaine des systèmes et réseaux impose bien souvent une variété de sujets, souvent plus courts :

c’est la raison pour laquelle ce rapport est décomposé en plusieurs parties, cependant, pour la

majorité d’entre elles, un point central a dominé : l’authentification.


J’ai donc décidé de résumer mes recherches sur les sujets les plus importants, des manuels

d’utilisation étant également disponibles en annexe pour permettre la mise en place de ces différents

protocoles.

Les références bibliographiques et citations seront présentées selon le standard IEEE 2006

Les noms de serveurs et adresses éventuellement mentionnés dans ce rapport sont fictifs, pour des

raisons de sécurité.

FIGURE 2 : TOPOLOGIE RÉSEAU DE TESTSur cette illustration, nous pouvons voir les éléments suivants :

Serveur : machine servant à rendre un service particulier à des clients

Point d’accès Wifi : équipement diffusant un signal WiFi permettant aux

ordinateurs portables de se connecter au réseauCommutateur (anglais : switch) : Equipement réseau permettant l’interconnexion

de matériels (autres switchs, machines clientes …)

PC portable : machine transportable facilement dotée de matériel permettant

l’accès à un réseau sans fil


PC de bureau : ordinateur moins facilement transportable, équipé de matériel

réseau ne permettant l’accès qu’à un réseau câblé

Routeur : équipement permettant d’interconnecter des réseaux (réseau local,

Internet, etc.)

Au niveau des fonctionnalités et services rendus, on trouvera :

le serveur AD, servant de contrôleur de domaine (Windows 2008 : Active

Directory), de serveur DNS, et de serveur Radius ;

le serveur Radius, faisant office de proxy Radius (il récupère les requêtes de points

multiples et les redirige vers AD) ;

le serveur proxy, utilisant la solution Trend Micro IWSVA, qui fera l’intermédiaire

entre les utilisateurs et le Web.

l’ASA 5505, qui fera office de routeur et de pare-feu entre le réseau interne à

l’entreprise et Internet.

Les trois premiers sont des serveurs qui sont virtualisés grâce à une solution de type ESXi, solution

présentée au point B ci-dessous.

Le dernier est un équipement Cisco, présenté au point C ci-dessous.

A) INTRODUCTION À LA VIRTUALISATIONLa virtualisation, technologie qui fait parler d’elle depuis quelques années, est une technologie

permettant, à partir d’une seule machine physique, de faire fonctionner plusieurs systèmes

d’exploitation, tous indépendants les uns des autres, de la même manière que s’ils étaient chacun

sur une machine distincte. Toutes les ressources de la machine hôte (puissance de calcul, mémoire

vive, disque dur, etc.) sont partagées entre les machines dites « virtuelles », selon les choix effectués

par les administrateurs à l’installation desdites machines.

Etant donné que l’hyperviseur (le système qui va permettre la répartition des ressources) partage

toutes les ressources, cela permet d’en optimiser la gestion. Par exemple, si l’on fait un rapide

comparatif entre une machine physique avec 6 Gio de RAM et utilisant une technologie de

virtualisation par rapport à 3 machines disposant de 2 Gio de RAM chacune :


1. Sur le serveur de virtualisation, celui-ci va répartir l’usage de la mémoire vive

entre les 3 serveurs, dynamiquement (imaginons que l’administrateur affecte par

exemple 3Gio de mémoire maximum à chaque machine) :

o lorsque le serveur 1 a besoin uniquement de 1 Gio de RAM, le reste sera

disponible pour les autres machines

o lorsque le serveur 2 aura un besoin de plus de mémoire (par exemple les 3

Gio qui lui ont été alloués), il sera possible qu’il puisse les obtenir si les

autres serveurs n’en ont pas besoin à ce moment là2. Sur le serveur physique, la machine n’aura que 2 Gio de RAM, et même si, à un

instant donné, elle a besoin de plus, elle ne pourra pas en avoir. De la même

manière, si elle n’a pas l’utilité d’autant de mémoire, elle ne pourra pas en faire

profiter à d’autres machines.

B) PRÉSENTATION D’ESXIESXi est un hyperviseur de virtualisation, édité par la société VMware, et est une version

alternative d’un autre de ses produits « phare », ESX, avec quelques différences par rapport à celle-

ci :

la console de service est absente : l’administration de l’hyperviseur se fait

obligatoirement à distance ;

ESXi est doté d’une interface de gestion à distance ;

ESXi est beaucoup plus léger qu’ESX (dû à la console de gestion qui a été retirée) ;

ESXi peut être installé sur clé USB ;

le pare-feu d’ESXi est beaucoup plus limité en fonctionnalités.

Une version d’essai de 60 jours est disponible gratuitement afin d’en tester les fonctionnalités.

C) PRÉSENTATION DE L’ASA 5505Source : [1]

Les boitiers de sécurité adaptatifs de type ASA 5505, 5510, 5520 et 5540 sont des matériels de

sécurité, de type pare-feu.


Ce sont les remplaçants des matériels nommés PIX, ils sont plus performants, plus efficaces, plus

modernes, grâce à une architecture multi-processeurs.

Ces solutions permettent notamment :

de mettre en place une défense proactive (devancer les attaques)

de bloquer les attaques avant qu’elles ne se propagent

d’offrir une connectivité VPN en natif (pour les collaborateurs travaillant à

l’extérieur du site)

Des boitiers de ce type ont été choisis pour assurer la sécurité entre le réseau Internet et le réseau

interne de l’entreprise. Ces matériels ont cependant une configuration un peu différente par rapport

aux autres équipements Cisco, qu’il faut appréhender et bien étudier avant de mettre en place

certaines nouvelles fonctionnalités


2/ AUTHENTIFICATION AAA SUR MATÉRIEL CISCOEXISTANTTout le matériel réseau de l’entreprise est de marque Cisco1 : celui-ci est très utilisé dans le monde

professionnel, car de grande qualité. Avant mon arrivée, chaque matériel était configuré pour être

administré par une connexion avec un seul utilisateur et un mot de passe : ceci pose différents

problèmes :

de sécurité (ancien personnel connaissant les mots de passe) ;

de confidentialité (il est indispensable de divulguer ces mots de passe à quelques

personnes de l’entreprise) ;

de suivi (qui s’est connecté, et quand ?)

BESOINParfois, l’équipe systèmes et réseaux a besoin de se connecter aux matériels d’interconnexion afin

d’effectuer des modifications de configuration, ou toute autre opération de maintenance.

L’entreprise dispose d’un annuaire Active Directory : celui-ci permettrait de récupérer les comptes

utilisateurs, et de vérifier quels droits a chacun sur le matériel réseau (par exemple technicien,

ingénieur, etc.), et si cette personne a effectivement le droit de se connecter pour administrer le

matériel.

Je vais étudier les différentes solutions possibles pour mettre une authentification comme celle-ci en

place : ce type d’authentification porte le nom d’AAA2

Pour se faire, je vais donc orienter mes études sur trois possibilités : l’authentification via Cisco

Secure Access Server, via un serveur Kerberos et via un serveur Radius.

Ces trois solutions sont, globalement, les seules méthodes permettant de mettre en place une

politique AAA au sein d’une entreprise. Le protocole Radius semble le plus utilisé, mais il est

possible que d’autres protocoles soient plus performants, ou offrent plus de possibilités. Je vais

donc étudier ces différentes possibilités, afin de répondre au mieux au besoin.

1 Equipementier leader mondial de télécommunications2 Authentication, Authorization and Accounting (authentification, autorisation et traçabilité)1313 Olivier RAULIN Juin – Août 2012

J’étudierai également, pour le protocole retenu, quelle solution logicielle sera la plus opportune afin

de mettre en place ces authentifications, en fonction principalement de critères :

de coût ;

d’adaptabilité (rajout de fonctionnalités dans le futur)

de maintenance

de configuration

Cette réflexion mènera à une solution complète d’authentification AAA pour les équipements

Cisco, et sera, dans l’idéal, adaptative à d’autres besoins ultérieurs.

RECHERCHECISCO SECURE ACCESS SERVERCisco vend une solution appelée Cisco Secure Access Server, qui est une plateforme de contrôle

d’accès, qui fonctionne sur plusieurs appareils :

autorise la connexion des administrateurs de matériels ;

permet d’authentifier des utilisateurs VPN, d’accès distant ;

authentifie des utilisateurs au niveau des connexions sans-fil et propose des sécurités

spécifiques ;

communique et audite les serveurs pour renforcer le contrôle d’admission.

Pour faire simple, Cisco Secure ACS permet de gérer l’accès aux ressources réseau pour une grande

variété de types d’accès, matériels, et groupes utilisateurs. Etant donné qu’elle est développée par

Cisco, cette solution est celle qui offrirait la plus grande flexibilité, et le plus grand nombre de

possibilités pour l’administration des équipements.

Cependant, les prix pour une solution TACACS débutent à plus de 9000€. Pour des contraintes de

coût, elle sera dans un premier temps écartée, le temps que les autres solutions puissent être étudiées

en profondeur.


KERBEROSPRÉSENTATION

Kerberos est un protocole d’authentification créé au MIT3.

Il utilise des clés secrètes pour fonctionner, et remplace les mots de passe par des tickets, rendant

plus difficile l’interception de ces mots de passe.

Son nom provient du nom grec de Cerbère, gardien des Enfers.

On pourrait faire une analogie de son fonctionnement avec le fonctionnement d’une billetterie de

cinéma, se déroulant en 3 étapes :

1. Le client paye son ticket

2. A l’entrée, un employé du cinéma déchire le ticket et en garde la moitié

3. Si besoin, on peut vérifier que les deux morceaux vont ensemble et n’ont pas été

falsifiés

Sa durée de vie est limitée (1 séance, généralement)

3 Massachussets Institute of Technology1515 Olivier RAULIN Juin – Août 2012

FONCTIONNEMENT

FIGURE 3 : PROCESSUS D'AUTHENTIFICATION KERBEROSLe serveur hébergeant l’AD utilise déjà Kerberos, puisque c’est le protocole utilisé nativement pour

l’authentification des ordinateurs clients dans un domaine Microsoft. Il devrait donc être possible

d’authentifier les matériels Cisco via cet AD, directement. De plus, les switchs, routeurs et firewalls

Cisco sont compatibles Kerberos depuis IOS4 version 11.2

Cependant, le protocole Kerberos ne fournit que le service d’Authentification (qui permet de savoir

si une personne a le droit de se connecter au matériel). Il faudra se tourner vers d’autres solutions

pour mettre en place l’Autorisation (qui indique quels droits à la personne sur le matériel) et la

Traçabilité (qui s’est connecté, quand, et sur quel équipement)

Pour des raisons de facilité de mise en œuvre, de limitation du nombre de protocoles utilisés et de

limitations techniques et de maintenance, la mise en place de Kerberos sera malheureusement

également écartée.

4 IOS : Système d’exploitation des matériels CISCO1616 Olivier RAULIN Juin – Août 2012

RADIUSPRÉSENTATION

LE PROTOCOLE RADIUS (REMOTE AUTHENTICATION DIAL-IN USER

SERVICE) EST UN PROTOCOLE D’AUTHENTIFICATION STANDARD. LE

FONCTIONNEMENT DE RADIUS EST BASÉ SUR UN SYSTÈME

CLIENT/SERVEUR CHARGÉ DE DÉFINIR LES ACCÈS D’UTILISATEURS

DISTANTS À UN RÉSEAU. […]. LE PROTOCOLE RADIUS REPOSE

PRINCIPALEMENT SUR UN SERVEUR, RELIÉ À UNE BASE

D’IDENTIFICATION COMME UNE BASE DE DONNÉES OU UN

ANNUAIRE, ET UN CLIENT RADIUS, FAISANT OFFICE

D’INTERMÉDIAIRE ENTRE L’UTILISATEUR FINAL ET LE SERVEUR.

L’ENSEMBLE DES TRANSACTIONS ENTRE LE CLIENT RADIUS ET LE

SERVEUR EST CHIFFRÉ ET AUTHENTIFIÉ GRÂCE À UN SECRET

PARTAGÉ. [1]

Le protocole RADIUS est implémenté dans IOS depuis la version 11.1

FONCTIONNEMENT


FIGURE 4 : FONCTIONNEMENT D'UNE ARCHITECTURE RADIUS SUR CONNEXION WIFISur cette figure, on voit le déroulement d’une authentification par Radius, qui se déroule en 5

étapes : 1. PC-portable envoie à Borne-WiFi les identifiants et mot de passe de l’utilisateur qui

désire se connecter au réseau ;2. Borne-WiFi chiffre le mot de passe grâce au secret qu’il partage avec Serveur

Radius, et transmet ces informations à celui-ci ;3. Serveur Radius lit le mot de passe de l’utilisateur qu’il a dans sa base de données

(l’administrateur est libre de choisir plusieurs méthodes de stockage des utilisateurs),

chiffre celui-ci avec le secret partagé puis le compare avec celui envoyé par Borne-

WiFi (c’est le principe d’irréversibilité du chiffrage, qui permet de chiffrer un mot de

passe avec un secret partagé mais ne permet pas de le déchiffrer : le MD5

fonctionnera sur le même principe) ;

4. Serveur Radius renvoie sa réponse :

a. Access-Accept, s’il autorise la connexion

b. Access-Reject, s’il refuse la connexion

c. il peut également renvoyer d’autres attributs, en fonction de sa configuration

5. Borne-Wifi reçoit la réponse de Serveur Radius, et accepte, ou non, l’utilisateur en

fonction de celle-ci.

Il est bien évidemment primordial que le secret partagé reste secret entre la borne et le serveur, car

dans le cas contraire la sécurité des mots de passe risquerait d’être compromise.

PROTOCOLES ET SERVICES RENDUS1818 Olivier RAULIN Juin – Août 2012

FIGURE 5 : TABLEAU DES MÉTHODES SUPPORTÉES PAR LES DIFFÉRENTS PROTOCOLESLa figure ci-dessus indique le support de chaque protocole au niveau des 3 méthodes

(Authentification, Autorisation et Traçabilité), pour les matériels de type ASA principalement (les

autres équipements ne supportant pas nécessairement tous ces protocoles).

Il est donc facile de remarquer que le TACACS+ (protocole de Cisco) est compatible avec tout,

tandis que Kerberos est uniquement limité à l’Authentification.

Cependant, le protocole Radius tire son épingle du jeu avec quasiment toutes les méthodes

supportées. Il ne reste que l’autorisation de l’administrateur, qui, via IOS, se contourne en utilisant

un utilisateur fictif nommé $enabXX, où XX est remplacé par un nombre compris entre 1 et 15, et

qui représente le niveau d’autorisation accordé : ainsi, on peut créer 15 niveaux d’autorisation

différents, tous avec un mot de passe différent : malheureusement, il n’est pas possible d’affecter à

un compte d’utilisateur un niveau d’autorisation, bien que le serveur Radius le permette et le prenne

en charge : c’est une limitation du système de Cisco, IOS.

CHOIX FINAL DU PROTOCOLEAprès étude des principaux protocoles permettant l’authentification AAA sur un équipement Cisco, il ressort principalement 2 critères d’exclusion concernant les deux premiers :1919 Olivier RAULIN Juin – Août 2012

Cisco Secure Access Server, et son protocole TACACS+, est écarté pour son coût trop élevé ; Kerberos est écarté par sa limitation technique et sa complexité de mise en œuvre.Il reste donc le protocole Radius, qui semble, lui, n’avoir aucun aspect négatif à son utilisation, notamment parce que : il est sécurisé ; il n’est pas lié à l’achat de serveurs spécifiques ; il est très compatible, polyvalent, et semble pouvoir s’adapter à toute quantité de situations.La partie suivante va donc faire un comparatif entre deux solutions mettant en œuvre le protocole Radius : NPS, le serveur Radius intégré à Windows Server 2008, et FreeRadius, solution libre la plus utilisée au monde5.

NPS, SERVEUR RADIUS DE MICROSOFTWINDOWS SERVER

Windows Server est une marque, déposée par Microsoft, pour sa gamme de systèmes d’exploitation

dédiée pour les serveurs.

Un serveur est une machine, parfois physique, parfois virtualisée (cf p. Error: Reference source not

found : Error: Reference source not foundError: Reference source not found), destinée à rendre un

service à un ou des clients, comme par exemple l’affichage d’un site web, le partage de données,

etc.)

Tout serveur de type Windows Server est capable d’héberger un serveur NPS, qui fait office de

serveur Radius : la dernière version sur le marché est la version 2008 R2, la suivante étant la

version 2012, la précédente étant la version 2003. Généralement, les sorties de nouvelles versions

de Windows Server coïncident avec une sortie d’un système pour le grand public :

Windows server 2003 est sorti avec Windows XP ;

Windows Server 2008 est sorti avec Windows Vista ;

Windows Server 2012 sortira avec Windows 8, prévu pour le 26 octobre 2012.5 voir http://freeradius.org/2020 Olivier RAULIN Juin – Août 2012

CWF, parmi sa centaine de serveurs, migre progressivement ses anciens serveurs Windows Server

2003 vers des versions 2008, et n’installe de nouveaux serveurs qu’avec cette version. Cela permet

à CWF d’être toujours à jour au niveau de sa sécurité et des fonctionnalités rendues.

Windows Server 2008 est décomposé en plusieurs versions, permettant plus ou moins de

fonctionnalités, et à des tarifs différents, avec notamment, pour principales :

Web Server ;

Standard ;

Enterprise ;

Datacenter ;

Foundation.

CWF installe principalement des versions Standard, moins coûteuses que les versions Enterprise,

mais bien moins limitées que les versions Web Server, destinées uniquement pour l’hébergement de

sites web.

NPSNPS6 est le remplaçant, sous Windows Server 2008, d’IAS7, présent lui sur les systèmes Windows

Server 2003.

Il a pour principale fonctionnalité de servir de serveur Radius, et peut servir également de proxy ou

de sécurisation d’accès.

La version Standard de Windows Server 2008 limite à 50 le nombre de clients Radius (un client

étant par exemple une borne WiFi, ou un équipement Cisco). Cependant, cette limite n’est pas

clairement indiquée par le système : c’est en ajoutant le 51ème client qu’un message d’erreur assez

peu explicite fait son apparition, empêchant l’ajout d’un client supplémentaire.

Une solution à cette limite existe, et elle consiste à passer sur une version supérieure de 2008

Server, par exemple la version Enterprise ou Datacenter, qui suppriment cette limite de clients. Cela

a un coût, et s’il n’est pas possible de trouver une solution moins coûteuse, on la retiendra.

Cependant, une alternative semble possible avec Freeradius.

6 Network Policy Server7 Internet Authentication Service2121 Olivier RAULIN Juin – Août 2012

FREERADIUS AVEC AUTHENTIFICATION SUR LDAPFreeRadius est une implémentation libre et gratuite du protocole RADIUS, qui permet donc

d’ajouter à son réseau un serveur répondant aux besoins de l’AAA. Il est considéré comme étant le

plus utilisé au monde des serveurs RADIUS. Il peut s’authentifier auprès de fichiers texte, d’une

base SQL, d’un annuaire LDAP, d’une base SQL, et auprès de bien d‘autres services par le biais de

modules supplémentaires. Ici, on montrera l’authentification auprès d’un annuaire LDAP, qui

stocke déjà actuellement des utilisateurs : cette solution a été retenue pour sa simplicité d’usage : en

effet, il apparaîtrait trivial de récupérer la liste d’utilisateurs à intervalles réguliers, afin d’alimenter

une seconde base, et d’obtenir une architecture soumise à beaucoup de risques :

de synchronisation ;

d’incompréhension (utilité d’avoir un réplica de la première base ?) ;

de lourdeur (doublement des données).

Le choix de Freeradius s’est imposé parce que c’est une référence dans le domaine de

l’authentification Radius, et que, de plus, il permet de conserver des coûts très limités (au vu de la

licence libre et gratuite)

LDAP est protocole devenu un standard permettant l’interrogation et la modification des services

d’annuaire, reposant sur TCP/IP. On peut trouver des annuaires compatibles LDAP sur toutes les

plateformes, comme par exemple OpenLDAP sur un système GNU/Linux ou Active Directory sur

un système Microsoft (Microsoft ayant ajouté des couches supplémentaires à son annuaire).

FONCTIONNEMENTDans la configuration de FreeRadius, il va falloir lui spécifier plusieurs renseignements, tels que le

schéma de l’annuaire, son adresse, ainsi que le mot de passe de l’administrateur de celui-ci (cette

obligation est due à Windows Server, qui n’autorise pas la connexion anonyme sur son annuaire). A

chaque requête, notre serveur Radius va donc aller effectuer une requête auprès de la fonctionnalité

LDAP de l’Active Directory, et celui-ci répondra si l’utilisateur est autorisé ou pas à se connecter.

Cependant, une seule configuration est envisageable : en effet, le module est configuré de telle sorte

qu’il aille chercher, par exemple, les utilisateurs dans l’unité Personnes de l’annuaire : que se passe-

t-il si, dans le futur, nous désirons rajouter une nouvelle fonctionnalité utilisant l’authentification

Radius, telle que, par exemple, une authentification des clients sans-fil au sein de l’entreprise ?


La réponse est simple : il ne sera pas possible de cumuler les deux avec deux configurations

différentes. On ne pourra par exemple pas authentifier une machine, il faudra obligatoirement

authentifier un utilisateur, qui sera dans l’unité Personnes de l’annuaire, et qui enverra son mot de

passe d’une manière non chiffrée (donc non sécurisée).

Dans le cadre d’un serveur voué à n’accueillir qu’un seul service d’authentification, cela pourrait

suffire, mais l’entreprise étant en perpétuelle évolution, cette configuration n’est pas envisageable.

Dans la partie suivante, nous verrons qu’il est possible d’utiliser FreeRadius en tant que proxy, et

les conséquences de ceci.CONFIGURATION DE FREERADIUS EN TANT QUE PROXYNous nous retrouvons donc avec, globalement, 2 contraintes :

le coût d’une licence Enterprise, ou la limite à 50 clients Radius sur la version

Standard de Windows Server 2008.

les problèmes de configurations multiples d’une authentification FreeRadius sur

LDAP.

Serait-il possible, par exemple, d’obtenir les fonctionnalités de NPS, avec autant de clients que l’on

souhaite, sans changer de licence et sans dépasser le nombre de 50 clients ?

INTRODUCTION AU FONCTIONNEMENT D’UN PROXYUn serveur proxy est un serveur qui va servir d’intermédiaire entre un client et un autre serveur, en

se faisant passer pour le client auprès de l’autre serveur. Généralement, ce système de proxy est

utilisé afin d’augmenter la sécurité du parc informatique, ou d’augmenter les performances d’un

réseau local, parce qu’il peut être associé de plusieurs services, tels que, dans l’exemple d’un proxy

web (le plus couramment rencontré) :

un service de cache (les éléments fréquemment demandés sont stockés en local) ;

un service antiviral (les retours de requêtes vont être scannés) ;

un service de sécurité (certaines requêtes vont être autorisées, d’autres non).


FIGURE 6 : FONCTIONNEMENT D'UN PROXYCette figure illustre parfaitement le fonctionnement d’un proxy : à gauche se situe le réseau local,

composé de machines clientes, et qui envoient toutes leurs requêtes vers la machine faisant office de

proxy. Celle-ci contacte les serveurs Internet avec les requêtes des clients, en se faisant donc passer

pour eux (en réalité, le serveur sur Internet croira que toutes les requêtes viennent de la même

machine, qui est donc le serveur proxy), et répond aux clients en se faisant passer pour les serveurs

présents sur Internet : le fonctionnement est donc totalement transparent pour les clients, qui, selon

la configuration, peuvent ne pas s’apercevoir qu’ils passent au travers d’un proxy.

MISE EN PLACE ET CONFIGURATIONUne solution de proxy via Freeradius a été imaginée, et a semblé pertinente, à la fois pour des

raisons de simplicité de et maintenance : en effet, Freeradius supporte, à l’instar des licences

Enterprise et Datacenter de Windows Server, l’ajout de sous-réseaux en tant que clients. Cela

permet donc d’ajouter très simplement un nombre important de clients, sans devoir les ajouter un

par un, comme c’est le cas sur Windows Server Standard. De plus, l’aspect gratuit de la solution a

joué dans la décision finale, ainsi que mon intérêt personnel pour les solutions open-source.

La configuration est assez simple, et fonctionnera sur tout mécanisme d’authentification choisi : en

effet, le Freeradius n’agira qu’en tant que proxy, ce qui signifie qu’il ne fera que transférer les

requêtes vers le serveur Windows Server, qui lui, n’aura donc qu’un seul client configuré.

Il suffira de spécifier dans les modules à activer de n’activer qu’IPASS, et de configurer les

royaumes (REALMS) dans son fichier de configuration.

Le module détectera ensuite, selon qu’un nom de domaine soit indiqué ou non dans chaque

requête : exemple OLIVIER\Administrateur, ou EPSI\utilisateur, le serveur vers lequel il doit


renvoyer cette requête afin qu’elle soit traitée. Il est possible de ne travailler qu’avec un serveur, ou

bien, si l’on dispose de plusieurs royaumes, de définir un serveur pour chacun. Une fois le résultat

reçu, le module retransmettra le résultat reçu au client.

FIGURE 7 : TOPOLOGIE DU RÉSEAU AVEC PROXY RADIUSSur cette figure, Switch0 et Switch1 servent d’interconnexion aux différents matériels possibles :

ceux-ci sont administrables, et une configuration Radius leur sera appliquée.

Switch2 n’est présent que pour montrer qu’il est également possible de configurer des équipements

« esseulés », pouvant représenter n’importe quel équipement réseau.

Les PC portables se connecteront via une authentification Radius également, le proxy recevant donc

toutes les connexions des machines et équipements et redirige tous ces flux vers le serveur Radius

final, sans faire de distinction entre les différentes méthodes d’authentification (EAP, PEAP, LEAP,

MsCHAP …).

Le serveur final, fonctionnant avec Windows Server, saura faire la distinction et appliquer la bonne

procédure définie à chaque protocole d’authentification.

CONCLUSION QUANT À LA CONFIGURATION DE FREERADIUSLa configuration de Freeradius avec authentification via LDAP implique que le mot de passe de

l’administrateur soit rentré dans un fichier de configuration : cela peut poser des problèmes de


sécurité. De plus, nous rencontrerons des problèmes lorsqu’une autre architecture va être installée

sur l’infrastructure, notamment une authentification via Radius des clients WiFi.

En effet, la configuration effectuée dans le cas d’une authentification par LDAP est spécifique à un

type de connexion, et toute requête arrivant au serveur sera traitée de la même manière par le

module LDAP.

Ainsi, il faudra jongler, au niveau de l’AD, à détecter de quel endroit provient chaque requête, et

adapter en conséquence : la maintenance en devient rapidement trop complexe.

Il ne sera donc pas idéal de devoir gérer au niveau de l’AD ces différentes requêtes. Pour cette

raison, l’utilisation du module LDAP de Freeradius sera abandonnée, malgré sa simplicité d’usage

et ses possibilités offertes. La configuration de Freeradius en tant que proxy apparaît la solution la

plus stable, la moins coûteuse, et la plus maintenable possible.


3/ AUTHENTIFICATION CENTRALISÉE DES SERVEURS LINUXEXISTANTActuellement, tous les serveurs Windows sont automatiquement joints au domaine : étant supporté

nativement, c’est donc très simple de le faire, et cela apporte beaucoup d’avantages (résolution de

noms simplifiée, authentification centralisée, services supplémentaires, etc.)

Cette situation n’a pas été exportée vers les serveurs Linux (distribution Debian), car n’est pas

supportée nativement, et nécessite quelques ajustements afin de pouvoir fonctionner

convenablement

BESOINIl apparaît évident qu’une solution comme celle d’un seul compte utilisateur par machine vienne à

poser de multiples problèmes dans le futur, au même niveau que les problèmes touchant les

matériels Cisco : confidentialité, sécurité, etc.

Il faut donc étudier une solution permettant d’authentifier ces machines Non-Windows sur le

domaine, qui lui fonctionne avec Windows.

RECHERCHE1. AUTHENTIFICATION SUR L’ANNUAIRE LDAPActive Directory étant compatible avec le protocole LDAP, il est possible d’utiliser celui-ci pour

interroger la partie LDAP de l’AD.

Toutes les documentations qu’on peut trouver à ce propos ont entre 7 et 12 ans, et sont donc

clairement dépassées technologiquement : si cette méthode d’authentification pouvait s’envisager il

y a encore 5 ans, elle n’est plus acceptable aujourd’hui, elle est totalement obsolète.

Cette méthode d’identification fait transiter le mot de passe en clair (sans chiffrage) sur le réseau, ce

qui est un comportement qui est peu recommandé.

Cette technologie ne permet pas, non plus, de conserver son identification pour l’accession des

partages réseau : il faudra s’authentifier à nouveau quand on désirera accéder à chaque disque

réseau (chaque utilisateur ayant en moyenne accès à 4 lecteurs réseau)


FIGURE 8 : AUTHENTIFICATION LDAP1. AUTHENTIFICATION VIA LE PROTOCOLE KERBEROS

Le protocole Kerberos est celui utilisé par défaut pour les connexions des utilisateurs Windows.

Le client Linux va utiliser Kerberos pour s’authentifier, et LDAP pour obtenir les informations

relatives au compte.

Le protocole Kerberos est celui utilisé par défaut pour les connexions des utilisateurs Windows.

Le client Linux va utiliser Kerberos pour s’authentifier, et LDAP pour obtenir les informations

relatives au compte.

FIGURE 9 : AUTHENTIFICATION AVEC KERBEROS ET LDAP


2. AUTHENTIFICATION VIA WINBINDLa troisième solution est d’utiliser le démon appelé Winbind pour transformer les appels de Linux

en appels compatibles Active Directory.

Ce démon va se charger de transformer toute requête d’authentification dans des méthodes que

comprendra l’Active Directory, et fera le nécessaire pour contacter celui-ci. De l’autre côté, il n’y a

que peu de choses à rajouter à la configuration, il suffit juste d’indiquer au démon PAM8 que c’est

Winbind qui se charge de l’authentification.

FIGURE 10 : AUTHENTIFICATION AVEC WINBIND 3. SOLUTION RETENUEAu premier abord, la seconde solution, apparaissant plus simple à mettre en œuvre, avait été

retenue.

Cependant, au fur et à mesure des tests et des recherches, il est apparu que cette solution était

finalement beaucoup plus complexe à mettre en œuvre et potentiellement destructrice. Elle utilisait

en effet les fonctionnalités LDAP de l’Active Directory - ces fonctionnalités étant limitées par

Microsoft, les champs de l’annuaire étant spécifiques pour la gestion des utilisateurs d’un domaine

Windows. Il aurait donc fallu apporter de lourdes modifications à la structure de l’annuaire pour

pouvoir mettre en place ces solutions, qui risquaient donc d’endommager le fonctionnement pour

les clients Windows.

Finalement, c’est la troisième solution qui sera mise en œuvre, puisqu’elle est transparente pour

l’annuaire (pas de modification de structure, il ne voit rien d’autre qu’une machine comme une

autre), et c’est un démon sur chaque machine Linux qui se chargera d’effectuer la compatibilité et

8 Pluggable Authentication Modules : démon d’authentification utilisé par défaut sur les machines Linux2929 Olivier RAULIN Juin – Août 2012

d’aller chercher dynamiquement dans l’annuaire les utilisateurs. Cependant, l’accès via le compte

local de la machine est toujours possible sans manipulation spécifique, ce qui permet de garder le

contrôle en cas de panne sur le réseau (annuaire, réseau, etc.)

Afin de faciliter l’intégration au domaine des serveurs, j’ai proposé un script afin que la jonction du

domaine s’effectue en seulement quelques secondes (contre plusieurs minutes de manipulations

répétitives lorsque l’on configure manuellement), avec le moins d’actions humaines à effectuer, tout

en conservant un niveau de sécurité optimal : aucun mot de passe n’est renseigné dans ce script

d’automatisation.


4/ AUTHENTIFICATION DES MACHINES CONNECTÉES SANS FILEXISTANTLes ordinateurs portables doivent s’authentifier afin de pouvoir accéder au réseau sans-fil de

l’entreprise. Pour cela, un paramétrage doit être effectué sur chaque machine après installation afin

de rentrer un nom d’utilisateur et un mot de passe qui permettront l’authentification de l’ordinateur.

BESOINOn voudrait, pour des raisons de simplification, une automatisation de ce procédé afin d’éviter de

devoir passer sur chaque machine rentrer l’identifiant et le mot de passe spécifique afin que

l’utilisateur aie accès au réseau. Cela complique les changements de postes, et donne un travail

supplémentaire aux administrateurs.

RECHERCHELes moyens de sécurisation d’un réseau sans fil de type Wi-Fi sont nombreux, et évoluent

rapidement.

On trouvera des moyens de sécurisation orientés grand public, et des moyens de sécurisation plus

axés vers le monde professionnel, mais plus compliqués à mettre en œuvre.SOLUTIONS GRAND PUBLIC- le WEP (dépassé depuis des années)

- le WPA-PSK (moyennement fiable)

- le WPA2-PSK (assez fiable)

Ces solutions se basent sur une clé partagée entre le point d’accès et la station cliente, et n’est que

très difficilement applicable à l’entreprise, pour les raisons suivantes :

chaque poste doit avoir cette clé, et donc un changement régulier de clé est très

contraignant, voire impossible lorsque le parc devient conséquent. ;

le non-changement de cette clé expose l’entreprise à des risques (anciens employés,

matériel volé, etc.) ;


des pirates pourraient finir par découvrir cette clé de chiffrage en écoutant le réseau,

et ainsi s’y connecter.SOLUTIONS PROFESSIONNELLES- le WPA-Entreprise

- le WPA2-Entreprise

- le contrôle d’accès via la norme 802.1X et le protocole EAP

Le WPA2 n’est qu’une version mise à jour de WPA, supportant un algorithme plus sûr que

l’ancienne version (AES au lieu de TKIP)

Ces trois solutions sont basées sur un serveur d’authentification (Radius pour le 802.1X, une

diversité pour le WPA/WPA2)PROTOCOLE EAPExtensible Authentication Protocol (EAP) est un mécanisme d'identification universel,

fréquemment utilisé dans les réseaux sans fil.

Il existe 5 types d’EAP officialisés par les standards WPA/WPA2 :

• EAP-TLS

• EAP-TTLS/MSCHAPv2

• PEAPv0/EAP-MS-CHAPv2

• PEAPv1/EAP-GTC

• EAP-SIM

Il en existe cependant d’autres, ceux-ci étant les plus connus.

EAP-TLSC’est le seul protocole obligatoirement supporté par un appareil portant le logo WPA ou WPA2.

Il oblige d’avoir un certificat de chaque côté de l’identification. L’utilisation de ce protocole est

donc sécuritaire, mais très contraignante.


EAP-TTLSTrès bon niveau de sécurité, un certificat est présent au niveau du serveur uniquement. Il faudra

cependant toujours rentrer manuellement un nom d’utilisateur et un mot de passe pour pouvoir se

connecter.

PEAPProtocole similaire à EAP-TTLS : il en existe 2 versions :

• PEAPv0/EAP-MS-CHAPv2, développé par Microsoft

• PEAPv1/EAP-GTC

PEAP se déroule en 2 étapes :

1. Identification du serveur (optionnel)

2. Identification du client au travers d’un tunnel chiffré

EAP-SIMProtocole d’authentification pour mobiles, ne nous concernant pas dans le cadre de ce rapport.CHOIX MIS EN PLACELes clients utilisant un système d’exploitation Microsoft, et l’annuaire (le serveur auprès duquel les

clients vont s’authentifier) également, le choix se limite rapidement : en effet, Windows ne supporte

nativement que PEAP et MS-CHAPv2, protocole développé par Microsoft lui-même, et qui est une

modification du protocole d’authentification CHAP, permettant l’authentification sans avoir de mot

de passe transitant en clair sur le réseau.

Le choix va donc, pour des raisons de compatibilité et de sécurité, à une authentification via

PEAPv0/MS-CHAP-v2, supportée nativement par Windows.

MS-CHAP-v2 est défini par la RFC 2759.


CE QUI SE PASSE DANS LA PRATIQUERappel : topologie du réseau

FIGURE 11 : RAPPEL DE LA TOPOLOGIE RÉSEAU1. pc-portable contacte AP via la technologie Wi-Fi : celui-ci contacte Radius, qui

transmet la requête de connexion à AD (Radius agissant comme un simple proxy).

AD répond avec un « Challenge » (une série aléatoire de caractères), qui est

retransmis tour à tour à Radius, puis à AP, puis à pc-portable.

2. pc-portable calcule une valeur de réponse en fonction du mot de passe de l’utilisateur

(la connexion sans-fil est configurée pour envoyer les identifiants servant à

authentifier l’utilisateur), et le renvoie à AD.

3. AD connaissant le mot de passe de l’utilisateur, il sait la valeur qu’il est censé

recevoir : si celle-ci est correcte, il renvoie un Access-Accept à pc-portable, qui

autorise donc pc-portable à se connecter à la borne ; sinon, il envoie un Access-

Reject, qui n’autorise pas pc-portable à être associé à la borne.

A intervalle aléatoire, AD renverra à nouveau un challenge permettant de confirmer

l’authentification de l’utilisateur (et éviter une éventuelle usurpation d’identité)


Le chiffrage utilisé pour la transmission des données est le WPA. A cela, 802.1X propose une

rotation à intervalles prédéfinis (par l’administrateur) des clés WPA. Ce délai peut souvent être

choisi de 10 secondes à plusieurs jours. Ceci signifie que la borne informera les stations clientes

(donc authentifiées avec le 802.1X) du changement de clé : si un pirate venait à écouter ce qui se

passe sur le réseau, il n’arriverait pas à capturer une quantité suffisante de données afin de

déchiffrer la clé avant que celle-ci ne soit changée. [3]


5/ PROXY TRANSPARENT SUR FIREWALL CISCOEXISTANT Les navigateurs Internet (Internet Explorer, Mozilla Firefox, Google Chrome …) des ordinateurs

sont configurés pour utiliser un proxy, et seul ce proxy est autorisé à accéder à Internet. Sans cette

configuration renseignée dans chaque navigateur, l’accès à Internet est impossible. Cette politique a

été mise en place afin d’obliger les utilisateurs à passer par le proxy. Celui-ci fait office de première

barrière antivirale, puisqu’il scanne le contenu des pages web et des téléchargements par rapport à

une liste de virus connus, et empêche ceux-ci d’arriver sur les machines clientes.

Le proxy est un IWSVA, édité par la société Trend Micro.

PROBLÈMESLes ordinateurs portables de l’entreprise changent de lieu, et donc la configuration doit être changée

manuellement, puisque bloquant l’accès Internet à l’extérieur de l’entreprise (le proxy n’est pas

accessible depuis l’extérieur de l’entreprise) si le proxy est renseigné et bloquant l’accès Internet à

l’intérieur de l’entreprise si celui-ci n’est pas renseigné (comme indiqué en A)

BESOINPermettre de ne plus avoir besoin de proxy configuré dans le navigateur de chaque ordinateur. Pour

cela, étude du protocole WCCP, de son activation sur le pare-feu, et études des conséquences et

limitations du protocole. Le but final sera d’appliquer la configuration sur le pare-feu actuel.

A) RECHERCHE1/ PRÉSENTATION D’IWSVAIWSVA9 est une solution de sécurité éditée par Trend Micro, fonctionnant sur plusieurs

plateformes : Linux, Solaris et Windows, avec comme rendu final une interface web permettant

l’administration depuis n’importe quel ordinateur du réseau. Un accès via SSH sera aussi possible si

la solution est installée sur des machines Linux.

Dans la liste de ses fonctionnalités, on peut citer :

9 InterScan Web Security Virtual Appliance3636 Olivier RAULIN Juin – Août 2012

une protection contre les menaces Internet ;

une protection antivirale ;

une protection contre les logiciels malveillants (espionnage de frappe, etc) ;

une protection contre le phishing ;

une intégration facile dans LDAP ou Active Directory ;

une surveillance en temps réel ;

un filtrage des sites web autorisés ou interdits ;

et encore bien d’autres fonctionnalités mineures.

Cette solution est apparue comme la plus performante par de nombreux tests, et c’est celle qui a été

choisie par l’entreprise, et qu’elle utilise actuellement.

2/ PRÉSENTATION DE WCCPWCCP (Web Cache Communication Protocol) est un protocole développé par Cisco qui permet la

gestion dynamique d’un système de cache, dans le but de réduire la latence et le trafic web. WCCP

est supporté par divers équipements de marque Cisco, tels que les routeurs, les pare-feux, et certains

commutateurs travaillant sur la couche 4 du modèle OSI.

C’est un protocole qui va, en temps réel, analyser le trafic entrant sur une interface de l’équipement,

et, premièrement, il va appliquer à ce trafic les règles de contrôle d’accès qui s’appliquent. Ensuite,

s’il trouve une correspondance par rapport à sa configuration, va renvoyer ce flux vers le proxy

(beaucoup de proxys sont compatibles) : en revanche, si le trafic ne correspond pas à sa

configuration, celui-ci part directement vers Internet.

La version 12.1 d’IOS ou supérieure est requise pour utiliser les fonctionnalités de WCCPv2, qui

permet notamment le support d’autres protocoles que le HTTP et HTTPS, et supporte les groupes

de service (255 groupes configurables).

Trend Micro déconseille les versions 12.2(23) et 12.3(9) d’IOS, car elles sont reconnues comme

ayant des problèmes avec WCCP.


FIGURE 12 : FONCTIONNEMENT DU WCCPExplications concernant cette figure :

1- Un client envoie sa requête

2- Le routeur intercepte la requête et la renvoie vers le cache

3- Le cache va chercher le contenu désiré

4- Le cache répond au client

Il n’y a pas de configuration à effectuer sur les clients, le fonctionnement étant totalement

transparent pour ceux-ci (il n’y a plus de configuration à rentrer manuellement dans les navigateurs)

4/ NON PRIORITÉ DU PROTOCOLELe protocole n’est cependant pas prioritaire par rapport à d’autres règles qui auraient pu être mises

en place.


Par exemple, une ACL en entrée prend toujours la priorité sur WCCP.

Si, par exemple, on désire bloquer l’accès au site web « www.google.fr », alors dans ce cas

cette règle devient prioritaire, et le site de Google ne sera pas accessible pour les clients à

l’intérieur du réseau : le WCCP ne sera pas appliqué

Cependant, si on désire autoriser explicitement un autre site Internet, cela ne l’empêchera pas

de passer par le filtre WCCP après.

Si on devait schématiser ce fonctionnement, on pourrait obtenir quelque chose comme la figure

suivante :

Sur cette figure, on peut observer la priorité du traitement du WCCP :

Quelque soit le site visité (l’exemple pris ici n’est de traiter que du Web), toute la liste va être

testée, règle par règle :

imaginons que, par exemple, nous désirions accéder à www.google.fr :

1. la règle 1 ne correspond pas

2. la règle 2 correspond : bloquer le trafic

maintenant, imaginons que nous voulions accéder à www.epsi.fr :

1. la règle 1 correspond : le trafic est autorisé, cependant il sera quand même

traité par le WCCP

si maintenant, nous voulons accéder à www.free.fr :





Règle 1 : autoriser www.epsi.frRègle 2 : interdire www.google.frRègle 3 : autoriser www.olivier-raulin.frSi accepté : WCCP s’applique

FIGURE 13 : PRIORITÉ DU WCCP

4. le trafic est rejeté par défaut, il ne passera donc pas par le WCCP

Le fonctionnement de ce protocole est donc un peu particulier, et pas simple à comprendre au

premier abord.

5/ SERVICES WCCP COURANTSService 0 : HTTP10

Service 53 : DNS11

Service 60 : FTP12

Service 70 : HTTPS13

Service 80 : Streaming RTSP14

Service 90-97 : Personnalisables

Service 99 : proxy inverse

Ces services, bien que semblant être figés, sont entièrement configurables sur l’ASA via des ACL.

6/ PROBLÈMES ENTRE WCCP ET IWSVAUne fois la plateforme de test mise en place et fonctionnels, on m’a apporté quelques détails sur ce

qui est actuellement mis en place, principalement au niveau du service comptabilité.

Parmi ces spécificités, on trouve :

Des accès directs vers certaines adresses, sans passer par le proxy

Des serveurs effectuant des requêtes sur d’autres protocoles que du HTTP(s)

Il a donc été nécessaire d’étudier la mise en place de ces spécificités entre l’ASA et la solution de

sécurité IWSVA

AUTRES PROJETS EFFECTUÉSEn ce qui concerne les autres projets sur lesquels j’ai travaillé, on pourra trouver :10 HyperText Transfer Protocol11 Domain Name Service12 File Transfer Protocol13 HyperText Transfer Protocol Secured14 Real Time Streaming Protocol


un script permettant de vérifier la présence de comptes utilisateurs sur certains serveurs ; un script permettant de vérifier le nombre de caractères des répertoires personnels des utilisateurs, afin qu’ils correspondent à la norme mise en place au sein du SI ; une vérification et mise à jour de pilotes d’imprimantes ; des réparations de smartphones ; la création, dans plusieurs langues (anglaise, espagnole, italienne) de MSI permettant l’installation simplifiée et silencieuse (sans demander à l’utilisateur de cliquer sur un quelconque bouton) de programmes ; du support utilisateur.Cependant, je n’estime pas ces sujets assez importants pour être détaillés, mais je tenais ce que ceux-ci sont tout de même représentés dans ce rapport.


CONCLUSIONAu travers de ce rapport, je me suis efforcé de démontrer l’importance d’une authentification

centralisée au sein d’un système d’information. Une politique qui ne doit pas être négligée,

puisqu’elle est facteur d’un gain de temps important, et qu’elle simplifie et sécurise des démarches

concernant les éléments systèmes et réseaux de sécurité indispensables à l’entreprise.

Pour être efficace, un Système d’Information a besoin d’être le plus automatisé possible, puisque

des manipulations répétitives nuisent à la productivité d’un service informatique.

Au cours de ce stage chez CWF, j’ai pu appréhender les méthodes appliquées sur les projets

informatiques, j’ai eu à cœur de proposer des solutions en prenant en compte tous les critères

nécessaires, tels que le coût, la maintenabilité, la mise en place, et j’ai effectué le travail nécessaire

pour simplifier au maximum toute procédure afférente.

J’ai eu la possibilité de mettre en pratique ce qu’on appelle le « savoir-faire » ingénieur : mettre en

place, à partir d’un besoin, une procédure simple et compréhensible, générée par la synthèse à la

fois d’un aspect théorique (manuels administrateurs ou utilisateurs) et d’un aspect pratique (batterie

de tests fonctionnels, de configurations référencées dans les manuels ou non, confrontation de

différentes informations, etc.), le tout menant à un réel apport de valeur ajoutée à un système

d’information.

L’autonomie qui m’a été offerte m’a permis de confirmer mon avis sur le fait qu’avec un point de

départ et un point d’arrivée, il existe une multitude de chemins, parfois très éloignés les uns des

autres, parfois très proches, parfois se rejoignant ou s’écartant mutuellement.

Parfois, je n’avais qu’un point de départ pour bâtir ma réflexion : de celui-ci, il m’a fallu explorer

les différents chemins, et analyser ce que serait le meilleur point d’arrivée pour l’entreprise, en

respectant toutes les contraintes nécessaires.

J’ai également vu que, malgré qu’on puisse imaginer que tout est faisable, il arrive parfois que des

sujets sur lesquels on a travaillé et dépensé beaucoup de temps n’arrivent pas à leur terme, par

exemple à cause d’incompatibilités techniques qui nécessiteraient trop de changements pour

pouvoir fonctionner (comme par exemple la limitation technique entre le protocole WCCP et

l’IWSVA, bloquante pour le service comptabilité, qui imposerait un changement d’un matériel

complet).


J’ai eu l’opportunité de découvrir tous les aspects du travail d’ingénieur en informatique au sein

d’une société de la taille de CWF, avec tout ce que cela implique, notamment :

le support utilisateur, local et à distance (international) ;

la cohésion d’une équipe en situation réelle ;

l’autonomie sur les projets ;

la réactivité en cas de crise.

Mon parcours s’enrichit donc avec CWF, qui, suite à mes stages précédents, améliore ma vision du

monde de l’entreprise :

dans le domaine de l’éducation (Oniris, 2010) ;

dans la Moyenne Entreprise (ME) ne disposant que d’un informaticien (MBP,

2011) ;

dans la grande entreprise industrielle (CWF, 2012).

Cet enrichissement se poursuivra lors de ma dernière année d’études, via un contrat d’alternance

avec une grande entreprise.

J’estime les missions qui m’ont été confiées comme réussies, puisque, même si je n’ai pu atteindre

le stade de mise en place de tous ces projets, j’ai mené à bien une étude théorique et pratique du

fonctionnement de celles-ci, et ai proposé des solutions lorsque la mise en place était bloquée par un

problème technique.

Pour conclure, je tenais à remercier une nouvelle fois Monsieur Julien CHARPENTIER, pour sa

disponibilité, la confiance qu’il m’a accordé sur ces projets et son accueil au sein de CWF.


TABLE DES ILLUSTRATIONSFIGURE 1 : MARQUES SOUS LICENCE DÉTENUES PAR CWF.............................................................................................................5

FIGURE 2 : TOPOLOGIE RÉSEAU DE TEST....................................................................................................................................9

FIGURE 3 : PROCESSUS D'AUTHENTIFICATION KERBEROS...............................................................................................................16

FIGURE 4 : FONCTIONNEMENT D'UNE ARCHITECTURE RADIUS SUR CONNEXION WIFI...............................................................................17

FIGURE 5 : TABLEAU DES MÉTHODES SUPPORTÉES PAR LES DIFFÉRENTS PROTOCOLES................................................................................18

FIGURE 6 : FONCTIONNEMENT D'UN PROXY..............................................................................................................................23

FIGURE 7 : TOPOLOGIE DU RÉSEAU AVEC PROXY RADIUS...............................................................................................................24

FIGURE 8 : AUTHENTIFICATION LDAP...................................................................................................................................27

FIGURE 9 : AUTHENTIFICATION AVEC KERBEROS ET LDAP............................................................................................................27

FIGURE 10 : AUTHENTIFICATION AVEC WINBIND.......................................................................................................................28

FIGURE 11 : RAPPEL DE LA TOPOLOGIE RÉSEAU.........................................................................................................................33

FIGURE 12 : FONCTIONNEMENT DU WCCP............................................................................................................................37

FIGURE 13 : PRIORITÉ DU WCCP.......................................................................................................................................38


TABLE DES MATIÈRESRemerciements.............................................................................................................................................................................. 2I – Introduction.............................................................................................................................................................................. 41/ Contexte du stage............................................................................................................................................................... 42/ Présentation de l’entreprise........................................................................................................................................... 43/ Le système d’information................................................................................................................................................ 64/ L’infrastructure du Système d’Information de CWF............................................................................................7II – Missions..................................................................................................................................................................................... 81/ Introduction.......................................................................................................................................................................... 8Introduction à la virtualisation.................................................................................................................................... 10Présentation d’ESXi.......................................................................................................................................................... 11Présentation de l’ASA 5505........................................................................................................................................... 112/ Authentification AAA sur matériel Cisco................................................................................................................ 13Existant................................................................................................................................................................................. 13Besoin.................................................................................................................................................................................... 13Recherche............................................................................................................................................................................. 14Cisco Secure Access Server....................................................................................................................................... 14Kerberos........................................................................................................................................................................... 15Présentation.............................................................................................................................................................. 15Fonctionnement....................................................................................................................................................... 16Radius............................................................................................................................................................................... 17Présentation.............................................................................................................................................................. 17Fonctionnement....................................................................................................................................................... 17Protocoles et services rendus............................................................................................................................. 18Choix final du protocole............................................................................................................................................. 19NPS, serveur Radius de Microsoft.......................................................................................................................... 19Windows Server....................................................................................................................................................... 20NPS................................................................................................................................................................................ 21


FreeRadius avec authentification sur LDAP...................................................................................................... 21Fonctionnement....................................................................................................................................................... 22Configuration de Freeradius en tant que proxy...............................................................................................22Introduction au fonctionnement d’un proxy................................................................................................ 23Mise en place et configuration........................................................................................................................... 24Conclusion quant à la configuration de Freeradius...................................................................................253/ Authentification centralisée des serveurs Linux................................................................................................. 26Existant................................................................................................................................................................................. 26Besoin.................................................................................................................................................................................... 26Recherche............................................................................................................................................................................. 264/ Authentification des machines connectées sans fil............................................................................................30Existant................................................................................................................................................................................. 30Besoin.................................................................................................................................................................................... 30Recherche............................................................................................................................................................................. 30Solutions grand public................................................................................................................................................ 30Solutions professionnelles........................................................................................................................................ 31Protocole EAP................................................................................................................................................................ 31EAP-TLS....................................................................................................................................................................... 31EAP-TTLS.................................................................................................................................................................... 32PEAP............................................................................................................................................................................. 32EAP-SIM....................................................................................................................................................................... 32Choix mis en place........................................................................................................................................................ 32Ce qui se passe dans la pratique............................................................................................................................. 335/ Proxy transparent sur firewall Cisco....................................................................................................................... 35Existant ................................................................................................................................................................................ 35Problèmes............................................................................................................................................................................ 35Besoin.................................................................................................................................................................................... 35Recherche............................................................................................................................................................................. 351/ Présentation d’IWSVA.......................................................................................................................................... 354646 Olivier RAULIN Juin – Août 2012

2/ Présentation de WCCP.......................................................................................................................................... 364/ Non priorité du protocole................................................................................................................................... 375/ Services WCCP courants...................................................................................................................................... 396/ Problèmes entre WCCP et IWSVA.................................................................................................................... 39Autres projets effectués........................................................................................................................................................... 39Conclusion..................................................................................................................................................................................... 41Table des illustrations.............................................................................................................................................................. 43Table des matières..................................................................................................................................................................... 44Index................................................................................................................................................................................................ 47Glossaire......................................................................................................................................................................................... 48Bibliographie................................................................................................................................................................................ 51Annexes.......................................................................................................................................................................................... 52


INDEXAAA............................................................................................................................................................ 11, 12, 19, II, IIIACL........................................................................................................................................................................ 35, 46, VIActive Directory.................................................................................................................................. 12, 25, 26, 27, IVAD.............................................................................................................................................................. 9, 14, 24, 25, 31ASA.......................................................................................................................... 10, 11, 17, 36, 37, 46, III, VI, VIIICHAP.................................................................................................................................................................... 30, 46, 47Cisco................................................................................8, 11, 12, 13, 14, 17, 18, 19, 25, 32, 33, 46, 47, II, VIIIDebian........................................................................................................................................................................... 24, IVDMZ....................................................................................................................................................................................... 7DNS................................................................................................................................................................................. 9, 36Gio........................................................................................................................................................................................ 10IWSVA................................................................................................................................................ 10, 32, 33, 46, VIIIKerberos...................................................................................................................................................... 13, 14, 25, 26LDAP................................................................................................................... 19, 20, 21, 24, 25, 26, 27, 33, 47, IVMIT...................................................................................................................................................................................... 13MS-CHAP.......................................................................................................................................................................... 30PAM..................................................................................................................................................................................... 26PEAP.................................................................................................................................................................................... 30Radius..................................................................................................................................... 9, 15, 20, 29, 31, II, III, IVRAM.................................................................................................................................................................................... 10RFC................................................................................................................................................................................. 7, 30switchs............................................................................................................................................................................ 7, 14TACACS+.................................................................................................................................................................. 17, 18VPN....................................................................................................................................................................... 11, 13, 47WCCP..................................................................................................................................... 33, 34, 35, 36, VI, VII, VIIIWEP.............................................................................................................................................................................. 28, 31WiFi............................................................................................................................................................. 8, 9, 16, 19, 24WPA............................................................................................................................................................................. 28, 29


GLOSSAIREAAA Authentication, Authorization and Accounting (Authentification,

Autorisation et Traçabilité) : modèle de sécurité permettant une gestion centralisée des accès à un équipement.

ACL Access control List : Liste de contrôle d’accès, utilisée partout où des

permissions sont accordées à des utilisateurs selon plusieurs critères

AD Voir Active Directory

Active Directory Adaptation des services d’annuaire LDAP par Microsoft, pour les systèmes d’exploitation Windows.

ASA Adaptive Security Appliance : Matériel Cisco Assurant des

fonctionnalités de pare-feu, génération suivante des PIX.

CHAP Protocole d’authentification sans mot de passe, à base de « challenge ».

Chaque partie (client et serveur) doit disposer d’un « secret » commun

Cisco Fabricant de matériel réseau, leader mondial.

Debian Distribution Linux axé sur le tout « open-source »

DMZ DeMilitarized Zone (zone démilitarisée) : zone de sécurité entre le

réseau Internet et le réseau local, servant à séparer ceux-ci

DNS Domain Name Service (Service de Noms de Domaine) : service permettant de translater une adresse intelligible (exemple www.google.fr) en adresse qui sera utilisée par la machine pour accéder au service demandé

Gio Gibioctet : unité de mesure informatique, représentant 230 octets (1073741824 octets) : à ne pas confondre avec Go, pour gigaoctet, qui représente 109 octets (1000000000 octets)

IWSVA InterWeb Security Virtual Appliance : Distribution Linux CentOS avec

le logiciel de sécurité Trend Micro IWSS intégré.

Kerberos Protocole d’authentification très sécuritaire

LDAP Lightweight Directory Access Protocol : Protocole d’accès à un annuaire

d’entreprise (recensant généralement toutes les informations utiles

concernant les employés d’une entreprise)


MIT Massachussets Institute of Technology : Université du Massachussets,

regroupant des chercheurs dans tous les domaines scientifiques (science,

technologie, informatique, etc.)

MS-CHAP Protocole, défini par la RFC2759 de janvier 2000, qui est la version

Microsoft du protocole CHAP en en supprimant principalement

l’obligation de secrets partagés.

PAM Pluggable Authentication Modules : démon d’authentification par défaut sous Linux, fonctionnant via des modules.

PEAP Protected Extensible Authentication Protocol : méthode de transfert

sécurisée d’informations d’authentification

Radius Remote Authentication Dial-In User Service : Protocole permettant de

centralizer des données d’authentification

RAM Random Access Memory (mémoire à accès aléatoire) : terme utilisé pour désigner la mémoire vive d’une machine, servant à stocker des données temporaires, généralement le temps de l’exécution d’un programme

RFC Request For Comments (demande de commentaire) : série de documents, numérotés, décrivant des aspects techniques du domaine des réseaux

Switch (commutateur) : équipement d’interconnexion à l’intérieur d’un réseau local

TACACS+ Protocole propriétaire, développé par Cisco, permettant une authentification AAA.

VPN Virtual Private Network : Réseau privé virtuel (créé via un tunnel), créé

à partir de réseaux physiques distincts (par exemple, dans des pays

différents)

WCCP Web Cache Communication Protocol : protocole de routage de contenu

développé par Cisco : il permet notamment la redirection de flux de

manière totalement transparente pour l’utilsiateur

WEP Wired Equivalent Privacy : protocole de sécurisation des réseaux sans-fil

de type Wi-Fi : cassable en quelques secondes, il n’est plus recommandé

au profit du WPA ou du WPA2.

WiFi Ensemble de protocoles permettant la communication sans fil

WPA Wi-Fi Protected Access : mécanisme de sécurisation des réseaux sans-fil


de type Wi-Fi.


BIBLIOGRAPHIE[1] Cisco Systems, Serveurs de sécurité adaptatifs de la gamme ASA 5500, San José, CA, 2007. [2] A. Mbaye, Mise en oeuvre d'un service de sécurité. [3] B. Boutherin, Sécuriser un réseau Linux, Eyrolles, 2006. [4] Cisco, «Cisco IOS Firewall feature guide,» [En ligne]. Available: http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/iosfw2_1.html#wp11997. [Accès le 12 Juin 2012].[5] Cisco, «Cisco Security Appliance Command Line Configuration Guide,» [En ligne]. Available: http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/dhcp.html#wp1094445. [Accès le 4 Juin 2012].[6] F. Facciola, «Be transparent with WCCP,» [En ligne]. Available: http://doublef.org/archives/be-transparent-with-wccp.[7] T. Micro, «IWSVA 5.1 Installation Guide,» [En ligne]. Available: http://docs.trendmicro.com/all/ent/iwsva/v5.1/en-us/iwsva_5.1_ig.pdf . [Accès le 20 Juin 2012].


ANNEXES


CONFIGURATION DE L’AAA SUR ÉQUIPEMENT CISCOOrigine : [2]

router(config)# aaa new-model

Cette commande active l’authentification AAA sur le routeur

router(config)# aaa authentication login default group radius local

Définit la liste des méthodes d’authentification : dans le cas présent, si le serveur Radius ne répond

pas, on pourra passer par une authentification locale. C’est une sécurité indispensable.

router(config) # aaa authentication login CONSOLE local

On garde ici le login classique actuellement en place quand on se connecte via la console.

router(config)# aaa authorization exec default group radius local

router(config)# aaa authorization network default group radius local

Même configuration ici pour l’autorisation que pour l’authentification.

router(config)# radius-server host hostname auth-port port acct-port port key cle

Spécifie le nom du serveur AAA, ses ports de fonctionnement et la clé de chiffrage qui sera utilisée

entre le routeur et le serveur AAA. On peut entrer plusieurs fois cette commande dans le cas où

nous aurions plusieurs serveurs RADIUS.

router(config)# access-list access-list-number permit tcp host source eq radius host destination

Créé une liste d’accès pour permettre au serveur AAA de renvoyer du trafic. L’adresse source est

l’adresse IP du serveur AAA, la destination est l’adresse IP de l’interface du routeur où se situe le

serveur AAA.

router(config)# aaa accounting exec default start-stop group radius local

router(config)# aaa accounting network default start-stop group radius local

router(config)# aaa processes 6

IIII Olivier RAULIN Juin - Août 2012

SPÉCIFICITÉS DE L’ASA POUR LA CONFIGURATION AAAhostname(config)# aaa-server radius protocol radius

Ici, on commence donc par créer le “groupe”, nommé radius (pour plus de simplicité à retenir),

utilisant le protocole radius.

hostname(config)# aaa-server radius (INSIDE) host 192.168.1.249

Ici, on spécifie le groupe auquel on va rajouter un serveur (radius), puis l’interface (que l’on aura au

préalable nommée via nameif), puis enfin l’adresse IP du serveur auquel l’ASA devra s’authentifier.

Ensuite, la configuration pour activer le AAA est différente : pas besoin de aaa new-model :

hostname(config)# aaa authentication ssh console radius LOCAL

Ici par exemple, on va activer l’authentification AAA pour la connexion au SSH. Si le serveur

Radius ne répond pas, on garde tout de même une méthode locale d’authentification (attention, le

LOCAL s’écrit bien en majuscules)

hostname(config)# ssh 192.168.1.0 255.255.255.0 inside

Activation de l’écoute SSH sur l’interface inside, pour le réseau 192.168.1.0

hostname(config)# crypto key generate rsa

Génération de la clé publique/privée du serveur pour le SSH, nous pouvons maintenant nous y

connecter depuis un client SSH ! (Par exemple, PuTTY sous Windows, ou nativement sous Linux)

Les commandes debug aaa authentication, debug aaa authorization, debug aaa common nous permettrons de

débuguer, si besoin, le comportement de l’authentification.

IIIIII Olivier RAULIN Juin - Août 2012

CONFIGURATION DE FREERADIUS AVEC LDAPNous utiliserons les compatibilités LDAP15 de l’Active Directory pour permettre ceci. Autrement, il

nous aurait fallu joindre la machine au domaine, ce qui n’était pas nécessaire,

Depuis une machine Debian16, on effectue la commande :apt-get install freeradius

Le fichier de configuration global est situé ici : /etc/freeradius/radiusd.conf

Le fichier de configuration pour joindre un annuaire LDAP est situé ici : /etc/freeradius/modules/ldap

Il faudra modifier la ligne server= par l’adresse de son serveur LDAP, ainsi que la ligne basedn, par

l’arborescence que nous avons au niveau de notre annuaire.

Il faudra également rajouter une ligne dans /etc/freeradius/clients.conf :client 192.168.1.0/24 {

secret = testing123

shortname = LAN

}

Avec l’adresse réseau, puis la clé partagée (qui sera donc à renseigner sur les machines se

connectant au serveur Radius), et un nom pour ce réseau.

Une autre étape est d’activer l’interrogation du serveur LDAP dans le fichier /etc/freeradius/sites-enabled/default

Dans la section authorize, décommenter la ligne ldap

Dans la section authenticate, décommenter les 3 lignes suivantes :Auth-Type LDAP {

ldap

}

Lancer freeradius en mode de test avec la commande freeradius –X

Lancer, depuis un autre terminal, une commande radtest : radtest <user> <password> <ip>:<port> <port_local> <clé partagée>

<user> : nom d’utilisateur que l’on désire tester (il doit exister dans l’annuaire)

<password> : mot de passe de l’utilisateur que l’on désire tester (il doit être correct)

<ip> : adresse IP du serveur Radius

<port> : port d’écoute du serveur Radius (par défaut, c’est le 1812)

15 Lightweight Directory Access Protocol16 Distribution Linux : voir www.debian.orgIVIV Olivier RAULIN Juin - Août 2012

<port_local> : port local depuis lequel la requête va être émise (on choisit ce que l’on veut)

<clé partagée> : suite de caractères devant être identique dans le serveur Radius (dans sa section

clients)

Si l’on obtient en réponse un Access-Accept, c’est que le test est correct. Dans le cas d’un Access-

Reject, il y a plusieurs possibilités :

- Erreur de configuration

- Erreur de couple login/mot de passe

- Annuaire injoignable

Dans ces trois cas, il faut se référer à la sortie terminal de la commande freeradius –X qui donnera

plus de détails.

VV Olivier RAULIN Juin - Août 2012

ACTIVATION DU WCCP SUR L’ASAPages de référence : [4] [5]

L’activation de WCCP se déroule en trois étapes :

- Création d’une ACL

- Identifier le service à rediriger avec la commande wccp

- Identifier l’interface sur laquelle la redirection s’effectue avec la commande wccp redirect

ETAPE 1Création d’une ACL, exemple : création d’une ACL marquant le trafic http et HTTPS depuis

10.10.10.0 en /24

ACCESS-LIST WCCP EXTENDED PERMIT TCP 10.10.10.0 255.255.255.0 ANY EQ HTTPSACCESS-LIST WCCP EXTENDED PERMIT TCP 10.10.10.0 255.255.255.0 ANY EQ WWW

Attention, un bug affecte quelques versions d’ASA qui cause la redirection de TOUT le trafic

correspondant à une ACL standard vers le proxy. Il faut bien spécifier une ACL étendue et les ports

concernés.

ETAPE 2Commande d’activation d’un groupe de service WCCP :wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] [password password]

Le service par défaut est web-cache, qui intercepte le trafic du port 80 (http) et le redirige vers le

proxy, mais il est possible d’identifier un service entre 0 et 254, si besoin. (par exemple, FTP =

wccp service 60).

Il est possible d’entrer plusieurs fois cette commande pour activer plusieurs groupes.

L’argument redirect-list contrôle le trafic redirigé à ce groupe de service. Access-list doit être une

chaîne de moins de 64 caractères qui spécifie l’ACL.

Le password spécifie l’authentification MD5 pour les messages reçus depuis le groupe de service.

Les messages non acceptés par l’authentification sont abandonnés.

VIVI Olivier RAULIN Juin - Août 2012

ETAPE 3Pour activer la redirection WCCP sur une interface, entrer la commande suivante :

wccp interface INTERFACE_NAME {web-cache | SERVICE_NUMBER} redirect in

Exemple : activer le web-cache et rediriger le trafic http qui entre sur l’interface inside vers le

proxy :

wccp 0 redirect-list WCCP

wccp 70 redirect-list WCCP

wccp interface INSIDE 0 redirect in

wccp interface INSIDE 70 redirect in

VIIVII Olivier RAULIN Juin - Août 2012

ACTIVATION DE WCCP SUR PROXY IWSS / IWSVAPré-requis :

- WCCPv2 disponible (Et donc IOS 12.1 ou supérieur installé sur le routeur)

CONFIGURATION DE WCCP SUR IWSVA VIA L’INTERFACE WEBDocumentation : [6]

Dans le menu, il faut se diriger vers Administration > Deployment Wizard > Deployment mode.

Dans la page suivante, il faudra entrer les adresses IP des routeurs (l’ASA ne supportant pas la

configuration multi-routeurs, il ne faudra en mettre qu’une)

Mot de passe optionnel (mais si spécifié, doit être identique sur le matériel Cisco)

Choisir ensuite l’auto-négociation des protocoles (ainsi, IWSVA demandera au routeur ce qu’il

supporte, et s’adaptera en fonction)

Il n’y a plus qu’à valider les étapes suivantes.

La commande show ip wccp 80 detail sur le routeur doit retourner une liste d’informations.

VIIIVIII Olivier RAULIN Juin - Août 2012

JONCTION D’UNE MACHINE LINUX À UN DOMAINE WINDOWSSCRIPT D’AUTOMATISATION#!/bin/bash# Script de jonction d'une machine à un AD# Définition des variables# Définition du realm (nom de domaine, en majuscules : ex CWF.FR)read -p "Note préalable : - Le serveur DNS doit être renseigné dans /etc/resolv.conf- Ce script doit avoir été relu / modifié pour coller à la configuration- Internet doit être accessible directement (sinon, 'export http_proxy=http://<proxy>:<port>' fera l'affaire)- Le système doit être de la famille Debian (Debian, Ubuntu, Mint ...)- Quand vous êtes prêt, appuyez sur Entrée !" varr

# 2 solutions ici : Soit on entre en dur les infos dans le script, soit la personne qui lance le script les tape : la solution en dur est probablement plus simple à déployer

#read -p 'Nom du domaine (ex CWF) : ' domaine#read -p 'REALM du domaine, en majuscules (ex CWF.FR) : ' realm#read -p "Adresse ou nom de l'AD : " ad#read -p "Login de l'Administrateur du domaine" administrateurdomaine="OLIVIER"realm="OLIVIER.COM"ad="ldap.olivier.com"administrateur="Administrateur"

echo "Installation des paquets, veuillez patienter ..."yes | apt-get install krb5-config krb5-user samba winbind > /dev/nullif [ $? != 0 ] then

echo "Problème de récupération des paquets : vérifier l'accès à Internet"exit 2

fimv /etc/krb5.conf /etc/krb5.conf.oldmv /etc/samba/smb.conf /etc/samba/smb.conf.oldecho "smb.conf et krb5.conf sauvegardés en smb.conf.old et krb5.conf.old"

IXIX Olivier RAULIN Juin - Août 2012

echo "# REALM Kerberosrealm = $realm# Domaineworkgroup = $domaine# Active Directory Server gère la sécurité des ressources partagéessecurity = ADS# Active Directory n'accepte pas les mots de passe en clairencrypt passwords = yes" > /etc/samba/smb.conf

# Jonction au domaineecho "Test de jonction au domaine, le mot de passe de l'admin du domaine est demandé :"net ads join -U $administrateurif [ $? != 0 ] then

echo "Problème de jonction au domaine ... "exit 2

fi

echo "# Correspondances des uids entre le serveur Linux et Active Directoryidmap uid = 10000-20000# Correspondances des gids entre le serveur Linux et Active Directoryidmap gid = 10000-20000# Lister les utilisateurs au démarrage de Winbindwinbind enum users = yes# Lister les groupes au démarrage de Winbindwinbind enum groups = yes# Caractère de séparation domaine/nom d'utilisateur (ex: DOMAINE+utilisateur)winbind separator = +# Si le domaine n'est pas spécifié on utilise celui par défautwinbind use default domain = yes# Shell par défauttemplate shell = /bin/bash# Répertoire home par défauttemplate homedir = /home/AD/%U" >> /etc/samba/smb.confmkdir /home/AD/

# Restart des servicesecho "Redémarrage des services"service winbind restart

XX Olivier RAULIN Juin - Août 2012

service samba restart

echo Backup de nsswitchmv /etc/nsswitch.conf /etc/nsswitch.conf.oldcat /etc/nsswitch.conf.old | grep -v compat > /etc/nsswitch.confecho "passwd: compat winbindgroup: compat winbindshadow: compat winbind" >> /etc/nsswitch.conf

# Doit renvoyer les comptes de l'ADecho "Les 10 derniers comptes de l'AD devraient s'afficher : "getent passwd | tailecho " "echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0077" >> /etc/pam.d/common-sessionecho "Pour autoriser la modification du mot de passe, supprimer 'user_authtok' après winbind.so dans le fichier /etc/pam.d/common-password"

echo "Tout devrait fonctionner, essayer de se connecter avec un utilisateur de l'AD dans un autre terminal !"

XIXI Olivier RAULIN Juin - Août 2012

authentification centralisée - olivier raulin · d’équipements et de machines, au sein du...

Documents