Grp3 AAA

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 15

AUTHENTICATION

AUTHORIZATION
ACCOUNTING
Alexandre Vaillancourt 2051638
Diderot Kepmegni 2105998
MODÈLE AAA
• Le protocole de sécurité AAA a été
introduit par la Cisco pour
l'implanter dans leurs routeurs.
• Les trois A correspondent à
Authentification, Authorization et
Accounting (traçabilité en français)
• Le modèle AAA est la base pour les
protocoles que nous allons aborder
dans cette présentation c'est-à-
dire RADIUS et Diameter qui sont utilizes
dans les reseaux mobiles UMTS et LTE
pour authentifier et autoriser l’accès des
terminaux mobiles.
AAA
Authentication Authorization Accounting
L'Authentification est le processus pour s'assurer L'autorisation consiste à déterminer si la personne La traçabilité consiste à disposer d'information
que l'entité (humain ou machine) qui veut ou la machine authentifée à le droit de poser une nécessaire et suffisante pour connaître le contexte
accéder au système est bel et bien ce qu'elle action (lecture, écriture, exécuter) sur la ressource et les actions posées par une personne ou une
prétend être. spécifiée. machine qui a été au préalable ou non
authentifiée et autorisée à accéder aux
ressources.
Il y a quatre types de facteurs d'authentification : Il y a plusieurs modèle de contrôle d'accès : Les fichiers journaux permettent d'imputer les
• Quelque chose que l'on connait. Exemple : mot • Modèle d'accès discrétionnaire actions aux personnes. Ainsi en cas de fraude,
de passe • Modèle d'accès obligatoire cela permet de retrouver les personnes
• Quelque chose que l'on possède. Exemple : • Modèle d'accès non-discrétionnaire coupables.
carte d'identification
• Quelque chose que l'on est. Exemple : voix
• Quelque chose que l'on sait faire. Exemple :
signature

Il y a trois familles d'authentification :


• Authentification simple repose sur un seul
facteur
• Authentification forte repose sur deux ou
plusieurs facteurs
• Authentification unique repose sur le principe
de single sign-on
REMOTE AUTHENTICATION DIAL-IN
USER SERVICE
• RADIUS est protocole d'authentification standard.
• Ce protocole a été créé en 1991 et développé par Livingston Enterprise pour la série
PortMaster de ses serveurs d'accès réseau (NAS).
• RADIUS a été ensuite converti en normes RFC par IETF
• Janvier 1997 : RFC2058 (Authentification et autorisation) et RFC2059 (Traçabilité)
• Avril 1997 : RFC2138 (Authentification et autorisation) et RFC2139 (Traçabilité)
• Juin 2000 : RFC2865 (Authentification et autorisation) et RFC2866 (Traçabilité)
• Il y a deux ports UDP communément utilisés pour RADIUS soient 1645 et 1812. Ce
dernier est le plus utilisé pour les paquets d'authentification.
• Ce protocole est basé sur une architecture client/serveur chargé de définir
les accès d'utilisateurs distants à un réseau.
• L'ensemble des communications entre le serveur RADIUS et le client est chiffré et
authentifié par une clé secrète partagée.
FLUX DE RADIUS
L'Authentificateur sert d'intermédiaire entre le suppliant et le serveur
d'authentification, s'assurant que seul le trafic d'authentification est
autorisé à passer jusqu'à ce que le dispositif suppliant soit
correctement authentifié. Pour ce faire, l'authentificateur doit
également accepter les trames EAPOL (Extensible Authentication
Protocol over LAN) (EAP - Extensible Authentication Protocol - est un
protocole d'authentification de couche 2) du suppliant et les
convertir en paquets RADIUS (RADIUS est un protocole de couche 3)
à envoyer au serveur RADIUS. La conversion doit être inversée pour les
messages voyageant du serveur RADIUS vers le supplicant.
Le serveur d'authentification 802.1X contient les informations utilisées
pour authentifier le supplicant. Si les informations d'identification
fournies par le suppliant correspondent aux informations contenues
dans la base de données, le serveur d'authentification informe
l'authentificateur que le suppliant est autorisé à accéder au réseau ;
l'authentificateur informe à son tour le suppliant au moyen d'une
trame EAP-Success. Si les informations d'identification ne
correspondent pas, le serveur d'authentification notifie à
l'authentificateur que le supplicant n'a pas accès au réseau ;
l'authentificateur notifie à son tour le supplicant au moyen d'une
trame EAP-Failure.
RADIUS
Lorsqu'un client s'associe à un PA, il utilise les processus d'association standard
802.11. Une fois l'association terminée, le point d'accès, désormais conscient
Les messages les plus communs de RADIUS de la présence du client et configuré pour le faire, lance un processus
• Acces-Request : Envoyé par un client RADIUS pour demander d'authentification 802.1X/EAP (Extensible Authentication Protocol) en
l'authentification et l'autorisation d'accès à un réseau. envoyant au dispositif client une trame EAP-Request/Identity. Le client répond
• Access-Accept : Envoyé par le serveur RADIUS en réponse à un avec sa trame EAP-Response/Identité.
message Access-Request. Ce message notifie au client son
Comme les utilisateurs doivent s'authentifier auprès du serveur RADIUS, le point
Authentification et son Autorisation auxquelles il correspond en d'accès décompose la trame EAP-Réponse/Identité, qui comprend des
apportant les attributs nécessaires. informations d'identification de l'utilisateur ou du client, telles que le nom
• Acces-Reject : Envoyé par le serveur RADIUS en réponse à un d'utilisateur et le mot de passe haché, et la reconditionne sous forme de
message Access-Request. Ce message informe le client que sa paquet RADIUS Access-Request. De cette façon, l'AP agit comme un dispositif
demande a été rejetée, en expliquant la raison de ce rejet. intermédiaire, relayant les informations d'authentification entre l'utilisateur et le
serveur RADIUS.
• Access-challenge : Envoyé par le serveur RADIUS en réponse
au message Access-Request. Ce message est envoyé au client
avec un défi auquel le client doit répondre.
• Accounting-request : Envoyé par un client RADIUS pour
spécifier des informations sur la connexion qui a été acceptée.
Il peut être de type start ou stop pour démarrer ou arrêter la
traçabilité.
• Accounting-response : Envoyé par le serveur RADIUS en
réponse à un message Accounting-Request. Ce message
notifie la bonne réception de la requête et lance le processus
de la session.
VULNÉRABILITÉS ET CONTRE-
MESURES DE RADIUS
Vulnérabilité Contre-mesures
• Les messages RADIUS ne sont pas encryptés, • Parmi les contre-mesures qui pourraient être utilisées pour
excepté pour les données sensibles dont les mots de renforcer la sécurité de RADIUS, on peut envisager la mise en
passe. œuvre d'IPSec pour chiffrer les communications entre le client
et le serveur.
• RADIUS utilise MD5 comme hash cryptographique, ainsi il • En outre ou alternativement, l'authentification peut être
est vulnérable aux attaques de collisions. renforcée en utilisant des protocoles défi-réponse robustes tels
• Les communications sont en UDP, l'adresse IP peut être que CHAP.
facilement falsifiée et vulnérable au vol d'identité. • Pour résoudre les vulnérabilités que RADIUS possède en tant
que protocole AAA, c'est d'utilisé DIAMETER qui est une
• Les spécifications du mot de passe partagé ne sont pas
suffisamment robustes et sont réutilisées par le serveur évolution de RADIUS.
avec les clients. Par conséquent, il est vulnérable aux
attaques par force brute. Une fois le mot de passe
obtenu, le champ "Authenticator" utilisé dans les
messages d'authentification (Access-Request) est
facilement généré.
DIAMETER
• Diameter a été créé en 1998 pour compenser les limites de RADIUS.
• Diameter est un protocole de niveau application et il est conçu pour faire de
l'authentification.
• Il a été créé pour mieux répondre aux besoins AAA.
• Diameter utilise TCP ou STCP sur le port 3868. Le protocole Diameter utilise le port 46 (47
quand encrypté avec DTLS) pour son "STCP payload",
• Les avantages de DIAMETER sont les suivants :
• Évolutivité illimitée pour permettre la croissance.
• Tolérance aux pannes pour garantir la livraison des messages.
• Prise en charge des agents pour bien définir les agents proxy, de redirection, de relais ou de
traduction.
• Transmission sécurisée des paquets.
• Transmission fiable sur TCP ou STCP.
• La base du protocole est définie par le RFC3588 et le profil de transport est défini par le
RFC3589.
FLUX DE DIAMETER
EAP-TTLS utilise la poignée de main TLS pour l'authentification du serveur
tandis qu'il utilise une méthode d'authentification basée sur un mot de
passe pour l'authentification de l'utilisateur. Il est composé de deux phases
: la phase 1 utilise la poignée de et la phase 2 utilise une méthode
d'authentification par mot de passe via un tunnel sécurisé.

Dans la phase 1, le serveur d'authentification initie la méthode


la méthode EAP-TTLS avec le message EAP-TTLS-Start dans le message EAP-
Request. À la réception de ce message, l'utilisateur répond par le
message Client Hello. Pour terminer la poignée de main TLS, l'échange de
messages EAP se poursuit entre l'utilisateur et le serveur
d'authentification. Lorsque la phase 1 se termine, un tunnel TLS est établi
entre l'utilisateur et le serveur d'authentification.

Dans la phase 2, à travers ce tunnel TLS établi pendant la phase 1,


l'échange de messages d'authentification aura lieu avec une autre
méthode EAP, telle que la méthode d'authentification par Internet. avec
une autre méthode EAP telle que PAP, CHAP, MS-CHAP, et MS-CHAPv2.
Les commandes Diameter sont exprimées sous forme
de paires demande/réponse. Chaque paire est
DIAMETER
identifiée par un code de commande

Voici le format d'un message Diameter


VULNÉRAIBLITÉS ET CONTRE-
MESURES DE DIAMETER
Vulnérabilités : Contre-mesures :
• Une analyse régulière de la sécurité des réseaux
• C'est un protocole hop-by-hop, ce qui
mobiles est nécessaire pour identifier les vulnérabilités,
signifie que chaque étape sera capable de
lire les paquets. évaluer le niveau actuel de robustesse et les risques
potentiels, élaborer des mesures de sécurité et vérifier
• Les réponses sont simplement envoyées à la leur efficacité.
personne qui a posé la question, sans trop • Il est important de maintenir les paramètres de sécurité
vérifier qu'elle est bien celle qu'elle prétend
à jour et d'effectuer une évaluation de la sécurité en
être.
cas de modification du réseau, par exemple lors de la
• Le DNS et le NAPTER peuvent permettre la reconfiguration ou de l'introduction de nouveaux
redirection du trafic. équipements.
• Il existe des systèmes qui ignorent des • Il est nécessaire de surveiller et d'analyser en
paramètres spécifiques comme l'ID de permanence les messages de signalisation qui
l'application. traversent les frontières du réseau afin de garantir la
• Tous les mêmes vecteurs d'attaque que ceux détection rapide des activités illégitimes et la réaction
de SS7 (protocole pour appels aux menaces de sécurité émergentes au stade le plus
téléphoniques mobiles et fixes) sont encore précoce possible.
ouverts dans Diameter.
NETWORK ACCESS CONTROL
• Le contrôle d’accès reseau (NAC) 802.1X permet aux administrateurs de
mettre en oeuvre un contrôle uniforme sur les reseaux filaires et sans fil.
• Norme IEEE relative au contrôle d'accès réseau basé sur les ports (PNAC)
au niveau des points d'accès filaires et sans fil.
802.1X définit les contrôles d'authentification pour chaque utilisateur ou équi
pement qui tente d'accéder à un LAN ou un WLAN.
• Concept de mise en réseau éprouvé qui identifie les utilisateurs et
les équipements en contrôlant les accès au réseau.
• Contrôle l'accès aux ressources de l'entreprise via la
mise en place d'autorisations et l'application de stratégies.
AVANTAGES DU NAC
• Le protocole 802.1x contribue à renforcer la protection contre les intrusions surtout à
l’ère des médias sociaux, BYOD, cloud computing, IoT et les réseaux sans fil.
• Le standard 802.1X offre un contrôle d'accès de couche 2 en validant l'utilisateur ou
l'équipement qui tente d'accéder à un port physique.
• Un NAC apporte plusieurs mécanismes de protection :
• Le contrôle de pré-admission : bloque les messages non authentifiés.
• La détection des équipements et des utilisateurs : identifie les utilisateurs et les
équipements à l'aide de données d'identification ou d'ID machine prédéfinis.
• L'authentification et l'autorisation : vérifie et accorde les accès.
• L'intégration : déploie des logiciels de sécurité, de gestion ou de contrôle de l'hôte
sur les équipements.
• Le profilage : analyse les points de terminaison.
• L'application des stratégies : accorde un accès basé sur les rôles et les autorisations.
• Le contrôle de post-admission : applique les processus d'interruption de session et de
nettoyage.
FLUX DU CONTRÔLE D’ACCCÈS
RÉSEAU 802.1X
• La séquence des opérations du NAC 802.1X est la suivante :
• 1. Lancement : l'authentificateur (l'équipement client) envoie une requête de
lancement de session. Un demandeur envoie un message de réponse EAP à
l'authentificateur, qui encapsule le message et le transmet au serveur
d'authentification.
• 2. Authentification : les messages transitent entre le serveur d'authentification et
le demandeur via l'authentificateur pour valider plusieurs informations.
• 3. Autorisation : si les données d'identification sont valides, le serveur
d'authentification informe l'authentificateur d'accorder l'accès au port au
demandeur.
• 4. Traçabilité : le processus de traçabilité RADIUS enregistre les informations
de session, notamment l'utilisateur, l'équipement, le type de session et le service.
• 5. Clôture : les sessions sont clôturées en déconnectant le point de terminaison ou
en utilisant un logiciel de gestion.
RÉFÉRENCES
• https://www.incibe-cert.es/en/blog/aaa-radius
• https://docs.aerohive.com/330000/docs/help/english/8.0r1/hm/full/Content/ref/radiusConfig.htm
• https://en.wikipedia.org/wiki/RADIUS
• https://web.maths.unsw.edu.au/~lafaye/CCM/authentification/radius.htm
• https://www.cisco.com/c/fr_ca/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs-/10384-security.html
• https://fr.wikipedia.org/wiki/Protocole_AAA
• https://en.wikipedia.org/wiki/AAA_(computer_security)
• https://www.gsma.com/membership/wp-content/uploads/2018/09/Diameter-2018-eng.pdf
• http://igm.univ-mlv.fr/~dr/XPOSE2012/Diameter/fonctionnement.html#format_message
• https://www.sciencedirect.com/topics/computer-science/diameter-protocol
• https://datatracker.ietf.org/doc/html/rfc6733
• https://www.cellusys.com/2018/12/07/introduction-to-diameter-security/
• https://extremeportal.force.com/ExtrArticleDetail?an=0000933000
• https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_nac/configuration/15-mt/sec-usr-nac-15-mt-book/sec-nat-auth-fail-op.html

Vous aimerez peut-être aussi