OLIVIER RAULIN PROMOTION 2013 Authentification centralisée Simplification et centralisation de l authentification dans un Système d Information RAULIN Olivier Juin Août 2012 CWF- Children Worldwide Fashion Avenue des Sables 85505 Les Herbiers Cedex EPSI Nantes 2 rue Fénelon 44000 Nantes Ce rapport retranscrit mes recherches, principalement concernant l authentification centralisée d équipements et de machines, au sein du Système d Information de CWF.
REMERCIEMENTS Je tiens à remercier premièrement la société CWF (Children Worldwide Fashion) pour son accueil chaleureux. Merci à toute l équipe du service informatique ainsi qu à son DSI Bertrand BEAUFORT pour l atmosphère de travail conviviale tout au long de ces trois mois. Merci à Monsieur Julien CHARPENTIER, mon tuteur de stage, qui m a permis de réaliser ce stage au sein de CWF et qui m a suivi pendant toute la durée de ce stage. Ma gratitude va également à tous les membres de l équipe Systèmes & Réseaux et plus particulièrement Anthony LAPEYRE, Jean MONNIER, Christophe GUILLOTON pour leur aide technique et leur soutien. Je tiens à exprimer ma reconnaissance envers le corps enseignant de l EPSI de Nantes pour leurs enseignements dispensés ces deux dernières années. Merci aux membres du jury qui seront en charge d apprécier le travail effectué au cours de mon stage. Merci à mes camarades de promotion avec lesquels l entraide a pu amener des échanges bénéfiques. Je tiens également à remercier ma famille et mes amis pour leur soutien quotidien. 2 Olivier RAULIN Juin Août 2012
SOMMAIRE Remerciements... 2 I Introduction... 5 1/ Contexte du stage... 5 2/ Présentation de l entreprise... 5 3/ Le système d information... 7 4/ L infrastructure du Système d Information de CWF...8 II Missions... 9 1/ Introduction... 9 2/ Authentification AAA sur matériel Cisco... 14 3/ Authentification centralisée des serveurs Linux...28 4/ Authentification des machines connectées sans fil...32 5/ Proxy transparent sur firewall Cisco... 37 Autres projets effectués... 41 Conclusion... 43 Table des illustrations... 45 Table des matières... 46 Index... 49 Glossaire... 50 Bibliographie... 53 Annexes... 54 3 Olivier RAULIN Juin Août 2012
I INTRODUCTION 1/ CONTEXTE DU STAGE Le stage que j ai pu effectuer dans l entreprise CWF, basée aux Herbiers, fût mon stage de quatrième année d informatique à l EPSI de Nantes. Sa durée a été de trois mois, du premier juin au 31 août 2012. J ai principalement choisi ce stage parce qu il me permettait de me perfectionner dans le domaine de l ingénierie systèmes et réseaux, étant donné que mon avenir professionnel s oriente nettement vers ce domaine de l informatique. 2/ PRÉSENTATION DE L ENTREPRISE Née du rachat d Albert SA (spécialiste du prêt-à-porter enfant) par le groupe Artal, CWF est fort de plus de quarante ans d expérience de mode enfantine. Devenu leader Européen dans son domaine, CWF est partenaire de marques de notoriété mondiale pour leurs collections de vêtements, de 0 à 16 ans. Albert SA a été créée en 1965 aux Herbiers (Vendée). Cette petite entreprise familiale produisait et distribuait des vêtements de marques enfant développées en propre. Entre 1995 et 1997, cette société a connu un tournant stratégique suite à la signature de licence de marques haut de gamme tel que «ELLE», «Timberland» ou encore «Donna Karan New York». Forte de cette réussite, l entreprise est passée d une production intégrée à une stratégie de sourcing. Autrement dit, CWF ne produisait plus mais déléguait la production à des sous-traitants. Au début des années 2000, le fonds de commerce d Albert SA est racheté par le groupe Artal sous le pilotage de la société Invus. De ce rachat découle la création de Children Worldwide Fashion, ainsi que la signature de l accord de licence pour la marque «Burberry». En cinq ans, CWF a démarré des concessions intégrées de grands magasins en France avec les Galeries Lafayette ainsi qu en Espagne avec El Corte Inglés. En 2006, la signature de l accord des licences «Marithé+François Girbaud», «Chloé», «Escada» et «Missoni» permettent à CWF d ouvrir sa première boutique en propre, Younly, à Paris, et ainsi d externaliser sa logistique. 4 Olivier RAULIN Juin Août 2012
Entre 2007 et 2008, l entreprise a poursuivi le développement des concessions de grands magasins en Europe, La Rinascente en Italie, Inno en Belgique, House of Fraser au Royaume-Uni ainsi que des ouvertures de boutiques Younly à Dubaï et Saint Petersburg. Grâce à cette croissance, CWF a développé son activité mondiale sur de nouveaux territoires : Japon, Chine, Moyen Orient. Entre 2009 et 2011, les accords de licences «BOSS enfant» et «Little Marc Jacobs» ont été conclus. Un nouveau concept a été lancé avec les boutiques «ATELIER DE COURCELLES» : 5 boutiques ouvertes fin 2009, une vingtaine d ouvertures ont été réalisées en 2010 au niveau international. En 2012, CWF créé sa propre marque de luxe pour enfant, nommée «BillieBlush», et détient maintenant des licences pour les 8 marques suivantes : FIGURE 1 : MARQUES SOUS LICENCE DÉTENUES PAR CWF 5 Olivier RAULIN Juin Août 2012
3/ LE SYSTÈME D INFORMATION Un Système d Information (couramment appelé SI) est une structure disposant de diverses ressources, telles que matériels, logiciels, personnels, données et procédures, dont le but est de regrouper, classifier, traiter et diffuser de l information dans un environnement comme l entreprise CWF. Le SI représente donc l ensemble des éléments participant à la gestion, au traitement, au transport et à la diffusion de l information au sein de l organisation. Le système d information peut recouvrir tout ou partie des éléments suivants : bases de données de l entreprise ; progiciel de gestion intégré (ERP) ; outils de gestion (relation client, chaîne logistique, marketing) ; applications métier ; infrastructure réseau ; infrastructure système ; dispositifs de sécurité ; Le système d information de CWF est représenté par le service informatique qui est scindé en trois grandes parties : le pôle Systèmes & Réseaux o Il comprend le responsable de cette équipe, un ingénieur systèmes et réseaux, deux techniciens ayant un rôle de support (helpdesk) pour les utilisateurs et un poste de stagiaire que j ai occupé. le pôle développement le pôle Etude Un système d information a besoin d éléments essentiels pour fonctionner correctement : une infrastructure systèmes et réseaux fiable, évolutive et redondante, afin d assurer une pérennité ainsi qu un plan de reprise et de continuité d activité en cas d incident majeur. 6 Olivier RAULIN Juin Août 2012
4/ L INFRASTRUCTURE DU SYSTÈME D INFORMATION DE CWF D une façon générale, une architecture informatique au sein d une entreprise se présente en quatre grands points distincts : une infrastructure réseau une DMZ (DeMilitarized Zone ou Zone Démilitarisée) fiable et sécurisée une infrastructure système une solution de stockage Le service informatique dispose de deux salles serveurs afin d assurer, comme vu dans le point précédent, la redondance et la fiabilité du service. Ces salles sont situées dans deux bâtiments physiquement distincts. Afin de les relier, des connexions par fibre optique ont été installées puis connectées au cœur de réseau dans chacune des deux salles. Le cœur de réseau, comme son nom l indique, est le point névralgique où toutes les interconnexions sont effectuées. Il est composé de trois switchs, dont un switch fibre optique afin de recevoir, entre autres, les connexions des différentes baies de brassage réparties dans l entreprise. Ces baies de brassage permettent d amener le réseau au sein des différents services de la société. Chaque baie est donc constituée de plusieurs switchs montés en cascade. Le choix de la fibre optique n est pas anodin : en effet, la quantité importante de données qui transite nécessite un débit conséquent que la technologie Ethernet ne peut fournir sur de longues distances (selon les normes définies par les RFC, un câble RJ45 ne peut excéder 100 mètres, puisqu au-delà, la perte de qualité de signal est trop importante). Le réseau de CWF ne s arrête pas à des concepts de réseau local, puisqu il abrite également une zone démilitarisée. Cette dernière, plus couramment appelée DMZ, est une zone située entre le réseau local de l entreprise et l Internet, permettant de faire tampon entre le réseau à protéger et le réseau hostile (Internet), grâce à des pare-feux situés à chacune des entrées (côté Internet et réseau local). Le fonctionnement des pare-feux extérieurs est simple : ils n acceptent, globalement, que les connexions entrantes déjà existantes, c est-à-dire initiées par un ordinateur du réseau local (par exemple, un ordinateur qui va aller chercher une page web). Ce concept est utilisé lorsque certains services ont besoin d être accessibles depuis l extérieur (serveur web, etc.). Cette zone permet de protéger les données internes à l entreprise en les séparant réellement du réseau extérieur. La sécurité de la DMZ est indispensable à la sécurité des données de l entreprise, et donc à sa survie dans un contexte concurrentiel. 7 Olivier RAULIN Juin Août 2012
II MISSIONS 1/ INTRODUCTION J ai eu pour mission, au cours de mon stage, d étudier et de mettre à jour une partie du Système d Information, notamment la partie systèmes et réseaux, avec un questionnement qui pourrait être, pour la majeure partie de ce stage, le suivant : «Comment simplifier et uniformiser l authentification au sein d un Système d Information?» Ce rapport aura donc pour principal objectif d apporter des éléments de réponse vis-à-vis de points très spécifiques concernant l uniformisation et la simplification de l authentification au sein du Système d Information, mais n aura pas que cette vocation, puisque je traiterai également d autres sujets, que je juge importants et intéressants de par la complexité technique qu ils ont représenté pour moi durant ces trois mois. J ai eu la chance d être en autonomie sur différents sujets : à partir d un existant et d un but final, j avais pour mission de rechercher, puis d étudier les différentes technologies utilisables pour parvenir à la réalisation de chaque projet. J ai eu, à cet effet, la possibilité de mettre en place une plateforme de tests composée : d un serveur de virtualisation permettant de mettre en place plusieurs serveurs de test de machines clientes (ordinateurs de bureau, ordinateurs portables) de bornes WiFi de matériels Cisco (commutateurs, pare-feux ) J avais le contrôle total de ces équipements et ai donc pu mettre en place une architecture assez évoluée et assez représentative d un réseau local. Au contraire du développement, où il est assez simple de ne traiter qu une seule mission, le domaine des systèmes et réseaux impose bien souvent une variété de sujets, souvent plus courts : c est la raison pour laquelle ce rapport est décomposé en plusieurs parties, cependant, pour la majorité d entre elles, un point central a dominé : l authentification. 8 Olivier RAULIN Juin Août 2012
J ai donc décidé de résumer mes recherches sur les sujets les plus importants, des manuels d utilisation étant également disponibles en annexe pour permettre la mise en place de ces différents protocoles. Les références bibliographiques et citations seront présentées selon le standard IEEE 2006 Les noms de serveurs et adresses éventuellement mentionnés dans ce rapport sont fictifs, pour des raisons de sécurité. FIGURE 2 : TOPOLOGIE RÉSEAU DE TEST Sur cette illustration, nous pouvons voir les éléments suivants : Serveur : machine servant à rendre un service particulier à des clients Point d accès Wifi : équipement diffusant un signal WiFi permettant aux ordinateurs portables de se connecter au réseau Commutateur (anglais : switch) : Equipement réseau permettant l interconnexion de matériels (autres switchs, machines clientes ) PC portable : machine transportable facilement dotée de matériel permettant l accès à un réseau sans fil 9 Olivier RAULIN Juin Août 2012
PC de bureau : ordinateur moins facilement transportable, équipé de matériel réseau ne permettant l accès qu à un réseau câblé Routeur : équipement permettant d interconnecter des réseaux (réseau local, Internet, etc.) Au niveau des fonctionnalités et services rendus, on trouvera : le serveur AD, servant de contrôleur de domaine (Windows 2008 : Active Directory), de serveur DNS, et de serveur Radius ; le serveur Radius, faisant office de proxy Radius (il récupère les requêtes de points multiples et les redirige vers AD) ; le serveur proxy, utilisant la solution Trend Micro IWSVA, qui fera l intermédiaire entre les utilisateurs et le Web. l ASA 5505, qui fera office de routeur et de pare-feu entre le réseau interne à l entreprise et Internet. Les trois premiers sont des serveurs qui sont virtualisés grâce à une solution de type ESXi, solution présentée au point B ci-dessous. Le dernier est un équipement Cisco, présenté au point C ci-dessous. A) INTRODUCTION À LA VIRTUALISATION La virtualisation, technologie qui fait parler d elle depuis quelques années, est une technologie permettant, à partir d une seule machine physique, de faire fonctionner plusieurs systèmes d exploitation, tous indépendants les uns des autres, de la même manière que s ils étaient chacun sur une machine distincte. Toutes les ressources de la machine hôte (puissance de calcul, mémoire vive, disque dur, etc.) sont partagées entre les machines dites «virtuelles», selon les choix effectués par les administrateurs à l installation desdites machines. Etant donné que l hyperviseur (le système qui va permettre la répartition des ressources) partage toutes les ressources, cela permet d en optimiser la gestion. Par exemple, si l on fait un rapide comparatif entre une machine physique avec 6 Gio de RAM et utilisant une technologie de virtualisation par rapport à 3 machines disposant de 2 Gio de RAM chacune : 10 Olivier RAULIN Juin Août 2012
1. Sur le serveur de virtualisation, celui-ci va répartir l usage de la mémoire vive entre les 3 serveurs, dynamiquement (imaginons que l administrateur affecte par exemple 3Gio de mémoire maximum à chaque machine) : o lorsque le serveur 1 a besoin uniquement de 1 Gio de RAM, le reste sera disponible pour les autres machines o lorsque le serveur 2 aura un besoin de plus de mémoire (par exemple les 3 Gio qui lui ont été alloués), il sera possible qu il puisse les obtenir si les autres serveurs n en ont pas besoin à ce moment là 2. Sur le serveur physique, la machine n aura que 2 Gio de RAM, et même si, à un instant donné, elle a besoin de plus, elle ne pourra pas en avoir. De la même manière, si elle n a pas l utilité d autant de mémoire, elle ne pourra pas en faire profiter à d autres machines. B) PRÉSENTATION D ESXI ESXi est un hyperviseur de virtualisation, édité par la société VMware, et est une version alternative d un autre de ses produits «phare», ESX, avec quelques différences par rapport à celleci : la console de service est absente : l administration de l hyperviseur se fait obligatoirement à distance ; ESXi est doté d une interface de gestion à distance ; ESXi est beaucoup plus léger qu ESX (dû à la console de gestion qui a été retirée) ; ESXi peut être installé sur clé USB ; le pare-feu d ESXi est beaucoup plus limité en fonctionnalités. Une version d essai de 60 jours est disponible gratuitement afin d en tester les fonctionnalités. C) PRÉSENTATION DE L ASA 5505 Source : [1] Les boitiers de sécurité adaptatifs de type ASA 5505, 5510, 5520 et 5540 sont des matériels de sécurité, de type pare-feu. 11 Olivier RAULIN Juin Août 2012
Ce sont les remplaçants des matériels nommés PIX, ils sont plus performants, plus efficaces, plus modernes, grâce à une architecture multi-processeurs. Ces solutions permettent notamment : de mettre en place une défense proactive (devancer les attaques) de bloquer les attaques avant qu elles ne se propagent d offrir une connectivité VPN en natif (pour les collaborateurs travaillant à l extérieur du site) Des boitiers de ce type ont été choisis pour assurer la sécurité entre le réseau Internet et le réseau interne de l entreprise. Ces matériels ont cependant une configuration un peu différente par rapport aux autres équipements Cisco, qu il faut appréhender et bien étudier avant de mettre en place certaines nouvelles fonctionnalités 12 Olivier RAULIN Juin Août 2012
2/ AUTHENTIFICATION AAA SUR MATÉRIEL CISCO EXISTANT Tout le matériel réseau de l entreprise est de marque Cisco 1 : celui-ci est très utilisé dans le monde professionnel, car de grande qualité. Avant mon arrivée, chaque matériel était configuré pour être administré par une connexion avec un seul utilisateur et un mot de passe : ceci pose différents problèmes : de sécurité (ancien personnel connaissant les mots de passe) ; de confidentialité (il est indispensable de divulguer ces mots de passe à quelques personnes de l entreprise) ; de suivi (qui s est connecté, et quand?) BESOIN Parfois, l équipe systèmes et réseaux a besoin de se connecter aux matériels d interconnexion afin d effectuer des modifications de configuration, ou toute autre opération de maintenance. L entreprise dispose d un annuaire Active Directory : celui-ci permettrait de récupérer les comptes utilisateurs, et de vérifier quels droits a chacun sur le matériel réseau (par exemple technicien, ingénieur, etc.), et si cette personne a effectivement le droit de se connecter pour administrer le matériel. Je vais étudier les différentes solutions possibles pour mettre une authentification comme celle-ci en place : ce type d authentification porte le nom d AAA 2 Pour se faire, je vais donc orienter mes études sur trois possibilités : l authentification via Cisco Secure Access Server, via un serveur Kerberos et via un serveur Radius. Ces trois solutions sont, globalement, les seules méthodes permettant de mettre en place une politique AAA au sein d une entreprise. Le protocole Radius semble le plus utilisé, mais il est possible que d autres protocoles soient plus performants, ou offrent plus de possibilités. Je vais donc étudier ces différentes possibilités, afin de répondre au mieux au besoin. 1 Equipementier leader mondial de télécommunications 2 Authentication, Authorization and Accounting (authentification, autorisation et traçabilité) 13 Olivier RAULIN Juin Août 2012
J étudierai également, pour le protocole retenu, quelle solution logicielle sera la plus opportune afin de mettre en place ces authentifications, en fonction principalement de critères : de coût ; d adaptabilité (rajout de fonctionnalités dans le futur) de maintenance de configuration Cette réflexion mènera à une solution complète d authentification AAA pour les équipements Cisco, et sera, dans l idéal, adaptative à d autres besoins ultérieurs. RECHERCHE CISCO SECURE ACCESS SERVER Cisco vend une solution appelée Cisco Secure Access Server, qui est une plateforme de contrôle d accès, qui fonctionne sur plusieurs appareils : autorise la connexion des administrateurs de matériels ; permet d authentifier des utilisateurs VPN, d accès distant ; authentifie des utilisateurs au niveau des connexions sans-fil et propose des sécurités spécifiques ; communique et audite les serveurs pour renforcer le contrôle d admission. Pour faire simple, Cisco Secure ACS permet de gérer l accès aux ressources réseau pour une grande variété de types d accès, matériels, et groupes utilisateurs. Etant donné qu elle est développée par Cisco, cette solution est celle qui offrirait la plus grande flexibilité, et le plus grand nombre de possibilités pour l administration des équipements. Cependant, les prix pour une solution TACACS débutent à plus de 9000. Pour des contraintes de coût, elle sera dans un premier temps écartée, le temps que les autres solutions puissent être étudiées en profondeur. 14 Olivier RAULIN Juin Août 2012
KERBEROS PRÉSENTATION Kerberos est un protocole d authentification créé au MIT 3. Il utilise des clés secrètes pour fonctionner, et remplace les mots de passe par des tickets, rendant plus difficile l interception de ces mots de passe. Son nom provient du nom grec de Cerbère, gardien des Enfers. On pourrait faire une analogie de son fonctionnement avec le fonctionnement d une billetterie de cinéma, se déroulant en 3 étapes : 1. Le client paye son ticket 2. A l entrée, un employé du cinéma déchire le ticket et en garde la moitié 3. Si besoin, on peut vérifier que les deux morceaux vont ensemble et n ont pas été falsifiés Sa durée de vie est limitée (1 séance, généralement) 3 Massachussets Institute of Technology 15 Olivier RAULIN Juin Août 2012
FONCTIONNEMENT FIGURE 3 : PROCESSUS D'AUTHENTIFICATION KERBEROS Le serveur hébergeant l AD utilise déjà Kerberos, puisque c est le protocole utilisé nativement pour l authentification des ordinateurs clients dans un domaine Microsoft. Il devrait donc être possible d authentifier les matériels Cisco via cet AD, directement. De plus, les switchs, routeurs et firewalls Cisco sont compatibles Kerberos depuis IOS 4 version 11.2 Cependant, le protocole Kerberos ne fournit que le service d Authentification (qui permet de savoir si une personne a le droit de se connecter au matériel). Il faudra se tourner vers d autres solutions pour mettre en place l Autorisation (qui indique quels droits à la personne sur le matériel) et la Traçabilité (qui s est connecté, quand, et sur quel équipement) Pour des raisons de facilité de mise en œuvre, de limitation du nombre de protocoles utilisés et de limitations techniques et de maintenance, la mise en place de Kerberos sera malheureusement également écartée. 4 IOS : Système d exploitation des matériels CISCO 16 Olivier RAULIN Juin Août 2012
RADIUS PRÉSENTATION LE PROTOCOLE RADIUS (REMOTE AUTHENTICATION DIAL-IN USER SERVICE) EST UN PROTOCOLE D AUTHENTIFICATION STANDARD. LE FONCTIONNEMENT DE RADIUS EST BASÉ SUR UN SYSTÈME CLIENT/SERVEUR CHARGÉ DE DÉFINIR LES ACCÈS D UTILISATEURS DISTANTS À UN RÉSEAU. [ ]. LE PROTOCOLE RADIUS REPOSE PRINCIPALEMENT SUR UN SERVEUR, RELIÉ À UNE BASE D IDENTIFICATION COMME UNE BASE DE DONNÉES OU UN ANNUAIRE, ET UN CLIENT RADIUS, FAISANT OFFICE D INTERMÉDIAIRE ENTRE L UTILISATEUR FINAL ET LE SERVEUR. L ENSEMBLE DES TRANSACTIONS ENTRE LE CLIENT RADIUS ET LE SERVEUR EST CHIFFRÉ ET AUTHENTIFIÉ GRÂCE À UN SECRET PARTAGÉ. [1] Le protocole RADIUS est implémenté dans IOS depuis la version 11.1 FONCTIONNEMENT 17 Olivier RAULIN Juin Août 2012
FIGURE 4 : FONCTIONNEMENT D'UNE ARCHITECTURE RADIUS SUR CONNEXION WIFI Sur cette figure, on voit le déroulement d une authentification par Radius, qui se déroule en 5 étapes : 1. PC-portable envoie à Borne-WiFi les identifiants et mot de passe de l utilisateur qui désire se connecter au réseau ; 2. Borne-WiFi chiffre le mot de passe grâce au secret qu il partage avec Serveur Radius, et transmet ces informations à celui-ci ; 3. Serveur Radius lit le mot de passe de l utilisateur qu il a dans sa base de données (l administrateur est libre de choisir plusieurs méthodes de stockage des utilisateurs), chiffre celui-ci avec le secret partagé puis le compare avec celui envoyé par Borne- WiFi (c est le principe d irréversibilité du chiffrage, qui permet de chiffrer un mot de passe avec un secret partagé mais ne permet pas de le déchiffrer : le MD5 fonctionnera sur le même principe) ; 4. Serveur Radius renvoie sa réponse : a. Access-Accept, s il autorise la connexion b. Access-Reject, s il refuse la connexion c. il peut également renvoyer d autres attributs, en fonction de sa configuration 5. Borne-Wifi reçoit la réponse de Serveur Radius, et accepte, ou non, l utilisateur en fonction de celle-ci. Il est bien évidemment primordial que le secret partagé reste secret entre la borne et le serveur, car dans le cas contraire la sécurité des mots de passe risquerait d être compromise. PROTOCOLES ET SERVICES RENDUS 18 Olivier RAULIN Juin Août 2012
FIGURE 5 : TABLEAU DES MÉTHODES SUPPORTÉES PAR LES DIFFÉRENTS PROTOCOLES La figure ci-dessus indique le support de chaque protocole au niveau des 3 méthodes (Authentification, Autorisation et Traçabilité), pour les matériels de type ASA principalement (les autres équipements ne supportant pas nécessairement tous ces protocoles). Il est donc facile de remarquer que le TACACS+ (protocole de Cisco) est compatible avec tout, tandis que Kerberos est uniquement limité à l Authentification. Cependant, le protocole Radius tire son épingle du jeu avec quasiment toutes les méthodes supportées. Il ne reste que l autorisation de l administrateur, qui, via IOS, se contourne en utilisant un utilisateur fictif nommé $enabxx, où XX est remplacé par un nombre compris entre 1 et 15, et qui représente le niveau d autorisation accordé : ainsi, on peut créer 15 niveaux d autorisation différents, tous avec un mot de passe différent : malheureusement, il n est pas possible d affecter à un compte d utilisateur un niveau d autorisation, bien que le serveur Radius le permette et le prenne en charge : c est une limitation du système de Cisco, IOS. CHOIX FINAL DU PROTOCOLE Après étude des principaux protocoles permettant l authentification AAA sur un équipement Cisco, il ressort principalement 2 critères d exclusion concernant les deux premiers : 19 Olivier RAULIN Juin Août 2012
Cisco Secure Access Server, et son protocole TACACS+, est écarté pour son coût trop élevé ; Kerberos est écarté par sa limitation technique et sa complexité de mise en œuvre. Il reste donc le protocole Radius, qui semble, lui, n avoir aucun aspect négatif à son utilisation, notamment parce que : il est sécurisé ; il n est pas lié à l achat de serveurs spécifiques ; il est très compatible, polyvalent, et semble pouvoir s adapter à toute quantité de situations. La partie suivante va donc faire un comparatif entre deux solutions mettant en œuvre le protocole Radius : NPS, le serveur Radius intégré à Windows Server 2008, et FreeRadius, solution libre la plus utilisée au monde 5. NPS, SERVEUR RADIUS DE MICROSOFT WINDOWS SERVER Windows Server est une marque, déposée par Microsoft, pour sa gamme de systèmes d exploitation dédiée pour les serveurs. Un serveur est une machine, parfois physique, parfois virtualisée (cf p. Error: Reference source not found : Error: Reference source not founderror: Reference source not found), destinée à rendre un service à un ou des clients, comme par exemple l affichage d un site web, le partage de données, etc.) Tout serveur de type Windows Server est capable d héberger un serveur NPS, qui fait office de serveur Radius : la dernière version sur le marché est la version 2008 R2, la suivante étant la version 2012, la précédente étant la version 2003. Généralement, les sorties de nouvelles versions de Windows Server coïncident avec une sortie d un système pour le grand public : Windows server 2003 est sorti avec Windows XP ; Windows Server 2008 est sorti avec Windows Vista ; Windows Server 2012 sortira avec Windows 8, prévu pour le 26 octobre 2012. 5 voir http://freeradius.org/ 20 Olivier RAULIN Juin Août 2012
CWF, parmi sa centaine de serveurs, migre progressivement ses anciens serveurs Windows Server 2003 vers des versions 2008, et n installe de nouveaux serveurs qu avec cette version. Cela permet à CWF d être toujours à jour au niveau de sa sécurité et des fonctionnalités rendues. Windows Server 2008 est décomposé en plusieurs versions, permettant plus ou moins de fonctionnalités, et à des tarifs différents, avec notamment, pour principales : Web Server ; Standard ; Enterprise ; Datacenter ; Foundation. CWF installe principalement des versions Standard, moins coûteuses que les versions Enterprise, mais bien moins limitées que les versions Web Server, destinées uniquement pour l hébergement de sites web. NPS NPS 6 est le remplaçant, sous Windows Server 2008, d IAS 7, présent lui sur les systèmes Windows Server 2003. Il a pour principale fonctionnalité de servir de serveur Radius, et peut servir également de proxy ou de sécurisation d accès. La version Standard de Windows Server 2008 limite à 50 le nombre de clients Radius (un client étant par exemple une borne WiFi, ou un équipement Cisco). Cependant, cette limite n est pas clairement indiquée par le système : c est en ajoutant le 51 ème client qu un message d erreur assez peu explicite fait son apparition, empêchant l ajout d un client supplémentaire. Une solution à cette limite existe, et elle consiste à passer sur une version supérieure de 2008 Server, par exemple la version Enterprise ou Datacenter, qui suppriment cette limite de clients. Cela a un coût, et s il n est pas possible de trouver une solution moins coûteuse, on la retiendra. Cependant, une alternative semble possible avec Freeradius. 6 Network Policy Server 7 Internet Authentication Service 21 Olivier RAULIN Juin Août 2012
FREERADIUS AVEC AUTHENTIFICATION SUR LDAP FreeRadius est une implémentation libre et gratuite du protocole RADIUS, qui permet donc d ajouter à son réseau un serveur répondant aux besoins de l AAA. Il est considéré comme étant le plus utilisé au monde des serveurs RADIUS. Il peut s authentifier auprès de fichiers texte, d une base SQL, d un annuaire LDAP, d une base SQL, et auprès de bien d autres services par le biais de modules supplémentaires. Ici, on montrera l authentification auprès d un annuaire LDAP, qui stocke déjà actuellement des utilisateurs : cette solution a été retenue pour sa simplicité d usage : en effet, il apparaîtrait trivial de récupérer la liste d utilisateurs à intervalles réguliers, afin d alimenter une seconde base, et d obtenir une architecture soumise à beaucoup de risques : de synchronisation ; d incompréhension (utilité d avoir un réplica de la première base?) ; de lourdeur (doublement des données). Le choix de Freeradius s est imposé parce que c est une référence dans le domaine de l authentification Radius, et que, de plus, il permet de conserver des coûts très limités (au vu de la licence libre et gratuite) LDAP est protocole devenu un standard permettant l interrogation et la modification des services d annuaire, reposant sur TCP/IP. On peut trouver des annuaires compatibles LDAP sur toutes les plateformes, comme par exemple OpenLDAP sur un système GNU/Linux ou Active Directory sur un système Microsoft (Microsoft ayant ajouté des couches supplémentaires à son annuaire). FONCTIONNEMENT Dans la configuration de FreeRadius, il va falloir lui spécifier plusieurs renseignements, tels que le schéma de l annuaire, son adresse, ainsi que le mot de passe de l administrateur de celui-ci (cette obligation est due à Windows Server, qui n autorise pas la connexion anonyme sur son annuaire). A chaque requête, notre serveur Radius va donc aller effectuer une requête auprès de la fonctionnalité LDAP de l Active Directory, et celui-ci répondra si l utilisateur est autorisé ou pas à se connecter. Cependant, une seule configuration est envisageable : en effet, le module est configuré de telle sorte qu il aille chercher, par exemple, les utilisateurs dans l unité Personnes de l annuaire : que se passet-il si, dans le futur, nous désirons rajouter une nouvelle fonctionnalité utilisant l authentification Radius, telle que, par exemple, une authentification des clients sans-fil au sein de l entreprise? 22 Olivier RAULIN Juin Août 2012