Serveur Radius
Dissertation : Serveur Radius. Rechercher de 53 000+ Dissertation Gratuites et Mémoiresserveur traite les demandes d’authentification en accédant si nécessaire à une base externe : base de données SQL, annuaire LDAP, comptes d’utilisateurs, de machines ou de domaines. • un serveur RADIUS dispose pour cela d’un certain nombre d’interfaces ou de méthodes.
Le protocole RADIUS utilise UDP sur le port 1645 ou 1812 pour l’authentification et le port 1646 ou 1813 pour la comptabilisation
7
Principe de fonctionnement
Schéma standard d’une mise en œuvre de RADIUS
8
Principe de fonctionnement
Exemple d’identification des clients à l’aide d’un serveur LDAP par les FAI sur des liaisons modem
9
Principe de fonctionnement
Supplicant
Authenticator ou NAS (Network Access Serveur)
Authentication Serveur
Exemple de mise en place d’une authentification basé sur RADIUS sur un réseau WIFI
10
Principe de fonctionnement
Pourquoi UDP ?
• Permet la réémission d’une demande d’authentification à un serveur secondaire si le serveur primaire ne répond pas • RADIUS est un protocol sans état. • UDP simplifie la mise en œuvre du serveur. • RADIUS n’exige pas une détection "sensible" de la perte de données
11
Principe de fonctionnement
Il existe 4 types de paquets pour effectuer une authentification RADIUS
• Access-Request
Envoyé par le NAS contenant les informations sur le client qui souhaite se connecter (login/mot de passe, adresse MAC…)
• Access-Accept
Envoyé par le serveur pour autorisé la connexion si la vérification des informations est correct.
• Access-Reject
Envoyé par le serveur pour refuser une connexion en cas d’échec de l’authentification ou pour mettre fin à une connexion.
• Access-Challenge
Envoyé par le serveur pour demander la réémission d’un access-request ou des informations complémentaires.
12
Principe de fonctionnement
13
Principe de fonctionnement
Protocoles de mot de passe
RADIUS connaît nativement deux protocoles de mot de passe : • PAP (Password Authentication Protocol) : échange en clair du nom et du mot de passe • CHAP (Challenge Handshake Authentication Protocol) : échange basé sur un hachage de part et d'autre avec échange seulement du « challenge » Le protocole prévoit à cet effet deux attributs séparés : User-Password et CHAPPassword.
14
Format des paquets
Code (1 octet): 1 : access-request 2 : access-accept 3 : access-reject 4 : accounting-request 5 : accounting-response 11 : access-challenge
Length (2 octets): - Taille total du message (de 20 à 4096 octets)
Request Authenticator (16 octets):
Identifier (1 octet) : - Unique pour chaque authentification - Identique pour une retransmission
Un nombre aléatoire unique
Response Authenticator (16 octets): MD5 (Code + ID + Length + RequestAuth + Attributes + Secret)
15
Format des paquets
Les attributs :
Type (1 octet): 1 : User-Name 2 : User-Password 3 : CHAP-Password 4 : NAS-IP-Address 5 : NAS-Port 6 : Service-Type … Length (1 octets): - Taille total du message (max 254 octets) Value (1-253 octets): text 1-253 octets string 1-253 octets address 32 bit integer 32 bit time 32 bit
User-Password :
Le mot de passe est coupé en blocks de 16 octets : p1, p2,… c1 = p1 XOR MD5(Secret + Request Authenticator) c2 = p2 XOR MD5(Secret + c1) … Le mot de passe encodé est la concaténation de : c(1)+c(2)+...
16
Le protocole 802.1X
Le protocol 802.1X a été mis au point par l’IEEE en juin 2001. Il a pour but d’authentifier un client (en filaire ou en WiFi) afin de lui autoriser l’accès à un réseau. Il se base sur le protocol EAP(Extensible Authentication Protocol) pour le transport des informations d'identification en mode client/serveur La publication de la norme 802.1X qui donne en annexe D comme seul exemple de mise en œuvre le protocole Radius, fait de ce dernier un standard de fait du AAA
17
Le protocole 802.1X
Si un équipement réseau actif, tel qu'un commutateur réseau ou une borne Wi-Fi est compatible avec la norme IEEE 802.1X, il est possible de contrôler l'accès à chacun de ses ports (PAE) Le serveur RADIUS va authentifier chaque client qui se connecte au réseau sur un port.
Indépendamment du type de connexion, chaque port se comporte alors comme une bascule à deux états : un état contrôlé en cas de succès d'identification et un état non contrôlé.
18
Le protocole 802.1X
Au début de la connexion, le port est dans l’état non contrôlé. Seuls les paquets 802.1X permettant d’authentifier le client sont autorisés.
19
Le protocole 802.1X
Une fois l’authentification effectuée, le port passe dans l’état contrôlé. Alors, tous les flux du client sont acceptés et le client peut accéder aux ressources partagées.
20
Le protocole 802.1X
Les principaux types d’EAP :
• EAP-TLS (Transport Layer Security) Authentification par certificat du client et du serveur • EAP-TTLS (Tunneled Transport Layer Security) : Authentification par certificat et mot de passe grâce à la génération d’un tunnel sécurisé • EAP-MD5 : Authentification avec mot de passe • PEAP (Protected EAP) : Authentification avec mot de passe via une encapsulation sécurisée • LEAP (protocole Cisco) : Authentification avec mot de passe via une encapsulation sécurisée
21
Le protocole 802.1X
Etapes d’authentification 802.1X
22
Le protocole 802.1X
Les faiblesses de 802.1X : • Le protocole 802.1X a été prévu pour établir une connexion physique. Donc l’insertion d’un hub permet de faire bénéficier d’autres personnes de l’ouverture du port Ethernet, tout en restant transparent pour le 802.1X • Il est possible de configurer les équipements réseaux de façon à bloquer le port Ethernet si l’adresse MAC à changé. • Il est également possible de faire des attaques par écoute, rejeu et vol de session.
23
Serveurs RADIUS Open Source
Méthodes
EAP/SIM EAP/TLS EAP/TTLS EAP/MD5 CHAP PAP PEAP Free RADIUS Cistron RADIUS
ICRadius
XTRadius
Open RADIUS
GNURadius
YARDRadius
CiscoLEAP
Couple login/mot de passe
24
Serveurs
...