Université Sultan Moulay Slimane

Faculté Polydisciplinaire
Béni Mellal

Master STRI
Mini
Projet :
Protocoles d’authentification
Réalisé Responsable du module :
par 
: Pr.DARIF Anouar
Atti Ayoub
 Sfar hassan
 Amraoui Abdellah
Plan
Introduction Liste de protocoles AAA
01 Sécurité 04  TACACS+
 Kerberos
 RADIUS

Protocoles AAA
02 

Authentication
Authorization 05 Mise en place du modéle AAA
 Accounting
 Configuration de AAA
 Réglage AAA sur un moyen de conexion
Protocoles utilisés avec AAA
03 

EAP
LDAP
 PAP
01
Introduction
Introduction

Les systèmes de sécurité distribuée qui sécurisent les réseaux et les

services réseau contre les accès non autorisés sont généralement
déployés dans de grandes entreprises.
Introduction

De nombreux types d'authentification

AAA
peuvent être effectués sur un appareil
 02
Protocoles AAA
Authentication, Authorization et Accounting
Protocoles AAA

AAA
Protocoles AAA

AAA est un protocole de sécurisation des équipements dont

AAA les trois lettres signifient :

Authentication Authorization   Accounting

Protocoles AAA

Authentication
Les utilisateurs et les administrateurs doivent prouver
leur identité avant d'accéder au réseau et aux
ressources du réseau. L'authentification peut être
établie à l'aide de combinaisons de nom d'utilisateur et

AAA de mot de passe

Protocoles AAA

Authentication
1 4
3
AAA
2 Routeur AAA
Client Serveur AAA
Protocoles AAA

Authorization 
Une fois l'utilisateur authentifié, les services
d'autorisation déterminent les ressources auxquelles
l'utilisateur peut accéder et les opérations que
l'utilisateur est autorisé à effectuer.

AAA
Protocoles AAA

Authorization 
Routeur AAA
1
AAA
2
Client Serveur AAA
3
Protocoles AAA

Accounting
 

La comptabilité enregistre ce que fait l'utilisateur, y

compris ce qui est consulté, la durée d'accès à la
ressource et toutes les modifications apportées. La
comptabilité assure le suivi de l'utilisation des
ressources réseau.

AA
A
Protocoles AAA

Accounting
 

Routeur AAA
1

AA
2
A Client Serveur AAA
Protocoles AAA

Authentification :
Who are you ?

Authorization :
How much can you spend ?

Accounting :
What did you spend it on?
03
Protocoles utilisés avec
AAA
EAP,LDAP,PAP
Protocoles utilisés avec AAA

EAP
EAP (Extensible Authentication Protocol) est un protocole pour les
réseaux sans fil qui étend les méthodes d'authentification utilisées par le
protocole point à point ( PPP ).
Protocoles utilisés avec AAA

transfère les informations d'authentification entre

EAP l'utilisateur et la base de données ou le serveur de
l'authentificateur.
Protocoles utilisés avec AAA

Le processus EAP fonctionne comme suit :

EAP
Client Authentificateur
1 demande une connexion

2 demande des données d'identification à l'utilisateur

demande preuve de la validité des informations

CAPWAP
3 .d'identification

Obtient la vérification et la renvoie au serveur

4 .d'authentification

5 .L'utilisateur est connecté au réseau comme demandé

Protocoles utilisés avec AAA

EAP-TLS LEAP
EAP
EAP-
PEAP
TTLS
Protocoles utilisés avec AAA

EAP-
EAP-TLS LEAP PEAP
TTLS

TLS (Transport Layer Security)

ou sécurité de la couche transport qui
fait un Authentification avec un
certificat électronique
Protocoles utilisés avec AAA

EAP-
EAP-TLS LEAP PEAP
TTLS

TTLS (tunneled Transport Secure Layer)

Comme EAP-TLS, EAP-TTLS offre une méthode de
sécurité étendue avec une authentification mutuelle
basée sur des certificats.
Protocoles utilisés avec AAA

EAP-
EAP-TLS LEAP PEAP
TTLS

LEAP (Lightweight EAP)

Cisco a créé ce type d'authentification EAP
propriétaire pour l'authentification
mutuelle des clients et des serveurs sur ses
WLAN.
Protocoles utilisés avec AAA

EAP-
EAP-TLS LEAP PEAP
TTLS

PEAP (Protected EAP)

PEAP a été créé comme une version plus
sécurisée de LEAP. Comme EAP-TTLS,
PEAP authentifie les clients à l'aide de
certificats côté serveur .
Protocoles utilisés avec AAA

L D A P

Lightweight Directory Access Protocol 

Protocoles utilisés avec AAA

L D A P

est un protocole standard permettant de gérer des annuaires, c'est-

à-dire d'accéder à des bases d'informations sur les utilisateurs
d'un réseau par l'intermédiaire de protocoles TCP/IP.

Server port 389 pour LDAP standard

Server port 636 pour LDAP sur SSL
Protocoles utilisés avec AAA

Permet de stocker, d'administrer et de sauvegarder

L D A P
correctement les informations de tous les
équipements et sera également en charge de la
gestion de tous les utilisateurs et actifs.
Protocoles utilisés avec AAA

Pour une meilleure sécurité LDAP, l'ajout du cryptage

SSL/TLS est fortement suggéré.
Protocoles utilisés avec AAA

Le processus LDAP fonctionne comme suit :

LDAP Client Bind Request LDAP Server

Bind Result

Operation Request

Operation Result

Accès utilisateur accordé ou refusé

Protocoles utilisés avec AAA

Bind Add Unbind

Opérations de LDAP

Search &
Modify Delete
Compare
Protocoles utilisés avec AAA

Types d'authentification LDAP

Anonyme

Identification Non authentifié

Protocoles utilisés avec AAA

Arborescence de l'annuaire LDAP :

dc=example,dc=com

ou=people ou=groups

uid=Bob uid=Smith cn=Admins cn=Sales

Protocoles utilisés avec AAA

PAP
Password Authentication Protocol (PAP) est un protocole
d'authentification pour PPP(Point to Point protocol). Les données
sont transmises en texte clair sur le réseau ce qui le rend par
conséquent non sécurisé.
Protocoles utilisés avec AAA

PAP est également utilisé pour décrire l'authentification par

PAP mot de passe dans d'autres protocoles tels
que RADIUS et Diameter . 
Protocoles utilisés avec AAA

PAP
Remote router Central-site router

Username & Password

1

Accept/Reject
2
 04
Liste de protocoles AAA
TACACS+ , Kerberos et RADIUS
Liste de protocoles AAA

TACACS+

Kerberos

RADIU
S
Liste de protocoles AAA

TACACS+ Kerberos RADIUS

Terminal Access Controller Access Control System

est un protocole d'authentification distante fournit séparé services AAA.
Il est possible de utiliser TACACS+ pour l'autorisation et comptabilité
alors que en utilisant un autre méthode de authentification .
Liste de protocoles AAA

TACACS+ Kerberos RADIUS

TELNET
SSH

Server LDAP

(Base de donné )

Client
TACACS server
Liste de protocoles AAA

TACACS+ Kerberos RADIUS

TELNET
SSH

Server LDAP

(Base de donné )

Client
TACACS server
Liste de protocoles AAA

TACACS+
Kerberos RADIUS
Liste de protocoles AAA

TACACS+
Kerberos RADIUS

repose sur un mécanisme de clés secrètes (chiffrement

symétrique) et l'utilisation de tickets TGS, et non de
mots de passe en clair,
Liste de protocoles AAA

TACACS+
Kerberos RADIUS

Authentication Service Ticket d’accès au TGS

A
TGS TGT TS
S

Ticket Granting Service Ticket d’accès au

service demandé
Liste de protocoles AAA

TACACS+ Kerberos RADIU

S
Remote Authentication Dial-In User Service

RADIUS est un protocole standard AAA, client/serveur destiné à permettre

à des serveurs d'accès de communiquer avec une base de d’identification
centralisée regroupant en un point l'ensemble des utilisateurs distants.
Liste de protocoles AAA

TACACS+ Kerberos RADIU

S
Remote Authentication Dial-In User Service
Prédilection des fournisseurs d’accès à internet il est relativement
standard et propose des fonctionnalités de comptabilité permettant aux
FAI de facturer précisément leurs clients.
Liste de protocoles AAA

Kerberos

TACACS+ V RADIU
S
S
Liste de protocoles AAA

RADIU TACACS+
Combine authentification etSautorisation et sépare la Sépare les 3 éléments de AAA, ce qui en fait plus flexible .
comptabilité
Mot de passe crypté. Paquet entier crypté (user&pass).

Chaque périphérique réseau contienne Gestion centralisée des autorisations configuration

paramétrage des autorisations.
No command logging. Full command logging.

Transport Protocol UDP Transport Protocol TCP

Conçu pour les abonnés AAA Conçu pour l'administrateur AAA

Challenge et réponse unidirectionnels du Serveur de Challenge et réponse bidirectionnels tels qu'utilisés dans
sécurité RADIUS au client RADIUS protocole CHAP (Challenge Handshake Authentication Protocol )
Liste de protocoles AAA RADIUS

Fonctionnement du protocole RADIUS :

Liste de protocoles AAA RADIUS

Base d’identification RADIUS server

(Annuaire LDAP ,Base de données SQL…)

Liste de protocoles AAA RADIUS

Fonctionnement du protocole RADIUS :

Client (Utilisateur) NAS (Network Access service)

(Client RADIUS)
Liste de protocoles AAA RADIUS

Fonctionnement du protocole RADIUS :

2
1

Client (Utilisateur) NAS RADIUS server

(Client RADIUS)
Liste de protocoles AAA RADIUS

Fonctionnement du protocole RADIUS :

1
3 Base d’identification

Client (Utilisateur) 2 (Annuaire LDAP

Base de données SQL…)

NAS
(Client RADIUS) RADIUS server
Liste de protocoles AAA RADIUS

Fonctionnement du protocole RADIUS :

1 2
4
Client (Utilisateur) NAS RADIUS server Base d’identification
(Client RADIUS)

Méthode d’authentification Type D’EAP

Nom d’utilisateur/mot de passe EAP-MDS
Certificat EAP-TLS
Nom d’utilisateur/mot de passe et EAP-PEAP EAP-TTLS
certificat
Liste de protocoles AAA RADIUS

Fonctionnement du protocole RADIUS :

1 2
4
Client (Utilisateur) NAS RADIUS server Base d’identification
(Client RADIUS)

Méthode d’authentification Type D’EAP

Nom d’utilisateur/mot de passe EAP-MDS
Certificat EAP-TLS
Nom d’utilisateur/mot de passe et EAP-PEAP EAP-TTLS
certificat
Liste de protocoles AAA RADIUS

Fonctionnement du protocole RADIUS :

1 2
4
Client (Utilisateur) NAS RADIUS server Base d’identification
(Client RADIUS)

Méthode d’authentification Type D’EAP

Nom d’utilisateur/mot de passe EAP-MDS
Certificat EAP-TLS
Nom d’utilisateur/mot de passe et EAP-PEAP EAP-TTLS
certificat
Liste de protocoles AAA RADIUS Services Réseau

A
RADIUS server
Liste de protocoles AAA RADIUS Services Réseau

A Authentication

A
RADIUS server
Liste de protocoles AAA RADIUS Services Réseau

>_

A Authentication

A
RADIUS server
Liste de protocoles AAA RADIUS Services Réseau

>_

Authentication

A Autorisation
RADIUS server
Liste de protocoles AAA RADIUS Services Réseau

Authentication

Autorisation
RADIUS server
Accounting
Liste de protocoles AAA RADIUS

Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

ACCEPT REJEC CHALLENG CHANGE PASSWORD

T E
Liste de protocoles AAA RADIUS

Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

REJEC CHALLENG CHANGE PASSWORD

T E

ACCEPT identification a réussi.

Liste de protocoles AAA RADIUS

Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

ACCEPT CHALLENG CHANGE PASSWORD

E

REJECT identification a échoué.

Liste de protocoles AAA RADIUS

Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

ACCEPT REJEC CHANGE PASSWORD

T

le serveur RADIUS souhaite des informations

CHALLENGE supplémentaires de la part de l’utilisateur et
propose un « défi ».
Liste de protocoles AAA RADIUS

Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

ACCEPT REJEC CHALLENG

T E

où le serveur RADIUS demande à

CHANGE PASSWORD
l’utilisateur un nouveau mot de passe.
Liste de protocoles AAA RADIUS

RADIUS-Proxy :

RADIUS server
.
.
.
.
.
.
Client (Utilisateur) RADIUS server

RADIUS server
 05
Mise en place du modéle AAA
Configuration de AAA, Réglage AAA sur un moyen de conexion.
Mise en place du modéle AAA

Topologie :
Mise en place du modéle AAA

Configuration de AAA :
Mise en place du modéle AAA

Configuration de routeur :

IP d’interface de routeur

Créé utilisateur et mot de pass

(back-up) si AAA pas disponible
Mise en place du modéle AAA

Configuration de routeur avec le serveur RADIUS :

Spéfications d’IP addresse de

serveur AAA (RADIUS) et les ports
de l’authentication et l’accounting

Céation d’un group AAA ,pour

regrouper des hôtes de serveur
existants.
Mise en place du modéle AAA

Configuration de routeur avec le serveur RADIUS :

Nom de notre serveur RADIUS

Enable authentification login

Mise en place du modéle AAA

Configuration de routeur avec le serveur RADIUS :

Quand je commande telnet à le routeur

RADIUS users :
Mise en place du modéle AAA

Configuration de routeur avec le serveur RADIUS :

Succès de l’accès à partir de l’utilisateur

configurer au serveur RADIUS (Alice).
Mise en place du modéle AAA

Configuration de routeur avec le serveur RADIUS :

Si le serveur RADIUS disponible(UP), Ne

pouvons pas accéder au routeur à partir de
l’utilisateur configurer au routeur (pootin) .
Mise en place du modéle AAA

Configuration de routeur avec le serveur RADIUS :

Fermé le serveur AAA (RADIUS) :

Si le serveur RADIUS pas disponible(down),

nous pouvons accéder au routeur à partir de
l’utilisateur configurer au routeur (pootin) .
FIN…
Merci pour votre
attention