Post on 22-Dec-2014
description
RadiusRemote Authentification Dial In User
ServiceHadrich Mohamed
@hadrichmohamedwww.hadrichmed.com
hadrichmed@gmail.com
Problématique
De nos jours, la plupart des entreprises possèdent de nombreuses postes informatiques qui sont en général reliées entre eux par un réseau local.Ce réseau permet d’échanger des données entre les divers collaborateurs internes à l’entreprise et aussi de connecter à l’Internet.
Problématique
Problématique
VPN - Firewall
Serveur d’Authentification
Ouvrir l’entreprise vers le monde extérieur signifie laisser une porte ouverte à divers acteurs étrangers.Cette porte peut etre exploité pour la destruction des données ou pour le piratage des donnéesC’est pourquoi on doit sécuriser notre réseau en utilisant:
Radius
Radius
RADIUS est un acronyme de Remote Authentification Dial In User Service. RADIUS définit une norme les plus courants utilisée pour la maintenance et la gestion de validation et authentification de l'utilisateur distant. Le nouveau routage et accès distant (RRAS) peuvent fonctionner en tant que client RADIUS. Ainsi, les clients d'accès distant et les routeurs d'accès à distance doivent être authentifiées par rapport à un serveur RADIUS. RADIUS est défini par la RFC 2138.
Fonctionnalités du Radius
Functionalitiés du Radius
Modèle client/serveur
Un serveur d'accès réseau (NAS) fonctionne en tant que client RADIUS. Le client est chargé de transmettre les informations utilisateur vers des serveurs RADIUS désignés et agir en fonction de la réponse qui est renvoyée.
Functionalitiés du Radius
Serveurs RADIUS sont chargés de recevoir les demandes de connexion utilisateur, l'authentification de l'utilisateur et retournant ensuite toutes les informations de configuration nécessaires au client fournir un service à l'utilisateur.
Un serveur RADIUS peut agir comme un client de proxy pour d'autres serveurs RADIUS ou d'autres types de serveurs d'authentification.
Functionalitiés du Radius
Sécurité du réseau
Les transactions entre le client et le serveur RADIUS sont authentifiées par l'utilisation d'un secret partagé qui n'est jamais transmis sur le réseau. En outre, les mots de passe utilisateur sont envoyés cryptées entre le client et le serveur RADIUS, pour éliminer la possibilité que quelqu'un snooping sur un réseau non sécurisé peut déterminer un mot de passe utilisateur.
Functionalitiés du Radius
Mécanismes d'authentification souples
Le serveur RADIUS peut prendre en charge une variété de méthodes pour authentifier un utilisateur. Lorsqu'il est fourni avec le nom d'utilisateur et un mot de passe d'origine donné par l'utilisateur, il prend en charge PPP PAP, CHAP, connexion UNIX et autres mécanismes d'authentification.
Functionalitiés du Radius
Protocole extensible
Toutes les transactions sont constituées de longueur variable attribut-longueur-valeur 3-tuples. Nouvelles valeurs d'attribut peuvent être ajoutés sans perturber les implémentations existantes du protocole.
Options d’un Client Radius
Options D’un client Radius
Client RADIUS d'accès distant et de routage prend en charge les options suivantes : Id de Session de compte Durée de Session de compteType de statut de compte Numéro de rappelFramed-IP-Address Protocole traméDélai d'inactivité NAS-IdentifierNAS-Port NAS-Port-TypeLimite de port Délai d'expiration de sessionNom d'utilisateur
Flux génerale d’un Radius
Flux génerale d’un Radius
Détails du Radius
Détails du Radius
RADIUS utilise UDP et non le protocole TCP pour quelques raisons: l'utilisateur ne peut pas attendre pendant plusieurs
minutes, alors l'algorithme de retransmission de TCP ACK et pas nécessaire.
Pas de traitement spécial pour les clients hors ligne et les serveurs
Stateless Protocole Facile à mettre en œuvre serveur multi-thread et fournir
des services aux demandes des clients multiples.
Fonctionnalités du PfSense
Pfsense utilise p0f, un utilitaire qui permet de filtrer de façon passive en fonction du type de Système d’Exploitation qui initie la connexion.Il est capable aussi d’archiver les traces règle par règle.
Radius et la Sécurité
Radius et la sécurité
La sécurité est bien maintenu grâce : Deux fonction principale sont fournies pour cacher les Attribut (principalement mots de passe) et l’authentification des messages chaque fonction est exécutée par la fonction de hachage MD5 et le secret partagé
Réseau Local : Représenté en une machine virtuel UbuntoDMZ: Machine virtuel dans laquelle installé un serveur webL’internet c’est notre machine Réelle ou on peut acceder à l’Internet Pare-feu: Pfsense
Architecture
Après la création des machines virtuelles on passe au réglage du pfsense afin de permettre le réseau local de connecter au DMZ et à l’internet et Empécher le cas inverse.
Etape de réalisation
Implémentation du client/Serveur
Le Serveur Radius: Win RadiusLe Client: Win Radius TestBase de Donnée: Microsoft Access
Implémentation du client/ Serveur
Vulnérabilités de RADIUS
Vulnérabilités de RADIUS
La méthode du hachage MD5 a des failles Il n’y pas de protection dans la couche transport Utilisation de mauvais générateur aléatoire de
génération de demande
Conclusion
Conclusion
Radius est couramment utilisé dans les systèmes embarqués (routeurs, commutateurs, etc), qui ne peut pas gérer grand nombre de l'utilisateur avec des informations d'authentification distinct
RADIUS facilite la gestion centralisée d'administration des utilisateurs
RADIUS fournit certain niveau de protection contre le ‘sniffing’ attaque active
Largement mis en œuvre par le fournisseur de matériel Diameter est une amélioration de Radius.