Authentification hybride

download Authentification hybride

of 31

  • date post

    05-Jan-2017
  • Category

    Documents

  • view

    221
  • download

    0

Embed Size (px)

Transcript of Authentification hybride

  • Authentification hybride

    SALAH KHMIRI (RT3)

    AMAMOU NESRINE (RT3)

    JOUA RIADH (GL4)

    BOUTARAA AMIRA (RT3)

    SAMALI HADHEMI (RT3)

  • Authentification hybride |SECURIDAY 2014 ACCESS CONTROL

    1

    Table des matires 1. Presentation de latelier ........................................................... Erreur ! Signet non dfini.

    a. lauthentification .................................................................. Erreur ! Signet non dfini.

    b. cest quoi un portail captif .................................................... Erreur ! Signet non dfini.

    2. Presentation des outils ...................................................................................................... 2

    a. pfsense .......................................................................................................................... 2

    b. Freeradius ...................................................................................................................... 3

    c. LDAP .............................................................................................................................. 4

    d. Wikid .............................................................................................................................. 5

    3. Topologie du reseau .......................................................................................................... 6

    4. Configuration des outils .................................................................................................... 6

    5. Un scnario de test (la partie la plus importante) .................. Erreur ! Signet non dfini.6

    6. Conclusion ............................................................................... Erreur ! Signet non dfini.8

  • Authentification hybride |SECURIDAY 2014 ACCESS CONTROL

    2

    I. Prsentation de latelier :

    Latelier Hybrid Authentification reprsente un type dauthentification double (two-

    way authentification) qui se base sur un portail captif et un serveur dauthentification.

    Authentification avec un login et un mot de passe en premier lieu et avec un SMS, un mail

    ou un jeton/token en deuxime lieu pour valider l'authenticit de l'entit en question.

    L'authentification ?

    L'authentification est la procdure qui consiste, pour un systme informatique, vrifier

    l'identit d'une personne ou d'un ordinateur afin d'autoriser l'accs de cette entit

    des ressources (systmes, rseaux, applications).

    Il existe plusieurs manires pour sauthentifier entre autres:

    Authentification par un mot de passe : Il s'agit de la mthode la plus simple et la plus rpandue. Elle souffre principalement du risque d'coute (et donc d'interception des mots de passe) des rseaux coopratifs. Avantage : Pas de risque de piratage par emplacement de machine. Inconvnient : Le mot de passe circule en clair sur le rseau.

    Authentification par un contrle de l'adresse de l'expditeur

    Cette mthode a l'avantage de permettre la connexion distante sans mot de passe, en se basant simplement sur deux hypothses: premirement les deux machines ne sont pas publiques, et il est impossible de produire de fausses adresses. Avantage : Le mot de passe ne circule pas. Inconvnient : Plusieurs mthodes connues de piratage (sequence number guessing, DNS reverse attack).

    Il existe dautres manires pour sauthentifier : Avec carte, empreinte digital, ou

    encore la reconnaissance par la disposition de vos veines dans votre main ou limage

    de votre rtine.

    Dans cet atelier on va combiner lauthentification avec un Login/mot de passe et par

    contrle de l'adresse de l'expditeur afin daugmenter le niveau de scurit de laccs aux

    informations.

  • Authentification hybride |SECURIDAY 2014 ACCESS CONTROL

    3

    Cest quoi un portail captif ?

    La technique des portails captifs consiste forcer les clients HTTP d'un rseau de

    consultation afficher une page web spciale avant d'accder Internet normalement.

    Cela est obtenu en interceptant tous les paquets quelles que soient leurs destinations

    jusqu' ce que l'utilisateur ouvre son navigateur web et essaie d'accder Internet. Le

    navigateur est alors redirig vers une page web qui peut demander une authentification

    et/ou un paiement ou tout simplement demander. Cette technique est souvent employe

    pour les accs Wi-Fi et peut aussi tre utilise pour l'accs des rseaux filaires (ex. htels,

    campus etc.).

    Les diffrentes solutions :

    Pfsense, distribution BSD incluant une fonction de portail captif. Licence BSD

    ALCASAR, solution libre architecture autour de la distribution Linux Mageia et de

    plusieurs logiciels libres (Coovachilli, FreeRADIUS, MariaDB, Dnsmasq, Apache, etc.) -

    Licence GPLv3

    ChilliSpot, portail captif open-source dont le dveloppement est arrt (dernire

    version (1.1.0) sortie le 24/10/2006) - Licence (GNU GPL)

    Coovachilli, portail captif open-source (fork de ChilliSpot). Licence GNU GPL

    PepperSpot portail captif open-source (fork de ChilliSpot). Licence GPLv2

    Talweg, portail captif open-source bas sur la bibliothque netfilter, avec de

    nombreux modules d'authentification.

    Zeroshell, distribution Linux incluant une fonction de portail captif

    Pour cet atelier on a choisi la solution: Pfsense. Nous reviendrons plus tard pour

    prsenter cet outil.

    II. Prsentation des outils utiliss:

  • Authentification hybride |SECURIDAY 2014 ACCESS CONTROL

    4

    Pfsense :

    PfSense est un pare-feu/routeur open-source bas sur FreeBSD et distribu sous licence

    BSD. Il peut tre install sur un simple ordinateur personnel comme sur un serveur. PfSense

    s'administre entirement depuis une interface web moderne et facile utiliser donnant

    accs l'intgralit des fonctionnalits. On peut ainsi tablir des tables de routage, des

    rgles pour le pare-feu, faire des VLAN, activer un service DHCP, et bien d'autres.

    Fonctionnalits

    Support des VLAN taggs

    Routage IPv4 et (depuis la version 2.1) IPv6, NAT

    Filtrage du trafic entrant et sortant pour tout type de trafic (ICMP, UDP, TCP)

    Limitation des connexions pour un pair

    Log du trafic avec gnration de graphiques

    Log sur serveur syslog externe

    Load Balancing, Failover

    Agrgation de ports, IP virtuelles

    Proxy transparent

    Serveur ou client PPPoE

    VPN (client ou serveur) IPsec, PPTP, OpenVPN

    DNS Dynamique

    Portail captif

    Contrle d'accs par adresses MAC ou authentification RADIUS

    Serveur ou relay DHCP / DNS

    Nouveauts

    PfSense 2.1 est bas sur FreeBSD 8.3 qui apporte de nombreux correctifs de

    scurit.

    Support de l'IPv6. Il est capable de router, filtrer (rgles de pare-feu), tablir un

    tunnel, fournir des services de dcouverte (Router Advertisement).

    L'interface Web fonctionne dsormais avec JQuery.

    Support des packages PBI. Ils permettent d'installer des plugins ou logiciels

    additionnels de manire simple sans se soucier des dpendances.

    FreeRADIUS :

    http://www.pfsense.org/http://fr.wikipedia.org/wiki/Ordinateur_personnelhttp://fr.wikipedia.org/wiki/Serveur_informatique

  • Authentification hybride |SECURIDAY 2014 ACCESS CONTROL

    5

    RADIUS (Remote Authentication Dial-In User Service) est un protocole d'authentification standard, bas sur un systme client/serveur charg de dfinir les accs d'utilisateurs distants un rseau.

    FreeRADIUS est un serveur RADIUS libre. Cest lun des serveurs RADIUS les plus rapides,

    modulaires et riches en fonctionnalits disponibles aujourd'hui. FreeRADIUS est, entre

    autres, utilis par des fournisseurs daccs linternet pour authentifier leurs clients et leur

    communiquer une configuration IP. Il est considr comme le serveur le plus utilis dans le

    monde.

    LDAP :

    LDAP (LightWeight Directory Access Protocol) est l'origine un protocole permettant de

    grer des annuaires, c'est--dire d'accder des bases d'informations sur les utilisateurs

    d'un rseau par l'intermdiaire de protocoles TCP/IP. Il a cependant volu pour reprsenter

    une norme pour les systmes d'annuaires, incluant un modle de donnes, un modle de

    nommage, un modle fonctionnel bas sur le protocole LDAP, un modle de scurit et un

    modle de rplication.

    Il en est actuellement la version 3 dans laquelle il propose des mcanismes de chiffrement

    (SSL, ...) et d'authentification (SASL) permettant de scuriser l'accs aux informations

    stockes dans la base.

    JXplorer :

    http://fr.wikipedia.org/wiki/Protocole_de_communicationhttp://fr.wikipedia.org/wiki/Serveur_informatiquehttp://fr.wikipedia.org/wiki/Radius_(informatique)http://fr.wikipedia.org/wiki/Logiciel_librehttp://fr.wikipedia.org/wiki/Protocole_de_communicationhttp://www.commentcamarche.net/contents/539-tcp-iphttp://www.commentcamarche.net/contents/215-cryptographie-secure-sockets-layers-ssl

  • Authentification hybride |SECURIDAY 2014 ACCESS CONTROL

    6

    Cest un client qui permet de grer les annuaires LDAP. JXplorer est crit en Java. Il est trs

    flexible et peut tre tendu et adapt dans un certain nombre de faons.

    JX est disponible en deux versions; la version gratuite open source sous licence de style OSI Apache 2, ou dans le JXWorkBench ensemble des entreprises avec des outils de construction dans les rapports, administratives et de scurit.

    Wikid :

    Lauthentification forte est un processus comporatnt au moins deux facteurs

    daut