CNAM Cours ServeurRadius

7/28/2019 CNAM Cours ServeurRadius

1/26

Introduction

Fonctionnement du protocole Radius

Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Le protocole RADIUS

Remote Authentication Dial-In User Service

CNAM SMB 214-215

Claude Duvallet

Universit du HavreUFR des Sciences et Techniques

Courriel : [email protected]

Claude Duvallet 1/26 Le protocole RADIUS


2/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Objectifs du cours

Prsenter le principe du serveur RADIUS.

Prsenter WPA

Prsenter 802.1x

Prsenter EAP



3/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Plan de la prsentation

1 Introduction

2 Fonctionnement du protocole Radius

3 Le protocole WPA

4 Le protocole 802.1x

5 Le protocole EAP

6 Conclusion



4/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Rfrences bibliographiques

Principes gnraux des serveurs Radius


Serge Bordres. Authentification rseau avec Radius : 802.1x,

EAP, FreeRadius. Eyrolles. 2006.

Jonathan Hassell. Radius. OReilly. 2002.



5/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion


Principes gnraux des serveurs Radius

Principes gnraux de Radius

Protocole standard dauthentification, initialement mis au point

par Livingston.

Dfini au sein des RFC 2865 et 2866.

Fonctionnement bas sur un systme client/serveur charg de

dfinir les accs dutilisateurs distants un rseau.

Protocole de prdilection des fournisseurs daccs internet :

relativement standard,

propose des fonctionnalits de comptabilit permettant aux FAI defacturer prcisment leurs clients.

Le protocole RADIUS permet de faire la liaison entre des besoins

didentification et une base dutilisateurs en assurant le transport

des donnes dauthentification de faon normalise.


I t d ti


6/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Principe de fonctionnement de Radius

Scnario de fonctionnement

Limitations


RADIUS repose principalement :

sur un serveur (le serveur RADIUS),reli une base

didentification (base de donnes, annuaire LDAP, etc.),

sur un client RADIUS, appel NAS (Network Access Server),

faisant office dintermdiaire entre lutilisateur final et le serveur.

Lensemble des transactions entre le client RADIUS et le serveur

RADIUS est chiffr.

Le serveur RADIUS peut faire office de proxy, cest--dire

transmettre les requtes du client dautres serveurs RADIUS.Le serveur traite les demandes dauthentification en accdant si

ncessaire une base externe : base de donnes SQL, annuaire

LDAP, comptes dutilisateurs, de machines ou de domaines.

un serveur RADIUS dispose pour cela dun certain nombre

dinterfaces ou de mthodes.


Introduction


7/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion



Limitations

Scnario de fonctionnement (1/2)

Un utilisateur envoie une requte au NAS afin dautoriser une

connexion distance.

Le NAS achemine la demande au serveur RADIUS.

Le serveur RADIUS consulte sa base de donnes didentification

afin de connatre le type de scnario didentification demand

pour lutilisateur.

Soit le scnario actuel convient, soit une autre mthode

didentification est demande lutilisateur. Le serveur RADIUS

retourne ainsi une des quatre rponses suivantes :

ACCEPT : lidentification a russi.

REJECT : lidentification a chou.

CHALLENGE : le serveur RADIUS souhaite des informations

supplmentaires de la part de lutilisateur et propose un dfi .


Introduction


8/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion



Limitations

Scnario de fonctionnement (2/2)

Une autre rponse est possible : CHANGE PASSWORD o le

serveur RADIUS demande lutilisateur un nouveau mot depasse.

Change-password est un attribut VSA (Vendor-Specific

Attributes), cest--dire quil est spcifique un fournisseur.

Suite cette phase dit dauthentification, dbute une phase

dautorisation o le serveur retourne les autorisations de

lutilisateur.


Introduction


9/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion



Limitations

Schma de fonctionnement du protocole RADIUS

Primergy

(Client RADIUS)

NAS

Client (Utilisateur)

ServeurRADIUS

ServicesRseau


Introduction


10/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion



Limitations

Protocoles de mots de passe

RADIUS connat nativement deux protocoles de mots de passe :

PAP (change en clair du nom et du mot de passe),

CHAP (change bas sur un hachage de part et dautre avec

change seulement du challenge).

Le protocole prvoit deux attributs spars : User-Password et

CHAP-Password.

Depuis, se sont greffes les variations Microsoft : MS-CHAP et

MS-CHAP-V2.

Leur similarit avec CHAP permet de les transporter en RADIUS

de la mme faon, linitiative du serveur et sous rserve bien

entendu de possibilit de transport de bout en bout de lutilisateur

(supplicant) au client Radius, du client au serveur Radius et enfin

du serveur Radius la base de donnes didentification.


Introduction


11/26

Introduction


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion



Limitations

Limitations du protocole RADIUS (1/3)

RADIUS a t conu pour des identifications par modem, sur des

liaisons lentes et peu sres :

cest la raison du choix du protocole UDP.

ce choix technique dun protocole non agressif conduit des

changes laborieux bass sur des temporisations de rmission,des changes daccuss-rceptions.

DIAMETER (qui devrait remplacer RADIUS) utilise TCP ou STCP.

RADIUS base son identification sur le seul principe du couple

nom/mot de passe :

parfaitement adapt lpoque (1996),cette notion a d tre adapte.

Exemple : pour lidentification des terminaux mobiles par leur

numro IMEI ou par leur numro dappel (Calling-Station-ID en

Radius) sans mot de passe (alors que la RFC interdit le mot de

passe vide !).



12/26

Introduction


13/26


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion



Limitations

Limitations du protocole RADIUS (3/3)

RADIUS est strictement client-serveur :

do des discussions et bagarres de protocoles propritaires

quand un serveur doit lgitimement tuer une session pirate sur unclient,

DIAMETER possde des mcanismes dappel du client par le

serveur.

RADIUS nassure pas de mcanismes didentification du

serveur :

se faire passer pour un serveur est un excellent moyen de rcolter

des noms et mots de passe,

EAP assure une identification mutuelle du client et du serveur.


Introduction


14/26


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Le protocole WPA (1/2)

Objectif : combler les lacunes du protocole WEP :Utilisation dalgorithmes peu dvelopps et facilement craquables.

Impossibilit dauthentifier un ordinateur ou un utilisateur qui se

connecterait au rseau.Dfinition de deux nouvelles mthodes de chiffrement et de

contrle dintgrit :TKIP (Temporal Key Integrity Protocol) :sadapte au mieux au matriel existant,

utilise RC4 comme algorithme de chiffrement,

ajoute un contrle dintgrit MIC,

introduit un mcanisme de gestion de cls (cration de cls

dynamiques intervalles de temps rguliers).CCMP (Counter Mode with Cipher Block Chaining Message

Authentification Code Protocol) :

plus puissant que TKIP,

utilise AES comme algorithme de chiffrement,

totallement incompatible avec le matriel actuel solution long

terme.Claude Duvallet 14/26 Le protocole RADIUS

Introduction


15/26


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Le protocole WPA (2/2)

WPA utilise le protocole 802.1X.

Autre nom : EAP Over LAN (EAPOL).

Permet dauthentifier les machines ou les utilisateurs connects

au rseau.

Permet de transfrer des paquets dauthentification versdiffrents lments du rseau.

Offre un mcanisme pour changer des cls qui seront utilises

pour chiffrer les communications et en contrler lintgrit.

WPA-PSK (Pre Shared Key) permet aux particuliers de bnficier

de WPA sans disposer dun serveur dauthentification :au dbut : dtermination dune cl statique ou dune "paraphrase"

(comme pour le WEP),

mais utilisation de TKIP,

ensuite : changement automatique des cls intervalles de temps

rguliers.Claude Duvallet 15/26 Le protocole RADIUS

Introduction

F ti t d t l R di P t ti


16/26


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Prsentation

Acteurs

Authentification

Point daccs au rseau

Le protocole 802.1x

IEEE 802.1X est un standard de lIEEE pour le contrle daccs

au rseau bas sur les ports.

Cest une partie du groupe de protocoles IEEE 802 (802.1).

Ce standard fournit une authentification aux quipements

connects un port Ethernet.

Il est aussi utilis pour certains points daccs WiFi, et il est bas

sur EAP.802.1X est une fonctionnalit disponible sur certains

commutateurs rseau.


Introduction

Fonctionnement d protocole Radi s Prsentation


17/26


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Prsentation

Acteurs

Authentification


Les acteurs du 802.1x

Supplicant : il sagit du systme authentifier (le client).

Port Access Entity (PAE) : il sagit du point daccs au rseau.

Authenticator System : il sagit du systme authentificateur. Il

contrle les ressources disponibles via le PAE.

authentifier

Systme (Relais)

Systme authentificateurdauthentification

Systme serveur

PAE

802.1X

LAN (support physique)


Introduction

Fonctionnement du protocole Radius Prsentation


18/26


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Prsentation

Acteurs

Authentification


Lauthentification

Le systme authentificateur se comporte comme un mandataire

entre le systme authentififier et le serveur dauthentification.

Si lauthentification russit, le systme authentificateur donne

laccs la ressource quil contrle.

Le serveur dauthentification gre lauthentification en dialoguantavec le systme authentifier en fonction du protocole

dauthentification utilis.

Dans la plupart des implmentation du protocole 802.1X, le

systme authentificateur est un quipement rseau

(commutateur Ethernet, borne daccs sans fil, oucommutateur/routeur IP).

Le systme authentifier est un poste de travail ou un serveur.

Le serveur dauthentification est typiquement un serveur Radius

ou tout autre quipement capable de faire de lauthentification.


IntroductionFonctionnement du protocole Radius Prsentation


19/26


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Prsentation

Acteurs

Authentification


Le point daccs au rseau (PAE)

La principale innovation de 802.1X consiste scinder le port

daccs physique au rseau en deux ports logiques qui sont

connects en parallle sur le port physique.

Le premier port logique est dit contrl et peut prendre deuxtats : ouvert ou ferm .

Le deuxime port logique est toujours accessible mais il ne gre

que les trames spcifique au protocole 802.1X.

Ce modle ne fait pas intervenir la nature physique de la

connexion. Il peut sagir :

dune prise RJ45 (cas du support de transmission cuivre).

de connecteurs SC ou MT-RJ (cas de la fibre optique).

dun accrochage logique au rseau (cas des supports de

transmission hertzien en 802.11{a,b,g}).


IntroductionFonctionnement du protocole Radius

EAP-MD5


20/26


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

LEAP

EAP-TTLS

PEAP

EAP-TLS

Le protocole EAP

EAP (Extensible Authentication Protocol) est un protocole conu

pour tendre les fonctions du protocole Radius des types

didentification plus complexes.

Il est indpendant du matriel du client Radius et ngoci

directement avec le supplicant (poste client, terminal daccs).

Cest ce qui a permis de le mettre en place rapidement sur un

maximum dappareils rseau :

puisquil nutilise que deux attributs Radius servant de protocolede transport,

a conduit une explosion de types EAP : EAP-MD5, EAP-TLS,

EAP-TTLS, EAP-PEAP, EAP-MS-CHAP-V2, EAP-AKA,

EAP-LEAP et EAP-FAST (Cisco), EAP-SIM, etc.



EAP-MD5

LEAP


21/26


Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

LEAP

EAP-TTLS

PEAP

EAP-TLS

Le protocole EAP-MD5

Cest le plus simple.

Le client est authentifi par le serveur en utilisant un mcanisme

de dfi rponse :

Le serveur envoie une valeur alatoire (le dfi).Le client concatne ce dfi le mot de passe et en calcul, en

utilisant lalgotithme MD5, une valeur encrypte quil envoie au

serveur.

Le serveur qui connat le mot de passe calcule son propre

cryptogramme, compare les deux et en fonction du rsultat valide

ou non lauthentification.

Une coute du trafic rseau peut dans le cas dun mot de passe

trop simple permettre de le retrouver au moyen dune attaque par

force brute ou par dictionnaire.



EAP-MD5

LEAP


22/26

p

Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

LEAP

EAP-TTLS

PEAP

EAP-TLS

Le protocole LEAP

Mthode propre CISCO.

Repose sur lutilisation de secrets partags pour authentifier

mutuellement le serveur et le client.

Elle nutilise aucun certificat.

Elle est base sur lchange de dfis et de rponses.



EAP-MD5

LEAP


23/26

Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

LEAP

EAP-TTLS

PEAP

EAP-TLS

Le protocole EAP-TTLS

EAP-TTLS (tunneled Transport Secure Layer).Il utilise TLS comme tunnel pour changer des couples attribut

valeur servant lauthentification.

Pratiquement nimporte quelle mthode dauthentification peut

tre utilise.



EAP-MD5

LEAP


24/26

Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

LEAP

EAP-TTLS

PEAP

EAP-TLS

Le protocole PEAP (Protected EAP)

Cest une mthode trs semblable dans ses objectifs et voisine

dans la ralisation EAP-TTLS.

Elle est dveloppe par Microsoft.

Elle se sert dun tunnel TLS pour faire circuler de lEAP.

On peut alors utiliser toutes les mthodes dauthentification

supportes par EAP.



EAP-MD5

LEAP


25/26

Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

LEAP

EAP-TTLS

PEAP

EAP-TLS

Le protocole EAP-TLS

EAP-TLS : Extensible Authentication Protocol-Transport Layer

Security

Cest la plus sre.

Le serveur et le client possdent chacun leur certificat qui vaservir les authentifier mutuellement.

Cela reste relativement contraignant du fait de la ncessit de

dployer une infrastructure de gestion de cls.

TLS, la version normalise de SSL (Secure Socket Layer), est untransport scuris (chiffrement, authentification mutuelle, contrle

dintgrit).

Cest lui qui est utilis de faon sous-jacente par HTTPS, la

version scurise de HTTP et pour scuriser le Web.



L t l WPA


26/26

Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion

Webliographie

Webliographie

http://www.commentcamarche.net/authentification/radius.php3

http://2003.jres.org/actes/paper.143.pdf

http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf

http://www.ysn.ru/docs/lucent/radius.pdf

http://wifi.geeek.org/docs/ebook_sept2003.pdf

http://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_

publiques

http://fr.wikipedia.org/wiki/Radius_(informatique)

http://www.wifiradis.net/

http://fr.wikipedia.org/wiki/802.1x

http://www.commentcamarche.net/authentification/radius.php3http://2003.jres.org/actes/paper.143.pdfhttp://raisin.u-bordeaux.fr/IMG/pdf/radius.pdfhttp://www.ysn.ru/docs/lucent/radius.pdfhttp://wifi.geeek.org/docs/ebook_sept2003.pdfhttp://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiqueshttp://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiqueshttp://fr.wikipedia.org/wiki/Radius_(informatique)http://www.wifiradis.net/http://fr.wikipedia.org/wiki/802.1xhttp://fr.wikipedia.org/wiki/802.1xhttp://www.wifiradis.net/http://fr.wikipedia.org/wiki/Radius_(informatique)http://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiqueshttp://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s_publiqueshttp://wifi.geeek.org/docs/ebook_sept2003.pdfhttp://www.ysn.ru/docs/lucent/radius.pdfhttp://raisin.u-bordeaux.fr/IMG/pdf/radius.pdfhttp://2003.jres.org/actes/paper.143.pdfhttp://www.commentcamarche.net/authentification/radius.php3

CNAM Cours ServeurRadius

Documents

Transcript of CNAM Cours ServeurRadius