• Aucun résultat trouvé

Authentification centralisée

N/A
N/A
Protected

Academic year: 2022

Partager "Authentification centralisée"

Copied!
63
0
0

Texte intégral

(1)

OLIVIER RAULIN PROMOTION 2013

Authentification centralisée

Simplification et centralisation de l’authentification dans un Système d’Information

RAULIN Olivier Juin – Août 2012

CWF- Children Worldwide Fashion Avenue des Sables

85505 Les Herbiers Cedex

EPSI Nantes 2 rue Fénelon 44000 Nantes

Ce rapport retranscrit mes recherches, principalement concernant l’authentification centralisée

(2)

REMERCIEMENTS

Je tiens à remercier premièrement la société CWF (Children Worldwide Fashion) pour son accueil chaleureux. Merci à toute l’équipe du service informatique ainsi qu’à son DSI Bertrand BEAUFORT pour l’atmosphère de travail conviviale tout au long de ces trois mois.

Merci à Monsieur Julien CHARPENTIER, mon tuteur de stage, qui m’a permis de réaliser ce stage au sein de CWF et qui m’a suivi pendant toute la durée de ce stage.

Ma gratitude va également à tous les membres de l’équipe Systèmes & Réseaux et plus particulièrement Anthony LAPEYRE, Jean MONNIER, Christophe GUILLOTON pour leur aide technique et leur soutien.

Je tiens à exprimer ma reconnaissance envers le corps enseignant de l’EPSI de Nantes pour leurs enseignements dispensés ces deux dernières années.

Merci aux membres du jury qui seront en charge d’apprécier le travail effectué au cours de mon stage.

Merci à mes camarades de promotion avec lesquels l’entraide a pu amener des échanges bénéfiques.

Je tiens également à remercier ma famille et mes amis pour leur soutien quotidien.

(3)

SOMMAIRE

Remerciements... 2

I – Introduction... 5

1/ Contexte du stage... 5

2/ Présentation de l’entreprise... 5

3/ Le système d’information... 7

4/ L’infrastructure du Système d’Information de CWF...8

II – Missions... 9

1/ Introduction... 9

2/ Authentification AAA sur matériel Cisco... 14

3/ Authentification centralisée des serveurs Linux... 28

4/ Authentification des machines connectées sans fil...32

5/ Proxy transparent sur firewall Cisco... 37

Autres projets effectués... 41

Conclusion... 43

Table des illustrations... 45

Table des matières... 46

Index... 49

Glossaire... 50

Bibliographie... 53

Annexes... 54

(4)

I – INTRODUCTION

1/ CONTEXTE DU STAGE

Le stage que j’ai pu effectuer dans l’entreprise CWF, basée aux Herbiers, fût mon stage de quatrième année d’informatique à l’EPSI de Nantes.

Sa durée a été de trois mois, du premier juin au 31 août 2012.

J’ai principalement choisi ce stage parce qu’il me permettait de me perfectionner dans le domaine de l’ingénierie systèmes et réseaux, étant donné que mon avenir professionnel s’oriente nettement vers ce domaine de l’informatique.

2/ PRÉSENTATION DE L’ENTREPRISE

Née du rachat d’Albert SA (spécialiste du prêt-à-porter enfant) par le groupe Artal, CWF est fort de plus de quarante ans d’expérience de mode enfantine.

Devenu leader Européen dans son domaine, CWF est partenaire de marques de notoriété mondiale pour leurs collections de vêtements, de 0 à 16 ans.

Albert SA a été créée en 1965 aux Herbiers (Vendée). Cette petite entreprise familiale produisait et distribuait des vêtements de marques enfant développées en propre.

Entre 1995 et 1997, cette société a connu un tournant stratégique suite à la signature de licence de marques haut de gamme tel que « ELLE », « Timberland » ou encore « Donna Karan New York ».

Forte de cette réussite, l’entreprise est passée d’une production intégrée à une stratégie de sourcing.

Autrement dit, CWF ne produisait plus mais déléguait la production à des sous-traitants.

Au début des années 2000, le fonds de commerce d’Albert SA est racheté par le groupe Artal sous le pilotage de la société Invus. De ce rachat découle la création de Children Worldwide Fashion, ainsi que la signature de l’accord de licence pour la marque « Burberry ».

En cinq ans, CWF a démarré des concessions intégrées de grands magasins en France avec les Galeries Lafayette ainsi qu’en Espagne avec El Corte Inglés.

En 2006, la signature de l’accord des licences « Marithé+François Girbaud », « Chloé », « Escada » et « Missoni » permettent à CWF d’ouvrir sa première boutique en propre, Younly, à Paris, et ainsi d’externaliser sa logistique.

(5)

Entre 2007 et 2008, l’entreprise a poursuivi le développement des concessions de grands magasins en Europe, La Rinascente en Italie, Inno en Belgique, House of Fraser au Royaume-Uni ainsi que des ouvertures de boutiques Younly à Dubaï et Saint Petersburg. Grâce à cette croissance, CWF a développé son activité mondiale sur de nouveaux territoires : Japon, Chine, Moyen Orient.

Entre 2009 et 2011, les accords de licences « BOSS enfant » et « Little Marc Jacobs » ont été conclus. Un nouveau concept a été lancé avec les boutiques « ATELIER DE COURCELLES » : 5 boutiques ouvertes fin 2009, une vingtaine d’ouvertures ont été réalisées en 2010 au niveau international.

En 2012, CWF créé sa propre marque de luxe pour enfant, nommée « BillieBlush », et détient maintenant des licences pour les 8 marques suivantes :

FIGURE 1 : MARQUES SOUS LICENCE DÉTENUES PAR CWF

(6)

3/ LE SYSTÈME D’INFORMATION

Un Système d’Information (couramment appelé SI) est une structure disposant de diverses ressources, telles que matériels, logiciels, personnels, données et procédures, dont le but est de regrouper, classifier, traiter et diffuser de l’information dans un environnement comme l’entreprise CWF.

Le SI représente donc l’ensemble des éléments participant à la gestion, au traitement, au transport et à la diffusion de l’information au sein de l’organisation.

Le système d’information peut recouvrir tout ou partie des éléments suivants :

 bases de données de l’entreprise ;

 progiciel de gestion intégré (ERP) ;

 outils de gestion (relation client, chaîne logistique, marketing) ;

 applications métier ;

 infrastructure réseau ;

 infrastructure système ;

 dispositifs de sécurité ;

Le système d’information de CWF est représenté par le service informatique qui est scindé en trois grandes parties :

 le pôle Systèmes & Réseaux

o Il comprend le responsable de cette équipe, un ingénieur systèmes et réseaux, deux techniciens ayant un rôle de support (helpdesk) pour les utilisateurs et un poste de stagiaire que j’ai occupé.

 le pôle développement

 le pôle Etude

Un système d’information a besoin d’éléments essentiels pour fonctionner correctement : une infrastructure systèmes et réseaux fiable, évolutive et redondante, afin d’assurer une pérennité ainsi qu’un plan de reprise et de continuité d’activité en cas d’incident majeur.

(7)

4/ L’INFRASTRUCTURE DU SYSTÈME D’INFORMATION DE CWF

D’une façon générale, une architecture informatique au sein d’une entreprise se présente en quatre grands points distincts :

 une infrastructure réseau

une DMZ (DeMilitarized Zone ou Zone Démilitarisée) fiable et sécurisée

 une infrastructure système

 une solution de stockage

Le service informatique dispose de deux salles serveurs afin d’assurer, comme vu dans le point précédent, la redondance et la fiabilité du service. Ces salles sont situées dans deux bâtiments physiquement distincts. Afin de les relier, des connexions par fibre optique ont été installées puis connectées au cœur de réseau dans chacune des deux salles. Le cœur de réseau, comme son nom l’indique, est le point névralgique où toutes les interconnexions sont effectuées. Il est composé de trois switchs, dont un switch fibre optique afin de recevoir, entre autres, les connexions des différentes baies de brassage réparties dans l’entreprise. Ces baies de brassage permettent d’amener le réseau au sein des différents services de la société. Chaque baie est donc constituée de plusieurs switchs montés en cascade. Le choix de la fibre optique n’est pas anodin : en effet, la quantité importante de données qui transite nécessite un débit conséquent que la technologie Ethernet ne peut fournir sur de longues distances (selon les normes définies par les RFC, un câble RJ45 ne peut excéder 100 mètres, puisqu’au-delà, la perte de qualité de signal est trop importante).

Le réseau de CWF ne s’arrête pas à des concepts de réseau local, puisqu’il abrite également une zone démilitarisée. Cette dernière, plus couramment appelée DMZ, est une zone située entre le réseau local de l’entreprise et l’Internet, permettant de faire tampon entre le réseau à protéger et le réseau hostile (Internet), grâce à des pare-feux situés à chacune des entrées (côté Internet et réseau local). Le fonctionnement des pare-feux extérieurs est simple : ils n’acceptent, globalement, que les connexions entrantes déjà existantes, c’est-à-dire initiées par un ordinateur du réseau local (par exemple, un ordinateur qui va aller chercher une page web). Ce concept est utilisé lorsque certains services ont besoin d’être accessibles depuis l’extérieur (serveur web, etc.). Cette zone permet de protéger les données internes à l’entreprise en les séparant réellement du réseau extérieur. La sécurité de la DMZ est indispensable à la sécurité des données de l’entreprise, et donc à sa survie dans un contexte concurrentiel.

(8)

II – MISSIONS

1/ INTRODUCTION

J’ai eu pour mission, au cours de mon stage, d’étudier et de mettre à jour une partie du Système d’Information, notamment la partie systèmes et réseaux, avec un questionnement qui pourrait être, pour la majeure partie de ce stage, le suivant :

« Comment simplifier et uniformiser l’authentification au sein d’un Système d’Information ? »

Ce rapport aura donc pour principal objectif d’apporter des éléments de réponse vis-à-vis de points très spécifiques concernant l’uniformisation et la simplification de l’authentification au sein du Système d’Information, mais n’aura pas que cette vocation, puisque je traiterai également d’autres sujets, que je juge importants et intéressants de par la complexité technique qu’ils ont représenté pour moi durant ces trois mois.

J’ai eu la chance d’être en autonomie sur différents sujets : à partir d’un existant et d’un but final, j’avais pour mission de rechercher, puis d’étudier les différentes technologies utilisables pour parvenir à la réalisation de chaque projet. J’ai eu, à cet effet, la possibilité de mettre en place une plateforme de tests composée :

 d’un serveur de virtualisation permettant de mettre en place plusieurs serveurs de test

 de machines clientes (ordinateurs de bureau, ordinateurs portables)

de bornes WiFi

de matériels Cisco (commutateurs, pare-feux …)

J’avais le contrôle total de ces équipements et ai donc pu mettre en place une architecture assez évoluée et assez représentative d’un réseau local.

Au contraire du développement, où il est assez simple de ne traiter qu’une seule mission, le domaine des systèmes et réseaux impose bien souvent une variété de sujets, souvent plus courts : c’est la raison pour laquelle ce rapport est décomposé en plusieurs parties, cependant, pour la majorité d’entre elles, un point central a dominé : l’authentification.

(9)

J’ai donc décidé de résumer mes recherches sur les sujets les plus importants, des manuels d’utilisation étant également disponibles en annexe pour permettre la mise en place de ces différents protocoles.

Les références bibliographiques et citations seront présentées selon le standard IEEE 2006

Les noms de serveurs et adresses éventuellement mentionnés dans ce rapport sont fictifs, pour des raisons de sécurité.

FIGURE 2 : TOPOLOGIE RÉSEAU DE TEST

Sur cette illustration, nous pouvons voir les éléments suivants :

Serveur : machine servant à rendre un service particulier à des clients

Point d’accès Wifi : équipement diffusant un signal WiFi permettant aux ordinateurs portables de se connecter au réseau

Commutateur (anglais : switch) : Equipement réseau permettant l’interconnexion de matériels (autres switchs, machines clientes …)

PC portable : machine transportable facilement dotée de matériel permettant l’accès à un réseau sans fil

(10)

PC de bureau : ordinateur moins facilement transportable, équipé de matériel réseau ne permettant l’accès qu’à un réseau câblé

Routeur : équipement permettant d’interconnecter des réseaux (réseau local, Internet, etc.)

Au niveau des fonctionnalités et services rendus, on trouvera :

le serveur AD, servant de contrôleur de domaine (Windows 2008 : Active Directory), de serveur DNS, et de serveur Radius ;

le serveur Radius, faisant office de proxy Radius (il récupère les requêtes de points multiples et les redirige vers AD) ;

le serveur proxy, utilisant la solution Trend Micro IWSVA, qui fera l’intermédiaire entre les utilisateurs et le Web.

l’ASA 5505, qui fera office de routeur et de pare-feu entre le réseau interne à l’entreprise et Internet.

Les trois premiers sont des serveurs qui sont virtualisés grâce à une solution de type ESXi, solution présentée au point B ci-dessous.

Le dernier est un équipement Cisco, présenté au point C ci-dessous.

A) INTRODUCTION À LA VIRTUALISATION

La virtualisation, technologie qui fait parler d’elle depuis quelques années, est une technologie permettant, à partir d’une seule machine physique, de faire fonctionner plusieurs systèmes d’exploitation, tous indépendants les uns des autres, de la même manière que s’ils étaient chacun sur une machine distincte. Toutes les ressources de la machine hôte (puissance de calcul, mémoire vive, disque dur, etc.) sont partagées entre les machines dites « virtuelles », selon les choix effectués par les administrateurs à l’installation desdites machines.

Etant donné que l’hyperviseur (le système qui va permettre la répartition des ressources) partage toutes les ressources, cela permet d’en optimiser la gestion. Par exemple, si l’on fait un rapide comparatif entre une machine physique avec 6 Gio de RAM et utilisant une technologie de virtualisation par rapport à 3 machines disposant de 2 Gio de RAM chacune :

(11)

1. Sur le serveur de virtualisation, celui-ci va répartir l’usage de la mémoire vive entre les 3 serveurs, dynamiquement (imaginons que l’administrateur affecte par exemple 3Gio de mémoire maximum à chaque machine) :

o lorsque le serveur 1 a besoin uniquement de 1 Gio de RAM, le reste sera disponible pour les autres machines

o lorsque le serveur 2 aura un besoin de plus de mémoire (par exemple les 3 Gio qui lui ont été alloués), il sera possible qu’il puisse les obtenir si les autres serveurs n’en ont pas besoin à ce moment là

2. Sur le serveur physique, la machine n’aura que 2 Gio de RAM, et même si, à un instant donné, elle a besoin de plus, elle ne pourra pas en avoir. De la même manière, si elle n’a pas l’utilité d’autant de mémoire, elle ne pourra pas en faire profiter à d’autres machines.

B) PRÉSENTATION D’ESXI

ESXi est un hyperviseur de virtualisation, édité par la société VMware, et est une version alternative d’un autre de ses produits « phare », ESX, avec quelques différences par rapport à celle- ci :

 la console de service est absente : l’administration de l’hyperviseur se fait obligatoirement à distance ;

 ESXi est doté d’une interface de gestion à distance ;

 ESXi est beaucoup plus léger qu’ESX (dû à la console de gestion qui a été retirée) ;

 ESXi peut être installé sur clé USB ;

 le pare-feu d’ESXi est beaucoup plus limité en fonctionnalités.

Une version d’essai de 60 jours est disponible gratuitement afin d’en tester les fonctionnalités.

C) PRÉSENTATION DE L’ASA 5505 Source : [1]

Les boitiers de sécurité adaptatifs de type ASA 5505, 5510, 5520 et 5540 sont des matériels de sécurité, de type pare-feu.

(12)

Ce sont les remplaçants des matériels nommés PIX, ils sont plus performants, plus efficaces, plus modernes, grâce à une architecture multi-processeurs.

Ces solutions permettent notamment :

 de mettre en place une défense proactive (devancer les attaques)

 de bloquer les attaques avant qu’elles ne se propagent

d’offrir une connectivité VPN en natif (pour les collaborateurs travaillant à l’extérieur du site)

Des boitiers de ce type ont été choisis pour assurer la sécurité entre le réseau Internet et le réseau interne de l’entreprise. Ces matériels ont cependant une configuration un peu différente par rapport aux autres équipements Cisco, qu’il faut appréhender et bien étudier avant de mettre en place certaines nouvelles fonctionnalités

(13)

2/ AUTHENTIFICATION AAA SUR MATÉRIEL CISCO

EXISTANT

Tout le matériel réseau de l’entreprise est de marque Cisco1 : celui-ci est très utilisé dans le monde professionnel, car de grande qualité. Avant mon arrivée, chaque matériel était configuré pour être administré par une connexion avec un seul utilisateur et un mot de passe : ceci pose différents problèmes :

 de sécurité (ancien personnel connaissant les mots de passe) ;

 de confidentialité (il est indispensable de divulguer ces mots de passe à quelques personnes de l’entreprise) ;

 de suivi (qui s’est connecté, et quand ?)

BESOIN

Parfois, l’équipe systèmes et réseaux a besoin de se connecter aux matériels d’interconnexion afin d’effectuer des modifications de configuration, ou toute autre opération de maintenance.

L’entreprise dispose d’un annuaire Active Directory : celui-ci permettrait de récupérer les comptes utilisateurs, et de vérifier quels droits a chacun sur le matériel réseau (par exemple technicien, ingénieur, etc.), et si cette personne a effectivement le droit de se connecter pour administrer le matériel.

Je vais étudier les différentes solutions possibles pour mettre une authentification comme celle-ci en place : ce type d’authentification porte le nom d’AAA2

Pour se faire, je vais donc orienter mes études sur trois possibilités : l’authentification via Cisco Secure Access Server, via un serveur Kerberos et via un serveur Radius.

Ces trois solutions sont, globalement, les seules méthodes permettant de mettre en place une politique AAA au sein d’une entreprise. Le protocole Radius semble le plus utilisé, mais il est possible que d’autres protocoles soient plus performants, ou offrent plus de possibilités. Je vais donc étudier ces différentes possibilités, afin de répondre au mieux au besoin.

1 Equipementier leader mondial de télécommunications

2 Authentication, Authorization and Accounting (authentification, autorisation et traçabilité)

(14)

J’étudierai également, pour le protocole retenu, quelle solution logicielle sera la plus opportune afin de mettre en place ces authentifications, en fonction principalement de critères :

 de coût ;

 d’adaptabilité (rajout de fonctionnalités dans le futur)

 de maintenance

 de configuration

Cette réflexion mènera à une solution complète d’authentification AAA pour les équipements Cisco, et sera, dans l’idéal, adaptative à d’autres besoins ultérieurs.

RECHERCHE

CISCO SECURE ACCESS SERVER

Cisco vend une solution appelée Cisco Secure Access Server, qui est une plateforme de contrôle d’accès, qui fonctionne sur plusieurs appareils :

 autorise la connexion des administrateurs de matériels ;

permet d’authentifier des utilisateurs VPN, d’accès distant ;

 authentifie des utilisateurs au niveau des connexions sans-fil et propose des sécurités spécifiques ;

 communique et audite les serveurs pour renforcer le contrôle d’admission.

Pour faire simple, Cisco Secure ACS permet de gérer l’accès aux ressources réseau pour une grande variété de types d’accès, matériels, et groupes utilisateurs. Etant donné qu’elle est développée par Cisco, cette solution est celle qui offrirait la plus grande flexibilité, et le plus grand nombre de possibilités pour l’administration des équipements.

Cependant, les prix pour une solution TACACS débutent à plus de 9000€. Pour des contraintes de coût, elle sera dans un premier temps écartée, le temps que les autres solutions puissent être étudiées en profondeur.

(15)

KERBEROS

PRÉSENTATION Kerberos est un protocole d’authentification créé au MIT3.

Il utilise des clés secrètes pour fonctionner, et remplace les mots de passe par des tickets, rendant plus difficile l’interception de ces mots de passe.

Son nom provient du nom grec de Cerbère, gardien des Enfers.

On pourrait faire une analogie de son fonctionnement avec le fonctionnement d’une billetterie de cinéma, se déroulant en 3 étapes :

1. Le client paye son ticket

2. A l’entrée, un employé du cinéma déchire le ticket et en garde la moitié

3. Si besoin, on peut vérifier que les deux morceaux vont ensemble et n’ont pas été falsifiés

Sa durée de vie est limitée (1 séance, généralement)

3 Massachussets Institute of Technology

(16)

FONCTIONNEMENT

FIGURE 3 : PROCESSUS D'AUTHENTIFICATION KERBEROS

Le serveur hébergeant l’AD utilise déjà Kerberos, puisque c’est le protocole utilisé nativement pour l’authentification des ordinateurs clients dans un domaine Microsoft. Il devrait donc être possible d’authentifier les matériels Cisco via cet AD, directement. De plus, les switchs, routeurs et firewalls Cisco sont compatibles Kerberos depuis IOS4 version 11.2

Cependant, le protocole Kerberos ne fournit que le service d’Authentification (qui permet de savoir si une personne a le droit de se connecter au matériel). Il faudra se tourner vers d’autres solutions pour mettre en place l’Autorisation (qui indique quels droits à la personne sur le matériel) et la Traçabilité (qui s’est connecté, quand, et sur quel équipement)

Pour des raisons de facilité de mise en œuvre, de limitation du nombre de protocoles utilisés et de limitations techniques et de maintenance, la mise en place de Kerberos sera malheureusement également écartée.

4 IOS : Système d’exploitation des matériels CISCO

(17)

RADIUS

PRÉSENTATION

LE PROTOCOLE RADIUS (REMOTE AUTHENTICATION DIAL-IN USER SERVICE) EST UN PROTOCOLE D’AUTHENTIFICATION STANDARD. LE FONCTIONNEMENT DE RADIUS EST BASÉ SUR UN SYSTÈME CLIENT/SERVEUR CHARGÉ DE DÉFINIR LES ACCÈS D’UTILISATEURS DISTANTS À UN RÉSEAU. […]. LE PROTOCOLE RADIUS REPOSE PRINCIPALEMENT SUR UN SERVEUR, RELIÉ À UNE BASE D’IDENTIFICATION COMME UNE BASE DE DONNÉES OU UN ANNUAIRE, ET UN CLIENT RADIUS, FAISANT OFFICE D’INTERMÉDIAIRE ENTRE L’UTILISATEUR FINAL ET LE SERVEUR.

L’ENSEMBLE DES TRANSACTIONS ENTRE LE CLIENT RADIUS ET LE SERVEUR EST CHIFFRÉ ET AUTHENTIFIÉ GRÂCE À UN SECRET PARTAGÉ. [1]

Le protocole RADIUS est implémenté dans IOS depuis la version 11.1

FONCTIONNEMENT

(18)

FIGURE 4 : FONCTIONNEMENT D'UNE ARCHITECTURE RADIUS SUR CONNEXION WIFI

Sur cette figure, on voit le déroulement d’une authentification par Radius, qui se déroule en 5 étapes :

1. PC-portable envoie à Borne-WiFi les identifiants et mot de passe de l’utilisateur qui désire se connecter au réseau ;

2. Borne-WiFi chiffre le mot de passe grâce au secret qu’il partage avec Serveur Radius, et transmet ces informations à celui-ci ;

3. Serveur Radius lit le mot de passe de l’utilisateur qu’il a dans sa base de données (l’administrateur est libre de choisir plusieurs méthodes de stockage des utilisateurs), chiffre celui-ci avec le secret partagé puis le compare avec celui envoyé par Borne- WiFi (c’est le principe d’irréversibilité du chiffrage, qui permet de chiffrer un mot de passe avec un secret partagé mais ne permet pas de le déchiffrer : le MD5 fonctionnera sur le même principe) ;

4. Serveur Radius renvoie sa réponse :

a. Access-Accept, s’il autorise la connexion b. Access-Reject, s’il refuse la connexion

c. il peut également renvoyer d’autres attributs, en fonction de sa configuration 5. Borne-Wifi reçoit la réponse de Serveur Radius, et accepte, ou non, l’utilisateur en

fonction de celle-ci.

Il est bien évidemment primordial que le secret partagé reste secret entre la borne et le serveur, car dans le cas contraire la sécurité des mots de passe risquerait d’être compromise.

PROTOCOLES ET SERVICES RENDUS

(19)

FIGURE 5 : TABLEAU DES MÉTHODES SUPPORTÉES PAR LES DIFFÉRENTS PROTOCOLES

La figure ci-dessus indique le support de chaque protocole au niveau des 3 méthodes (Authentification, Autorisation et Traçabilité), pour les matériels de type ASA principalement (les autres équipements ne supportant pas nécessairement tous ces protocoles).

Il est donc facile de remarquer que le TACACS+ (protocole de Cisco) est compatible avec tout, tandis que Kerberos est uniquement limité à l’Authentification.

Cependant, le protocole Radius tire son épingle du jeu avec quasiment toutes les méthodes supportées. Il ne reste que l’autorisation de l’administrateur, qui, via IOS, se contourne en utilisant un utilisateur fictif nommé $enabXX, où XX est remplacé par un nombre compris entre 1 et 15, et qui représente le niveau d’autorisation accordé : ainsi, on peut créer 15 niveaux d’autorisation différents, tous avec un mot de passe différent : malheureusement, il n’est pas possible d’affecter à un compte d’utilisateur un niveau d’autorisation, bien que le serveur Radius le permette et le prenne en charge : c’est une limitation du système de Cisco, IOS.

CHOIX FINAL DU PROTOCOLE

Après étude des principaux protocoles permettant l’authentification AAA sur un équipement Cisco, il ressort principalement 2 critères d’exclusion concernant les deux premiers :

(20)

Cisco Secure Access Server, et son protocole TACACS+, est écarté pour son coût trop élevé ;

Kerberos est écarté par sa limitation technique et sa complexité de mise en œuvre.

Il reste donc le protocole Radius, qui semble, lui, n’avoir aucun aspect négatif à son utilisation, notamment parce que :

il est sécurisé ;

il n’est pas lié à l’achat de serveurs spécifiques ;

il est très compatible, polyvalent, et semble pouvoir s’adapter à toute quantité de situations.

La partie suivante va donc faire un comparatif entre deux solutions mettant en œuvre le protocole Radius : NPS, le serveur Radius intégré à Windows Server 2008, et FreeRadius, solution libre la plus utilisée au monde5.

NPS, SERVEUR RADIUS DE MICROSOFT

WINDOWS SERVER

Windows Server est une marque, déposée par Microsoft, pour sa gamme de systèmes d’exploitation dédiée pour les serveurs.

Un serveur est une machine, parfois physique, parfois virtualisée (cf p. Error: Reference source not found : Error: Reference source not foundError: Reference source not found), destinée à rendre un service à un ou des clients, comme par exemple l’affichage d’un site web, le partage de données, etc.)

Tout serveur de type Windows Server est capable d’héberger un serveur NPS, qui fait office de serveur Radius : la dernière version sur le marché est la version 2008 R2, la suivante étant la version 2012, la précédente étant la version 2003. Généralement, les sorties de nouvelles versions de Windows Server coïncident avec une sortie d’un système pour le grand public :

 Windows server 2003 est sorti avec Windows XP ;

 Windows Server 2008 est sorti avec Windows Vista ;

 Windows Server 2012 sortira avec Windows 8, prévu pour le 26 octobre 2012.

5 voir http://freeradius.org/

(21)

CWF, parmi sa centaine de serveurs, migre progressivement ses anciens serveurs Windows Server 2003 vers des versions 2008, et n’installe de nouveaux serveurs qu’avec cette version. Cela permet à CWF d’être toujours à jour au niveau de sa sécurité et des fonctionnalités rendues.

Windows Server 2008 est décomposé en plusieurs versions, permettant plus ou moins de fonctionnalités, et à des tarifs différents, avec notamment, pour principales :

 Web Server ;

 Standard ;

 Enterprise ;

 Datacenter ;

 Foundation.

CWF installe principalement des versions Standard, moins coûteuses que les versions Enterprise, mais bien moins limitées que les versions Web Server, destinées uniquement pour l’hébergement de sites web.

NPS

NPS6 est le remplaçant, sous Windows Server 2008, d’IAS7, présent lui sur les systèmes Windows Server 2003.

Il a pour principale fonctionnalité de servir de serveur Radius, et peut servir également de proxy ou de sécurisation d’accès.

La version Standard de Windows Server 2008 limite à 50 le nombre de clients Radius (un client étant par exemple une borne WiFi, ou un équipement Cisco). Cependant, cette limite n’est pas clairement indiquée par le système : c’est en ajoutant le 51ème client qu’un message d’erreur assez peu explicite fait son apparition, empêchant l’ajout d’un client supplémentaire.

Une solution à cette limite existe, et elle consiste à passer sur une version supérieure de 2008 Server, par exemple la version Enterprise ou Datacenter, qui suppriment cette limite de clients. Cela a un coût, et s’il n’est pas possible de trouver une solution moins coûteuse, on la retiendra.

Cependant, une alternative semble possible avec Freeradius.

6 Network Policy Server

7 Internet Authentication Service

(22)

FREERADIUS AVEC AUTHENTIFICATION SUR LDAP

FreeRadius est une implémentation libre et gratuite du protocole RADIUS, qui permet donc d’ajouter à son réseau un serveur répondant aux besoins de l’AAA. Il est considéré comme étant le plus utilisé au monde des serveurs RADIUS. Il peut s’authentifier auprès de fichiers texte, d’une base SQL, d’un annuaire LDAP, d’une base SQL, et auprès de bien d‘autres services par le biais de modules supplémentaires. Ici, on montrera l’authentification auprès d’un annuaire LDAP, qui stocke déjà actuellement des utilisateurs : cette solution a été retenue pour sa simplicité d’usage : en effet, il apparaîtrait trivial de récupérer la liste d’utilisateurs à intervalles réguliers, afin d’alimenter une seconde base, et d’obtenir une architecture soumise à beaucoup de risques :

 de synchronisation ;

 d’incompréhension (utilité d’avoir un réplica de la première base ?) ;

 de lourdeur (doublement des données).

Le choix de Freeradius s’est imposé parce que c’est une référence dans le domaine de l’authentification Radius, et que, de plus, il permet de conserver des coûts très limités (au vu de la licence libre et gratuite)

LDAP est protocole devenu un standard permettant l’interrogation et la modification des services d’annuaire, reposant sur TCP/IP. On peut trouver des annuaires compatibles LDAP sur toutes les plateformes, comme par exemple OpenLDAP sur un système GNU/Linux ou Active Directory sur un système Microsoft (Microsoft ayant ajouté des couches supplémentaires à son annuaire).

FONCTIONNEMENT

Dans la configuration de FreeRadius, il va falloir lui spécifier plusieurs renseignements, tels que le schéma de l’annuaire, son adresse, ainsi que le mot de passe de l’administrateur de celui-ci (cette obligation est due à Windows Server, qui n’autorise pas la connexion anonyme sur son annuaire). A chaque requête, notre serveur Radius va donc aller effectuer une requête auprès de la fonctionnalité LDAP de l’Active Directory, et celui-ci répondra si l’utilisateur est autorisé ou pas à se connecter.

Cependant, une seule configuration est envisageable : en effet, le module est configuré de telle sorte qu’il aille chercher, par exemple, les utilisateurs dans l’unité Personnes de l’annuaire : que se passe- t-il si, dans le futur, nous désirons rajouter une nouvelle fonctionnalité utilisant l’authentification Radius, telle que, par exemple, une authentification des clients sans-fil au sein de l’entreprise ?

(23)

La réponse est simple : il ne sera pas possible de cumuler les deux avec deux configurations différentes. On ne pourra par exemple pas authentifier une machine, il faudra obligatoirement authentifier un utilisateur, qui sera dans l’unité Personnes de l’annuaire, et qui enverra son mot de passe d’une manière non chiffrée (donc non sécurisée).

Dans le cadre d’un serveur voué à n’accueillir qu’un seul service d’authentification, cela pourrait suffire, mais l’entreprise étant en perpétuelle évolution, cette configuration n’est pas envisageable.

Dans la partie suivante, nous verrons qu’il est possible d’utiliser FreeRadius en tant que proxy, et les conséquences de ceci.

CONFIGURATION DE FREERADIUS EN TANT QUE PROXY Nous nous retrouvons donc avec, globalement, 2 contraintes :

 le coût d’une licence Enterprise, ou la limite à 50 clients Radius sur la version Standard de Windows Server 2008.

les problèmes de configurations multiples d’une authentification FreeRadius sur LDAP.

Serait-il possible, par exemple, d’obtenir les fonctionnalités de NPS, avec autant de clients que l’on souhaite, sans changer de licence et sans dépasser le nombre de 50 clients ?

INTRODUCTION AU FONCTIONNEMENT D’UN PROXY

Un serveur proxy est un serveur qui va servir d’intermédiaire entre un client et un autre serveur, en se faisant passer pour le client auprès de l’autre serveur. Généralement, ce système de proxy est utilisé afin d’augmenter la sécurité du parc informatique, ou d’augmenter les performances d’un réseau local, parce qu’il peut être associé de plusieurs services, tels que, dans l’exemple d’un proxy web (le plus couramment rencontré) :

 un service de cache (les éléments fréquemment demandés sont stockés en local) ;

 un service antiviral (les retours de requêtes vont être scannés) ;

un service de sécurité (certaines requêtes vont être autorisées, d’autres non).

(24)

FIGURE 6 : FONCTIONNEMENT D'UN PROXY

Cette figure illustre parfaitement le fonctionnement d’un proxy : à gauche se situe le réseau local, composé de machines clientes, et qui envoient toutes leurs requêtes vers la machine faisant office de proxy. Celle-ci contacte les serveurs Internet avec les requêtes des clients, en se faisant donc passer pour eux (en réalité, le serveur sur Internet croira que toutes les requêtes viennent de la même machine, qui est donc le serveur proxy), et répond aux clients en se faisant passer pour les serveurs présents sur Internet : le fonctionnement est donc totalement transparent pour les clients, qui, selon la configuration, peuvent ne pas s’apercevoir qu’ils passent au travers d’un proxy.

MISE EN PLACE ET CONFIGURATION

Une solution de proxy via Freeradius a été imaginée, et a semblé pertinente, à la fois pour des raisons de simplicité de et maintenance : en effet, Freeradius supporte, à l’instar des licences Enterprise et Datacenter de Windows Server, l’ajout de sous-réseaux en tant que clients. Cela permet donc d’ajouter très simplement un nombre important de clients, sans devoir les ajouter un par un, comme c’est le cas sur Windows Server Standard. De plus, l’aspect gratuit de la solution a joué dans la décision finale, ainsi que mon intérêt personnel pour les solutions open-source.

La configuration est assez simple, et fonctionnera sur tout mécanisme d’authentification choisi : en effet, le Freeradius n’agira qu’en tant que proxy, ce qui signifie qu’il ne fera que transférer les requêtes vers le serveur Windows Server, qui lui, n’aura donc qu’un seul client configuré.

Il suffira de spécifier dans les modules à activer de n’activer qu’IPASS, et de configurer les royaumes (REALMS) dans son fichier de configuration.

Le module détectera ensuite, selon qu’un nom de domaine soit indiqué ou non dans chaque requête : exemple OLIVIER\Administrateur, ou EPSI\utilisateur, le serveur vers lequel il doit

(25)

renvoyer cette requête afin qu’elle soit traitée. Il est possible de ne travailler qu’avec un serveur, ou bien, si l’on dispose de plusieurs royaumes, de définir un serveur pour chacun. Une fois le résultat reçu, le module retransmettra le résultat reçu au client.

FIGURE 7 : TOPOLOGIE DU RÉSEAU AVEC PROXY RADIUS

Sur cette figure, Switch0 et Switch1 servent d’interconnexion aux différents matériels possibles : ceux-ci sont administrables, et une configuration Radius leur sera appliquée.

Switch2 n’est présent que pour montrer qu’il est également possible de configurer des équipements

« esseulés », pouvant représenter n’importe quel équipement réseau.

Les PC portables se connecteront via une authentification Radius également, le proxy recevant donc toutes les connexions des machines et équipements et redirige tous ces flux vers le serveur Radius final, sans faire de distinction entre les différentes méthodes d’authentification (EAP, PEAP, LEAP, MsCHAP …).

Le serveur final, fonctionnant avec Windows Server, saura faire la distinction et appliquer la bonne procédure définie à chaque protocole d’authentification.

CONCLUSION QUANT À LA CONFIGURATION DE FREERADIUS

La configuration de Freeradius avec authentification via LDAP implique que le mot de passe de l’administrateur soit rentré dans un fichier de configuration : cela peut poser des problèmes de

(26)

sécurité. De plus, nous rencontrerons des problèmes lorsqu’une autre architecture va être installée sur l’infrastructure, notamment une authentification via Radius des clients WiFi.

En effet, la configuration effectuée dans le cas d’une authentification par LDAP est spécifique à un type de connexion, et toute requête arrivant au serveur sera traitée de la même manière par le module LDAP.

Ainsi, il faudra jongler, au niveau de l’AD, à détecter de quel endroit provient chaque requête, et adapter en conséquence : la maintenance en devient rapidement trop complexe.

Il ne sera donc pas idéal de devoir gérer au niveau de l’AD ces différentes requêtes. Pour cette raison, l’utilisation du module LDAP de Freeradius sera abandonnée, malgré sa simplicité d’usage et ses possibilités offertes. La configuration de Freeradius en tant que proxy apparaît la solution la plus stable, la moins coûteuse, et la plus maintenable possible.

(27)

3/ AUTHENTIFICATION CENTRALISÉE DES SERVEURS LINUX

EXISTANT

Actuellement, tous les serveurs Windows sont automatiquement joints au domaine : étant supporté nativement, c’est donc très simple de le faire, et cela apporte beaucoup d’avantages (résolution de noms simplifiée, authentification centralisée, services supplémentaires, etc.)

Cette situation n’a pas été exportée vers les serveurs Linux (distribution Debian), car n’est pas supportée nativement, et nécessite quelques ajustements afin de pouvoir fonctionner convenablement

BESOIN

Il apparaît évident qu’une solution comme celle d’un seul compte utilisateur par machine vienne à poser de multiples problèmes dans le futur, au même niveau que les problèmes touchant les matériels Cisco : confidentialité, sécurité, etc.

Il faut donc étudier une solution permettant d’authentifier ces machines Non-Windows sur le domaine, qui lui fonctionne avec Windows.

RECHERCHE

1. AUTHENTIFICATION SUR L’ANNUAIRE LDAP

Active Directory étant compatible avec le protocole LDAP, il est possible d’utiliser celui-ci pour interroger la partie LDAP de l’AD.

Toutes les documentations qu’on peut trouver à ce propos ont entre 7 et 12 ans, et sont donc clairement dépassées technologiquement : si cette méthode d’authentification pouvait s’envisager il y a encore 5 ans, elle n’est plus acceptable aujourd’hui, elle est totalement obsolète.

Cette méthode d’identification fait transiter le mot de passe en clair (sans chiffrage) sur le réseau, ce qui est un comportement qui est peu recommandé.

Cette technologie ne permet pas, non plus, de conserver son identification pour l’accession des partages réseau : il faudra s’authentifier à nouveau quand on désirera accéder à chaque disque réseau (chaque utilisateur ayant en moyenne accès à 4 lecteurs réseau)

(28)

FIGURE 8 : AUTHENTIFICATION LDAP

1. AUTHENTIFICATION VIA LE PROTOCOLE KERBEROS

Le protocole Kerberos est celui utilisé par défaut pour les connexions des utilisateurs Windows.

Le client Linux va utiliser Kerberos pour s’authentifier, et LDAP pour obtenir les informations relatives au compte.

Le protocole Kerberos est celui utilisé par défaut pour les connexions des utilisateurs Windows.

Le client Linux va utiliser Kerberos pour s’authentifier, et LDAP pour obtenir les informations relatives au compte.

FIGURE 9 : AUTHENTIFICATION AVEC KERBEROS ET LDAP

(29)

2. AUTHENTIFICATION VIA WINBIND

La troisième solution est d’utiliser le démon appelé Winbind pour transformer les appels de Linux en appels compatibles Active Directory.

Ce démon va se charger de transformer toute requête d’authentification dans des méthodes que comprendra l’Active Directory, et fera le nécessaire pour contacter celui-ci. De l’autre côté, il n’y a que peu de choses à rajouter à la configuration, il suffit juste d’indiquer au démon PAM8 que c’est Winbind qui se charge de l’authentification.

FIGURE 10 : AUTHENTIFICATION AVEC WINBIND

3. SOLUTION RETENUE

Au premier abord, la seconde solution, apparaissant plus simple à mettre en œuvre, avait été retenue.

Cependant, au fur et à mesure des tests et des recherches, il est apparu que cette solution était finalement beaucoup plus complexe à mettre en œuvre et potentiellement destructrice. Elle utilisait en effet les fonctionnalités LDAP de l’Active Directory - ces fonctionnalités étant limitées par Microsoft, les champs de l’annuaire étant spécifiques pour la gestion des utilisateurs d’un domaine Windows. Il aurait donc fallu apporter de lourdes modifications à la structure de l’annuaire pour pouvoir mettre en place ces solutions, qui risquaient donc d’endommager le fonctionnement pour les clients Windows.

Finalement, c’est la troisième solution qui sera mise en œuvre, puisqu’elle est transparente pour l’annuaire (pas de modification de structure, il ne voit rien d’autre qu’une machine comme une autre), et c’est un démon sur chaque machine Linux qui se chargera d’effectuer la compatibilité et

8 Pluggable Authentication Modules : démon d’authentification utilisé par défaut sur les machines Linux

(30)

d’aller chercher dynamiquement dans l’annuaire les utilisateurs. Cependant, l’accès via le compte local de la machine est toujours possible sans manipulation spécifique, ce qui permet de garder le contrôle en cas de panne sur le réseau (annuaire, réseau, etc.)

Afin de faciliter l’intégration au domaine des serveurs, j’ai proposé un script afin que la jonction du domaine s’effectue en seulement quelques secondes (contre plusieurs minutes de manipulations répétitives lorsque l’on configure manuellement), avec le moins d’actions humaines à effectuer, tout en conservant un niveau de sécurité optimal : aucun mot de passe n’est renseigné dans ce script d’automatisation.

(31)

4/ AUTHENTIFICATION DES MACHINES CONNECTÉES SANS FIL

EXISTANT

Les ordinateurs portables doivent s’authentifier afin de pouvoir accéder au réseau sans-fil de l’entreprise. Pour cela, un paramétrage doit être effectué sur chaque machine après installation afin de rentrer un nom d’utilisateur et un mot de passe qui permettront l’authentification de l’ordinateur.

BESOIN

On voudrait, pour des raisons de simplification, une automatisation de ce procédé afin d’éviter de devoir passer sur chaque machine rentrer l’identifiant et le mot de passe spécifique afin que l’utilisateur aie accès au réseau. Cela complique les changements de postes, et donne un travail supplémentaire aux administrateurs.

RECHERCHE

Les moyens de sécurisation d’un réseau sans fil de type Wi-Fi sont nombreux, et évoluent rapidement.

On trouvera des moyens de sécurisation orientés grand public, et des moyens de sécurisation plus axés vers le monde professionnel, mais plus compliqués à mettre en œuvre.

SOLUTIONS GRAND PUBLIC - le WEP (dépassé depuis des années) - le WPA-PSK (moyennement fiable) - le WPA2-PSK (assez fiable)

Ces solutions se basent sur une clé partagée entre le point d’accès et la station cliente, et n’est que très difficilement applicable à l’entreprise, pour les raisons suivantes :

 chaque poste doit avoir cette clé, et donc un changement régulier de clé est très contraignant, voire impossible lorsque le parc devient conséquent. ;

 le non-changement de cette clé expose l’entreprise à des risques (anciens employés, matériel volé, etc.) ;

(32)

 des pirates pourraient finir par découvrir cette clé de chiffrage en écoutant le réseau, et ainsi s’y connecter.

SOLUTIONS PROFESSIONNELLES - le WPA-Entreprise

- le WPA2-Entreprise

- le contrôle d’accès via la norme 802.1X et le protocole EAP

Le WPA2 n’est qu’une version mise à jour de WPA, supportant un algorithme plus sûr que l’ancienne version (AES au lieu de TKIP)

Ces trois solutions sont basées sur un serveur d’authentification (Radius pour le 802.1X, une diversité pour le WPA/WPA2)

PROTOCOLE EAP

Extensible Authentication Protocol (EAP) est un mécanisme d'identification universel, fréquemment utilisé dans les réseaux sans fil.

Il existe 5 types d’EAP officialisés par les standards WPA/WPA2 :

• EAP-TLS

• EAP-TTLS/MSCHAPv2

• PEAPv0/EAP-MS-CHAPv2

• PEAPv1/EAP-GTC

• EAP-SIM

Il en existe cependant d’autres, ceux-ci étant les plus connus.

EAP-TLS

C’est le seul protocole obligatoirement supporté par un appareil portant le logo WPA ou WPA2.

Il oblige d’avoir un certificat de chaque côté de l’identification. L’utilisation de ce protocole est donc sécuritaire, mais très contraignante.

(33)

EAP-TTLS

Très bon niveau de sécurité, un certificat est présent au niveau du serveur uniquement. Il faudra cependant toujours rentrer manuellement un nom d’utilisateur et un mot de passe pour pouvoir se connecter.

PEAP Protocole similaire à EAP-TTLS : il en existe 2 versions :

• PEAPv0/EAP-MS-CHAPv2, développé par Microsoft

• PEAPv1/EAP-GTC PEAP se déroule en 2 étapes :

1. Identification du serveur (optionnel)

2. Identification du client au travers d’un tunnel chiffré

EAP-SIM

Protocole d’authentification pour mobiles, ne nous concernant pas dans le cadre de ce rapport.

CHOIX MIS EN PLACE

Les clients utilisant un système d’exploitation Microsoft, et l’annuaire (le serveur auprès duquel les clients vont s’authentifier) également, le choix se limite rapidement : en effet, Windows ne supporte nativement que PEAP et MS-CHAPv2, protocole développé par Microsoft lui-même, et qui est une modification du protocole d’authentification CHAP, permettant l’authentification sans avoir de mot de passe transitant en clair sur le réseau.

Le choix va donc, pour des raisons de compatibilité et de sécurité, à une authentification via PEAPv0/MS-CHAP-v2, supportée nativement par Windows.

MS-CHAP-v2 est défini par la RFC 2759.

(34)

CE QUI SE PASSE DANS LA PRATIQUE Rappel : topologie du réseau

FIGURE 11 : RAPPEL DE LA TOPOLOGIE RÉSEAU

1. pc-portable contacte AP via la technologie Wi-Fi : celui-ci contacte Radius, qui transmet la requête de connexion à AD (Radius agissant comme un simple proxy).

AD répond avec un « Challenge » (une série aléatoire de caractères), qui est retransmis tour à tour à Radius, puis à AP, puis à pc-portable.

2. pc-portable calcule une valeur de réponse en fonction du mot de passe de l’utilisateur (la connexion sans-fil est configurée pour envoyer les identifiants servant à

authentifier l’utilisateur), et le renvoie à AD.

3. AD connaissant le mot de passe de l’utilisateur, il sait la valeur qu’il est censé recevoir : si celle-ci est correcte, il renvoie un Access-Accept à pc-portable, qui autorise donc pc-portable à se connecter à la borne ; sinon, il envoie un Access- Reject, qui n’autorise pas pc-portable à être associé à la borne.

A intervalle aléatoire, AD renverra à nouveau un challenge permettant de confirmer l’authentification de l’utilisateur (et éviter une éventuelle usurpation d’identité)

(35)

Le chiffrage utilisé pour la transmission des données est le WPA. A cela, 802.1X propose une rotation à intervalles prédéfinis (par l’administrateur) des clés WPA. Ce délai peut souvent être choisi de 10 secondes à plusieurs jours. Ceci signifie que la borne informera les stations clientes (donc authentifiées avec le 802.1X) du changement de clé : si un pirate venait à écouter ce qui se passe sur le réseau, il n’arriverait pas à capturer une quantité suffisante de données afin de déchiffrer la clé avant que celle-ci ne soit changée. [3]

(36)

5/ PROXY TRANSPARENT SUR FIREWALL CISCO

EXISTANT

Les navigateurs Internet (Internet Explorer, Mozilla Firefox, Google Chrome …) des ordinateurs sont configurés pour utiliser un proxy, et seul ce proxy est autorisé à accéder à Internet. Sans cette configuration renseignée dans chaque navigateur, l’accès à Internet est impossible. Cette politique a été mise en place afin d’obliger les utilisateurs à passer par le proxy. Celui-ci fait office de première barrière antivirale, puisqu’il scanne le contenu des pages web et des téléchargements par rapport à une liste de virus connus, et empêche ceux-ci d’arriver sur les machines clientes.

Le proxy est un IWSVA, édité par la société Trend Micro.

PROBLÈMES

Les ordinateurs portables de l’entreprise changent de lieu, et donc la configuration doit être changée manuellement, puisque bloquant l’accès Internet à l’extérieur de l’entreprise (le proxy n’est pas accessible depuis l’extérieur de l’entreprise) si le proxy est renseigné et bloquant l’accès Internet à l’intérieur de l’entreprise si celui-ci n’est pas renseigné (comme indiqué en A)

BESOIN

Permettre de ne plus avoir besoin de proxy configuré dans le navigateur de chaque ordinateur. Pour cela, étude du protocole WCCP, de son activation sur le pare-feu, et études des conséquences et limitations du protocole. Le but final sera d’appliquer la configuration sur le pare-feu actuel.

A) RECHERCHE

1/ PRÉSENTATION D’IWSVA

IWSVA9 est une solution de sécurité éditée par Trend Micro, fonctionnant sur plusieurs plateformes : Linux, Solaris et Windows, avec comme rendu final une interface web permettant l’administration depuis n’importe quel ordinateur du réseau. Un accès via SSH sera aussi possible si la solution est installée sur des machines Linux.

Dans la liste de ses fonctionnalités, on peut citer :

9 InterScan Web Security Virtual Appliance

(37)

 une protection contre les menaces Internet ;

 une protection antivirale ;

 une protection contre les logiciels malveillants (espionnage de frappe, etc) ;

 une protection contre le phishing ;

une intégration facile dans LDAP ou Active Directory ;

 une surveillance en temps réel ;

 un filtrage des sites web autorisés ou interdits ;

 et encore bien d’autres fonctionnalités mineures.

Cette solution est apparue comme la plus performante par de nombreux tests, et c’est celle qui a été choisie par l’entreprise, et qu’elle utilise actuellement.

2/ PRÉSENTATION DE WCCP

WCCP (Web Cache Communication Protocol) est un protocole développé par Cisco qui permet la gestion dynamique d’un système de cache, dans le but de réduire la latence et le trafic web. WCCP est supporté par divers équipements de marque Cisco, tels que les routeurs, les pare-feux, et certains commutateurs travaillant sur la couche 4 du modèle OSI.

C’est un protocole qui va, en temps réel, analyser le trafic entrant sur une interface de l’équipement, et, premièrement, il va appliquer à ce trafic les règles de contrôle d’accès qui s’appliquent. Ensuite, s’il trouve une correspondance par rapport à sa configuration, va renvoyer ce flux vers le proxy (beaucoup de proxys sont compatibles) : en revanche, si le trafic ne correspond pas à sa configuration, celui-ci part directement vers Internet.

La version 12.1 d’IOS ou supérieure est requise pour utiliser les fonctionnalités de WCCPv2, qui permet notamment le support d’autres protocoles que le HTTP et HTTPS, et supporte les groupes de service (255 groupes configurables).

Trend Micro déconseille les versions 12.2(23) et 12.3(9) d’IOS, car elles sont reconnues comme ayant des problèmes avec WCCP.

(38)

FIGURE 12 : FONCTIONNEMENT DU WCCP

Explications concernant cette figure : 1- Un client envoie sa requête

2- Le routeur intercepte la requête et la renvoie vers le cache 3- Le cache va chercher le contenu désiré

4- Le cache répond au client

Il n’y a pas de configuration à effectuer sur les clients, le fonctionnement étant totalement

transparent pour ceux-ci (il n’y a plus de configuration à rentrer manuellement dans les navigateurs)

4/ NON PRIORITÉ DU PROTOCOLE

Le protocole n’est cependant pas prioritaire par rapport à d’autres règles qui auraient pu être mises en place.

(39)

Par exemple, une ACL en entrée prend toujours la priorité sur WCCP.

 Si, par exemple, on désire bloquer l’accès au site web « www.google.fr », alors dans ce cas cette règle devient prioritaire, et le site de Google ne sera pas accessible pour les clients à l’intérieur du réseau : le WCCP ne sera pas appliqué

 Cependant, si on désire autoriser explicitement un autre site Internet, cela ne l’empêchera pas de passer par le filtre WCCP après.

Si on devait schématiser ce fonctionnement, on pourrait obtenir quelque chose comme la figure suivante :

Sur cette figure, on peut observer la priorité du traitement du WCCP :

Quelque soit le site visité (l’exemple pris ici n’est de traiter que du Web), toute la liste va être testée, règle par règle :

 imaginons que, par exemple, nous désirions accéder à www.google.fr : 1. la règle 1 ne correspond pas

2. la règle 2 correspond : bloquer le trafic

 maintenant, imaginons que nous voulions accéder à www.epsi.fr :

1. la règle 1 correspond : le trafic est autorisé, cependant il sera quand même traité par le WCCP

 si maintenant, nous voulons accéder à www.free.fr : 1. la règle 1 ne correspond pas

2. la règle 2 ne correspond pas 3. la règle 3 ne correspond pas

Règle 1 : autoriser www.epsi.fr Règle 2 : interdire www.google.fr

Règle 3 : autoriser www.olivier-raulin.fr Si accepté : WCCP s’applique

FIGURE 13 : PRIORITÉ DU WCCP

(40)

4. le trafic est rejeté par défaut, il ne passera donc pas par le WCCP

Le fonctionnement de ce protocole est donc un peu particulier, et pas simple à comprendre au premier abord.

5/ SERVICES WCCP COURANTS Service 0 : HTTP10

Service 53 : DNS11 Service 60 : FTP12 Service 70 : HTTPS13

Service 80 : Streaming RTSP14 Service 90-97 : Personnalisables Service 99 : proxy inverse

Ces services, bien que semblant être figés, sont entièrement configurables sur l’ASA via des ACL.

6/ PROBLÈMES ENTRE WCCP ET IWSVA

Une fois la plateforme de test mise en place et fonctionnels, on m’a apporté quelques détails sur ce qui est actuellement mis en place, principalement au niveau du service comptabilité.

Parmi ces spécificités, on trouve :

 Des accès directs vers certaines adresses, sans passer par le proxy

 Des serveurs effectuant des requêtes sur d’autres protocoles que du HTTP(s)

Il a donc été nécessaire d’étudier la mise en place de ces spécificités entre l’ASA et la solution de sécurité IWSVA

AUTRES PROJETS EFFECTUÉS

En ce qui concerne les autres projets sur lesquels j’ai travaillé, on pourra trouver :

10 HyperText Transfer Protocol

11 Domain Name Service

12 File Transfer Protocol

13 HyperText Transfer Protocol Secured

14 Real Time Streaming Protocol

(41)

un script permettant de vérifier la présence de comptes utilisateurs sur certains serveurs ;

un script permettant de vérifier le nombre de caractères des répertoires personnels

des utilisateurs, afin qu’ils correspondent à la norme mise en place au sein du SI ;

une vérification et mise à jour de pilotes d’imprimantes ;

des réparations de smartphones ;

la création, dans plusieurs langues (anglaise, espagnole, italienne) de MSI permettant

l’installation simplifiée et silencieuse (sans demander à l’utilisateur de cliquer sur un quelconque bouton) de programmes ;

du support utilisateur.

Cependant, je n’estime pas ces sujets assez importants pour être détaillés, mais je tenais ce que ceux- ci sont tout de même représentés dans ce rapport.

(42)

CONCLUSION

Au travers de ce rapport, je me suis efforcé de démontrer l’importance d’une authentification centralisée au sein d’un système d’information. Une politique qui ne doit pas être négligée, puisqu’elle est facteur d’un gain de temps important, et qu’elle simplifie et sécurise des démarches concernant les éléments systèmes et réseaux de sécurité indispensables à l’entreprise.

Pour être efficace, un Système d’Information a besoin d’être le plus automatisé possible, puisque des manipulations répétitives nuisent à la productivité d’un service informatique.

Au cours de ce stage chez CWF, j’ai pu appréhender les méthodes appliquées sur les projets informatiques, j’ai eu à cœur de proposer des solutions en prenant en compte tous les critères nécessaires, tels que le coût, la maintenabilité, la mise en place, et j’ai effectué le travail nécessaire pour simplifier au maximum toute procédure afférente.

J’ai eu la possibilité de mettre en pratique ce qu’on appelle le « savoir-faire » ingénieur : mettre en place, à partir d’un besoin, une procédure simple et compréhensible, générée par la synthèse à la fois d’un aspect théorique (manuels administrateurs ou utilisateurs) et d’un aspect pratique (batterie de tests fonctionnels, de configurations référencées dans les manuels ou non, confrontation de différentes informations, etc.), le tout menant à un réel apport de valeur ajoutée à un système d’information.

L’autonomie qui m’a été offerte m’a permis de confirmer mon avis sur le fait qu’avec un point de départ et un point d’arrivée, il existe une multitude de chemins, parfois très éloignés les uns des autres, parfois très proches, parfois se rejoignant ou s’écartant mutuellement.

Parfois, je n’avais qu’un point de départ pour bâtir ma réflexion : de celui-ci, il m’a fallu explorer les différents chemins, et analyser ce que serait le meilleur point d’arrivée pour l’entreprise, en respectant toutes les contraintes nécessaires.

J’ai également vu que, malgré qu’on puisse imaginer que tout est faisable, il arrive parfois que des sujets sur lesquels on a travaillé et dépensé beaucoup de temps n’arrivent pas à leur terme, par exemple à cause d’incompatibilités techniques qui nécessiteraient trop de changements pour pouvoir fonctionner (comme par exemple la limitation technique entre le protocole WCCP et l’IWSVA, bloquante pour le service comptabilité, qui imposerait un changement d’un matériel complet).

(43)

J’ai eu l’opportunité de découvrir tous les aspects du travail d’ingénieur en informatique au sein d’une société de la taille de CWF, avec tout ce que cela implique, notamment :

 le support utilisateur, local et à distance (international) ;

 la cohésion d’une équipe en situation réelle ;

 l’autonomie sur les projets ;

 la réactivité en cas de crise.

Mon parcours s’enrichit donc avec CWF, qui, suite à mes stages précédents, améliore ma vision du monde de l’entreprise :

 dans le domaine de l’éducation (Oniris, 2010) ;

 dans la Moyenne Entreprise (ME) ne disposant que d’un informaticien (MBP, 2011) ;

 dans la grande entreprise industrielle (CWF, 2012).

Cet enrichissement se poursuivra lors de ma dernière année d’études, via un contrat d’alternance avec une grande entreprise.

J’estime les missions qui m’ont été confiées comme réussies, puisque, même si je n’ai pu atteindre le stade de mise en place de tous ces projets, j’ai mené à bien une étude théorique et pratique du fonctionnement de celles-ci, et ai proposé des solutions lorsque la mise en place était bloquée par un problème technique.

Pour conclure, je tenais à remercier une nouvelle fois Monsieur Julien CHARPENTIER, pour sa disponibilité, la confiance qu’il m’a accordé sur ces projets et son accueil au sein de CWF.

(44)

TABLE DES ILLUSTRATIONS

FIGURE 1 : MARQUESSOUSLICENCEDÉTENUESPAR CWF...5

FIGURE 2 : TOPOLOGIERÉSEAUDETEST...9

FIGURE 3 : PROCESSUSD'AUTHENTIFICATION KERBEROS...16

FIGURE 4 : FONCTIONNEMENTD'UNEARCHITECTURE RADIUSSURCONNEXION WIFI...17

FIGURE 5 : TABLEAUDESMÉTHODESSUPPORTÉESPARLESDIFFÉRENTSPROTOCOLES...18

FIGURE 6 : FONCTIONNEMENTD'UNPROXY...23

FIGURE 7 : TOPOLOGIEDURÉSEAUAVECPROXY RADIUS...24

FIGURE 8 : AUTHENTIFICATION LDAP...27

FIGURE 9 : AUTHENTIFICATIONAVEC KERBEROSET LDAP...27

FIGURE 10 : AUTHENTIFICATIONAVEC WINBIND...28

FIGURE 11 : RAPPELDELATOPOLOGIERÉSEAU...33

FIGURE 12 : FONCTIONNEMENTDU WCCP...37

FIGURE 13 : PRIORITÉDU WCCP...38

(45)

TABLE DES MATIÈRES

Remerciements... 2

I – Introduction... 4

1/ Contexte du stage... 4

2/ Présentation de l’entreprise... 4

3/ Le système d’information... 6

4/ L’infrastructure du Système d’Information de CWF...7

II – Missions... 8

1/ Introduction... 8

Introduction à la virtualisation... 10

Présentation d’ESXi... 11

Présentation de l’ASA 5505... 11

2/ Authentification AAA sur matériel Cisco... 13

Existant... 13

Besoin... 13

Recherche... 14

Cisco Secure Access Server... 14

Kerberos... 15

Présentation... 15

Fonctionnement... 16

Radius... 17

Présentation... 17

Fonctionnement... 17

Protocoles et services rendus... 18

Choix final du protocole... 19

NPS, serveur Radius de Microsoft... 19

Windows Server... 20

NPS... 21

Références

Documents relatifs

- Les données saisies sont élémentaires le plus souvent mais peuvent parfois être calculées.. - Elles doivent

C’est cet outil qui nous permettra de servir des pages internet aux navigateurs. Beaucoup d’autres existent

Le graphe d’un programme Datalog est le graphe dont les noeuds sont les relations du schéma intensionnel et dans lequel il existe une arête (R; S) s’il existe une règle avec R dans

Pour un certain langage de requêtes Q, quelle est la complexité du calcul de Q(D) en fonction de la taille de la requête Q 2 Q et de la base de données D

Avec Likes(drinker, beer) et Frequents(drinker, bar), trouver les beers que Likes au moins un des clients du Joe’s Bar?.

Les requêtes permettent de représenter les données de base sous diverses formes selon les besoins de chaque utilisateur. Les requêtes statistiques ont été,

• Toutes les tables intervenant dans la requête doivent être liées entre elles. • Il ne doit pas y avoir de tables n’ayant rien à voir avec

La requête suivante fournit le nombre de cinémas dans chaque département : SELECT dep, COUNT() AS nbCine FROM cinema GROUP BY dep. La requête suivante fournit le nombre minimal qu’il