Étude d’une solution Radius - DoYouBuzz€¦ · [Rapport de Stage] Maîtres de stage : Alexandre...

of 30 /30
Étude d’une solution Radius Croix-Rouge Française IUT de Cergy Pontoise Département Services et Réseaux de Communication Année 2011/2012 [Rapport de Stage] Maîtres de stage : Alexandre Markovic, Florent Thiebaut Tuteur pédagogique : Lahoucine Idkhajine Caldagues Charles

Embed Size (px)

Transcript of Étude d’une solution Radius - DoYouBuzz€¦ · [Rapport de Stage] Maîtres de stage : Alexandre...

  • Étude d’une solution RadiusCroix-Rouge Française

    IUT de Cergy PontoiseDépartement Services et Réseaux de

    Communication Année 2011/2012

    [Rapport de Stage]

    Maîtres de stage : Alexandre Markovic, Florent ThiebautTuteur pédagogique : Lahoucine Idkhajine

    Caldagues Charles

  • 1

    Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    Abstract

    I was employed by Croix-Rouge Française from 10th April to June 19th 2012, this is both an association of 52,000 volunteers engaged for over 140 years on many fronts in the fight against precariousness and a non-profit organization of services in the fields of health, social, medical and social training with 18,000 employees in more than 550 institutions. When we launched our project last March, I wanted to complete one year of work, have a sense of accomplishment and success of this project, which was very important for me.The end of my project allowed me to devote myself entirely to my internship, and be able to do what interested me most in the field of network. I have at my disposal, in the service where I am, a desk with a computer and documentation in order to achieve the mission that was entrusted to me. Moreover, thanks to equipment, I was able to research, essential for success of my mission. My main mission was to study the various possible solutions to replace the old Radius server. A Radius server is a server to manage user authentication when they try to connect. Initially, I had to do plenty of research, search for documentation, learn many technical terms and then I begin to implement the solutions. So, my main activity in the company have been to install the Radius servers, configure them. During this internship, I encountered problems, difficulties to understand technical terms of networking, some skills that we don’t learn in our DUT. I’ve also found it difficult to integrate a big company, the headquarters of the Croix-Rouge has nearly 400 employees, it changing a lot of university, even if it was not my first experience in a large firm. Finally, despite these difficulties, I really enjoyed working on this project, to have a first experience in the domain of networking, to work in the field where I would like to work later.Then, the knowledge I acquired during this internship will help me in the pursuit of my studies.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    2

    Remerciements

    Je tiens tout particulièrement à remercier Frank Solaire pour m’avoir accepté en tant que stagiaire à la Croix-Rouge, mes maîtres de stage Alexandre Markovic et Florent Thiebaut pour leur accompagnement tout au long du stage, pour leur aide et les connaissances qu’ils m’ont apporté.

    Merci aussi à toute l’équipe de la Direction des Systèmes d’Informations pour leur sympathie et pour m’avoir procuré un cadre de travail plus qu’agréable.

    Enfin, je remercie toute l’équipe enseignante du département Services et Ré-seaux de Communication pour leur implication et leur aide.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    3

    Sommaire

    Abstract...............................................................................................................1Remerciements...................................................................................................2Sommaire............................................................................................................3Introduction.........................................................................................................4I) L’ Organisation de la Croix Rouge...................................................................5 A. Son histoire......................................................................................... 5 B. Direction des Systèmes D’informations.............................................. 6 C. Le pôle Projets Techniques, Exploitation et Support............................7II) Un nouveau serveur Radius...........................................................................8 A. Le protocole Radius.............................................................................8 B. Les Besoins de la Croix-Rouge..........................................................11 C. Itcom, choix du prestataire.................................................................12III) Freeradius et Service NPS..........................................................................13 A. Une solution libre, FreeRadius...........................................................13 B. La solution Microsoft..........................................................................17Conclusion........................................................................................................19Annexes............................................................................................................20Webographie.....................................................................................................28

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    4

    Introduction

    Aujourd’hui, les systèmes d’informations prennent de plus en plus une place stratégique au sein des entreprises et celles-ci se doivent d’assurer la sécurité de ces informations et des systèmes informatiques. C’est pourquoi, au cours de ces deux années en DUT Services et Réseaux de Communication, j’ai décidé de pour-suivre mes études dans la sécurité des réseaux informatiques. Pour une première expérience dans ce domaine, j’ai intégré le siège de la Croix-Rouge Française à Paris, du fait qu’elle possède un assez grand réseau et une grande diversité dans les projets et les missions. J’avais pour objectifs d’avoir une première expérience dans la sécurité informatique, de confirmer mon choix pour la poursuite de mes études et enfin développer mon sens relationnel en entreprise. Au sein du pôle projet technique exploitation et support, j’ai été chargé de l’étude d’une solution radius, de tester ces solutions pour qu’elles répondent aux besoins de la croix rouge. Dans cette étude, nous allons nous poser la question suivante : en quoi l’étude d’une solution radius peut-elle être bénéfique pour la Croix-Rouge? A travers ce compte rendu, je présenterai tout d’abord la Croix-Rouge et le service où j’ai été attribué. Ensuite, j’aborderai le sujet du stage, en présentant le pro-tocole radius, les besoins de la Croix-rouge et la solution du prestataire. Enfin, dans un troisième temps, je décrierai les différentes solutions radius que j’ai étudié ainsi que les différents tests effectués.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    5

    I) L’organisation de la Croix-rouge

    A) Son histoire

    La Croix-Rouge est née de l’expérience d’Henry Dunant (d’origine suisse) qui entreprit le 24 juin 1859, sur le champ de bataille de Solferino en Italie, de soigner les blessés sans tenir compte de la couleur de leur uniforme, contrairement aux usages de l’époque. Cet élan désintéressé a donné naissance à ce qui est devenu le plus grand réseau humanitaire mondial. Ce mouvement s’est construit sur les conventions de Genève qui fondent le droit international humanitaire et qui sont signées aujourd’hui par la quasi-totalité des États. Il est représenté par un emblème devenu protecteur pour des millions de personnes vulnérables dans le monde. Il est synonyme de principes d’action et de comportement partagés par chacun de ses membres, bénévoles et salariés, qui se mobilisent au quotidien ou au cœur des crises de notre temps. Le siège de la Croix-Rouge Française était placé auparavant sur les Champs Elysées. Cette implantation jugée trop prestigieuse, il fut décidé que le siège s’im-planterait dans le 14ème Arrondissement de Paris, dans les anciens bâtiments de l’hôpital Broussais. Les directions opérationnelles (direction de l’urgence et du secou-risme, direction de l’action sociale, direction des opérations internationales...) y sont situées ainsi que l’ensemble des directions supports (service des RessourcesHumaines, service comptabilité, service communication...).

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    6

    B) Direction des Systèmes d’Informations

    En tant que stagiaire, j’ai intégré la direction des systèmes d’informations dans le pôle projet technique exploitation et support. La DSI a pour missions de proposer, de valider et de mettre à jour la politique de l’association dans le domaine des sys-tèmes d’information. Elle veille à ce que cette politique soit au service des missions de l’association, cohérente avec ses orientations stratégiques et ses moyens. Elle est constituée de 4 pôles :

    - Le pôle « Assistance à maîtrise d’ouvrage »- Le pôle « Applications et développements »- Le pôle « Projets techniques, exploitation et support »- Le pôle « Pilotage des systèmes d’information »

    Organigramme de la Direction des Systèmes d’Informations

    Chaque pôle de la DSI assure un rôle spécifique et complémentaire permet-tant le développement de projets informatiques puis l’exploitation et la maintenance des services applicatifs.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    7

    Le pôle assistance à maîtrise d’ouvrage doit assister la maîtrise d’ouvrage dans le suivi des projets et assure la communication entre maitrise d’ouvrage et mai-trise d’oeuvre. Il suit le bon déroulement des projets, les animes et les coordonnent. Le rôle de maître d’oeuvre est assuré par le pôle applications et développe-ment, qui garantie la bonne réalisation technique des solutions confiées par la maî-trise d’ouvrage. Son autre mission est d’être en charge de la maintenance corrective et évolutive des services applicatifs.

    Toutes les activités de la direction des systèmes d’informations sont suivies par le pôle pilotage des systèmes d’informations. Ce pôle structure, sécurise et optimise les systèmes applicatifs et réseaux. Il a pour mission d’animer un réseau de responsables informatiques régionaux et de correspondants des systèmes d’informa-tions, qui sont ces relais en régions et dans les directions centrales.

    C) Le pôle projet techniques, exploitation et support

    Le développement du système informatique de la Croix-Rouge Française s’est, depuis quelques années, fortement accéléré. L’ association connaît une évolu-tion technologique : nouveau réseau, solution wifi, téléphonie sur IP, solution d’édition en réseau ont été mis en place et servent désormais plus de 400 utilisateurs, ce qui a engendré un accroissement du nombre de serveurs, de réseaux et de postes de travail. Une architecture technique, qui devient de plus en plus complexe, a permis de mettre en place l’intranet de la Croix-Rouge, la messagerie et des applications comme la base Contacts. Le pôle Infrastructure Technique et Exploitation est un des principaux acteurs de ces changements avec l’aide de spécialistes de ces technolo-gies, il mène les projets de mise en place et acquiert progressivement les compétences techniques nécessaires à la bonne exploitation et au développement de ces nouveaux systèmes. Ce pôle recherche, avec toujours plus de rigueur, de planifications et de suivi, l’objectif d’assurer un niveau de service élevé pour satisfaire au mieux les utilisateurs de la Croix-Rouge. Son ambition est d’avant tout, la création d’un véri-table réseau informatique dans le but de faciliter, de fluidifier au mieux les échanges d’informations entres structures ou le siège.

    Les principales missions du pôle projets techniques exploitation et support sont :

    - Mettre en place et assurer le maintien en condition opérationnelles des infrastructures centrales et réseaux nécessaires au bon fonctionnement des applications. - Superviser la disponibilité des applications. - Etre responsable de la sauvegarde et de l’archivage des systèmes.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    8

    Dans le pôle, j’ai intégré la section « Infrastructure techniques «, sous la responsabilité d’Alexandre Markovic. Elle est garante de l’intégrité et de la disponibili-té du système d’information. L’équipe est en charge de :

    • L’exploitation des réseaux LAN, WAN, TOIP, WIFI : - Mise en œuvre des outils de gestion/supervision - Recherche des axes d’amélioration - Gestion et prévention des incidents réseaux - Définition et mise en place des indicateurs de suivi - Déploiement de matériels réseaux - Adapter les équipements centraux en fonction des besoins du réseau national

    • L’exploitation des systèmes : - Gestion et prévention des incidents systèmes - Mise en œuvre des outils de gestion/supervision - Mise à niveau des systèmes - Définition et mise en œuvre des plans de production - Mise en œuvre d’outils facilitant les travaux de l’équipe d’exploitation (outils de mise à jour des postes, déploiement, outils d’administrations, etc…) - Rédaction des cahiers d’exploitation

    • L’intégration et la conduite des changements - Définition des processus d’intégration - Mise en production des nouvelles applications selon les procédures

    • Mise en œuvre du plan de reprise d’activité

    II) Un nouveau Serveur Radius

    A) Le protocole Radius

    Le protocole Radius (Remote Authentification Dial-In User Service) est un pro-tocole d’authentification standard basé sur un système client/serveur qui permet de sécuriser des réseaux contre des accès à distance non autorisés. C’est le protocole d’authentification le plus utilisé et le plus implémenté par les équipements réseaux et notamment par les FAI(Fournisseur d’accès à internet) qui utilisent des serveurs Radius avec des connexions par ligne téléphonique (numérique ou analogique). Ce protocole répond au modèle AAA. Ces trois initiales résument en quelques mots les fonctions de ce protocole:

    • Authentification : Ce processus permet de garantir que la personne qui essaye

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    9

    d’accéder à Internet possède un compte valide. Le mot de passe va être comparé et validé en fonction des entrées de la base de donnée.

    Autorisation : Processus qui va permettre de définir les services réseau dont les utili-sateurs ont le droit d’accès. Par exemple, la Croix-Rouge veut autoriser les privilèges administrateur à certain groupe de l’Active Directory ou alors spécifier une plage d’adresse IP pour autoriser les clients Radius.

    «Accounting» ou Comptabilisation : Processus qui va permettre à celui qui gère le serveur Radius d’avoir un compte rendu des connexions faites sur le réseau, on parle souvent de «logs» les fichiers contenant ces informations.

    Le protocole Radius repose la couche protocolaire UDP, il utilise les ports 1812 et 1813 pour recevoir les requêtes d’authentification, d’autorisation et les re-quêtes de comptabilité. On peut toutefois retrouver des équipements réseau qui pro-posent les anciens ports 1645 et 1646, qui ont été remplacés à cause de conflit avec d’autres services IP. Il est basé sur des échanges requêtes/réponses avec les clients Radius, c’est-à-dire les NAS( Network Access Control). Le rôle du client Radius est de passer l’information de l’utilisateur vers le serveur Radius, et de traiter la réponse.Le serveur Radius va alors recevoir les demandes de connexions de l’utilisateur, et va lui permettre ou non de s’authentifier et de fournir le service à l’utilisateur. Il existe plusieurs façons d’authentifier un utilisateur, le serveur radius peut supporter différentes procédures de connexion : PPP, PAP, CHAP.... Afin d’authentifier un utilisateur, de suivre une bonne procédure de connexion, l’authentification Radius se déroule comme un dialogue entre le NAS et le serveur. Il existe quatre types d’échanges, et chaque échange est véhiculé au moyen d’un paquet spécifique :

    Clients Radius(NAS)

    Serveur Radius

    Établissement d’une session Radius

    Access-request

    Access-accept

    Accounting-request

    Accounting-response

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    10

    Access-request : Le dialogue commence toujours par le NAS qui envoie un paquet Access-request au serveur radius, il contient des informations tel que le «User-name» qui correspond au login.

    Access-accept : Ce paquet est renvoyé au NAS par le serveur Radius si la pré-cédente étape a été validée. Ce paquet contient les autorisations accordés par le serveur.

    Access-reject : Ce paquet est envoyé par le serveur Radius au NAS si l’authentifica-tion a échoué.

    Accounting-request : Ce paquet est envoyé par le NAS au serveur Radius, il contient les informations pour l’accounting.

    Accounting-response : Le serveur répond alors lorsque les informations de comptabi-lités sont stockées.

    Access-challenge : Dans certains cas, après réception d’un paquet Access-request, le serveur peut renvoyer un paquet Access-challenge qui a pour but de demander d’autres informations, et va provoquer l’envoi d’un autre paquet Access-Request par le NAS.

    Nous avons vu que le serveur Radius avait plusieurs façons de procéder une connexion d’un utilisateur pour l’authentification. Pour tester les solutions Radius, j’ai utilisé le protocole PAP, qui est le plus souple, simple à comprendre et suffisant pour effectuer des tests.

    Protocole PAP (Password Authentication Protocol)

    Ce protocole transmet simplement un mot de passe, sous la forme d’une chaîne. Lorsque l’utilisateur envoie le message qui contient le mot de passe vers le serveur Radius, celui-ci est crypté sous la forme d’une clé de cryptage, un processus de sécurité de Radius. Le protocole PAP est le plus simple à implémenter, mais présente des points faibles en thermes de sécurité, bien que le mot de passe soit crypté, il est transmis en « clair » sur la connexion à distance et décrypté au niveau du serveur Radius.Ce protocole est alors privilégié dans un réseau déjà sécurisé, sur des systèmes embarqués très légers.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    11

    B) Besoins de la Croix-Rouge

    La Croix-Rouge Française souhaiterai migrer leurs serveurs ACS vers une version plus récente. Un serveur ACS est tout simplement la solution Radius de Cisco. Ce serveur permet de réaliser l’authentification des utilisateurs pour plusieurs environnements. Ils sont implémentés sur une plateforme Hardware de type PC sous windows 2000. Cette migration de leurs serveurs vers une nouvelle plateforme va permettre de supporter les nouveaux environnements Active Directory 2008. Active Directory, c’est le service d’annuaire de Microsoft. Il permet par exemple de gérer l’accès des utilisateurs aux ressources du réseau telles que les imprimantes, les applications partagées et le stockage de données. Ce changement va également permettre le remplacement de la plateforme vieillissante. Avant de voir la solution du prestataire ITCOM, nous allons voir les besoins techniques pour le serveur Radius et comment matériellement il est représenté.Le changement de serveur devra tenir compte de la récupération des logins et mots de passes sur l’Active Directory, ou tenir compte pour l’utilisateur du domaine où il est, c’est-à-dire le service qu’il utilise ou la direction où il travaille. En effet le serveur d’authentification va devoir supporter et être relié à deux types de base. La première est la base d’annuaire Active Directory qui gèrent les comptes uti-lisateurs présents au siège de la Croix-Rouge et la seconde est une base locale qui va contenir les comptes des prestataires qui se connectent en VPN( Réseau privé virtuel), des comptes d’utilisateurs qui se connectent en wifi et enfin des boîtiers PIX qui sont des pares-feu de Cisco. Enfin, ce serveur devra gérer les accès aux équipe-ments réseaux, on appelle alors cela des « Clients Radius », constitué par exemple de bornes wifi, de routeurs ou alors de switchs. Tous ces paramètres doivent être pris en compte pour l’étude de la migration des serveurs Radius.

    Architecture simplifiée du réseau de la Croix-Rouge

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    12

    C) Itcom, choix du prestataire

    La société I.T.Com services intervient dans le domaine de l’intégration de ré-seaux-systèmes et le pilotage de projets d’infrastructures et déploiements complexes depuis près de 20 ans. Ses principales missions ont pour domaines :

    • Le management et de pilotage de projet réseaux. (Assistance à maîtrise d’ouvrage DSI, et maîtrise d’œuvre).• La conception et l’ingénierie spécialisée.• La coordination et l’exécution de tout ou partie des prestations liées aux réseaux.

    I.T.Com s’engage du simple projet réseau câblage d’un bâtiment), au plus complexe, (transfert de sites, migration d’architecture, déploiement nationaux multi sites).I.T.Com est un SA au capital de 693 K€ créé en 1993 par l’externalisation de l’activité câblage et réseau du plus important agent IBM lui-même crée en 1985.Cette société a réalisé un chiffre d’affaires en 2010 de 6,9 M€. Elle intervient sur les sujets suivants :

    • LAN & Câblage• WAN• Optimisation des flux IP (QOS, Load Balancing..)• Téléphonie sur IP• Vidéo sur IP• Sécurité• Sans Fil & mobilité• Systèmes et client léger• Transfert des Systèmes d’Information

    Dans le cadre du changement des serveurs Radius, I.T.Com propose à la Croix-Rouge une migration de leur serveurs ACS 3.2 vers une version 5. Cette mi-gration répondra aux besoins de la Croix-Rouge, c’est à dire le changement de leur ancien matériel ainsi que les besoins pour le serveur Radius. La société leur propose différentes prestations :

    - Une gestion de projet : C’est l’organisation du projet étape par étape.

    - L’analyse de l’existant : L’objectif de cette phase est de prendre connaissance de la configuration mise en place. Cette phase permet de recenser l’ensemble des élé-ments techniques mis en place. Les éléments seront analysés afin d’appréhender les problèmes de l’outil de migration et les compatibilités avec la version 5 de l’ACS.

    - Préparation à la migration : Pour cette phase, le script de migration sera exécuté une première fois pour relever les problèmes que ce dernier rencontre.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    13

    Après Installation des version ACS 5.X et de la réalisation de différents éléments préparatoires comme des Backup de base et des restaurations, les corrections ou adaptations seront analysées afin de ré-exécuter le script une dernière fois.

    - Validation après migration et correction : Cette phase va permettre de réaliser le test de la configuration des différentes authentifications analysées. Cela prend aussi en considération le test de la connexion à l’Active Drirectory.

    - Rédaction : L’objectif est la rédaction d’un dossier de mise en œuvre de la plate-forme d’authentification et de procédures basiques d’exploitation.

    Le projet pris en charge par I.T.Com est prévue d’être réalisé en 18 jours et propose également une maintenance pour les équipements proposés dans leur offre, une maintenance Cisco Smartnet SAS. Bien que la prestation de I.T.Com propose un service de qualité, le coût de leur intervention est conséquent car il est estimé entre 27 000 et 28 000 euros(voir en détail l’annexe). La Croix-Rouge Française veut alors envisagée de chercher d’autres alterna-tives avant de choisir la solution proposée par I.T.Com. J’ai ainsi eu l’occasion dans le cadre de mon stage, de faire une recherche sur les différentes solutions Radius.

    III) FreeRadius et Service NPS

    A) Une solution libre, FreeRadius

    La première solution choisie a été FreeRadius car elle correspondait aux besoins de la Croix-Rouge, au niveau de l’architecture du réseau. Ce serveur Radius est un projet Open Source, qui est considéré comme le serveur le plus utilisé dans le monde. Il doit son succès tout d’abords à son utilisation qui est libre, un serveur performant et compatible avec un grand nombre de standards couvrant les systèmes d’exploitations, les protocoles et les bases d’authentification. FreeRadius possède beaucoup de possibilités qui lui permet de s’intégrer dans la plupart des architectures existantes. On peut le télécharger sur le site officiel du projet : http://www.freeradius.org. Il a été testé en étant fonctionnel sur les systèmes Linux. Ce serveur gère toutes sortes de bases d’authentifications, également celles qui répondent aux critères du serveur Radius : LDAP, Domaine Windows(authentification seulement), Mysql, Oracle, Postgresql, DB2, base locale sous forme de fichier plat (users). Beaucoup de protocoles d’authentification sont également compatible :• IEEE 802.1X ;• EAP/TLS (Transport Layer Security) ;

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    14

    • EAP/PEAP (Protected Extensible Authentication Protocol) ;• EAP/TTLS (Tunneled Transport Layer Security) ;• EAP/SIM (Subscriber Identity Module) ;• EAP/GTC (Generic Token Card) ;• EAP/MD5 (Message Digest) ;• LEAP (Lightweight Extensible Authentication Protocol) ;• MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) ;• CHAP (Challenge Handshake Authentication Protocol) ;• PAM (Pluggable Authentication Modules).

    Pour l’étape de l’installation et de la configuration du FreeRadius, on a tout d’abords virtualiser une machine Debian (version Squeeze). Debian est un système d’exploitation Linux qui, dans les premières utilisations était utilisé par les administra-teurs. Squeeze est la version 6.0 de Debian sorti le 6 février 2012. La virtualisation de cette machine a été possible grâce à VmWare qui est un outil de virtualisation de système d’exploitation. La machine debian a été installé sans interface graphique, on lui a attribué une adresse IP (afin de communiquer sur le réseau), un login et un mot de passe pour paramétrer et installer FreeRadius en administrateur. Pour effectuer des tests de connexion du serveur FreeRadius qui va être installé sur la machine Debian, on a au préalable configurer un switch Cisco en lui attribuant lui aussi une adresse IP. Cette configuration relie le switch a la machine Debian, en paramétrant également les ports d’authentifications. Le switch a été dis-posé dans le local technique, donc pour le contrôler et le paramétrer à distance, j’ai utilisé le programme PuTTY qui permet de se connecter à distance à des serveurs en utilisant les protocoles SSH, Telnet ou Rlogin. Depuis le programme PuTTY, je me suis connecté à la machine Debian pour installer le serveur FreeRadius qui est une installation simple.

    Prise en main de la machine Debian via PuTTY(Console)

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    15

    Pour configurer le serveur FreeRadius, plusieurs fichiers doivent être para-métrer. Tous ces fichiers sont placés, par défaut, dans le répertoire /etc/rabbd. Ces fichiers sont très commentés (en Anglais) pour expliquer tous les mécanismes. Voici la liste des principaux fichiers du serveur :

    - Clients.conf

    Le fichier Clients.conf va servir à définir les secrets partagés avec chaque équipement réseau. C’est ici que l’on va déclarer les clients Radius ou NAS qui pour-ront communiquer avec le serveur.

    Exemple de la syntaxe pour le client Radius :

    client adresse-ip {secret = le-secret-partagéshortname = nom}

    - Users

    Le fichier Users est une base de donnée locale qui sert de base d’authentifica-tion dans notre cas.

    - Radiusd.conf

    Le fichier Radiusd.conf regroupe un ensemble de paramètres dans le but de décrire un type de fonction souhaité. Beaucoup d’options peuvent être paramétrer ici, on peut les classer en plusieurs parties :

    • Paramètres du service Radiusd.• Section de déclaration des modules.• Section Instantiate.• Section Authorize.• Section Authenticate.• Section Pre-Acct.• Section Post-Auth.• Section Pre-Proxy.• Section Post-Proxy.

    - Huntgroups

    Ce fichier va permettre d’authentifier, sous certaines conditions, un utilisateur par le port de connexion d’un poste de travail. On va pouvoir créer des groupes d’uti-lisateurs et également restreindre l’accès à certains utilisateurs.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    16

    Dans un premier temps, le premier test a été d’essayer de se connecter en local au serveur FreeRadius depuis le switch car, le but de ce serveur est de pou-voir faire identifier un utilisateur et à le connecter au switch. Ce test a bien réussi, la configuration du serveur n’était pas trop complexe. Le second test a été de créer un groupe afin de restreindre l’accès à des utilisateurs spécifiques. J’ai bien réussi grâce au fichier Huntgroups, même si cette configuration était un peu plus compliquée. Après ces quelques tests, j’ai installé une interface graphique pour le serveur Radius, elle se nomme ARA. J’ai voulu l’installer car j’avais des difficultés dans le paramétrage des groupes et des utilisateurs. ARA permet de gérer et de créer des utilisateurs ainsi que pour les équipements réseau.

    Interface ARA pour FreeRadius

    Malgré la facilité pour créer des groupes et des utilisateurs (voir annexe), cette interface ne propose malheureusement pas des paramètres pour gérer différentes bases d’annuaires. En effet, tous les comptes et groupes enregistrés sont sauvegar-dés dans une table mysql via phpMyAdmin. Même si les tests de connexion depuis le switch fonctionne avec les comptes de la table mysql, la Croix-Rouge se base uni-quement sur des comptes de l’Active Directory. J’ai commencé à trouver certaines solutions, notamment avec l’installation de Samba et Kerberos que j’ai essayé de paramétrer, mais sans succès. On a préféré se tourner vers une autre solution, de mettre de côté FreeRadius. En effet, le para-métrage est assez compliqué et nécessite des notions avancées en administration linux. C’est pourquoi, on a décidé de se tourner vers une solution plus facile d’accès, une solution microsoft, le serveur NPS.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    17

    B) La solution Microsoft

    L’autre solution que j’ai testé est le serveur NPS (Network Policy). Ce serveur est proposé dans l’utilisation de Windows Server 2008, qui permet de créer et d’ap-pliquer des stratégies d’accès réseau, permet l’authentification et l’autorisation de demande de connexion réseau. Il peut également servir de proxy pour transférer les demandes de connexions à d’autres serveurs. Pour ce qui nous intéresse, le serveur NPS, servira de serveur Radius. Il va nous servir à configurer des serveurs d’accès réseau, de paramétrer les clients Radius (ici ce sera notre switch qui nous sert pour les tests de connexions). Le serveur NPS va nous permettre d’établir des stratégies réseau ; ce sont des conditions qui autorisent les demandes de connexions que le serveur reçoit des clients Radius. On a alors installé une autre machine virtuelle, ici Windows Server 2008 R2, où on lui a attribué une autre adresse IP. Pour prendre le contrôle de cette machine, j’ai utilisé la connexion d’accès à distance. L’installation du service NPS a été très simple après quelques recherches sur le fonctionnement de ce serveur (voir An-nexe). Après l’installation de ce service, j’ai commencé à configurer le serveur en commençant par relier mon switch au serveur. Cette étape est assez rapide, le client Radius a ainsi été paramétrer. Ensuite j’ai établi une stratégie réseau pour un groupe d’utilisateur, c’est-à-dire autoriser les personnes de l’Active Directory de la Croix-Rouge (Uniquement les personnes de la Direction des Systèmes d’Informations) à se connecter au switch.

    Établissement d’une stratégie réseau concernant un groupe de l’Active Directory

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    18

    Le test de connexion entre le serveur NPS et le switch a bien réussi, ce qui permet de répondre à une partie des besoins de la Croix-Rouge. Grâce aux Stra-tégies réseaux, on peut restreindre l’accès à certains équipements du réseau de la Croix-Rouge (Routeurs, bornes wifi, switchs...), restreindre l’accès à certains groupes d’utilisateurs, ainsi que d’autres paramètres. La stratégie réseau permet donc d’accorder l’accès aux utilisateurs lorsque la demande de connexion répond aux conditions et contraintes de la stratégie réseau. Il y a deux états dans les paramètres d’une stratégie réseau :

    - Accorder l’accès : L’accès est accordé si la demande de connexion répond aux conditions et contraintes configurées dans la stratégie.

    - Refuser l’accès : L’accès est refusé si la demande de connexion répond aux condi-tions et contraintes configurées dans la stratégie.

    Après quelques tests, j’ai essayé de personnaliser le serveur NPS, notamment le « Reply-Message », c’est le message qui est envoyé au switch lorsque l’utilisateur arrive à se connecter.

    Connexion au switch réussie, le message Reply apparaît

    Le serveur NPS est une solution Radius assez facile d’accès, que ce soit dans l’installation et la configuration. Il répond à une grande partie des besoins de la Croix-Rouge. En revanche, le serveur NPS ne possède pas de base locale, ce qui remet en cause le remplacement des serveurs Radius. Malgré cela, une autre solu-tion serait possible. Elle serait de migré tous les comptes de la base locale actuelle (environ 400) vers de nouveaux groupes de l’active Directory. Cette solution pourrait être une alternative à celle proposé par I.T.Com.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    19

    Conclusion

    Cette étude permet d’avoir une vue globale des deux cas étudiés, elle apporte pour la Croix-Rouge un aperçu des solutions que l’on peut mettre en place. Dans un premier temps, nous avons vu Freeradius, un serveur libre et performant qui offre beaucoup de possibilités malgré une configuration difficile. Puis, nous avons étudié le serveur NPS, une alternative intéressante qui est simple d’utilisation et de configura-tion qui pourrait être une éventuelle solution pour la Croix-Rouge. Ces dix semaines de stages ont été pour moi l’occasion de faire un point sur mes connaissances, de confirmer mes choix d’orientations. Je sais désormais ce qui est acquis et les domaines que je ne maîtrise pas encore. En cela, la formation SRC m’a permis de choisir le domaine dans lequel je veux me spécialiser, c’est-à-dire la sécurité informatique. Par ailleurs, le temps passé à la Croix-Rouge parmi le pôle projet technique et exploitation m’a permis de mieux cerner le travail en équipe, de l’adaptation face aux problèmes que l’on peut rencontrer et de la vigueur dans les projets entrepris. J’ai également une vision de tous les métiers présents dans le service et des différentes tâches attribuées à chacun. Enfin, l’environnement de mon stage m’a conforté dans mon choix de travailler dans le monde de l’informatique et du métier que j’envisage de faire.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    20

    Annexes

    Annexe 1 : Récapitulatif Financier I.T.Com

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    21

    Annexe 2 : Création d’utilisateur via l’interface ARA

    Création d’un utilisateur via ARA (interface Freeradius)

    - Connexion au : http://10.200.69.70/ara/htdocs/- Login : root Mot de passe : XXXXXXXXXXXXPour arriver sur cette page :

    - Dans le module « USERS « cliquez sur « select «.

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    22

    Voici la page :

    Pour créer un nouvel utilisateur, entrez le nom ou le login que vous souhaitez, puis cliquez sur ok.

    Vous devez arriver sur cette interface :

    Pour Configurer votre compte utilisateur que vous venez de créer cliquez sur l’onglet

    « edit »

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    23

    Pour Configurer votre compte utilisateur que vous venez de créer cliquez sur l’onglet « edit »Pour établir un mot de passe pour votre compte, dans la Table Check : Cliquer sur le menu déroulant pour faire apparaitre l’attribut « Cleartext-Password » et sélection-ner le.Dans la case « operator « choisissez « := «

    Enfin mettez votre mot de passe dans le champ dans la case « value «

    Voici un aperçu de ce que vous devez avoir :

    Pour confirmer votre mot de passe : cliquez sur « add «

    **OPTION**

    Pour ajouter votre comte à un groupe déjà créer, sélectionner dans « groups « dans la case « name « le groupe que vous voulez associer à votre compte. Puis, cliquez sur « add «

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    24

    Annexe 3 : Installation du service NPS (Radius) sur Windows server 2008 R2

    Pour installer un serveur NPS dans un environnement Microsoft Windows Server 2008 R2 :

    ● Cliquez sur le gestionnaire de Serveur :

    Figure 1 : Interface graphique du bureau sous Windows Server 2008 R2

    ● Cliquez sur Ajouter des rôles :

    Figure 2 : Interface du Gestionnaire de serveur

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    25

    ● Cliquez sur Suivant >

    Figure 3 : Interface de l’assistant Ajout de rôles

    ● Cochez « Services de stratégie et d’accès réseau » puis cliquez sur Suivant >

    Figure 4 : Interface de sélection des rôles de serveur

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    26

    ● Cliquez sur Suivant >

    Figure 5 : Interface d’ajout du rôle Services de stratégie et d’accès réseau

    ● Sélectionnez « Serveur NPS (Network Policy Server) » Cliquez sur Suivant >

    Figure 6 : Interface de sélection des services du rôle Services de stratégie et d’accès réseau

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    27

    ● Cliquez sur Installer

    Figure 7 : Interface de sélection des services du rôle Services de stratégie et d’ac-cès réseau

  • Étude d’une solution Radius

    [Rapport de Stage] Caldagues Charles

    28

    Webographie

    Radius

    • http://www.commentcamarche.net/contents/authentification/radius.php3

    - RADIUS publié par Jeff le 14 octobre 2008

    • http://mrproof.blogspot.fr/2010/11/securite-reseaux-informatiques-serveur.html

    FreeRadius

    • http://wiki.freeradius.org/HOWTO

    - FreeRADIUS Active Directory Integration HOWTO publié par Jeff Warnica, le 1er novembre 2011.

    - Basic configuration HOWTO publié par Alan T. DeKok, le 14 juillet 2011.

    - SQL Huntgroup HOWTO publié par Alan T. DeKok, le 14 juillet 2011.

    Serveur NPS

    • http://technet.microsoft.com/fr-fr/library/cc733085(v=ws.10).aspx