Objectifs de certification

ICND2 200-105

  • 1.7 Décrire les techniques d’atténuation des menaces sur la couche d’accès 802.1x, DHCP snooping, Nondefault native VLAN

  • 5.4 Décrire la sécurité des périphériques par l’usage de AAA avec TACACS+ et RADIUS

CCNA R&S 200-125

  • 6.2 Décrire les techniques d’atténuation des menaces sur la couche d’accès (802.1x, DHCP snooping, Nondefault native VLAN)

  • 6.6 Décrire la sécurité des périphériques par l’usage de AAA avec TACACS+ et RADIUS

IINS 100-105

  • 2.2 Concepts AAA

    • 2.2.a Décrire les technologies RADIUS et TACACS +
    • 2.2.b Configurer l’accès administrateur sur un routeur Cisco à l’aide de TACACS +
    • 2.2.c Vérifier la connectivité sur un routeur Cisco à un serveur TACACS +
    • 2.2.d Expliquer l’intégration d’Active Directory avec AAA
    • 2.2.e Décrire l’authentification et l’autorisation en utilisant ACS et ISE

AAA / Radius / 802.1X / EAP

AAA

Un service de sécurité réseau AAA fournit un cadre fondamental pour mettre en place un contrôle d’accès aux périphériques du réseau.

AAA est une manière :

  • de contrôler qui est autorisé à accéder au réseau (Authenticate),
  • de contrôler ce qu’ils peuvent faire pendant qu’ils sont là (Authorize)
  • et de vérifier les actions qu’ils ont accomplies lors de l’accès au réseau (Accounting).

Pendant une procédure d’authentification, un utilisateur est mis au défi de s’identifier lui-même et d’apporter une preuve de son identité. Cette preuve est souvent quelque chose que l’on connaît (un mot de passe), quelque chose que l’on possède (Carte d’identification), ou quelque chose qui est en nous (biométrie).

Une authentification AAA peut être utilisée pour authentifier :

  1. les utilisateurs pour un accès administratif aux périphériques du réseau
  2. les utilisateurs pour un accès à un réseau distant.

Cisco fournit deux méthodes d’accès pour implémenter les services AAA :

  1. Authentification locale AAA ; Cette méthode enregistre les mots de passe localement sur le routeur Cisco et les utilisateurs s’authentifient contre cette base de données locale.
    • Authentification AAA centralisée sur un serveur : Un serveur central AAA contient ou consulte des noms d’utilisateurs et des mots de passe pour authentifier les utilisateurs, déterminer ce qu’ils peuvent faire et comptabiliser leur trafic.

On peut utiliser deux protocoles d’authentification chez Cisco tels que le standard RADIUS (Remote Authentication Dial-In User Service) et le propriétaire Cisco TACACS+ (Terminal Access Controller Access Control System). Kerberos est aussi un protocole d’authentification que l’on retrouve communément dans les environnements Unix ou Windows.

Comme logiciels de service d’authentification, on trouve parmi beaucoup d’autres :

  • Cisco Secure Access Control System (ACS) server
  • Cisco Identity Services Engine
  • FreeRadius

RADIUS

Source : https://fr.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service

RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d’authentification. Le protocole RADIUS a été inventé et développé en 1991 par la société Livingston, qui fabriquait des serveurs d’accès au réseau pour du matériel uniquement équipé d’interfaces série ; il a fait ultérieurement l’objet d’une normalisation par l’IETF.

La dernière version du protocole RADIUS est normalisée par l’IETF dans deux RFC : RFC2865 (RADIUS authentication) et RFC2866 (RADIUS accounting) de juin 2000. Le successeur du protocole RADIUS pourrait être le protocole Diameter (jeu de mots sur le double du rayon). Le protocole est souvent dénommé AAA (Authentication Authorization Accounting), la phase d’autorisation (définition des droits d’accès) étant accomplie lors de la réponse d’identification (ajout d’attributs au paquet “Authentication Response”). Un autre exemple de protocole AAA aurait pu être TACACS de Cisco, mais il est propriétaire ; et depuis la publication de la norme 802.1X qui donne en annexe D comme seul exemple de mise en oeuvre le protocole Radius, ce dernier est devenu un standard de fait du AAA.

Radius utilise les ports UDP suivants

  1. Authentication et Authorization : UDP1645 (legacy) ou UDP1812
    • Accounting : UDP1646 (legacy) ou UDP1813

Utilité

Le but de RADIUS était à l’origine de permettre aux fournisseurs d’accès à Internet d’authentifier les utilisateurs distants utilisant les connexions par modem RTC à partir de multiples serveurs mais d’une seule base utilisateurs. C’est toujours l’utilisation la plus courante du protocole RADIUS : nom et mot de passe de connexion à l’Internet, mais de plus en plus les réseaux sans fil ou filaires y ont aussi recours pour identifier les utilisateurs.

Le protocole RADIUS permet de faire la liaison entre des besoins d’identification et une base d’utilisateurs en assurant le transport des données d’authentification de façon normalisée. L’opération d’authentification est initiée par un client du service RADIUS, qui peut être un boîtier d’accès distant (NAS : Network Access Server), un point d’accès réseau sans fil, un pare-feu (firewall), un commutateur, un autre serveur. Le serveur la traite en accédant si nécessaire à une base externe : base de données SQL, annuaire LDAP, comptes d’utilisateur de machine ou de domaine ; un serveur Radius dispose pour cela d’un certain nombre d’interfaces ou méthodes.

Fonctionnement

Le poste utilisateur (supplicant dans les RFC) transmet une requête d’accès à un client RADIUS pour entrer sur le réseau. Ce client se charge de demander les informations identifiant l’utilisateur : le nom d’utilisateur (login) et le mot de passe par exemple.

Le client RADIUS, soit le routeur, le commutateur ou le point d’accès, l’Authenticator génère selon le protocole une requête Access-Request contenant les informations d’authentification. Le serveur RADIUS peut traiter lui-même cette requête ou la transmettre à un autre serveur RADIUS par un mécanisme appelé Proxy Radius. Le serveur Radius chargé de l’identification finale (appelé Home Radius) peut traiter la demande s’il dispose de suffisamment d’éléments dans l’Access-Request ou demander des informations supplémentaires par un renvoi de paquet “Access Challenge”, auquel le client répondra par un autre Access-Request, et ainsi de suite. Les échanges sont retransmis par la chaîne de serveurs Radius proxy intermédiaires dans un sens et dans l’autre.

Quand le serveur Radius dispose de suffisamment d’éléments (jusqu’à une douzaine d’échanges pour les protocoles complexes de type EAP) le serveur RADIUS valide ou refuse l’identification en renvoyant un paquet de type : Access-Accept ou Access-Reject.

Déploiement

Sur un serveur Radius, on va définir :

  • Un utilisateur et ses crédits, voir un annuaire ou une base de données d’utilisateurs
  • Les crédits du serveur
  • Une liste de NAS (ou client Radius ou Authenticator) autorisés et leur mot de passe
  • Des méthodes d’authentification.

Limites et comparaison Radius / TACACS+

802.1X

IEEE 802.1X est un IEEE Standard pour “port-based Network Access Control (PNAC)”. Il fait parie du groupe de travail IEEE 802.1. Il fournit un mécanisme d’authentification pour les péripéhriques attachés à un LAN ou un WLAN.

IEEE 802.1X définit une encapsulation pour le protocole “Extensible Authentication Protocol (EAP) over IEEE 802” qui est connu sous le nom de “EAP over LAN” ou encore EAPOL.

Source : https://en.wikipedia.org/wiki/IEEE_802.1X

EAP

Extensible Authentication Protocol ou EAP est un cadre (framework) d’authentification couramment utilisé dans les réseaux sans-fil et les connexions point à point. Il est défini dans le RFC3748.

EAP permet le transport sécurisé de matériel d’authentification dans un environnement non sécurisé par définition via des méhodes EAP. Il existe un grand nombre de méthodes EAP.

EAP avec 802.1X est très répandu dans les réseaux Wi-Fi où il fait de facto partie du standard IEEE 802.11i WPA et WPA2 Enterprise comme mécanisme d’authentification par défaut.

Source : https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol

Liste de méthode EAP :

PEAPv0 with EAP-MSCHAPv2

MS-CHAPv2 est un ancien protocole d’authentification que Microsoft a introduit avec NT4.0 SP4 et Windows 98.

PEAPv0 / EAP-MSCHAPv2 est la forme la plus commune de PEAP utilisée et ce que l’on appelle généralement PEAP. Le protocole d’authentification interne est le Protocole d’authentification “Challenge Handshake Authentication Protocol (CHAP)” de Microsoft, ce qui signifie qu’il prend en charge l’authentification au format MS-CHAPv2, y compris Microsoft NT et Microsoft Active Directory.

Derrière EAP-TLS, PEAPv0 / EAP-MSCHAPv2 est la deuxième norme EAP le plus largement supportée dans le monde.

Comme pour les autres types 802.1X et EAP, le chiffrement dynamique peut être utilisé avec PEAP.

Un certificat CA doit être utilisé sur chaque client pour authentifier le serveur auprès de chaque client avant que ce dernier ne soumette les informations d’authentification. Si le certificat de l’autorité de certification n’est pas validé on complique et affaiblit le niveau de sécurité de l’infrastructure.

Plusieurs faiblesses ont été trouvées dans MS-CHAPv2, dont certaines réduisent considérablement la complexité des attaques de force brute, ce qui les rend possibles avec du matériel moderne.

Notes

There are three authentication and authorization modes for 802.1x:

  • Monitor mode
  • Low impact mode
  • High security mode

Monitor mode allows for the deployment of the authentication methods IEEE 802.1X without any effect to user or endpoint access to the network. Monitor mode is basically like placing a security camera at the door to monitor and record port access behavior.

With AAA RADIUS accounting enabled, you can log authentication attempts and gain visibility into who and what is connecting to your network with an audit trail. You can discover the following:

  • Which endpoints such as PCs, printers, cameras, and so on, are connecting to your network
  • Where these endpoints connected
  • Whether they are 802.1X capable or not
  • Whether they have valid credentials
  • In the event of failed MAB attempts, whether the endpoints have known, valid MAC addresses

Monitor mode is enabled using 802.1X with the open access and multiauth mode Cisco IOS Software features enabled, as follows: sw(config-if)#authentication open sw(config-if)#authentication host-mode multi-auth

For more information about each mode, please read this article: http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-99/Phased_Deploy/Phased_Dep_Guide.html

Laisser un commentaire