Proto Authentification PDF

Scurisationdessystmes
Protocolesutilisantdesmcanismes
d'authentification:TACACS+,RADIUSet
Kerberos
TarikBOUDJEMAA
SadekYAHIAOUI
20072008
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
L'authentification
L'authentificationestlaprocdurequiconsiste,pourunsystme
informatique,vrifierl'identitd'uneentit(personne,ordinateur...),
afind'autoriserl'accsdecetteentitdesressources(systmes,
rseaux,applications...).
Qu'estcequel'authentificationrseau
Ils'agitd'authentifierunemachinelorsqu'ellesebranchesur
lerseau
Afindeluiautoriserourefuserl'usagedurseau.
2
L'authentification
Pourquoifairedelauthentificationrseau?
Scuriserunrseau
Pourviteruneutilisationillicitedurseaupardesinconnus
Pourinterdirelespostesinconnus
Pourdonnerdesautorisationspcifiquessurlerseau
(vlan,application,)
Poursavoirquellemachineestconnecteetoelleestconnecte 3
TACACS+
RADIUS
KERBEROS
4
TACACS+
TACACS+(TerminalAccessControllerAccessControlSystemPlus)
protocoledescuritinventdanslafindesannes90parCISCO
Systems.
ilafiniparremplacerlesprotocolesTACACSetXTACACS,TACACS+
nestpasbassurcesderniers
TACACS+estunserveurdauthentificationpermettantdecentraliserles
autorisationsdaccs(Lesmotsdepasseutilisssontgrsdansune
basededonnescentrale)
TACACS+permetdevrifierlidentitdesutilisateurs
distantsmaisaussi,grceaumodleAAA,dautoriseretde
contrlerleursactionsauseindurseaulocal.
5
TACACS+:AAA
TACACS+sebasesurleframeworkAAAquisignifie:
Authentication(authentification)
Authorization(autorisation)
Accounting(Comptabilisation)
Cettesparationpermetunemodularitauniveaudestechnologies
utilisespourchaquefonction.
OnpeutparexemplegrceceprincipechoisirRADIUSpour
lauthentificationetTACACS+pourlerestedesfonctions.
6
TACACS+:AAA
Authentification(authentication)
Mcanismepermettantladterminationdelidentitde
lutilisateur.Cetteoprationpeutsefairedediffrentesfaons:
Enutilisantcequelutilisateursait(motdepasse,codePINetc.)
Enutilisantcequelutilisateurpossde(Cartepuce,cl
dauthentification)
Enutilisantcequiconstituephysiquementunutilisateur
(Biomtrie)
7
TACACS+:AAA
Autorisation(authorization)
Permetdedterminercequelutilisateuraledroitdefaire,letype
deserviceouderessourcequilpeututiliser.
Autorisation(authorization)
Permetdesavoirlesactionsfaitesparlutilisateurdepuis
lauthentificationjusqu'lafindesasessiondanslesystme
Ilestgnralementutilispourlagnrationdauditsetde
rapportsdansuneoptiquedescurit
8
TACACS+:Lesacteurs
3Acteurs
L'utilisateur:metteurdelarequted'authentification
(postedetravail,unportable,unPDA)

LeclientTACACS+:lepointd'accsaurseau

LeserveurTACACS+:reliunebased'authentification
(Basededonnes,annuaireLDAP)
9
TACACS+:Architecture
dunutilisateurdistantsouhaitantseconnectersonrseau
dentrepriseparuneconnexionpointpoint
LutilisateurdistantseconnectegrcesonmodemauServeurdaccs
desonentreprise
Leserveurdaccsva,parlasuiteinterroger,leserveurTACACS+
afindedterminer:

lavaliditdelutilisateur(authentification)
lesservicesauqueliladroit(autorisation)etdecontrlerses
actionslintrieurdurseau

CestdoncleserveurdaccsquivaagirentantqueClientTACACS+
etcommuniquerlesinformationsauserveurTACACS+
10
casdunutilisateurWIFIsouhaitantseconnectersonrseaulocal
dentreprise.
lutilisateurwifiseconnectesonpointdaccsquivajouerlerle
declientTACACS+auprsduserveur.
11
Casdunutilisateuritinrantsouhaitantseconnecterrseau
dentreprisedistanceenutilisantuncanalVPN
LutilisateurseconnecteicienVPNparInternetauserveurdaccs
desonentreprisequijoueralerledeclientTACACS+.
CasdeladministrationdunmatrielCISCO
lorsquelutilisateurseconnecteetsaisitsesinformations
dauthentificationsurlematrielCISCO,cedernierinterrogeleserveur
TACACS+afindelidentifier.
12
TACACS+:Fonctionnement
Descriptiond'unpaquetTACACS+
TACACS+utilisepourcommuniquerleportTCP(port49)
LatailleduneenttedunpaquetTACACS+estde12Octet
FormatdunpaquetTACACS+:
Majorversion:donneleNumrodelaversionMajeuredeTACACS+
Minorversion:donneleNumrodelaversionMineuredeTACAS+
13
TACACS+:Fonctionnement
Type:dfinitsilsagitdunpaquetdauthentification,
dautorisation,oudecomptabilisation(conformmentauAAA)
Seq_no:numrodesquencesincrmentantde1pourchaque
paquetenvoylorsdunesession.
lags:diffrentsdrapeauxpermettantentreautredecrypterle
F
paquetentiergrcelalgorithmeMD5.
Length:tailledupaquet.
NousallonsdtaillerlefonctionnementdeTACACS+pourchaque
fonctionAAA:
14
TACACS+:Authentification
Laphasedauthentificationpeutsupporterplusieursprotocolescomme
destechniquesdetypeRAPouencoreCHAP
leclientenvoieunpaquetSTARTauserveurTACACS+
despairesdemessagedetypeREQUEST/REPONSEcontenantdes
paires<attributsvaleur>serontchangs
Parexempleilpeutenvoyerunpromptauclientpourluipermettrede
fournirlesinformationssurlenomdutilisateur,ainsiquesonmotde
passe.
serveurTACACS+vrifieetenvoiedansunpaquetREPLYsarponse
15
TACACS+:Autorisation
Quandunutilisateurdemandelutilisationdunserviceparticulier,il
passeparlintermdiaireduclientTACACS+quienvoieunpaquet
REQUEST
Cepaquetcomprenddesargumentsdetypesattributsvaleursqui
permettededfinirlescommandesquidoiventtreexcuts
Exemple:silutilisateurveututiliserleprotocoleFTP,leclient
TACACS+enverracommeargumentprotocol=ftp.
serveurTACACS+vrifiedanssabaseetenvoiedansunpaquetRESPONSE
sarponse
16
TACACS+:Comptabilisation
Lorsduneactiondelutilisateur,leclientTACACS+envoieunpaquet
REQUESTcomprenanttoujoursdesargumentsattributsvaleurs
quipermettent,entreautres,desavoirledbut,lafinetletypedaction
excutparlutilisateur.
LeserveurTACACS+enregistrealorslesinformationsdanssabaseet
renvoieunpaquetRESPONSEaveclersultatdelenregistrement
(checousuccs).
17
TACACS+:ExempledunesessionTACACS+
18
Protocoles
TACACS+
RADIUS
KERBEROS
19
RADIUS
RemoteAuthenticationDialInUserService
RADIUSestunmcanismedetransportdes
donnesd'authentification
UnmoyenpourlesFAIdecentraliserleursbasesdedonnes
utilisateurs
ProtocoledetypeAAA(AuthenticationAuthorization
Accounting)
DernireversionduprotocoleRADIUSnormalise
parl'IETFdanslaRFC2865
20
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUS,KERBEROSetFORTEZZA
RADIUS:Modeopratoiretype
3Acteurs
L'utilisateur:metteurdelarequted'authentification
(postedetravail,unportable,unPDA)
LeclientRADIUS:lepointd'accsaurseau(NAS,firewall,

pointd'accswireless,etc...)
LeserveurRADIUS:reliunebased'authentification

(Basededonnes,annuaireLDAP)
21
RADIUS:Modeopratoiretype
l'utilisateurmetunerequted'authentificationauprsduclientRADIUS
ProtocolecommePPPouTelnet
Leclientradiusdemandel'utilisateursesinformationsd'authentification(
username,password)
DanslecasdePPP:ilutiliselesinformationsdjprsentesdanslepaquet
LeclienttransmetlarequteauserveurRadius
RequtedetypeAccessRequest:(demanirescurise)
LeserveurRadiusretournelunedesrponsessuivantes
AccessAccept:Acceptationlarequteduclient
AccessReject:pourspcifierauclientquesarequteestrejete.
22
RADIUS:ModeopratoiretypeL'authentificationmodeChallenge
RADIUSpeututiliserunmodeChallenge
Enfonctiondelazonedaccsdemandeetdesdroitsdelutilisateur,leserveur
RADIUSpeutexigerdesinformationssupplmentairespourlauthentification.
Rponse:AccessCHALLENGE:viterdetransmettrelemotdepasse.
LeclientenvoiealorsuneautrerequterpondantauChallengepours'authentifier
23
RADIUS:Couchedetransport
RADIUSutiliseleprotocoleUDPsurleport1812
LasurchargeinduiteparunesessionTCPn'estpasjustifie
LaretransmissionTCPestadapteautransfertdedonnes,
pasl'authentification
Ilpermetd'utiliserdefaontransparenteunautreserveuren
casd'indisponibilit
24
RADIUS:Implmentations
PlusieursimplmentationsduprotocoleRADIUSsontdisponibles
Versionscommerciales
NPS(NetworkPolicyServer)pourWindowsServerVista,IASpourWindows
Serveur2000/2003
Versionslibres
CistronRadius,LivingstonRadiusetFreeRadius,OpenRadius

25
RADIUS:PaquetsRADIUS
EncapsuldansundatagrammeUDP
Format:
Code Identifier
1 AccessRequest
Pourcorrespondreles
2 AccessAccept requtesetleursrponses
3 AccessRequest Nombrequeleclientincrment
4 AccountingRequest chaquerequte.
5 AccountingResponse Longueur
11 AccessChallenge Longueurtotaledupaquet,enincluant
12 StatusServer(exprimental) lesattributs
13 StatusClient(exprimental) Longueurminimale20octets,maximale
255 Reserved 4096octets

26
RADIUS:PaquetsRADIUS
Authentificateur
RequestAuthenticator:requtesduclient
Nombrealatoirede16octets
ResponseAuthenticator:rponsesduserveur
utilispourauthentifilarponseduserveur
ResponseAuth=MD5(Code+ID+Length+RequestAuth+Attributes+Secret).
Leclientestalorsenmesuredevrifierqueleserveurquirpondestbien
celuiqu'ilacontact.

Attributsetvaleurs
Ensembled'attributsetleurvaleurquiindiquequelsservicessont
demandsouautoriss. 27
RADIUS:LesattributsRADIUS
Richessedesinformationsquipeuventtretransmisesentreleserveuretle
client
Informationsappelesattributs
ilspermettentauclientdecommuniquerdesinformationsauserveur
(password,MACadresse)
ilspermettentauserveurdecommuniquerlesparamtresdes
autorisationsqu'ildlivre(vlan)oubiendemanderdesinformations
complmentaires.
Incluslafind'unpaquetRADIUS,selonunformatType,Longueur,
Valeur(TLV).
28
RADIUS:LesattributsRADIUS
Type
Dfinitlerledel'attribut
Lesattributsquidoiventoupeuventtreinclusdansunpaquetdpendentdu
typedecepaquet
Exemple,unpaquetAccessRequestdoitcontenirlesattributsUser
NameetUserPassword,maisd'autrespeuventtreinclus,comme
l'attributCallbackNumberquiprciselenumrodetlphone
rappeler.
Longueur
longueurtotaledel'attribut,incluantletype,lalongueuretlavaleur.
Valeur
Peuttreunechanedecaractres,donnesbinaires,entiersur32
bits,adresseIPsur32bits,unevaleurdetempssur32bits.
LesattributsVendorSpecificdfinissentleursproprestypesdedonnes.
29
RADIUS:lesattributsRadius
AttributsStandards
CalledStationId
Contientl'adresseMACdel'quipementNAS
CallingStationId
Contientl'adresseMACdelamachinede
l'utilisateur.
NASIPAddress
AdresseIPdel'quipementNAS
NASPort
Portsurlequelestconnectlesupplicant
UserName
Chaqueattributpossdeunnumrod'identification.
UserPassword
Seulcenumroesttransmisdanslespaquets.
Lacorrespondanceentrelenomdel'attribut,sonnumroetsontype
estralisdansundictionnaire. 30
RADIUS:lesattributsRadius
AttributsVendor
Lesfabricantdematrielrseau(NAS)ontparfoisintgr
leursquipementsdesattributsspcifiquesenplusdesattributs
standardsdfinisdansleRFC.
Cesattributssontencapsulsdansl'attributstandardvendorspecificquia
pournumero26.IlssontappelsVSA=VendorSpecificAttribut
VendorIDNd'immatriculationdufabricant
AttributnumberCommepourlesattributsstandards,lesvendorattributspossdent
unnumrod'identification.Cenumroestrpertoridansundictionnairespcifique
aufabricant.
Longueur
Valeur
31
RADIUS:Scurit
Secretpartag
lmentprincipaldelascuritRADIUSentreleclientetleserveur
Secretpartagdiffrentpeuttredfinipourchaqueclient
Possibilitd'avoirunsecretuniquepourtouslesclients(pluspratiquemais
moinsscuris

Cesecretpeuttreden'importequellelongueur,maisilestmieuxd'avoir
unsecretd'aumoins16caractresetd'unebonnecomplexit
Lesecretestutilispourvrifierl'authenticitduserveur:MD5(Code
+ID+Length+RequestAuth+Attributes+Secret).
Lesecretestaussiutilisparleclientpourencrypterlemotdepasseenvoy
pourl'authentification
Pourvitervitelesniffingdumotdepasse
MotdepasseencryptentantquehashMD5dusecretavecleRequest
Authenticator,letoutcombinparunxoraveclemotdepasse.
32
RADIUS:Faiblesses
Scuritrelativereposantsurlesecretpartag.Certainesimplmentations
clienteslimitentenplussataille.
Possibilitdetrouverlesecretenutilisantuneattaquebruteforceoupar
dictionnaireeninterceptantlafoisleAccessRequestenvoyparle
clientetlarponseduserveur.
ChiffrementdelattributUserpasswordparunefonctiondehashage
MD5,pluttrservpourdesoprationsdesignature.
Rejeudesrponsesduserveurestpossible
SileclientenvoiedesrequtesutilisantlemmeRequestAuthenticatorque
dansunerequteprcdemmentintercepteavecsarponse
C'estsusceptibledeseproduiresil'implmentationduclientn'utilisepasune
valeuralatoirecommerecommandedanslanorme
33
Protocoles
RADIUS
TACACS+
KERBEROS
34
Kerberos
Kerberosestapparuaumilieudesannes1980aucoursduprojet
AthenaduMIT
StandardisparlIETF
Buts
Fournirunaccsrseauplusieursmilliersdestationsdetravail
Dchargerlesserveursd'applicationsprsentssurlerseaudela
gestiondel'authentification
Scuriserunchangesurunrseaunonscuris
Afindegarantirlaconfidentialitetl'intgritdesdonnes,toutesles
communicationsquitransitentparleserveurKerberossontchiffres
aveclesystmeDES.
35
Kerberos
Afinderalisercorrectementl'authentificationdesdiffrentsprincipaux(un
principalestuneentitprsentesurlerseaudfinitparunidentifiantunique),
leprotocoleKerberosfaisappel3acteursdiffrents
Leclient:Utilisateurouprogrammeayantbesoind'unservice(ftp,mail,web,
etc)fourniparunserveurdistant.
.
Leserveurd'application:Ilfournileservicedemandparleclientaprsque
celuicisesoitauthentifi.
LeserveurdedistributiondesclsKDC(KeyDistributionCenter):Ilpermet
l'authentificationdetouslesclientssurlerseaudontilalaresponsabilit
Kerberossedcomposeentroissousprotocoles
Serviced'authentification:permetd'authentifierlesclients
LeservicededlivrementdeTGS:permetdefournirl'authentificationauprs
desserveursd'application
Serviced'authentificationClient/Serveurquipermetd'tablirune
communicationscuriseentreleclientetleserveurd'applications
36
Kerberos:systmetickets
LauthentificationKerberosreposesurleprincipequechaqueclient
d'unrseaudonndoits'identifiersurunserveurglobal
Leclientdoitprsenterauserveurunticketd'authentificationqueluia
pralablementfournicedernier
Toutclientmunideceticketestconsidrcommeauthentifi
Scurisationdurseaupuisqueaucunedonnesd'authentification
nonchiffrenecirculesurceluici
37
Kerberos:Fonctionnementduservicedeticket
Lutilisateurtented'accderunservicefourniparunserveurdistant
ncessitantuneauthentification
unserveurwebouftpparexemple
Leclientenvoieunerequted'authentificationauKDC(serveurkerberos)
Sileclientrussis'authentifierauprsduserveurKDC
Leserveurluirenvoieunticketluipermettantd'accderauservicedemand
Leclientseprsenteauserveurd'applicationavecleticketd'authentification
Leserveurdapplicationfournitauclientleservicedemand
Leserveurd'applicationnepeutenaucuncascontredireunedcision
priseparleserveurd'authentification
Cesystmencessitedoncuneconfianceabsolueenversleserveur
Kerberos.
38
Kerberos:LeKDC
LeKDCestbassurdeuxentits
Leserveurdauthentification(AS:AuthenticationServer):prenden
chargelapartieauthentificationduclient.Permetauclientde
communiquerauTGS(grceunticketdaccs).
Leserveurdedistributiondetickets(TGS:TicketGrantingServer)
prendenchargelesdemandesdaccsauxservicesdesclientsdj
authentifis
LensembledesinfrastructuresduserveurKerberosASetTGSest
appellecentrededistributiondecls(KDC:KeyDistribution
Center).Ilssontgnralementregroupssurlemmeserveur.
39
Kerberos:Mcanismesdauthentification
LeclientasapropreclpriveKc
LeserveurasapropreclpriveKs.
LeTGSasapropreclpriveKtgset
connatlaclpriveduserveurKs
LASconnatlesclsprivesduclient
etduTGS.
LeTGSetASsontdeuxentitsnormalementde
confiance.
40
Leclientdsiraccderauserveurpourobtenir
unservice.(ApplicationServer).
1.AS_REQ:leclientsidentifieauprsde
lASlaidedunmotdepasse
2.LASvrifiedanssabasequele
clientexiste.Ilgnreuneclde
sessionKc,tgs,ilenvoieauclient
AS_REP
UnecldesessionKc,tgschiffreavecKc,qui
feraofficedemotdepassetemporairepour
chiffrerlescommunicationssuivantes.
Unticketd'accsT1auservicededlivrementdeticket,
chiffravecKtgs,Ilcontientnotammentlheurede
lopration,saduredevalidit,ladressedelamachine
clienteainsiquelacldesessionKc,tgs 41
3.TGS_REQ:leclientfaitune
demandedeticketauprsdu
TGS.
LeticketdaccsT1quelASlui
avaitdonn.
Unidentifiantcontenantdes
informationssurleclientavecla
datedmission,chiffresavecla
cldesessionKc,tgs
42
4.LeTGS:
Dchiffreavecsacl,leticketdaccs
T1.IlobtientlacldesessionKc,tgs.
LeTGSestmaintenantcertainquele
clientabienobtenuleT1delAS.
Dchiffrealorslesinformationsquele
clientavaitprcdemmentchiffr
aveclacldesession.
Ilvrifiequeladuredevaliditestcorrecte.
PuisleTGSenvoieauclientTGS_REPqui
comprend
UnticketT2pouraccderauserveurdapplication.Ilestchiffr
aveclaclprivdeceserveurKs
UnesecondecldesessionKc,spourlescommunicationsentrele
serveurfinaletleclient.CetteclatchiffreaveclaclinitialeKc,tgs.
43
5.Leclientdchiffrelasecondeclde
sessionKc,savecKc,tgs
IlenvoieAP_REQauserveurdapplication
UnnouvelidentifiantchiffravecKc,s
LeticketdaccsT2
6.Leserveurdapplicationvrifieque
leticketestvalideendchiffrantT2
avecKs.IlobtientKc,s.
Leserveurvrifielacohrenceentrelesdeux
informations.(exemple:demandeconformecequi
estautorisparleticket.)
UnerponsepositiveoungativeAP_REPestenvoyeauclient.
44
Kerberos:Pointsforts
Letransitdesmotsdepassesurlerseauestchiffr.
Ilpermetauxutilisateursdesauthentifierunefoispourtouteslorsdu
login.
Sparationdesrles:lASetleTGT.CestlabasedeKerberos.Mais
danslaralit,cesdeuxrlessontregroupsenunemmeentit
(KDC).
Impossiblederejouerunchangedeuxfoisdelammemanire
(grceautimestamps).
45
Kerberos:Pointsfaibles
LechiffrementsymtriquencessiteunpartagedesclsentrelASetle
client.
Leshorlogesdoiventtreparfaitementsynchronises:eneffet,lanti
rejeusappuiesurletimestamps.
Lauthentificationmutuellenestpasdisponiblelorsdupremierchange
entrelASetleclient.LeclientnepeutpascertifierquelASetbiencelui
quilprtendtre.
46

Proto Authentification PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Proto Authentification PDF

Uploaded by

Copyright:

Available Formats

Scurisationdessystmes

255 Reserved 4096octets

You might also like