Professional Documents
Culture Documents
Protocolesutilisantdesmcanismes
d'authentification:TACACS+,RADIUSet
Kerberos
TarikBOUDJEMAA
SadekYAHIAOUI
20072008
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
L'authentification
L'authentificationestlaprocdurequiconsiste,pourunsystme
informatique,vrifierl'identitd'uneentit(personne,ordinateur...),
afind'autoriserl'accsdecetteentitdesressources(systmes,
rseaux,applications...).
Qu'estcequel'authentificationrseau
Ils'agitd'authentifierunemachinelorsqu'ellesebranchesur
lerseau
Afindeluiautoriserourefuserl'usagedurseau.
2
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
L'authentification
Pourquoifairedelauthentificationrseau?
Scuriserunrseau
Pourviteruneutilisationillicitedurseaupardesinconnus
Pourinterdirelespostesinconnus
Pourdonnerdesautorisationspcifiquessurlerseau
(vlan,application,)
Poursavoirquellemachineestconnecteetoelleestconnecte 3
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+
RADIUS
KERBEROS
4
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+
TACACS+(TerminalAccessControllerAccessControlSystemPlus)
protocoledescuritinventdanslafindesannes90parCISCO
Systems.
ilafiniparremplacerlesprotocolesTACACSetXTACACS,TACACS+
nestpasbassurcesderniers
TACACS+estunserveurdauthentificationpermettantdecentraliserles
autorisationsdaccs(Lesmotsdepasseutilisssontgrsdansune
basededonnescentrale)
TACACS+permetdevrifierlidentitdesutilisateurs
distantsmaisaussi,grceaumodleAAA,dautoriseretde
contrlerleursactionsauseindurseaulocal.
5
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:AAA
TACACS+sebasesurleframeworkAAAquisignifie:
Authentication(authentification)
Authorization(autorisation)
Accounting(Comptabilisation)
Cettesparationpermetunemodularitauniveaudestechnologies
utilisespourchaquefonction.
OnpeutparexemplegrceceprincipechoisirRADIUSpour
lauthentificationetTACACS+pourlerestedesfonctions.
6
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:AAA
Authentification(authentication)
Mcanismepermettantladterminationdelidentitde
lutilisateur.Cetteoprationpeutsefairedediffrentesfaons:
Enutilisantcequelutilisateursait(motdepasse,codePINetc.)
Enutilisantcequelutilisateurpossde(Cartepuce,cl
dauthentification)
Enutilisantcequiconstituephysiquementunutilisateur
(Biomtrie)
7
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:AAA
Autorisation(authorization)
Permetdedterminercequelutilisateuraledroitdefaire,letype
deserviceouderessourcequilpeututiliser.
Autorisation(authorization)
Permetdesavoirlesactionsfaitesparlutilisateurdepuis
lauthentificationjusqu'lafindesasessiondanslesystme
Ilestgnralementutilispourlagnrationdauditsetde
rapportsdansuneoptiquedescurit
8
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:Lesacteurs
3Acteurs
L'utilisateur:metteurdelarequted'authentification
(postedetravail,unportable,unPDA)
LeclientTACACS+:lepointd'accsaurseau
LeserveurTACACS+:reliunebased'authentification
(Basededonnes,annuaireLDAP)
9
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:Architecture
dunutilisateurdistantsouhaitantseconnectersonrseau
dentrepriseparuneconnexionpointpoint
LutilisateurdistantseconnectegrcesonmodemauServeurdaccs
desonentreprise
Leserveurdaccsva,parlasuiteinterroger,leserveurTACACS+
afindedterminer:
lavaliditdelutilisateur(authentification)
lesservicesauqueliladroit(autorisation)etdecontrlerses
actionslintrieurdurseau
CestdoncleserveurdaccsquivaagirentantqueClientTACACS+
etcommuniquerlesinformationsauserveurTACACS+
10
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:Architecture
casdunutilisateurWIFIsouhaitantseconnectersonrseaulocal
dentreprise.
lutilisateurwifiseconnectesonpointdaccsquivajouerlerle
declientTACACS+auprsduserveur.
11
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:Architecture
Casdunutilisateuritinrantsouhaitantseconnecterrseau
dentreprisedistanceenutilisantuncanalVPN
LutilisateurseconnecteicienVPNparInternetauserveurdaccs
desonentreprisequijoueralerledeclientTACACS+.
CasdeladministrationdunmatrielCISCO
lorsquelutilisateurseconnecteetsaisitsesinformations
dauthentificationsurlematrielCISCO,cedernierinterrogeleserveur
TACACS+afindelidentifier.
12
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:Fonctionnement
Descriptiond'unpaquetTACACS+
TACACS+utilisepourcommuniquerleportTCP(port49)
LatailleduneenttedunpaquetTACACS+estde12Octet
FormatdunpaquetTACACS+:
Majorversion:donneleNumrodelaversionMajeuredeTACACS+
Minorversion:donneleNumrodelaversionMineuredeTACAS+
13
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:Fonctionnement
Type:dfinitsilsagitdunpaquetdauthentification,
dautorisation,oudecomptabilisation(conformmentauAAA)
Seq_no:numrodesquencesincrmentantde1pourchaque
paquetenvoylorsdunesession.
lags:diffrentsdrapeauxpermettantentreautredecrypterle
F
paquetentiergrcelalgorithmeMD5.
Length:tailledupaquet.
NousallonsdtaillerlefonctionnementdeTACACS+pourchaque
fonctionAAA:
14
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:Authentification
Laphasedauthentificationpeutsupporterplusieursprotocolescomme
destechniquesdetypeRAPouencoreCHAP
leclientenvoieunpaquetSTARTauserveurTACACS+
despairesdemessagedetypeREQUEST/REPONSEcontenantdes
paires<attributsvaleur>serontchangs
Parexempleilpeutenvoyerunpromptauclientpourluipermettrede
fournirlesinformationssurlenomdutilisateur,ainsiquesonmotde
passe.
serveurTACACS+vrifieetenvoiedansunpaquetREPLYsarponse
15
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:Autorisation
Quandunutilisateurdemandelutilisationdunserviceparticulier,il
passeparlintermdiaireduclientTACACS+quienvoieunpaquet
REQUEST
Cepaquetcomprenddesargumentsdetypesattributsvaleursqui
permettededfinirlescommandesquidoiventtreexcuts
Exemple:silutilisateurveututiliserleprotocoleFTP,leclient
TACACS+enverracommeargumentprotocol=ftp.
serveurTACACS+vrifiedanssabaseetenvoiedansunpaquetRESPONSE
sarponse
16
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:Comptabilisation
Lorsduneactiondelutilisateur,leclientTACACS+envoieunpaquet
REQUESTcomprenanttoujoursdesargumentsattributsvaleurs
quipermettent,entreautres,desavoirledbut,lafinetletypedaction
excutparlutilisateur.
LeserveurTACACS+enregistrealorslesinformationsdanssabaseet
renvoieunpaquetRESPONSEaveclersultatdelenregistrement
(checousuccs).
17
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
TACACS+:ExempledunesessionTACACS+
18
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Protocoles
TACACS+
RADIUS
KERBEROS
19
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS
RemoteAuthenticationDialInUserService
RADIUSestunmcanismedetransportdes
donnesd'authentification
UnmoyenpourlesFAIdecentraliserleursbasesdedonnes
utilisateurs
ProtocoledetypeAAA(AuthenticationAuthorization
Accounting)
DernireversionduprotocoleRADIUSnormalise
parl'IETFdanslaRFC2865
20
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUS,KERBEROSetFORTEZZA
RADIUS:Modeopratoiretype
3Acteurs
L'utilisateur:metteurdelarequted'authentification
(postedetravail,unportable,unPDA)
LeclientRADIUS:lepointd'accsaurseau(NAS,firewall,
pointd'accswireless,etc...)
LeserveurRADIUS:reliunebased'authentification
(Basededonnes,annuaireLDAP)
21
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:Modeopratoiretype
l'utilisateurmetunerequted'authentificationauprsduclientRADIUS
ProtocolecommePPPouTelnet
Leclientradiusdemandel'utilisateursesinformationsd'authentification(
username,password)
DanslecasdePPP:ilutiliselesinformationsdjprsentesdanslepaquet
LeclienttransmetlarequteauserveurRadius
RequtedetypeAccessRequest:(demanirescurise)
LeserveurRadiusretournelunedesrponsessuivantes
AccessAccept:Acceptationlarequteduclient
AccessReject:pourspcifierauclientquesarequteestrejete.
22
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:ModeopratoiretypeL'authentificationmodeChallenge
RADIUSpeututiliserunmodeChallenge
Enfonctiondelazonedaccsdemandeetdesdroitsdelutilisateur,leserveur
RADIUSpeutexigerdesinformationssupplmentairespourlauthentification.
Rponse:AccessCHALLENGE:viterdetransmettrelemotdepasse.
LeclientenvoiealorsuneautrerequterpondantauChallengepours'authentifier
23
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:Couchedetransport
RADIUSutiliseleprotocoleUDPsurleport1812
LasurchargeinduiteparunesessionTCPn'estpasjustifie
LaretransmissionTCPestadapteautransfertdedonnes,
pasl'authentification
Ilpermetd'utiliserdefaontransparenteunautreserveuren
casd'indisponibilit
24
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:Implmentations
PlusieursimplmentationsduprotocoleRADIUSsontdisponibles
Versionscommerciales
NPS(NetworkPolicyServer)pourWindowsServerVista,IASpourWindows
Serveur2000/2003
Versionslibres
CistronRadius,LivingstonRadiusetFreeRadius,OpenRadius
25
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:PaquetsRADIUS
EncapsuldansundatagrammeUDP
Format:
Code Identifier
1 AccessRequest
Pourcorrespondreles
2 AccessAccept requtesetleursrponses
3 AccessRequest Nombrequeleclientincrment
4 AccountingRequest chaquerequte.
5 AccountingResponse Longueur
11 AccessChallenge Longueurtotaledupaquet,enincluant
12 StatusServer(exprimental) lesattributs
13 StatusClient(exprimental) Longueurminimale20octets,maximale
RADIUS:PaquetsRADIUS
Authentificateur
RequestAuthenticator:requtesduclient
Nombrealatoirede16octets
ResponseAuthenticator:rponsesduserveur
utilispourauthentifilarponseduserveur
ResponseAuth=MD5(Code+ID+Length+RequestAuth+Attributes+Secret).
Leclientestalorsenmesuredevrifierqueleserveurquirpondestbien
celuiqu'ilacontact.
Attributsetvaleurs
Ensembled'attributsetleurvaleurquiindiquequelsservicessont
demandsouautoriss. 27
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:LesattributsRADIUS
Richessedesinformationsquipeuventtretransmisesentreleserveuretle
client
Informationsappelesattributs
ilspermettentauclientdecommuniquerdesinformationsauserveur
(password,MACadresse)
ilspermettentauserveurdecommuniquerlesparamtresdes
autorisationsqu'ildlivre(vlan)oubiendemanderdesinformations
complmentaires.
Incluslafind'unpaquetRADIUS,selonunformatType,Longueur,
Valeur(TLV).
28
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:LesattributsRADIUS
Type
Dfinitlerledel'attribut
Lesattributsquidoiventoupeuventtreinclusdansunpaquetdpendentdu
typedecepaquet
Exemple,unpaquetAccessRequestdoitcontenirlesattributsUser
NameetUserPassword,maisd'autrespeuventtreinclus,comme
l'attributCallbackNumberquiprciselenumrodetlphone
rappeler.
Longueur
longueurtotaledel'attribut,incluantletype,lalongueuretlavaleur.
Valeur
Peuttreunechanedecaractres,donnesbinaires,entiersur32
bits,adresseIPsur32bits,unevaleurdetempssur32bits.
LesattributsVendorSpecificdfinissentleursproprestypesdedonnes.
29
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:lesattributsRadius
AttributsStandards
CalledStationId
Contientl'adresseMACdel'quipementNAS
CallingStationId
Contientl'adresseMACdelamachinede
l'utilisateur.
NASIPAddress
AdresseIPdel'quipementNAS
NASPort
Portsurlequelestconnectlesupplicant
UserName
Chaqueattributpossdeunnumrod'identification.
UserPassword
Seulcenumroesttransmisdanslespaquets.
Lacorrespondanceentrelenomdel'attribut,sonnumroetsontype
estralisdansundictionnaire. 30
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:lesattributsRadius
AttributsVendor
Lesfabricantdematrielrseau(NAS)ontparfoisintgr
leursquipementsdesattributsspcifiquesenplusdesattributs
standardsdfinisdansleRFC.
Cesattributssontencapsulsdansl'attributstandardvendorspecificquia
pournumero26.IlssontappelsVSA=VendorSpecificAttribut
VendorIDNd'immatriculationdufabricant
AttributnumberCommepourlesattributsstandards,lesvendorattributspossdent
unnumrod'identification.Cenumroestrpertoridansundictionnairespcifique
aufabricant.
Longueur
Valeur
31
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:Scurit
Secretpartag
lmentprincipaldelascuritRADIUSentreleclientetleserveur
Secretpartagdiffrentpeuttredfinipourchaqueclient
Possibilitd'avoirunsecretuniquepourtouslesclients(pluspratiquemais
moinsscuris
Cesecretpeuttreden'importequellelongueur,maisilestmieuxd'avoir
unsecretd'aumoins16caractresetd'unebonnecomplexit
Lesecretestutilispourvrifierl'authenticitduserveur:MD5(Code
+ID+Length+RequestAuth+Attributes+Secret).
Lesecretestaussiutilisparleclientpourencrypterlemotdepasseenvoy
pourl'authentification
Pourvitervitelesniffingdumotdepasse
MotdepasseencryptentantquehashMD5dusecretavecleRequest
Authenticator,letoutcombinparunxoraveclemotdepasse.
32
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
RADIUS:Faiblesses
Scuritrelativereposantsurlesecretpartag.Certainesimplmentations
clienteslimitentenplussataille.
Possibilitdetrouverlesecretenutilisantuneattaquebruteforceoupar
dictionnaireeninterceptantlafoisleAccessRequestenvoyparle
clientetlarponseduserveur.
ChiffrementdelattributUserpasswordparunefonctiondehashage
MD5,pluttrservpourdesoprationsdesignature.
Rejeudesrponsesduserveurestpossible
SileclientenvoiedesrequtesutilisantlemmeRequestAuthenticatorque
dansunerequteprcdemmentintercepteavecsarponse
C'estsusceptibledeseproduiresil'implmentationduclientn'utilisepasune
valeuralatoirecommerecommandedanslanorme
33
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Protocoles
RADIUS
TACACS+
KERBEROS
34
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos
Kerberosestapparuaumilieudesannes1980aucoursduprojet
AthenaduMIT
StandardisparlIETF
Buts
Fournirunaccsrseauplusieursmilliersdestationsdetravail
Dchargerlesserveursd'applicationsprsentssurlerseaudela
gestiondel'authentification
Scuriserunchangesurunrseaunonscuris
Afindegarantirlaconfidentialitetl'intgritdesdonnes,toutesles
communicationsquitransitentparleserveurKerberossontchiffres
aveclesystmeDES.
35
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos
Afinderalisercorrectementl'authentificationdesdiffrentsprincipaux(un
principalestuneentitprsentesurlerseaudfinitparunidentifiantunique),
leprotocoleKerberosfaisappel3acteursdiffrents
Leclient:Utilisateurouprogrammeayantbesoind'unservice(ftp,mail,web,
etc)fourniparunserveurdistant.
.
Leserveurd'application:Ilfournileservicedemandparleclientaprsque
celuicisesoitauthentifi.
LeserveurdedistributiondesclsKDC(KeyDistributionCenter):Ilpermet
l'authentificationdetouslesclientssurlerseaudontilalaresponsabilit
Kerberossedcomposeentroissousprotocoles
Serviced'authentification:permetd'authentifierlesclients
LeservicededlivrementdeTGS:permetdefournirl'authentificationauprs
desserveursd'application
Serviced'authentificationClient/Serveurquipermetd'tablirune
communicationscuriseentreleclientetleserveurd'applications
36
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:systmetickets
LauthentificationKerberosreposesurleprincipequechaqueclient
d'unrseaudonndoits'identifiersurunserveurglobal
Leclientdoitprsenterauserveurunticketd'authentificationqueluia
pralablementfournicedernier
Toutclientmunideceticketestconsidrcommeauthentifi
Scurisationdurseaupuisqueaucunedonnesd'authentification
nonchiffrenecirculesurceluici
37
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:Fonctionnementduservicedeticket
Lutilisateurtented'accderunservicefourniparunserveurdistant
ncessitantuneauthentification
unserveurwebouftpparexemple
Leclientenvoieunerequted'authentificationauKDC(serveurkerberos)
Sileclientrussis'authentifierauprsduserveurKDC
Leserveurluirenvoieunticketluipermettantd'accderauservicedemand
Leclientseprsenteauserveurd'applicationavecleticketd'authentification
Leserveurdapplicationfournitauclientleservicedemand
Leserveurd'applicationnepeutenaucuncascontredireunedcision
priseparleserveurd'authentification
Cesystmencessitedoncuneconfianceabsolueenversleserveur
Kerberos.
38
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:LeKDC
LeKDCestbassurdeuxentits
Leserveurdauthentification(AS:AuthenticationServer):prenden
chargelapartieauthentificationduclient.Permetauclientde
communiquerauTGS(grceunticketdaccs).
Leserveurdedistributiondetickets(TGS:TicketGrantingServer)
prendenchargelesdemandesdaccsauxservicesdesclientsdj
authentifis
LensembledesinfrastructuresduserveurKerberosASetTGSest
appellecentrededistributiondecls(KDC:KeyDistribution
Center).Ilssontgnralementregroupssurlemmeserveur.
39
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:Mcanismesdauthentification
LeclientasapropreclpriveKc
LeserveurasapropreclpriveKs.
LeTGSasapropreclpriveKtgset
connatlaclpriveduserveurKs
LASconnatlesclsprivesduclient
etduTGS.
LeTGSetASsontdeuxentitsnormalementde
confiance.
40
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:Mcanismesdauthentification
Leclientdsiraccderauserveurpourobtenir
unservice.(ApplicationServer).
1.AS_REQ:leclientsidentifieauprsde
lASlaidedunmotdepasse
2.LASvrifiedanssabasequele
clientexiste.Ilgnreuneclde
sessionKc,tgs,ilenvoieauclient
AS_REP
UnecldesessionKc,tgschiffreavecKc,qui
feraofficedemotdepassetemporairepour
chiffrerlescommunicationssuivantes.
Unticketd'accsT1auservicededlivrementdeticket,
chiffravecKtgs,Ilcontientnotammentlheurede
lopration,saduredevalidit,ladressedelamachine
clienteainsiquelacldesessionKc,tgs 41
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:Mcanismesdauthentification
3.TGS_REQ:leclientfaitune
demandedeticketauprsdu
TGS.
LeticketdaccsT1quelASlui
avaitdonn.
Unidentifiantcontenantdes
informationssurleclientavecla
datedmission,chiffresavecla
cldesessionKc,tgs
42
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:Mcanismesdauthentification
4.LeTGS:
Dchiffreavecsacl,leticketdaccs
T1.IlobtientlacldesessionKc,tgs.
LeTGSestmaintenantcertainquele
clientabienobtenuleT1delAS.
Dchiffrealorslesinformationsquele
clientavaitprcdemmentchiffr
aveclacldesession.
Ilvrifiequeladuredevaliditestcorrecte.
PuisleTGSenvoieauclientTGS_REPqui
comprend
UnticketT2pouraccderauserveurdapplication.Ilestchiffr
aveclaclprivdeceserveurKs
UnesecondecldesessionKc,spourlescommunicationsentrele
serveurfinaletleclient.CetteclatchiffreaveclaclinitialeKc,tgs.
43
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:Mcanismesdauthentification
5.Leclientdchiffrelasecondeclde
sessionKc,savecKc,tgs
IlenvoieAP_REQauserveurdapplication
UnnouvelidentifiantchiffravecKc,s
LeticketdaccsT2
6.Leserveurdapplicationvrifieque
leticketestvalideendchiffrantT2
avecKs.IlobtientKc,s.
Leserveurvrifielacohrenceentrelesdeux
informations.(exemple:demandeconformecequi
estautorisparleticket.)
UnerponsepositiveoungativeAP_REPestenvoyeauclient.
44
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:Pointsforts
Letransitdesmotsdepassesurlerseauestchiffr.
Ilpermetauxutilisateursdesauthentifierunefoispourtouteslorsdu
login.
Sparationdesrles:lASetleTGT.CestlabasedeKerberos.Mais
danslaralit,cesdeuxrlessontregroupsenunemmeentit
(KDC).
Impossiblederejouerunchangedeuxfoisdelammemanire
(grceautimestamps).
45
Master2ProfessionnelSTICInformatiqueScurisationdessystmes
Protocolesutilisantdesmcanismesd'authentification:TACACS+,RADIUSetKERBEROS
Kerberos:Pointsfaibles
LechiffrementsymtriquencessiteunpartagedesclsentrelASetle
client.
Leshorlogesdoiventtreparfaitementsynchronises:eneffet,lanti
rejeusappuiesurletimestamps.
Lauthentificationmutuellenestpasdisponiblelorsdupremierchange
entrelASetleclient.LeclientnepeutpascertifierquelASetbiencelui
quilprtendtre.
46
Master2ProfessionnelSTICInformatiqueScurisationdessystmes