11- Authentification_ autorisation_ comptabilisation

Document Sample
11- Authentification_ autorisation_ comptabilisation Powered By Docstoc
					     Formation aux technologies




                          Authentification, autorisation, comptabilisation




                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   1
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                                         Agenda

               Agenda
                      Définitions
                      Chap/MsChap
                      Radius
                      802.1x
                      Kerberos
                      Authentification OmniPCX Enterprise




                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   2
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                                       Définitions

               Authentification
                      Vérifiez que l'utilisateur est bien celui qu’il prétend être

                             Utilisez le mot de passe, la carte à jeton spéciale, l'ID de l'appelant,
                             etc.
                             Peut lancer un « défi » supplémentaire


               Autorisation
                      Vérifiez que l'utilisateur peut accéder aux services souhaités.

                             Vérifiez la base de données ou les informations du dossier de
                             l'utilisateur


               Comptabilité
                      Enregistrez ce que l'utilisateur a fait.

                             Temps en ligne. Octets envoyés/reçus. Accès aux services. Etc.

                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   3
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                        Authentification, autorisation, comptabilisation
                                                                                                Authentification de l'utilisateur : CHAP

                CHAP: Challenge handshake protocol



                                                                           Le client lance la
                                                                      1    communication

                                    Mot de
                                    passe
                                                                                                                                 Mot de
                                                                                                                                 passe

                                                                                Le système NAS            2
                                  Hachage           Défi
                                                                                envoie un défi
                                    MD5                                                                                        Hachage          Défi
                                                3                                                                                MD5
                                                                            Le client envoie la valeur de
                                                                       4
                                                                            hachage
                                  Valeur de
                                  hachage
                                                                                                                               Valeur de
                                                                                                                         =     hachage

                                                                                                                                 5




                                                                    Le système NAS envoie une               6
                                                                    confirmation d’authentification




                                                                   © Copyright Alcatel Business Systems 2005
                                               Transmission or copying of this document is not permitted without prior written authorization.          4
                                              The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Si cela correspond, le serveur envoie l'authentification réussie




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                               Authentification, autorisation, comptabilisation
                                                                                                                                    MSCHAP-
                                                                                                Authentification de l'utilisateur : MSCHAP-V2

                  MSCHAP-V2


                              Décrit dans RFC2759

                              Prise en charge de l’authentification mutuelle client/serveur

      U = nom d'utilisateur
      Pw = mot de passe
      H = hachage Win NT (pw) + 5 octets_zéro
      (21 octets)
                                                                             Demande de défi de connexion
      H->K1, K2, K3 7 octets chacun                               1

                                                                                Défi aléatoire R (16 octets)
                                                                                                                               2

          3a   Défi d’authentification du
               correspondant : PAC (16 octets)                                         (PAC, réponse)
                                                                  3d                                                                    4a HH (pw) = MD4 (MD4(pw)), stocké localement
          3b   Défi client = SHA-1 (R, PAC, U) : C                .                                                                        sur le serveur
          .    (8 octets)
                                                                                                                                             Le bloc décrypté correspond-il au défi ?
          3c   Réponse = DESK1(c),DESK2(c),DESK3(c)
          .
                                                                                                                                             Const1=« Constante magique serveur/client »
                                                                         Réponse d’authentification (20 octets)                              Const2 = remplissage pour multiplication
                                                                                                                              4b
                                                                                                                              .              T = SHA-1 (HH (pw), réponse, const1)
                                                                                                                                             Réponse SHA 1 (T, C, const2)

          5 La réponse calculée correspond à la réponse reçue.




                                                                           © Copyright Alcatel Business Systems 2005
                                                       Transmission or copying of this document is not permitted without prior written authorization.                                      5
                                                      The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  1. Le client demande un défi de connexion au serveur.


  2. Le serveur renvoie un défi aléatoire 16 octets.


  3a. Le client génère un nombre aléatoire 16 octets, appelé « Défi d’authentification du correspondant ».


  3b. Le client génère un défi 8 octets en hachant le défi 16 octets reçu à l'étape (2), le défi d’authentification du correspondant 16 octets
     généré à l'étape (3a) et le nom d'utilisateur du client.


  3c. Le client crée une réponse 24 octets à l'aide de la fonction de hachage Windows NT et du défi 8 octets généré à l'étape (3b). Ce
      processus est identique à MS-CHAPv1.


  3d. Le client envoie au serveur les résultats des étapes (3a) et (3c).


  4a. Le serveur utilise les hachages du mot de passe client, enregistrés dans une base de données, pour décrypter les réponses. Si les blocs
     décryptés correspondent au défi, le client est authentifié.


  4b. Le serveur utilise le défi d’authentification du correspondant 16 octets du client, ainsi que le mot de passe client haché, pour créer une
     réponse d’authentification 20 octets


  5. Le client calcule également la réponse d’authentification. Si la réponse calculée correspond à la réponse reçue, le serveur est authentifié.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                              Authentification, autorisation, comptabilisation
                                                                                                                                    Dé
                                                                                                                           RADIUS : Définition

                    RADIUS :protocole de communication entre un Network
                    Access Server (NAS, serveur d'accès au réseau) et un
                    serveur AAA distant
                             Pas le serveur lui-même

                             Défini par la norme IETF RFC2865 RFC2866
                               En-tête UDP En-tête RADIUS                                                    Données utiles EAP

                             Nécessite des clients (normalement un NAS) et des serveurs
                             (souvent appelés serveurs RADIUS)

                             Permet l'échange de couples attribut-valeur (AVP)

                             Permet la communication de couples attribut-valeur étendus
                             à l'aide d'« Attributs Vendor Specific Attributes » (VSA,
                             attributs spécifiques d'un fournisseur).


                                                                          © Copyright Alcatel Business Systems 2005
                                                      Transmission or copying of this document is not permitted without prior written authorization.   6
                                                     The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Peut aussi servir au transport des messages EAP.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                             Authentification, autorisation, comptabilisation
                                                                                                                       RADIUS : Vue logique

               Remote Authentication Dial In User Service
                        Serveur centralisé pour authentification de l'utilisateur à
          Client/Client
                        distance
                   PAP, CHAP, MSCHAP, EAP, PPP
                      Ligne série (RS232? …)                                                                 ISP POP/Réseau
                                                                                                             d'entreprise
                                                                                 NAS/RAS



                   PAP, CHAP, MSCHAP, EAP                                                                                                             Internet
                    PPPOE           PPPOA
                     Ethernet        ATM



                                                                                 Commutateur LAN
                     EAP-TLS EAP-TTLS EAP-PEAP --
                            EAPOL (802.1X)
                                Ethernet
                                                                                                            Local

                                                                              Serveur Radius

                                                                                                LDAP (Lightweight
                                                                                                Directory Access Protocol)




                                                                                                            Autre




                                                                         © Copyright Alcatel Business Systems 2005
                                                     Transmission or copying of this document is not permitted without prior written authorization.              7
                                                    The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Dans les réseaux à utilisateurs multiples et ressources partagées, une authentification et une autorisation utilisateur centralisées sont
  absolument nécessaires. La centralisation réduit le besoin en assistance administrative et augmente la sécurité du réseau. Dans les réseaux
  comportant également des utilisateurs d'accès entrant via des réseaux de modems ou d'autres utilisateurs distants, en d'autres termes des
  utilisateurs qui utilisent le réseau et ses ressources, les problèmes de sécurité sont d'autant plus importants.
  Le protocole RADIUS (Remote Authentication Dial In User Service) a été mis au point pour résoudre ces problèmes.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                               modè      sécurité
                                                                                                     RADIUS : modèle de sécurité

               Transport UDP
                      Authentification+Autorisation Port 1812 (anciennement
                      1645)
                      Comptabilisation Port 1813 (anciennement 1646)


               Chaque paquet contient un authentifiant
                      Demandes d’accès :
                             md5(secret partagé + authentifiant) ^ mot de passe utilisateur
                   Secret partagé, authentifiant                        MD5
                                                                                                                   Authentifiant
                                       Mot de
                                       passe



                      Accès refusé & Accès autorisé
                             md5(Code + ID + Longueur+ Autorité de demande+ Attributs +
                             Secret)

                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   8
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                                Protocole RADIUS



               Demande d’accès
               Défi d’accès                                                                                                   Session de
                                                                                                                              connexion
               Accès autorisé                                                                                               Demande d’accès
                                                                                                                       1
               Accès refusé                                                                                                  Accès autorisé
                                                                                                                                                 2
                                                                                                                         Demande de
               Demande de comptabilisation                                                                        comptabilisation (démarrage)
                                                                                                                   3
                                                                                                 Network         Réponse de comptabilisation
               Réponse de comptabilisation                                                        Access                                         4
                                                                                                                                                       Serveur
                                                                                                                                                        Radius
                                                                                                  Server
                                                                                                  (Client                     Session de
                                                                                                 Radius)                     déconnexion
                                                                                                                                Demande de
                                                                                                                           comptabilisation (arrêt)
                                                                                                                   5
                                                                                                                               Réponse de
                                                                                                                             comptabilisation      6




                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.                         9
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                     donné
                                                                                          RADIUS : données serveur essentielles

               Information client NAS
                      Nom IP
                      Clé secrète partagée
                      Type NAS                                                                                                             Information client NAS




               Dictionnaire                                                                                                                                              Dictionnaire
                                                                                                                                                Dictionnaire Vendor specific attribute (attributs
                      Définition des attributs RADIUS                                                                                         Attribut standard spécifiques d'un fournisseur)

                             Attribuez des noms lisibles aux
                             numéros d'attribut
                             Chaîne, entier, adresse IP, date

                                                                                                                                           Informations utilisateur
               Informations utilisateur
                      Nom d'utilisateur
                      Mot de passe
                      Méthode d'authentification
                      Vérifier les attributs
                      Envoyer les attributs



                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.                                                            10
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                          Authentification, autorisation, comptabilisation
                                                                                                                   Serveur proxy RADIUS

                Un serveur « proxy » peut transférer des demandes vers un autre
                serveur pour leur traitement


                Dans les situations de proxy, le NAI inclut un ID utilisateur et un
                domaine séparés par le signe @
                        utilisateur@domaine


                Le domaine indique le serveur responsable de l'authentification de l'ID
                utilisateur.
                                                                        Proxy Radius                                                      Radius
                                    Demande d’accès                                              Demande d’accès
                        NAS         ID utilisateur : bill@homeco                                 ID utilisateur : bill@homeco
                                                                                                                                                          Base de
                                    Mot de passe : mypass                                        Mot de passe : mypass                                    données
                                                                                                                                                          utilisateur




                                                               Fichier de         Journaux                                                     Journaux
                                                               domaines
                                                               - homeco




                                                                      © Copyright Alcatel Business Systems 2005
                                                  Transmission or copying of this document is not permitted without prior written authorization.                        11
                                                 The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Un serveur de redirection ou « proxy » peut transférer l'authentification et/ou les demandes de comptabilisation vers un autre serveur pour
  traitement.
  Afin de différencier les demandes à traiter localement et celles à transmettre, le NAI a besoin d'un traitement spécifique.
  Le NAI (Network Access Identifier) est généralement appelé ID utilisateur.
  Dans les situations de proxy et d'itinérance, le NAI est modifié et inclut alors à la fois l'ID utilisateur et un identifiant de « domaine ».
  Le domaine est un mot clé indiquant le serveur responsable de l'authentification de l'ID utilisateur.



  Un serveur RADIUS proxy recherche le « @ » dans le NAI pour déterminer s'il doit traiter la demande ou la transférer.
  En l'absence de « @ », le NAI entré est supposé être uniquement un ID utilisateur.
  En présence d'un « @ », le NAI est divisé en deux jetons (un ID utilisateur et un intitulé de domaine).
  L'intitulé de domaine est vérifié dans un fichier ou une base de données local pour trouver l'adresse du serveur pour ce domaine et le
  protocole (généralement RADIUS) utilisé pour la connexion.
  Bien que l'intitulé de domaine puisse ressembler à un nom de domaine (les adresses électroniques sont souvent utilisées comme NAI), cette
  supposition n'est pas sûre.


  La manière standard d'envoyer un ID utilisateur et un domaine dans le NAI est de les séparer par un « @ ».
  Voici un NAI de proxy classique :
                   utilisateur@domaine




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                    Authentification, autorisation, comptabilisation
                                                                                                         Infrastructure IEEE 802.1X

                Norme définie par le groupe de
                travail IEEE 802.1
                                                                                                     Références                   Certificat       d'utilisateur/Mot
                                                                                                                                               Nom d'utilisateur/Mot de passe

                Décrit un protocole de couche de                                                                                   Microsoft    Funk    CSCO/Microsoft
                                                                                                                                     IETF      Certicom     IETF
                liaison standard utilisé pour le
                transport des protocoles                                                                                                TLS      TTLS         PEAP
                d'authentification de plus haut
                niveau

                Fonctionne entre le demandeur                                                       Authentification                           EAP
                (logiciel client) et l'Authentifiant                                                  Protocoles
                (équipement réseau)

                Maintient la communication                                                                                                     802.1x
                backend vers le serveur
                d'authentification (généralement                                                       Cryptage
                                                                                                                                       RC4        RC4           AES
                RADIUS)                                                                               Algorithmes

                                                                                                         Cryptage                     WEP      WPA-TKIP
                                                                                                                                               WPA-            802.11i
                                                                                                         Normes
                IEEE 802.1X définit également
                EAPOL (EAP sur réseau LAN) qui
                encapsule des messages EAP entre
                le demandeur et l'authentifiant


                                                                © Copyright Alcatel Business Systems 2005
                                            Transmission or copying of this document is not permitted without prior written authorization.                                      12
                                           The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  IEEE 802.1X standard
      Tire parti de EAP (IETF RFC 2284) pour fournir de nombreux schémas d'authentification
          •Résumé de message 5 (MD5, IETF RFC 1321)
          •Sécurité de la couche de transport (TLS, IETF RFC 2716)
          •TLS acheminé par tunnel (TTLS)
          •Protected Extensible Authentication Protocol (PEAP - protocole d'authentification extensible protégé)
  EAP : Extensible Authentication Protocol (protocole d'authentification extensible)




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                              Authentification, autorisation, comptabilisation IEEE 802.1x – Principes de
                                                                                         fonctionnement

                IEEE 802.1x                                                                             EAP
                      Le dialogue d’authentification entre le                                                               Cadre d’authentification
                      serveur demandeur et le serveur                                                                       Prend en charge des méthodes
                      d’authentification repose sur des                                                                     d’authentification multiples
                      trames EAP.                                                                                           Fonctionne directement sur la couche
                      Toutes les communications entre le                                                                    liaison de données
                      serveur demandeur et le serveur                                                                       Ne nécessite pas de
                      d’authentification reposent sur un                                                                    protocole Internet (IP)
                      protocole EAP sur réseau                                                                              Voici quelques types
                      local (EAPOL).                                                                                        d’authentification EAP : EAP-MD5, EAP-
                                                                                                                            TLS, EAP-TTLS.
                         Système du            Système d’authentification                                                                        Système
                         demandeur                                                                                                           d'authentification




                                                                                                            Authentifiant
                                                                                                                PAE
                                                                                           …
                                                                                                                                             Authentification
                                                                                                                                                 Serveur
                                                                                                                                Radius
                            PAE du               Connectivité au                             Services
                          demandeur                réseau local                            non contrôlés


                                                      Port contrôlé                        Port non contrôlé


                                                                                                                 EAPOL




                         802.3 MAC                                        802.3 MAC
                         802.3 PHY                                        802.3 PHY
                                                                       LAN

                                                                © Copyright Alcatel Business Systems 2005
                                            Transmission or copying of this document is not permitted without prior written authorization.                           13
                                           The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Le port contrôlé empêche l'accès LAN du demandeur
  Le port non contrôlé permet à l'authentifiant de contacter le serveur d'authentification




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                      Authentification, autorisation, comptabilisation
                                                                                                                       Couche 802.1X




                                                          C
                                                       PP C EE                                  EE
                                                          HH                                                                                        Couche
                                                       AA A AA                                  AA                                             d'authentification
                                                       PP A PP                                  PP
                                                          PP


              MD5
              MD5                    TLS
                                      TLS                     TTLS
                                                               TTLS                          PEAP
                                                                                              PEAP                       MS-CHAP-V2
                                                                                                                         MS-CHAP-V2


                                                                      EAP
                                                                       EAP
                                                                                                                                                  Couche
                                                                                                                                                   EAP

                                                                   EAPOL
                                                                    EAPOL


                                                                                                                                                  Couche
                      PPP
                       PPP                                                                  802.11
                                                                                             802.11                                                MAC




                                                                  © Copyright Alcatel Business Systems 2005
                                              Transmission or copying of this document is not permitted without prior written authorization.                        14
                                             The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  EAP-MD5
      Convient pour les réseaux fiables, mais pas pour les réseaux publics
      Pas d’authentification du serveur
      Pas d’attribution de clé dynamique
  EAP-TLS
      TLS (certificats destinés à l’utilisateur et au serveur d’authentification)
      Attribution de clé dynamique
  EAP-TTLS
      Attribution de clé dynamique
      Vulnérable aux attaques de type « man in the middle » (interception)
  PEAP
      Vulnérable aux attaques de type « man in the middle » (interception)
      Attribution de clé dynamique
      TTLS ou PEAP (certificats destinés au serveur d’authentification ; authentification héritée pour les utilisateurs)




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                             Authentification, autorisation, comptabilisation
                                                                                                            IEEE 802.1x - Définition d'EAPOL


       • Format de messages EAP


        Code : 1 octet,
        représentant le
        type de                              ID 1 octet,
                                             ID:
        message EAP
                                             utilisé pour faire
                                             correspondre demandes
                                             et réponses




             0                   1                   2
             0
             3 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6
             7 8 9 0 1

                 Code          Identifiant             Longueur

              Données ...

                                              Longueur : 2 octets,
                                              La longueur totale du
                                              message

         Donné
         Données : n'importe quelle
         taille,
         Les données du message




                                                                         © Copyright Alcatel Business Systems 2005
                                                     Transmission or copying of this document is not permitted without prior written authorization.   15
                                                    The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                             Principes de fonctionnement 802.1X

                L'utilisateur fait une demande d'authentification/de connexion
              1        Doit avoir le logiciel client sur le demandeur
                       Le point d'accès ou le port du commutateur démarre en mode non
                       authentifié
                  Demande d'authentification entre le demandeur et le serveur
                  d'authentification facilitée par l'authentifiant   2
                  Le serveur d'authentification accorde ou refuse l'accès (autorisation)                                                         3
                                                                          d'accè
                                                                    Point d'accès


                                    1
                                                                                                                                  2
                       EAP sur réseau sans fil
                                                                 Commutateur LAN
                                                                                                                          3


                            EAP sur réseau Ethernet
                                                                                                                                               Serveur
          Demandeurs                                                                                                                       d'authentification
                                                                   Authentifiants




                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.                        16
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                    Authentification, autorisation, comptabilisation
                                                                                       IEEE 802.1x - Tableau des échanges EAPOL

                                                                                                          Authentifiant/serveur
                                       Demandeur                                                          d’authentification




                         Authentification réussie                                                                             Port autorisé


                         Échec de                                                                                             Port non autorisé
                         l’authentification
                                                                                                                              Port non autorisé
                         Authentification
                         terminée




                                                                © Copyright Alcatel Business Systems 2005
                                            Transmission or copying of this document is not permitted without prior written authorization.        17
                                           The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  802.1x Client (demandeur)
          Microsoft XP
          Open source 802.1x (pour Linux)
          Funk Odyssey (voir tarifs eND)
          Meetinghouse AEGIS



  Serveur d'authentification 802.1x
          Funk Steel-Belted Radius et Odyssey
          Interlink Networks RAD
          Microsoft IAS (2000 & XP)




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                             Principes de fonctionnement 802.1X


                                                                2. Le point d’accès transmet
                                                                la demande au
                                                                serveur Radius



                                  u                                                          IU S                                                   Serveur
                              sea                                                          AD
                          r ré OL)                                                    surR                                                     d’authentification
                        su P                                                 EAP
                                                                                                                                               (serveur RADIUS,
                  EAP l (EA                                                                                                                      par exemple)
                       a
                   loc


                                                                                                                 3. Le serveur Radius demande un mot de
                                                                                                                 passe à l’utilisateur final, qui le lui
                           EAP sur      Authentifiant
         Client                                                                                                  transmet.
                           réseau
                           sans fil
     1. Le protocole EAP permet à
     l’utilisateur final de contacter un
     point d’accès sans fil et de
     demander à être authentifié
                                                                                                                                    Le monde

                        4. Le serveur Radius authentifie
                        l’utilisateur final ; le point d’accès
                        autorise les données à transiter par
                        l’infrastructure filaire



                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.                            18
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                             Avantages de 802.1X

               Authentification de l'utilisateur
                      Si vous avez choisi la bonne méthode d'authentification


               Authentification du point d'accès

               Protection contre les attaques de type « Man In The Middle » et
               les piratages de session

               Clés WEP par utilisateur et par session

               Possibilité de changer de clé aussi souvent que vous le voulez

               Attributs d'autorisation du serveur RADIUS
                      VLAN ou ACL pour cet utilisateur, par exemple


                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   19
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                    Authentification, autorisation, comptabilisation
                                                                                                                            EAP-
                                                                                                              IEEE 802.1x - EAP-TLS

                EAP-TLS (RFC 2716)

                       EAP est l'extension de PPP et fournit ainsi des méthodes
                       d'authentification supplémentaires

                       Le TLS assure l'authentification mutuelle et l'échange de clés de
                       session
                              À partir des spécifications du protocole SSL

                       RFC2716 définit comment réaliser une opération TLS Handshake
                       sur EAP

                       En cas d'utilisation convenable avec un mécanisme
                       d'authentification TLS
                              fournit les clés WEP par utilisateur/par session

                       Déployé par Microsoft pour son réseau d'entreprise

                       Inclus dans Windows 2000 et XP

                                                                © Copyright Alcatel Business Systems 2005
                                            Transmission or copying of this document is not permitted without prior written authorization.        20
                                           The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  TLS est divisé en deux couches : le protocole d'enregistrement et le protocole Handshake. Le protocole d'enregistrement est responsable du
  décalage des données entre les deux extrémités de la liaison à l'aide de paramètres définis via le protocole Handshake.
  La couche du protocole d'enregistrement fonctionne selon un groupe de paramètres ou réglages appelés état de la connexion. L'état de la
  connexion doit être considéré comme les paramètres de configuration de la couche. Ceci inclut par exemple « quel algorithme de cryptage
  est en cours d'utilisation » et « quelles sont les clés de cryptage ».


  Le TLS n'utilise pas le cryptage à clé publique pour les transferts de données massifs de la couche d'enregistrement; mais utilise à la place
  des clés symétriques définies entre les parties au cours de la phase à clé publique. Le protocole Handshake utilise les certificats pour la
  cryptographie à clé publique au cours du processus d'authentification. Il utilise également la cryptographie à clé publique pour échanger
  certaines clés de session pouvant être utilisées par la couche d'enregistrement pour crypter les données au cours de la session. Cette
  approche réduit la charge de travail de façon significative.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                                          EAP-
                                                                                                            IEEE 802.1x - EAP-TLS

               Nécessite des certificats client & serveur (PKI)
               Poste
             Demandeur
                                      numé
                           Certificat numérique de serveur
                                   livré
                                Délivré par Alcatel CA



                                                                              d'accè
                                                                        Point d'accès
                                                                        Authentifiant
                                                                                                                    numé
                                                                                                         Certificat numérique client
                                                                                                              livré
                                                                                                          Délivré par Alcatel CA




                         Protocole Handshake

                  1.     Messages d’accueil client/serveur
                  2.     Échange de clés client/serveur
                         -> secret mutuel : secret maître
                         -> secret pré-maître                                                                                              Serveur Radius
                         -> Clé maître                                                                                                      Autorisateur


                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.                    21
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                                        Authentification, autorisation, comptabilisation
                                                                                                                                                EAP-
                                                                                                                                  IEEE 802.1x - EAP-TLS
                                                                                                           AP


                                                802.1X/EAP - Demande d’identité




                                             802.1X/EAP – Déclinaison d’identité (Mon ID)                       Demande d’accès RADIUS/EAP - Déclinaison d’identité




                                                                                                                      Défi d’accès RADIUS/EAP - Demande
                                                    802.1X/EAP – Demande (TLS)



                                         Réponse 802.1X/EAP(AccueilClient TLS(aléatoire1,
                                                      suites de chiffrement))                                          Demande d’accès RADIUS/EAP - Réponse
                                                                                                                                AccueilClient TLS




                                     802.1X/EAP - Demande(AccueilClient TLS(aléatoire2) || TLS
                                                                                                                      Défi d’accès RADIUS/EAP - Demande
                                   Certificat || Échange_de_clés_de_serveurs TLS || ID de session ||
                                                         Serveur TLS_terminé)




                                 802.1X/EAP-Réponse(Échange_de_clés_client TLS ||
                                Modification_de_la_suite_de_chiffrement TLS – Clé publique de
                                   serveur cryptée secret « pré-maître » || TLS terminé
                                                                                                                  Demande d’accès RADIUS/EAP - Réponse




                                                  802.1X/EAP – Demande                                             Défi d’accès RADIUS/EAP - Demande
                                       (Modification_de_la_suite_de_chiffrement TSL
                                                      || TLS terminé)




                                                                                       TLS-PRF(Clé pré-maîtresse, « secret maître » || aléatoire1 || aléatoire2)
                                                         Clé maîtresse


                                                  802.1X/EAP - Réponse
                                                                                                         Demande d’accès RADIUS/EAP - Déclinaison d’identité




                                                                  Clé de session = TLS-PRF(Clé maîtresse, « cryptage EAP client » || aléatoire1 || aléatoire2)



                                                                                                                     Autorisation RADIUS/EAP - Réussite, «
                                                  802.1X/EAP - Réussite                                                         Clé de session »




                                                                                  © Copyright Alcatel Business Systems 2005
                                                         Transmission or copying of this document is not permitted without prior written authorization.               22
                                                        The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Accueil « Client » - initie la session
      Soumet une version de protocole
      Soumet une suite de chiffrement
      Le serveur choisit le protocole et la suite
      Quelques données aléatoire pour la création du secret maître
      Suite de chiffrement = combinaison de méthodes cryptographiques utilisées pour assurer la sécurité (type de certificats, méthode de
      cryptage, méthode de vérification de l'intégrité)
  Le poste client répond avec son identité (nom de la machine ou nom d'utilisateur).
  Le point d'accès relaie le message EAP (c'est-à-dire l'identité du poste client) vers le serveur RADIUS, pour initier les services
  d'authentification.
  Secret pré-maître
  Clé générée au cours du processus de handshake dans les négociations de protocole Transport Layer Security (TLS) et utilisée pour dériver
  un secret maître.
  Secret maître
  Code dérivé du secret pré-maître. Un secret maître est utilisé pour crypter les échanges d'authentification Transport Layer Security (TLS) et
  dériver une biclé maîtresse (PMK).
  PRF
  Pseudorandom function (fonction pseudo-aléatoire). Une fonction produisant un résultat imprévisible. Une PRF peut utiliser des itérations
  multiples d'un ou plusieurs algorithmes de hachage pour remplir sa mission. Le protocole Transport Layer Security (TLS) définit une PRF
  spécifique pour dériver le matériel d'attribution de clés.
  À l'issue de l'authentification, si le demandeur obtient une autorisation d'accès, le serveur d'authentification envoie un paquet d'autorisation
  d'accès à l'authentifiant. Cette autorisation d'accès inclut les clés de session. Ceci signifie qu'à partir de ce moment-là, les trois composants
  (demandeur, authentifiant et serveur d'authentification) possèdent les clés de session.
  Le point d'accès utilise les clés de session pour crypter la clé WEP et l'envoie au demandeur. Le demandeur utilise ses clés de session pour
  décrypter cette clé WEP et commencer à l'utiliser. Le point d'accès peut envoyer une nouvelle clé WEP n'importe quand, sachant que seul le
  demandeur possédant la clé de session peut accéder à la clé WEP




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                     Authentification, autorisation, comptabilisation
                                                                                                                             EAP-
                                                                                                               IEEE 802.1x - EAP-TLS

                Dérivation de la clé de session lors de
                l’authentification EAP-TLS
                                Client aléatoire                          Secret pré-maître                                Serveur aléatoire
                                 Client aléatoire                          Secret pré-maître                                Serveur aléatoire
                                (par connexion)                             (par session)                                   (par connexion)
                                 (par connexion)                             (par session)                                   (par connexion)




                                                                                       PRF



                                                                              Secret maître
                                                                               Secret maître
                                                                            (secret partagé)
                                                                             (secret partagé)
                                                                              (par session)
                                                                               (par session)



                                                                                       PRF




                          Rédaction du secret MAC                                                                           Rédaction du secret
                           Rédaction du secret MAC                                                                           Rédaction du secret
                               Client/serveur                              IV Client/serveur                                   client/serveur
                                Client/serveur                               IV Client/serveur                                  client/serveur
                              (par connexion)                               (par connexion)                                   (par connexion)
                               (par connexion)                                (par connexion)                                  (par connexion)
                                  Hachage                                                                                         Cryptage
                                   Hachage                                                                                         Cryptage




                                                                 © Copyright Alcatel Business Systems 2005
                                             Transmission or copying of this document is not permitted without prior written authorization.        23
                                            The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Au cours du handshake TLS entre le serveur et le client, le client génère un secret pré-maître et le crypte avec la clé publique du serveur
  puis envoie le secret pré-maître au serveur.
  Le secret pré-maître, les valeurs aléatoires du serveur et du client et la valeur de chaîne du « secret maître » sont utilisés pour générer un
  secret maître par session.
  La fonction pseudo-aléatoire (PRF) utilisée pour générer le secret maître est définie dans le TLS RFC (2246). EAP-TLS (RFC 2716) indique
  comment dériver la clé de session.
  La PRF est à nouveau utilisée avec le secret maître, les valeurs aléatoires client et serveur et la valeur de chaîne « cryptage EAP client » pour
  générer les clés de session, les clés MAC (Message Authentication Code) et les valeurs d'initialisation (pour les chiffrements de bloc
  uniquement). Notez que le client et le serveur RADIUS dérivent les clés de session indépendamment l'un de l'autre. Cependant, la longueur
  de la clé de session est déterminée par l'authentifiant (le point d'accès) et est envoyé dans le message de clé EAP-sur-LAN à l'issue de
  l'authentification EAP au client.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                       Inconvé          l'EAP-
                                                                                       IEEE 802.1x - Inconvénients de l'EAP-TLS

               Protection de l'identité de l'utilisateur
                      Transféré dans l'identité EAP et le certificat


               Nécessite le certificat client afin d'authentifier le client
                      Génération et distribution des certificats
                      Révocation des clés
                      Le certificat peut requérir plus de compétences que le
                      concept des mots de passe
                      Les utilisateurs se connectent à partir de différents
                      ordinateurs




                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   24
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                                         EAP-
                                                                                                           IEEE 802.1x - EAP-TTLS

               EAP-TTLS


               TLS « acheminé par tunnel » (TLS)


               Développé par Funk Software et Certicom


               Propose les fonctions suivantes :
                      Authentification mutuelle
                      Génération de la clé
                      Confidentialité de l'identité du client
                      Négociation de suite de chiffrement de données
                      Protection de l'identité de l'utilisateur à partir d'entités
                      intermédiaires


                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   25
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                      EAP-
                                                                                       IEEE 802.1x - EAP-TTLS – Les participants

               2 sessions TLS
                      Phase TLS Handshake
                                   Session TLS externe avec authentification de serveur par certificat
                                   Résultat : activation de la suite de chiffrement
                                   Permet de passer à la phase 2 (utilisation du rapport TLS)

                      Phase de tunnel TLS
                                   Session TLS interne avec double certificat et mot de passe
                                   Toutes les méthodes d’authentification - CHAP, PAP, MSCHAP – V2 et EAP


                                Une couche de liaison                                       Protocole d’authentification
                                    (PPP, 802.11)                                                     (Radius)




                                                         Point
                                                                                              Serveur TTLS (TLS,AAA)                       Serveur
                               Client            d’accès/commutateur
                                                                                                                                            AAA
                                                      (EAP, AAA)
                                                      Conversation EAP-TTLS, canal TLS


                                                     Authentification (EAP, PAP, CHAP, etc.)




                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.             26
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                     Authentification, autorisation, comptabilisation
                                                                                                            EAP-
                                                                                             IEEE 802.1x - EAP-TTLS – Les échanges
                                                                   EAP – Demande/identité



                                                       EAP – Réponse/identité [Mon domaine]


                                                      EAP-Demande (Type= EAP-TTLS, démarrage)

                                 Client                                                                                                         Serveur
                                                                        TLS Handshake
                                                                                                                                                 TTLS



                                                                      EAP – Réponse (vide)

                                    Échange d'AVP via le canal
                                               AVP
                                     TLS, encapsulé dans EAP-                                     Les AVP (extraits des
                                               TTLS                                               enregistrements TTLS)



                                          EAP – Réussite/                                                         Réussite/
                                            EAP – Échec                                                           échec
                                                                                  Serveur                                                     Serveur
                           Client
                                                                                   TTLS                                                       Radius
                                                                                                                                               AAA


                                  Échange de messages TTLS                                          Échange de messages Radius


                                                                 © Copyright Alcatel Business Systems 2005
                                             Transmission or copying of this document is not permitted without prior written authorization.               27
                                            The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  EAP-TTLS permet la distribution de clé au client et au point d'accès

  Clé utiliser pour la communication entre le point d'accès et le client
  Prend en charge l'échange de
      Suite de chiffrement des données (algorithme cryptographique, longueur de clé)
      différent de la suite utilisée dans la phase TLS
      Matériel d'attribution de clés (à partir duquel les clés utilisées sont générées)
      Également pris en charge pas PEAP


  AVP - Attribute Value Pair, couple attribut-valeur
  Crypté par TLS et encapsulé dans des paquets EAP-TTLS
  Le format des AVP de EAP-TTLS est compatible avec le format AVP Diameter & Radius
  Traduction de paquets AVP par le serveur EAP-TTLS entre le client et le serveur AAA (à l'aide de Radius par exemple)




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                               IEEE 802.1x - PEAP

               PEAP
                      Défini par
                             Microsoft
                             Cisco
                             RSA
                      Similaire à EAP-TTLS, mais permet uniquement
                      l'authentification EAP
                      Propose les fonctions suivantes :
                             Authentification mutuelle
                             Protection de l'identité du client
                             Génération de la clé
                      Authentification du serveur via le certificat serveur
                             Mot de passe utilisateur fourni via un canal SSL protégé
                             La session continue lorsque le mot de passe utilisateur est vérifié
                      Option de certificat client


                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   28
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                                     Authentification PEAP 802.1x

           Étape 1 :
           authentification d’un
           tunnel sécurisé de point
           d’accès en point d’accès à
           l’aide du protocole TLS                                         d'accè
                                                                     Point d'accès
               Poste                                                 Authentifiant
             Demandeur



                     Certificat numérique de serveur                                                                                        Serveur Radius
                          délivré par Alcatel CA                                                                                             Autorisateur
        Étape 2 :
        authentification de                               Nom d’utilisateur : alcatel
        mot de passe avec                                   Mot de passe : crypté
        le serveur
        d'annuaire
                                                                                                                                           Serveur d’annuaire



                                                                           Réussite/échec



              Les données échangées entre le client et le serveur via le canal TLS sont des paquets EAP


                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.                        29
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                      Authentification, autorisation, comptabilisation
                                                                                                         IEEE 802.1x - PEAP – Phases

                                                       EAP – Demande/identité

                                                                                  EAP – Réponse/identité

                                       EAP-Demande (Type = PEAP, démarrage)

                                                                          TLS Handshake



                                                                                                                                                PEAP
                                                                    EAP – Réponse (vide)                                                       Serveur
           Initiateur
                                                            EAP – Demande/identité

                                                     EAP – Réponse/identité [Mon ID]

                                                    EAP-Demande/Type = (OTP, etc.)

                                                       Définit la méthode EAP et
                                                        réalise l'authentification


                                                            EAP – Réussite/EAP - Échec


                                                                  © Copyright Alcatel Business Systems 2005
                                              Transmission or copying of this document is not permitted without prior written authorization.             30
                                             The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Une fois la connexion sans fil établie, le point d'accès envoie le message de demande de terminaison au client sans fil
  Le client sans fil répond avec un EAP (nom de l'utilisateur ou nom de l'ordinateur) du client sans fil
  L'EAP envoie au serveur RADIUS via le point d'accès
  Le serveur RADIUS envoie le message PEAP au client sans fil
  Le canal TLS est établit et les certificats sont envoyés au client pour authentification
  Puis pour authentifier le client sans fil avec MS-CHAP v2
  Le serveur RADIUS envoie le message PEAP au client sans fil
  Le client sans fil répond avec un EAP/RESP (nom de l'utilisateur ou nom de l'ordinateur)
  Le serveur RADIUS envoie un défi EAP/RESP/EAP-MS-CHAP-V2 (chaîne)
  Le client envoie un message de réponse EAP/RESP/EAP-MS-CHAP-V2 qui contient à la fois la réponse à la chaîne de défi du serveur
  RADIUS et à la chaîne de défi pour le serveur RADIUS
  Le serveur RADIUS envoie un message de réussite EAP/REQ/EAP-MS-CHAP-V2
  Le client sans fil répond avec un message de réception
  Le serveur RADIUS envoie un message de réussite
  Cette communication a lieu dans TLS




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation, comptabilisation
                                                                                   IEEE 802.1x - Quelle authentification choisir ?

               Quelle authentification choisir ?

                                                            EAP-TLS                                  EAP-TTLS                                  PEAP

                         Serveur                           Certificat                                 Certificat                             Certificat
                    d’authentification
                          Initiateur                       Certificat                       N'importe quelle                                 N'importe
                     Authentification                                                           méthode                                    quelle méthode
                                                                                            d'authentification                                   EAP
                       Protection de                            Non                                   Oui, TLS                                Oui, TLS
                        l'identité de
                         l'utilisateur
                     Négociation de                             Non                                        Oui                                  Non
                       session de
                      chiffrement
                    Attaques EAP :                           Protégé                                   Protégé                                Protégé
                      piratage de
                                                              (TLS)                                     (TLS)                                  (TLS)
                  session, man-in the
                    middle, attaque
                    par dictionnaire




                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.                    31
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                       Authentification, autorisation,
                                                                                       Authentification, autorisation, comptabilisation
                                                                                                          Kerberos - Principes de base

                 Peut configurer n2 clés

                 Key Distribution Center (KDC - centre de distribution de
                 clés)

                        Chacun possède une clé
                        Le KDC les connaît toutes
                        Le KDC attribue une clé à chaque paire souhaitant
                        communiquer


                 C'est le principe de Kerberos




                                                                   © Copyright Alcatel Business Systems 2005
                                               Transmission or copying of this document is not permitted without prior written authorization.   32
                                              The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Le chien à trois têtes qui garde l'entrée du royaume d'Hadès
  À l'origine, les trois têtes représentaient les 3 A
  Mais un seul A était suffisant !




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                     Authentification, autorisation,
                                                                                     Authentification, autorisation, comptabilisation
                                                                                                        Kerberos - Principes de base

                Un tiers de confiance sert d'intermédiaire dans le processus d'authentification
                Key Distribution Center (KDC - centre de distribution de clés)
                     Contient une base de données de clients et de serveurs (appelée
                     principals) et leurs clés privées
                Chaque utilisateur et service partage une clé secrète avec le KDC
                Le KDC génère une clé de session et assure sa distribution sécurisée aux
                parties qui communiquent
                Les parties en communication se prouvent l'une l'autre qu'elles connaissent la
                clé de session
                                                                          CDC (centre de
                                                                          distribution des
                                                   Je suis Alice, je veux       clés)
                                                         parler à Bob
                                                                                     Génère la clé




                                                                Identification mutuelle pour prouver que
                                                                      Kab est connue de vous deux




                                                                 © Copyright Alcatel Business Systems 2005
                                             Transmission or copying of this document is not permitted without prior written authorization.            33
                                            The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Méthode d'authentification :
      L'utilisateur saisit son mot de passe sur l'ordinateur local uniquement
      Authentifié via le KDC central une fois par jour
      Aucun mot de passe ne transite par le réseau
  Authentification unique (via TGS) :
      KDC vous attribue un « ticket » spécial, le TGT, valable en général pour le reste de la journée
      Le TGT peut être utilisé pour obtenir d'autres tickets de service permettant à l'utilisateur d'y accéder (si présenté avec les authentifiants)




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                        Authentification, autorisation,
                                                                                        Authentification, autorisation, comptabilisation
                                                                                                                                    clé
                                                                                             Kerberos - Centre de distribution de clés

                Responsable du maintien des clés maîtresses pour tous les
                principes et de l'émission de tickets Kerberos


                Service d'authentification (AS) : attribue au client une clé
                de session et un Ticket Granting Ticket (TGT)


                Distribue des clés de session de service et des tickets pour
                les services via unTicket Granting Service (TGS)

                                                                           Centre de distribution de
                                                                                     clés


                                                                 Service                           Ticket Granting
                                                            d’authentification                         Service




                                                                    © Copyright Alcatel Business Systems 2005
                                                Transmission or copying of this document is not permitted without prior written authorization.   34
                                               The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  Un « royaume » est un domaine d'authentification
      une base de données Kerberos et un jeu de KDC


  Organisation hiérarchique (nouveau dans v5)


  Authentification unilatérale ou bilatérale


  Authentification interdomaine
      Interdomaine transitif
      direct entre domaines


  Principal : tuple <nom primaire, instance, domaine>;

      primaire : nom d'utilisateur ou nom de service
      instance : « qualifie » le rôle primaire
      domaine : domaine d'authentification


      > utilisateur : connexion/groupe@DOMAINE
      > service : service/hôte.fqdn@DOMAINE




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                    Authentification, autorisation,
                                                                                    Authentification, autorisation, comptabilisation
                                                                                                                 Kerberos avec TGS

                Ticket Granting Service (TGS) :
                       Un service authentifié
                       Kerberos, qui permet à
                       l'utilisateur d'obtenir des tickets
                       pour d'autres services
                       Co-located at the KDC                                                         décrypté
                                                                                                     Crypté avec la clé d'Alice
                                                                                                                                      KDC
                                                                                                     Crypté avec la clé de Bob
                                                                                                     Crypté avec Kab
                                                                                                                                    invente

                Ticket Granting Ticket (TGT) :
                       Ticket utilisé pour accéder au                                            Alice, Bob
                       TGS et obtenir des tickets de
                       service

                Clé de session à durée de vie                                                                                                Auth = horodatage

                limitée : TGS sessionkey                                                Alice, mot de
                                                                                                                                       Horodatage +1
                       Partagée par l'utilisateur et le                                     passe

                       TGS                                                                         Poste de travail                           Serveur d'application (Bob)


                Clés de session TGT et TGS
                mises en cache sur le poste
                d'Alice


                                                                © Copyright Alcatel Business Systems 2005
                                            Transmission or copying of this document is not permitted without prior written authorization.                                  35
                                           The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  > Obtenir un Ticket Granting Ticket (1+2)
   > (1) Demande de TGT
   > (2) TGT (à décrypter avec le hachage de mot de passe de l'utilisateur)
  > Obtenir et utiliser un Service Ticket (3+4+5)
   > (3) Demande ST (avec un TGT)
   > (4) ST et clé de session
   > (5) ST pour authentification

  Capacité d'authentification unique (SSO)
  Limite l'exposition du mot de passe de l'utilisateur
      Le poste de travail d'Alice peut oublier le mot de passe immédiatement après l'avoir utilisé au cours des premières étapes du protocole
      La quantité de données cryptées avec la clé secrète de l'utilisateur transitant par le réseau est moindre, limitant l'accès des pirates aux
      données qui pourraient être utilisées dans une attaque par dictionnaire hors ligne

  Phase 1 : dans les messages 1 et 2, C et AS utilisent une clé à long terme pour l'authentification. AS donne à C une clé à court terme et
  un ticket granting ticket (TGT).
  Phase 2 : dans les messages 3 et 4, C et TGS utilisent une clé à court terme pour l'authentification. TGS donne à C une clé de session et
  un ticket.
  Phase 3 : dans les messages 5 et 6, C et S utilisent une clé de session et un ticket pour authentifier et démarrer une session sécurisée.

  Les phases 2 et 3 sont généralement répétés plusieurs fois par exécution de la phase 1.

  Ces clés nécessitent d'être établies à l'avance.
      KAS,TGS est une clé à long terme partagée par AS et TGS.
      KAS,TGS est une clé à long terme partagée par AS et C.
      KTGS,S est une clé à long terme partagée par TGS et S.

  La clé est transportée de façon sécurisée de C à S dans le ticket.
      KC,TGS est une clé à court terme partagée par C et TGS (établie par les messages 1 et 2).
           La clé est transportée de façon sécurisée de C à TGS dans le ticket granting ticket.
      KC,S est une clé de session partagée par C et S (établie par les messages 3 et 4).




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                        Authentification, autorisation,
                                                        Authentification, autorisation, comptabilisation - Kerberos
                                                                                        Informations d'identification
                                                                                                                                           Domaine

               Ticket                                                                                                                      Nom principal

                                                                                                                                           Indicateur de ticket
                      Permet à l'utilisateur d'accéder à un service                                                                        Clé de cryptage
                      (en s'authentifiant)                                                                                                 Domaine


                      Sert à transmettre en toute sécurité l'identité                                                                      Nom principal

                                                                                                                                           Heure de début
                      de l'utilisateur ayant reçu le ticket                                                                                Heure de fin
                      entre le KDC et le serveur d'application                                                                             Adresse de l'hôte


                      Kb{“alice”, Kab, durée de vie}                                                                                       Données
                                                                                                                                           d'autorisation




               Authentifiant
                      Prouve que l'utilisateur présentant le ticket est l'utilisateur pour qui
                      le ticket a été émis
                      Prouve que l'utilisateur connaît la clé de session
                      Rend inutile le vol de ticket
                      Empêche les attaques de répétition (horodatage crypté avec la clé
                      de session) : Kab{horodatage}, combiné à un cache de répétition
                      sur le serveur

                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.                          36
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                        Authentification, autorisation,
                                                        Authentification, autorisation, comptabilisation - Kerberos
                                                                                  Niveaux de protection de session

               Authentification initiale uniquement


               Messages sécurisés :
                      Authentification de chaque message
                             Hachage à clé avec clé de session


               Messages privés :
                      + Cryptage de chaque message
                             Avec clé de session ou clé de sous-session négociée mutuellement


               Remarque : l'application peut opter pour d'autres
               méthodes




                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   37
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                               Authentification, autorisation,
                                                               Authentification, autorisation, comptabilisation - Kerberos
                                                                                                     Pré
                                                                                                     Pré-authentification

               Kerberos 5 a ajouté la pré-authentification
                      Le client doit dans un premier temps prouver son identité au
                      serveur d'application Kerberos
                      En fournissant un horodatage crypté (crypté avec la clé secrète de
                      l'utilisateur)
                      Ceci empêche un attaquant actif d'obtenir facilement les données
                      du KDC crypté avec n'importe quelle clé utilisateur
                             Lui permettant ensuite d'élaborer une attaque par dictionnaire hors ligne
                                       Kerberos 5 avec pré-authentification
                                           décrypté
                                           Crypté avec la clé d'Alice
                                           Crypté avec la clé de Bob
                                           Crypté avec la clé TGS
                                           Crypté avec la clé de session TGS
                                           Crypté avec Kab




                                             Alice, TGS
                                          Horodatage

                                   Utilisateur


                                  Alice, mot de passe
                                                                           Poste de travail


                                                                        © Copyright Alcatel Business Systems 2005
                                            Transmission or copying of this document is not permitted without prior written authorization.   38
                                           The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                      Authentification OmniPCX Enterprise




                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   39
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                    Authentification, autorisation,
                                                                                    Authentification, autorisation, comptabilisation
                                                                                              Authentification OmniPCX Enterprise

               Authentification au niveau du système d'exploitation du
               serveur de communication
                       Le nom de connexion et le mot de passe associé sont requis
                                                                  OmniPCX
                                                                  Enterprise
                                                  Serveur de Communication




                   OS = Linux                                                           rationalisation des connexions
                   • root accessible uniquement                                         sélection du mode de sécurité :
                     depuis le port console
                                                                                                    pendant l'installation, les
                   • syslog pour tous les                                                           mots de passe par défaut
                     processus natifs linux (pas                                                    doivent être modifiés
                     le traitement des appels) :
                                                                                                    l'expiration des mots de
                             journaux des                                                           passe peut être activée
                             connexions                                                             (vieillissement)
                             journaux des services



                                                                © Copyright Alcatel Business Systems 2005
                                            Transmission or copying of this document is not permitted without prior written authorization.         40
                                           The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  L'accès au serveur d'appel avec un terminal de maintenance est protégé par un nom de compte et un mot de passe. Il y a plusieurs
  comptes selon les différents niveaux de maintenance. Il est possible d'activer le vieillissement des mots de passe pour forcer le gestionnaire
  du système à changer les mots de passe à des intervalles réguliers, par exemple tous les mois. Le processus syslog est chargé d'enregistrer
  toutes les connexions au serveur d'appel utilisant des comptes différents.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                                                  Authentification, autorisation,
                                                                                  Authentification, autorisation, comptabilisation
                                                                                            Authentification OmniPCX Enterprise

               Accès à la maintenance à distance (Remote Maintenance
               Access, RMA) du serveur de communication
                  Serveur de Communication                                                                       Console locale
                                                               RMA
                                                                                                  Réseau                                   Console distante
                                                                                                  public
                                                                                                                           modem

                     Authentification utilisateur par nom de connexion +
                     mot de passe
                     Rappel pour identifier l'origine
                     Accès bloqué après plusieurs saisies erronées
                     Journal des connexions
            Gestion du serveur de communication
                   Authentification au niveau de l'application de configuration
        Serveur de Communication

                                           Nom_station                                                              Nom_utilisateur
                                                                                                                    Nom_utilisateur
                                                +                                                                          +
         Application                      MotPasse_station
                                          MotPasse_station                                                         MotPasse_
                                                                                                                   MotPasse_utilisateur
       de configuration                         +
                                          Nom_utilisateur
                                          Nom_utilisateur
                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.                      41
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.



  L'accès à la maintenance à distance sert à connecter le terminal de maintenance au serveur d'appel via un connexion modem. Cette
  connexion est protégée par un nom de connexion et un mot de passe. À des fins de sécurité, le serveur d'appel est capable de rappeler
  automatiquement le modem distant.
  L'accès des outils de gestion tels qu'Alcatel 4760 est également protégé par un nom de connexion et un mot de passe.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02
                                                              © Copyright Alcatel Business Systems 2005
                                          Transmission or copying of this document is not permitted without prior written authorization.   42
                                         The wording "Document Alcatel Business Systems" must appear on all authorized reproduction.




Technology Training – Authentication Authorization Accounting
Ref. FUND0157P01TEUS                         Issue 02

				
DOCUMENT INFO
Shared By:
Tags:
Stats:
views:20
posted:3/27/2012
language:English
pages:42
Description: La s�curit� d'un r�seau est un niveau de garantie que l'ensemble des machines du r�seau fonctionnent de fa�on optimale et que les utilisateurs desdites machines poss�dent uniquement les droits qui leur ont �t� octroy�s.