Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sécurité des réseaux informatiques Prof : ABAZINE Karima 1 Réseaux informatique

Sécurité des réseaux informatiques Prof : ABAZINE Karima 1 Réseaux informatiques : Présentation et configuration d’AAA Pré-requis et objectifs 1. Pré-requis Maîtriser l’usage ordinaire du PC dans un environnement Windows. 2. Objectifs À la fin de ce chapitre, vous serez en mesure de : Mettre en place une authentification locale sur un routeur, fondée sur l’utilisation de couples {nom d’utilisateur/mot de passe}. Mettre en place une authentification centralisée à l’aide d’un serveur RADIUS. Mettre en place un serveur SYSLOG. Établir une connexion sécurisée via SSH. Objectifs : Décrire les menaces de sécurité courantes pour le réseau et expliquer comment mettre en place une stratégie de sécurité complète permettant de faire face aux menaces les plus courantes sur les périphériques, les hôtes et les applications du réseau. Décrire les fonctions des appareils et des applications de sécurité les plus courants. Décrire les pratiques de sécurité recommandées pour la sécurisation des périphériques réseau. Identification des utilisateurs 1. Les niveaux de privilège La notion de modes du routeur exposée précédemment dans cet ouvrage est en réalité à associer avec cette nouvelle notion de niveaux de privilège. L’IOS supporte seize niveaux de privilège, numérotés de 0 à 15. À chaque commande de l’IOS est associé un niveau de privilège. Par défaut, l’IOS répartit l’ensemble de ses commandes sur les trois niveaux [0, 1, 15] :  Le niveau 0 ne comporte que cinq commandes : disable, enable, exit, help et logout.  Le niveau 1 correspond à ce que nous avons appelé mode utilisateur et comporte un large ensemble de commandes qui ont en commun de ne pouvoir affecter que la configuration du routeur.  Le niveau 15 correspond à ce que nous avons appelé mode privilégié ou enable et donne accès à l’ensemble des commandes de l’IOS. La commande show privilege que l’on peut abréger par sh priv confirme le niveau de privilège de la session en cours : Ainsi, la connexion via les ports console, auxiliaire ou vty, après éventuelle entrée d’un mot de passe, place la session au niveau de privilège 1 par défaut. Les commandes enable et disable peuvent être associées à un argument spécifiant le niveau de privilège cible, supérieur au niveau en cours dans le cas de la commande enable, inférieur au niveau en cours dans le cas de la commande disable : Dans les versions actuelles de l’IOS, seuls les trois niveaux 0, 1 et 15 sont utilisés. Il est parfaitement possible de créer des niveaux de privilège intermédiaires entre le niveau 1 et le niveau 15 : La séquence de commandes de cette capture provoque la création des deux niveaux de privilège supplémentaires 5 et 10. Le niveau 5 est associé au mot de passe ccent, le niveau 10 est associé au mot de passe ccie. Observez qu’une élévation du niveau de privilège en cours réclame le mot de passe correspondant. Une diminution du niveau de privilège en cours s’effectue sans délai. Observez également que l’invite de commandes reste la même quel que soit le niveau de privilège dès qu’il est supérieur à 1 : ●Mode utilisateur →Niveau de privilège 1 →Invite de commandes : Nantes> ; ●Modes privilégiés →Niveaux de privilège 2 à 15 →Invite de commandes : Nantes#. On peut sans doute regretter que l’IOS ne rappelle pas le niveau de privilège en cours dans l’invite de commandes, un affichage du type Nantes#5# par exemple aurait été bien commode. Sécurité des réseaux informatiques Prof : ABAZINE Karima 2 Venons-en à la véritable utilité de ces différents niveaux de privilège. Ils vont permettre de réaliser une délégation des privilèges de l’administrateur à granularité fine. L’administrateur peut donner à un administrateur délégué l’accès à tous les outils dont ce délégué a besoin mais pas plus. L’administrateur parvient à ce résultat en associant l’un des niveaux de privilège inférieur à 15 avec le sous-ensemble de commandes adéquat. Imaginons par exemple appartenir à un fournisseur d’accès Internet. Une équipe de techniciens a pour activité principale le déploiement de routeurs d’accès chez les clients. Ces techniciens ont besoin de configurer des interfaces serial (c’est-à-dire leur affecter une adresse IP). Ils doivent donc disposer des commandes configure terminal, interface et ip address. De plus, ils doivent pouvoir tester la connectivité du routeur et ont besoin pour ce faire des commandes ping et trace. L’administrateur décide d’affecter ces commandes au niveau de privilège 5 : Mais comment s’assurer que les techniciens disposeront bien de ces commandes mais pas plus ? Fort à propos, l’aide contextuelle vient au secours de l’administrateur : L’administrateur, rassuré sur la portée de sa délégation, provoque une commande show run afin de visualiser le résultat des commandes passées dans le but de déléguer. Une petite surprise l’attend : En effet, il ne s’attendait pas à trouver les lignes « privilege interface level 5 ip » et « privilege exec level 5 configure ». Ce n’est étrange qu’en première approche. Pour que la commande ip address puisse être au niveau de privilège 5, il faut que la commande ip le soit également. De façon globale, que la commande « aaa bbb ccc » soit au niveau de privilège x suppose que la commande « aaa bbb » le soit également. Sécurité des réseaux informatiques Prof : ABAZINE Karima 3 2. Qu’est-ce que l’authentification ? Pour mémoire, l’identification répond à la question « qui est-il ? ». Pour éviter que la question ne se transforme en « Qui prétend-il être ? », il faut accompagner l’identification d’une authentification qui répond à la question « Est-ce bien lui ? ». Le nom d’utilisateur est nécessairement accompagné d’un mot de passe, qui joue le rôle de preuve vis-à-vis de l’identité numérique. Malgré nos efforts, la sécurité mise en place jusqu’à présent est somme toute assez limitée. Il y manque précisément un aspect essentiel : l’authentification. Les mots de passe affectés aux lignes ainsi qu’au passage vers le mode privilégié doivent être confiés à toute personne appelée à intervenir sur l’équipement. Si l’administrateur décide de mettre en place un serveur SYSLOG en vue de collecter les évènements qui affectent le routeur, chaque évènement provoqué par un intervenant reste anonyme dans le journal d’évènements. Les messages se bornent à restituer quelle est la ligne qui a servi à l’intervenant. C’est ainsi que jusqu’à présent, nous avons dû nous contenter des messages console de ce type : *Nov 6 19:13:43.115: %SYS-5-CONFIG_I: Configured from console by vty0(172.31.1.104) *Nov 6 20:04:19.271: %SYS-5-CONFIG_I: Configured from console by console Les hommes n’étant que des hommes, l’anonymat déresponsabilise, une réelle politique de sécurité doit à minima attribuer à chaque utilisateur un ensemble [identifiant / mot de passe]. Bien sûr, l’IOS offre cette possibilité et propose à l’administrateur deux alternatives : 1. Gérer les identifiants localement. Ces identifiants sont stockés dans les fichiers de configuration du routeur. L’inconvénient est que la procédure doit être répétée autant de fois que le réseau comporte de routeurs. Imaginez la somme de travail que peut représenter le simple ajout d’un utilisateur ou le changement de mot de passe pour un utilisateur existant. 2. Gérer les identifiants de façon centralisée sur un ou plusieurs serveurs. L’IOS supporte deux technologies, l’une normalisée par l’IETF est RADIUS (Remote Authentication Dial- In User Service), l’autre propriétaire est TACACS+ (Terminal Access Controller Access-Control System Plus). a. Le modèle AAA Authentifier un utilisateur sur le réseau n’est pas suffisant. La question globale ne peut se résumer à « Qui ? » mais doit être « Qui peut faire quoi, quand l’atil fait et pendant combien de temps ? ». CISCO prend en compte ces trois questions, qui, quoi, quand en proposant un modèle de sécurité baptisé AAA (Authentication, Authorization, Accounting/Auditing) : Authentication : c’est le préalable incontournable car autoriser un utilisateur à entreprendre une action ou profiter d’un service suppose d’être certain de son identité. De la même façon, il ne servirait à rien d’enregistrer les faits et gestes d’un utilisateur dans un journal si un doute pesait sur son identité. Le modèle AAA identifie un certain nombre de méthodes d’authentification. L’administrateur crée des listes nommées dans lesquelles il place la ou les différentes méthodes qu’il souhaite utiliser. Il reste ensuite à appliquer la liste convenable à une ou plusieurs interfaces du routeur. L’IOS appliquera la première méthode à l’interface puis la seconde si la première échoue et ainsi de suite. Authorization : autoriser devrait être traduit par contrôler l’accès, c’estàdire autoriser un utilisateur à accéder à une entité ou un service, de façon plus ou moins partielle ou complète, le niveau d’accès étant modulé selon le niveau de privilège du demandeur. Exemples d’autorisations : affectation d’une adresse IP, restriction d’accès selon l’heure du jour, temps de connexion maximal, qualité de service, bande passante... Accounting : il s’agit ici de rendre traçable les faits et gestes de l’utilisateur, les objectifs sont multiples, ce peut être d’atteindre la nonrépudiation, c’estàdire l’incapacité pour un utilisateur de nier une action qu’il a effectuée, ce peut être également le souhait de comptabiliser des temps d’accès ou des volumes échangés dans un but de facturation uploads/Industriel/ccna-securite-aaa.pdf