Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

MÉMOIRE DE FIN D'ÉTUDES HOUSSENBAY Olivier Entreprise d'accueil : Laboratoire d

MÉMOIRE DE FIN D'ÉTUDES HOUSSENBAY Olivier Entreprise d'accueil : Laboratoire de cryptologie et virologie opérationnelle (C+V)O 38 Rue des Docteurs Calmette et Guérin, 53000 Laval FreeRadius, un serveur d'authentification forte pour ALCASAR FreeRadius, a strong authentication server for ALCASAR M. Vincent GUYOT, Président du jury, Enseignant chercheur à l'ESIEA, Docteur en Informatique M. Richard REY, Maître de stage, Ingénieur de recherche en sécurité informatique M. Nicolas DEVILLY, Tuteur pédagogique, Chef d'entreprise de la société AtoutSens Table des matières Remerciements.....................................................................................................................................3 Résumé.................................................................................................................................................4 Abstract.................................................................................................................................................5 I - Introduction......................................................................................................................................6 A ) Entreprise d’accueil...............................................................................................................6 B ) Le projet................................................................................................................................7 II - État de l'art......................................................................................................................................8 A ) LDAP....................................................................................................................................8 B ) Kerberos................................................................................................................................9 C ) Radius....................................................................................................................................9 D ) Diameter..............................................................................................................................10 E ) Le protocole 802.1X............................................................................................................10 F ) Les certificats X.509............................................................................................................11 Partie 1 : Radius..................................................................................................................................12 A ) Historique............................................................................................................................12 B ) Description du protocole.....................................................................................................12 1. Qui peut être un client RADIUS ?...............................................................................13 2. Le protocole RADIUS dans le modèle OSI.................................................................14 3. Format des paquets RADIUS......................................................................................15 4. Les attributs RADIUS.................................................................................................16 5. Les attributs constructeurs...........................................................................................18 6. Les types de paquets RADIUS....................................................................................19 Partie 2 : Radius dans Alcasar............................................................................................................20 A ) L'authentification UAM......................................................................................................22 1. Le mécanisme..............................................................................................................22 2. Sécurisation du mot de passe.......................................................................................25 3. Demande d'authentification :.......................................................................................28 4. La base de données : MariaDB....................................................................................30 B ) FreeRadius..........................................................................................................................32 C ) Authentification 802.1X......................................................................................................35 D ) Problèmes rencontrés : Authentification 802.1X................................................................39 E ) Problèmes rencontrés : Point d'accès Wi-Fi........................................................................41 F ) Améliorations & Perspectives.............................................................................................43 Conclusion..........................................................................................................................................44 Bibliographie et Webographie............................................................................................................45 HOUSSENBAY Olivier Mémoire de fin d'études 2 Remerciements Avant tout développement sur cette expérience, il apparaît opportun de commencer ce mémoire par des remerciements. Mes premières pensées se tournent vers mon maître de stage M. Richard REY, ingénieur de recherche en sécurité informatique, ainsi que M. Eric Filiol, directeur de recherche, qui m’ont accueilli au Laboratoire CVO1 de l'ESIEA2 OUEST. Je remercie M. REY pour avoir tout mis en œuvre pour que mon stage de fin d’études se passe dans les meilleures conditions ainsi que pour ses judicieux conseils formulés avec beaucoup de pédagogie tout au long du stage. Je souhaiterai aussi remercier M. Nicolas DEVILLY, mon tuteur pédagogique avec qui j’ai entretenu de bons rapports. Il a été à l’écoute et m'a appris à adopter une bonne approche professionnelle au sein du Laboratoire CVO. Et enfin, un grand merci à l’équipe du laboratoire qui m’a accompagné tout au long de cette expérience et qui a eu la gentillesse de faire de ce stage, un moment très profitable. 1 Cryptologie et Virologie Opérationelles 2 École Supérieure d’Informatique, Électronique et Automatique HOUSSENBAY Olivier Mémoire de fin d'études 3 Résumé Comment déployer un système d'authentification forte au sein de ALCASAR : Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau ? Le stage s'est déroulé en trois parties distinctes : une phase d'analyse et de remise à niveau, une approche approfondie du sujet et la mise en œuvre du travail à réaliser. Les prémices du projet ont consisté à analyser le fonctionnement du serveur d'authentification Freeradius et des protocoles mis en place. La vérification et la correction de la configuration du serveur Freeradius a permis de mieux connaître son principe de fonctionnement notamment sur les aspects d'arborescence des fichiers utilisés par le serveur, les compteurs SQL pour le calcul des autorisations et le protocole d'identification utilisé lors de l'authentification sur le serveur. La dernière partie du stage consistait à reprendre toutes les notions acquises précédemment et les mettre en œuvre de manière à réaliser une authentification forte basée sur le standard IEEE 802.1X avec une méthode d'authentification bilatérale par certificat client/serveur. Ce mémoire de stage au sein du laboratoire CVO de l'ESIEA-Ouest montre une démarche (problèmes et solutions proposées) possible pour appréhender et mettre en place une authentification forte avec un serveur Radius. HOUSSENBAY Olivier Mémoire de fin d'études 4 Abstract How to deploy a strong based authentication in ALCASAR: Free Application for Secured and Authenticated Access Control to Network? This internship has been done in three parts : an analysis and a review of the prerequisites, a deep approach about the subject then an implementation of the content involved. Premises of the project consisted to analyze how the server authentication FreeRadius runs and the protocols inside. Checking and patching have been processed through the configuration of Freeradius server to a better understanding of the operating principle particularly on file tree aspect used by the server, the SQL counters to compute authorizations and the identification protocol used during the authentication process on the server. The last part of this internship was to take all the concepts previously acquired with the aim to implement a strong authentication based on the IEEE 802.1X standard with a bilateral client / server certificate authentication method. This internship dissertation within the CVO laboratory ESIEA West shows a possible way (problems and given solutions) of understanding and implementing a strong authentication based on a Radius server. HOUSSENBAY Olivier Mémoire de fin d'études 5 I - Introduction A ) Entreprise d’accueil L’ESIEA est implantée sur deux sites. On y retrouve le siège social à Paris 5e où les locaux permettent aux professeurs d’enseigner principalement dans les classes de 2e et 3e année du cycle d’ingénieur ainsi que le Mastère SI&S mais également d’autres locaux à Ivry-sur-Seine où la majorité des cours ont lieu. Le campus de Laval, où j’ai effectué mon stage, fût créé en 1993 grâce à des aides de la région et des collectivités locales afin de promouvoir la ville et offrir à la population un choix supplémentaire dans le cycle supérieur des études. L’ESIEA Laval a pour vocation de fournir les mêmes enseignements qu’à Paris avec une réplication de certaines associations et la venue ponctuelle de certains enseignants de l’ESIEA Paris. Néanmoins, ce qui fait la particularité de ce site, réside dans la création du laboratoire en 2007 « Centre de virologie et de cryptologie opérationnelles » encadré par M. Eric Filiol et M. Richard Rey à partir de 2008. Plus tard, le label du laboratoire prendre le nom de CNS pour "Confiance Numérique et Sécurité". M. Eric Filiol a été nommé à la tête du CNS après sa carrière militaire ce qui octroie au laboratoire des liens étroits avec les ministères de la Défense, de la Justice ou encore de l’Intérieur. Le laboratoire a ainsi pu encadrer des missions à réaliser pour ses différents ministères en prenant compte de la sécurité à mettre en place. Le CNS a dû être réaménagé à en 2011 afin de correspondre aux critères nécessaires pour la réalisation de sujets à caractères sensibles. Le laboratoire assure les thèmes suivants :  Cryptologie  Analyse et conception de systèmes sténographiques  Virologie informatique  Analyse et études techniques du concept de guerre informatique  Sécurité des environnements embarqués  Algorithmes des structures complexes et applications  Mécanismes de Flash Crash Le laboratoire s’inscrit également dans une démarche de veille technologique afin d’appréhender les menaces d’aujourd’hui et celles de demain. Depuis Janvier 2015, le CNS propose également à certains étudiants la possibilité d’effectuer un stage en tests d’intrusions avec l’accord des entreprises ciblées. Des projets sont en développement avec, entre autres :  Le projet DAVFI (Démonstrateurs d’AntiVirus Français et Internationaux) avec la mise en place de nouveaux modèles de détection et également une analyse en profondeur des fichiers octroyant un meilleur taux de détection des malwares actuels et à venir. Ce projet s’inscrit à partir de février 2015 dans la solution Uhuru Antimalware. Parallèlement, une version libre et gratuite est en cours de développement pour les systèmes Windows et Linux ("OpenDAVFI").  Le projet Alcasar géré par M. Richard REY et développé par lui-même et un grand nombre de contributeurs. Ce projet a pour but de contrôler les accès à internet des utilisateurs présents sur le réseau via de nombreuses fonctionnalités garantissant trois grands principes de la sécurité : l’authentification, la non-répudiation et la traçabilité. HOUSSENBAY Olivier Mémoire de fin d'études 6 B ) Le projet Durant mon stage au sein du laboratoire CVO, j'ai dû réaliser plusieurs types de missions. Le stage s'est déroulé en trois parties : • Une phase de remise à niveau réseau par la pratique de plusieurs travaux dirigés et encadrés par M. Rey • Puis une rédaction du module pédagogique via une étude et application du protocole Radius et de ses dépendances. • Enfin, la mise en place d'un mécanisme d'authentification forte dans ALCASAR. La dernière partie correspond à la majeure partie de mon stage, mais les travaux préliminaires qui m'ont été confiés ont permis de mieux appréhender la problématique suivante : Comment réaliser une authentification forte dans une solution existante (ALCASAR) ? J'aborderai les différentes phases suivantes : • Dans un premier temps, un état de l'art des différents moyens à disposition pour réaliser une authentification. • Puis, le corps du document décrira le protocole choisi et son implémentation. • Enfin, je porterai une réflexion sur les problèmes techniques que j'ai pu rencontrer au sein du stage ainsi que les possibles évolutions à mettre en œuvre au sein du projet. HOUSSENBAY Olivier Mémoire de fin d'études 7 II - État de l'art L’objectif premier de uploads/Science et Technologie/ rapport-olivier-houssenbay-802-1x-pdf.pdf