Mémoire SIALE-1
Mémoire SIALE-1
Mémoire SIALE-1
***********
Unité-Dignité-Travail
En vue de l’obtention du :
THEME :
Cas de l’IST
2019-2020
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Dédicace
A
Notre mère KPEOU KOLENGUE Geneviève Olga.
Mise en place d’une authentification forte pour l’accès à distance aux équipements I
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Remerciements
La réalisation de ce mémoire a été possible grâce au concours de plusieurs personnes
à qui nous voudrions, à travers ces quelques lignes, témoigner toute notre gratitude.
Nous tenons dans un premier temps à adresser nos sincères et chaleureux
remerciements à l’endroit de nos responsables académiques :
Nous tenons à remercier finalement toute personne qui a, de près ou de loin, contribué
d’une manière ou d’une autre à l’élaboration de ce travail et spécialement ceux que nous
n’avons pas pu citer, mais qui sont présents dans nos esprits et dans nos cœurs.
Mise en place d’une authentification forte pour l’accès à distance aux équipements II
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Avant-propos
La gestion des accès au réseau est devenue très importante, d’une part pour la protection
contre les tentatives d’intrusions, et d’autres part pour la télé administration, la télé
maintenance.
Ce projet représente une mise en place d’une solution de sécurité ayant comme objectif
principal la gestion des accès aux ressources réseau de marque Cisco, avec un accès en
configuration CLI à distance pour les équipements. Le présent travail va consister à déployer
l’ensemble des mécanismes du modèle AAA (Authentication, Authorization, Accounting) via
des stratégies réseaux reposant sur un serveur Radius. Ainsi dans ce projet nous allons répondre
à des besoins couvrant les concepts de base de la sécurité informatique.
Mise en place d’une authentification forte pour l’accès à distance aux équipements III
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Sommaire
DEDICACE ................................................................................................................................. I
REMERCIEMENTS ................................................................................................................. II
AVANT-PROPOS ................................................................................................................... III
SOMMAIRE ............................................................................................................................ IV
SIGLES ET ABREVIATION ................................................................................................... V
LISTE DES FIGURES ............................................................................................................VII
INTRODUCTION GENERALE................................................................................................ 1
PARTIE I : ETUDE PREALABLE ........................................................................................... 2
CHAPITRE I : PRESENTATION DE L’IST ......................................................................... 3
CHAPITRE II : PRESENTATION DU THEME ................................................................... 7
PARTIE II : ETUDE THEORIQUE ........................................................................................ 11
CHAPITRE I : FONDAMENTAUX DE LA SECURITE INFORMATIQUE..................... 12
CHAPITRE II : CHOIX DES SOLUTIONS ........................................................................ 19
CHAPITRE III : GENERALITES SUR LE SERVEUR AAA ............................................. 24
PARTIE III : IMPLEMENTATION ........................................................................................ 35
CHAPITRE I : MISE EN ŒUVRES .................................................................................... 36
CHAPITRE II : PRESENTATION DE LA SOLUTION...................................................... 45
CONCLUSION GENERALE .................................................................................................. 50
REFERENCE ........................................................................................................................ VIII
ANNEXES ............................................................................................................................... IX
TABLES DES MATIERES ................................................................................................... XX
Mise en place d’une authentification forte pour l’accès à distance aux équipements IV
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Sigles et abréviation
N° Sigles Significations
1 AAA Authentification Authorization Accounting
2 ACL Access Control List
3 ACS Cisco Secure Access Control
4 AD Active Directory
5 ADDS Active Directory Domain Service
6 ANSSI Agence National de Sécurité des Systèmes Informatiques
7 ATM Asynchronous Transfer Mode
8 CHAP Challenge-Handshake Authentification Protocol
9 CID Confidentialité Intégrité Disponibilité
10 CLI Command Line Interpreter
11 CPU Central Processing Unit
12 DNS Domain Name Server
13 EAP Extensible Authentification Protocol
14 HD Hard Disk
15 http Hyper Text Transfert Protocol
16 IEEE Institut of Electrical and Electronics Engineers
17 IP Internet Protocol
18 IST Institut Supérieur de Technologie
19 LAN Local Area Network
20 LDAP Lightweight Directory Access Protocol
21 MAN Métropolitan Area Network
22 MS - CHAP Microsoft Challenge Handshake Authentication Protocol
23 NAP Network Access Protection
24 NAS Network Access Server
25 NPS Network Policy Server
26 PAP Password Authentification Protocol
27 PEAP Protected Extensible Authentication Protocol
28 PME Petite et Moyenne Entreprise
Mise en place d’une authentification forte pour l’accès à distance aux équipements V
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements VI
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements VII
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
INTRODUCTION GENERALE
Les systèmes d’information occupent aujourd’hui une place très capitale dans le
fonctionnement des grands groups, des PME ainsi que des services publics. Leur sécurité est
un enjeu majeur pour chaque structure et pour chaque domaine d’activité. Les investissements
en matière de sécurité informatique sont de plus en plus indispensables avec l’évolution rapide
de l’informatique et des systèmes de communication.
Le réseau des entreprises est devenu de plus en plus exposé à des éventuelles attaques
menées par des intrus au système, ce qui menace la sécurité des ressources matérielles et
logicielles de l’entreprise, la preuve en est que selon un rapport révélé par L’ANSSI au mois de
février, il stipule qu’aucun secteur d’activité n’est épargné. Les attaques informatiques seraient
toutefois particulièrement en hausse à l’encontre des entreprises de services numériques, du
secteur de la santé et de l’éducation ainsi que des collectivités locales. Alors pour faire face à
ces risques, l’administrateur systèmes doit mettre en place des stratégies de sécurité
performantes pour le contrôle des accès au réseau de son entreprise assurant à la fois : un niveau
de sécurité élevé, une simplicité pour l’utilisateur et une fiabilité de services.
Notre objectif est donc d’implémenter une solution d’authentification centralisée pour
l’accès aux ressources réseaux du constructeur Cisco de notre structure d’accueil, selon le
protocole AAA en vue de protéger son système d’information des attaques basées sur une
exploitation frauduleuse des protocoles réseaux, ainsi que des failles liées à leurs
configurations.
Pour atteindre cet objectif, nous avons à notre disposition, plusieurs solutions
d’authentification et d’accès distant parmi lesquelles, on a choisi le protocole SSH pour un
accès distant aux équipements via Putty1 un client SSH, couplé avec un serveur
d’authentification RADIUS.
La première partie sera consacrée à l’étude préalable qui va décrire notre structure
d’accueil et présenter une analyse de l’existant. La deuxième partie portera sur l’étude théorique
et la dernière partie sera consacrée à la mise en œuvre du serveur d’authentification RADIUS.
1
Putty c’est un émulateur terminal qui prend en charge les connexions SSH, Telnet, Raw.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 1
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements 2
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
I.1Historique
L’Institut Supérieur de Technologie dit ‘IST’ est l’une des instituts de l’Université de
Bangui qui, depuis longtemps forme des hauts cadres dans le domaine de la technologie. Il a
été créé en 1973 et portait le nom de l’IUTMG (Institut Universitaire Technologique des Mines
et Géologies), en 1980 il a pris le nom de l’Ecole polytechnique et il formait toujours dans le
même domaine.
Aujourd’hui, l’IST est composée de cinq (05) grands départements, avec la création
d’un nouveau département en 2021 le département de génie pétrolier.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 3
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
I.3 Sa Mission
Sa vocation première est de former, tant sur le plan théorique que pratique des futurs
ingénieurs. L’objectif visé est de faciliter l’intégration de ces étudiants dans le milieu
environnemental de l’entreprise et de les mettre face aux épreuves fréquentes de la vie
professionnelle. Il permettra donc à l’étudiant de mettre en pratique les nombreuses
connaissances acquises au cours de ces trois années de formation.
I.4 Organigramme
DIRECTION
DEPARTEMENT DE GENIE
DEPARTEMENT DE GENIE INFORMATIQUE
MINIER GEOLOGGIQUE
DEPARTEMENT DE GENIE
PETROLIER
Mise en place d’une authentification forte pour l’accès à distance aux équipements 4
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Dès notre arrivé au sein de l’Institut on a constaté que ce dernier dispose d’un certain nombre
des logiciels et de matériels pour son fonctionnement.
Nous allons ici présenter les quelques équipements que dispose l’institut dans les
tableaux ci-après :
Laptop Packarbell 07
Laptop HP 10 H D: 500GB
RAM: 4GB
Tableau 1 : les postes de travail.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 5
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Face à ces manquements énumérer nous avons décidé de faire une proposition de
solution afin de répondre à ses besoins citer ci haut :
Pour cela il nous est apparu judicieux de mettre en place une solution capable d’assurer au
moins l’un de trois concepts de base de la sécurité informatique t qui répondent aux exigences
fixées :
Moindre coût ;
Facilité de déploiement ;
Facilité d’administrations et de gestion ;
Facilité d’extension.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 6
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
II.1 Problématique
La problématique au quelle on fait face aujourd’hui à l’IST est également présent dans
beaucoup d’entreprise. Nous constatons premièrement que y’a un besoin de réaliser une
administration ou une configuration des équipements réseau à distance sans pour autant
effectuer un déplacement sur le site en question ou sur l’équipement pour faire les
configurations en locale ; ce qui prendrait un temps énorme car s’il faut que l’administrateur se
déplace tout le temps de service en service, de direction en direction ou de succursale en
succursale et bien l’entreprise perdras en terme de temps et d’argent pour un travail qui pouvait
être fait à distance et en quelques minutes.
Ensuite l’autre aspect est que le contrôle d’accès aux ressources qui est un élément
capital dans la sécurité des réseaux n’est pas garanti. Ce contrôle qui normalement permet de
protéger le réseau contre tout accès non autorisé aux ressources n’est vraiment pas assurer tant
sur le plan physique que sur le plan technique. Ce qui veut dire que si par manque d’attention
quelqu’un venait à se connecter par le biais de nos prise murale au réseau peut voire toutes nos
configurations et même prendre le contrôle de notre réseau.
II.2 Objectifs
Nous nous sommes fixés pour objectifs de déployer une solution d’authentification forte
qui va répondre impérativement aux besoins suivants. Ils sont de deux ordres différents :
Fonctionnels
Le projet doit apporter une solution pleinement fonctionnelle permettant à une équipe
restreinte, de quelques personnels d’administrer l’ensemble des équipements réseaux. Pour cela
nous allons :
Mise en place d’une authentification forte pour l’accès à distance aux équipements 7
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Economiques :
Demande
d authentification
Login/mot de passe
Les informations
Login/mot de passe
transmis au serveur
Le serveur Radius
contrôle les informations
en vérifiant dans
l annuaire AD
L accès à
Echec l équipement est
d authentification autorisé en fonction
des privillège
Mise en place d’une authentification forte pour l’accès à distance aux équipements 8
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
L’élément pivot dans notre dispositif est l’équipement réseau, c’est-à-dire le commu-
tateur ou le routeur. Ces équipements sont appelés NAS. Ce sont eux qui soumettent des
requêtes au serveur. Avec 802.1X, ils sont appelés Authenticator. Ils doivent impérativement
supporter les standards suivants :
Le protocole Radius ;
Les protocoles IEEE 802.1X et EAP.
De plus, si l’utilisation des réseaux virtuels est souhaitée, les NAS doivent être com-
patibles avec le protocole IEEE 802.1Q qui définit les critères d’utilisation des réseaux virtuels,
appelés VLAN (Virtual Local Area Network). Il convient, avant toute chose, de bien vérifier
si son matériel, ou celui qu'on souhaite acquérir, possède bien les fonctionnalités
recommandées.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 9
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Aussi appelé client final ou supplicant les postes de travail serviront à nos utilisateurs
d’effectuer leurs tâches quotiennes et pour cela ils devront s’authentifier.
Dans cette partie nous allons évaluer combien nous coûte le déploiement de notre
dispositif de sécurité et la mise en place d’un réseau. Mais nous rappelons que nous ne tiendrons
pas compte des coûts liés à l’installation des Faisceau Hertziens mentionnés sur notre
architecture réseau afin de regrouper les trois sites de l’IST dans un même réseau.
A partir de ces éléments, il nous sera donc possible de mettre en place cette solution.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 10
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements 11
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
INTRODUCTION
Nous vivons dans un monde interconnecté où les actions individuelles et collectives ont
le potentiel d'entraîner une bonté inspirante ou un préjudice tragique. L’objectif de la sécurité
est de protéger chacun d’entre nous, notre économie, nos infrastructures essentielles et notre
pays contre les dommages pouvant résulter d’une mauvaise utilisation, d’une compromission
ou d’une destruction accidentelle ou intentionnelle des données ou des systèmes d’information.
Un équipement non protégé connecté à un réseau peut être infecté en quelques minutes et
comme des informations confidentielles circulent dans les réseaux, la sécurité est donc devenue
une préoccupation importante des utilisateurs et des entreprises. Tous cherchent à se protéger
contre une utilisation frauduleuse de leurs données ou contre des intrusions malveillantes dans
les systèmes informatiques. Dans ce chapitre nous verrons les principes de base de la sécurité
en commençant par justifier son importance, ensuite, nous citerons ses objectifs principaux et
allant définir quelque terminologie nécessaire. Enfin, nous expliquerons les trois axes de
l’implémentation d’une bonne sécurité.
1
Une multinationale est une entreprise, une firme qui exerce son activité dans plusieurs pays,
qui a des filiales à l’étranger.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 12
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements 13
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
I.2.1 Confidentialité
Confidentialité
I.2.2 Intégrité
L'intégrité est la capacité d’assurer qu'un système et ses données n'ont pas été modifiés
ou compromis. Elle garantit que les données sont une représentation exacte des données
sécurisées d'origine (les informations reçues du destinataire sont exactement les informations
envoyées à l'origine par l'expéditeur). L'intégrité et la confidentialité sont interdépendantes. Si
un mot de passe d'utilisateur est divulgué à la mauvaise personne, cette dernière pourrait à son
tour manipuler, supprimer ou détruire des données après avoir accédé au système avec le mot
de passe qu'il a obtenu.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 14
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
I.2.3 Disponibilité
Le dernier composant de la triade CID est la disponibilité, qui stipule que les systèmes,
les applications et les données doivent être disponibles pour les utilisateurs autorisés en cas de
besoin et sur demande. La productivité des utilisateurs peut être considérablement affectée et
les entreprises peuvent perdre beaucoup d'argent si les données ne sont pas disponibles.
Cela devient une grave préoccupation pour la réputation de l'organisation, ce qui entraîne une
perte financière et l'enregistrement de certaines données importantes.
Avant de lancer une discussion significative sur la sécurité du réseau, il est d'abord
nécessaire de définir quelques termes fondamentaux relatifs à la sécurité du réseau. Ces termes
sont le fondement de toute discussion sur la sécurité du réseau et les éléments utilisés pour
mesurer la sécurité d'un réseau.
Une ressource : C’est un composant matériel, logiciel ou les deux ayant une valeur
pour l’organisation et qui nécessite une protection.
Une vulnérabilité : ce sont les failles de sécurité dans un ou plusieurs systèmes,
permettant de mettre en cause la sécurité d'une information ou d'un système
d'information.
Une attaque(exploits) : elles représentent les moyens d'exploiter une vulnérabilité. Il
peut y avoir plusieurs attaques pour une même vulnérabilité mais toutes les
vulnérabilités ne sont pas exploitables.
Contre-mesure : ensemble des actions mises en œuvre en prévention de la menace.
Virus : C’est un programme qui s’attache à un logiciel pour exécuter une fonction
spécifique non souhaitée sur ordinateur. La plupart des virus nécessitent une activation
par l’utilisateur. Cependant, ils peuvent également être programmés pour éviter la
détection ;
Worms : Ce sont des programmes autonomes qui exploitent des vulnérabilités connues
dans le but de ralentir un réseau. Ils ne nécessitent pas l’activation de l’utilisateur, ils
se dupliquent et tentent d’infecter d’autres équipements dans le réseau ;
Spyware : Ce sont des logiciels espions qui sont généralement utilisés dans le but
d’influencer l’utilisateur pour acheter certains produits ou services. Les spywares, en
Mise en place d’une authentification forte pour l’accès à distance aux équipements 15
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Les hackers aux chapeaux blancs « white hat hackers » : Ce sont des personnes qui
réalisent des audits de sécurité afin d’assurer la protection des systèmes d’information
d’une organisation ;
Les hackers aux chapeaux noirs « black hat hackers » : Ce sont des personnes
expérimentées qui agissent à des fins illégales en pratiquant le vol de données, le
piratage des comptes, l’infiltration dans les systèmes, etc. ;
Les hackers aux chapeaux gris « grey hat hackers » : C’est un mélange de « white
hat » et de « black hat » ;
Les hackers aux chapeaux bleus « blue hat hackers » : Ce sont des testeurs de bogues
pour assurer le bon fonctionnement des applications.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 16
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
La sécurité administrative est principalement axée sur les politiques, elle définit les
facteurs humains de la sécurité. Elle fait appel à tous les niveaux de personnel présents au sein
d'une société et définit quels utilisateurs ont accès à quelles ressources / informations et cela en
fonction des éléments suivants :
Formation et sensibilisation ;
Préparation en cas de catastrophe et plans de récupération ;
Inscription et traçabilité du personnel ;
Journalisation des modifications de configuration ;
Filtrage correct des employés (par exemple, effectuer des vérifications des antécédents
criminels) ;
Mise en place d’une authentification forte pour l’accès à distance aux équipements 17
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Le cryptage ;
Les cartes à mémoire ;
L'authentification de réseau ;
Les listes de contrôle d'accès (ACLs) ;
Les logiciels de vérification de l'intégrité des fichiers ;
Les techniques de sécurité (par exemple, pare-feu, IPS et VPN) ;
Les applications d'autorisation (par exemple, serveurs RADIUS ou TACACS+ et
scanners de sécurité biométriques).
Conclusion
Mise en place d’une authentification forte pour l’accès à distance aux équipements 18
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
SSH et Telnet sont deux protocoles réseau qui sont utilisés pour se connecter à un
ordinateur distant, pour contrôler son système à l’aide de commandes à distance. SSH permet
à l’utilisateur d’échanger des données entre deux ordinateurs d’un réseau à l’aide d’une
connexion cryptée sécurisée. Telnet est un protocole réseau de base qui est utilisé pour
communiquer avec un système distant en utilisant un terminal textuel virtuellement.
II.1.1 Telnet
Telnet est un protocole client-serveur basé sur l'échange de données orientées caractères
via des connexions TCP. Il fait appel à des concepts révolutionnaires tels que la commutation
de paquets de données, elle permet le contrôle d’ordinateurs à distance grâce à des entrées et
sorties textuelles. Pour ce faire, une connexion client-serveur est établie par défaut en utilisant
le protocole TCP et le port 23 : le périphérique distant agit comme un serveur et attend les
commandes. Telnet peut également être utilisé pour contrôler des applications qui n'ont pas
d'interface graphique.
II.1.2 SSH
SSH, Secure Shell est un protocole réseau utilisé pour établir une connexion sécurisée
entre deux hôtes distants sur Internet ou au sein d’un réseau. SSH utilise un format crypté pour
transférer des données entre ordinateurs, de sorte que ce mécanisme crypté assure la
confidentialité et l’intégrité des données échangées. SSH est largement utilisé pour les
systèmes de connexion à distance et pour l’exécution de commandes à distance en raison de sa
sécurité. En utilisant SSH, les utilisateurs peuvent envoyer des données confidentielles telles
que nom d’utilisateur, mot de passe et autres commandes de manière sécurisée car toutes ces
données sont cryptées et ne peuvent pas être déchiffrées et lues facilement par les
pirates. SSH utilise la cryptographie à clé publique pour l’authentification du système distant.
Par défaut, les serveurs SSH écoutent le port 22 sur TCP (Transmission Control Protocol) et
peuvent être utilisés dans les réseaux publics. Il fournit une authentification forte et un
mécanisme de communication sécurisé sur des canaux non sécurisés.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 19
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
X11 Forwarding ;
Tunneling et encapsulation de
protocole.
Pour faire un choix objectif nous nous somme définit un certain nombre de critère
assurons les concepts de base de la sécurité informatique. Pour ce faire le choix s’est porté sur
le protocole SSH qui est un protocole d’authentification forte.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 20
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
va se focaliser sur ceux implémentant ces fonctionnalités. On peut retenir trois protocoles
principaux présentés au tableau 6 : RADIUS, DIAMETER, TACACS+.
Avantages Inconvénients
RADIUS Protocole standardisé N'a pas la fiabilité de
Implémenté sur la majorité des communication de TCP
équipements réseaux (>85%)
Protocole largement répandu avec
un fort retour d’expérience
Pour ce qui est des protocoles d’authentification, TACACS+ est une solution
propriétaire de CISCO et n’est pas implémentée sur l’ensemble des équipements réseaux.
DIAMETER est une solution récente qui offre des avantages techniques certains mais peu
d’équipements cibles sont compatibles. Le protocole RADIUS offre un niveau de sécurité
satisfaisant et il est possible de l’implémenter sur la majeure partie des équipements réseaux ce
qui répond à la contrainte de compatibilité sur 85% minimum des équipements. C’est donc le
choix du protocole Radius qui a été retenu. Il sera mis en œuvre via le produit Microsoft NPS.
Le protocole 802.1x est une solution stanYdard de sécurisation de réseaux mise au point
par l'IEEE en 2001. Il permet d'authentifier un utilisateur souhaitant accéder à un réseau (câblé
ou Wifi) grâce à un serveur central d'authentification. L'autre nom de 802.1x est "Port-based
Network Access Control" ou "User Based Access Control". 802.1x permet de sécuriser l'accès
à la couche 2 (liaison de donnée) du réseau. Ainsi, tout utilisateur, qu'il soit interne ou non à
Mise en place d’une authentification forte pour l’accès à distance aux équipements 21
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
l'entreprise, est dans l'obligation de s’authentifier avant de pouvoir faire quoi que soit sur le
réseau. Certains équipements de réseau compatibles au Dot1x peuvent réserver un traitement
particulier aux utilisateurs non authentifiés, comme le placement dans un VLAN "guest", une
sorte de quarantaine sans danger pour le reste du réseau. 802.1x a recours au protocole EAP qui
constitue un support universel permettant le transport de différentes méthodes d'authentification
qu'on retrouve dans les réseaux câblés ou sans-fil.
802.1x nécessite donc la présence d'un serveur d'authentification qui peut être un serveur
RADIUS : un serveur Microsoft, Cisco ou un produit libre comme FreeRADIUS ou encore un
serveur TACACS dans le monde des équipements Cisco.
II.3 .2 Le Radius
Active Directory est un annuaire LDAP pour les systèmes d’exploitation Windows, le
tout créé par Microsoft. Cet annuaire contient différents objets, de différents types (utilisateurs,
ordinateurs, etc.), l’objectif étant de centraliser deux fonctionnalités essentielles :
l’identification et l’authentification au sein d’un système d’information. Les intérêts d’un
annuaire AD dans une entreprise sont nombreux notamment :
Mise en place d’une authentification forte pour l’accès à distance aux équipements 22
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
II.3.4 Le DNS
Pour déployer un serveur DNS dans un réseau, il faut définir l'adresse du réseau. Pour
des organisations désirant donner un accès public à leur domaine, il faut acheter un nom de
domaine chez un prestataire de services tout en assurant son unicité sur internet. Dans un réseau
subdivisé en plusieurs sous réseaux, il doit y avoir un serveur DNS primaire par zone (sous
réseau) et plusieurs serveurs secondaires sur lesquels on effectue des copies régulières des
informations primaires pour des mesures de sécurité.
II.3.5 Le NPS
Protection d’accès au réseau (NAP) : permet de s’assurer que les ordinateurs clients du
réseau répondent aux exigences définies en matière d’intégrité par l’administrateur. Il va par
exemple permettre de vérifier que l’ordinateur client dispose bien d’un antivirus installé et à
jour. Pour fonctionner, il a besoin d’un supplicant ou que le supplicant intégré aux ordinateurs
Windows soit activé.
Le service routage et accès à distance : fournit l’accès aux ressources situées sur le
réseau privé aux utilisateurs à distance. Il s’agit d’un composant qui va permettre de monter des
tunnels VPN entre les différents utilisateurs à distance et le réseau privé de l’organisation.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 23
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
III.1 Généralité
L’authentification, l'autorisation et l’Accounting (AAA) est un ensemble de concepts
primaires de sécurité informatique courants qui aide à contrôler l’accès aux réseaux. Ce modèle
est utilisé quotidiennement pour protéger les données et les systèmes contre les dommages
intentionnels ou même non intentionnels. C’est un moyen qui permet de contrôler qui sont
autorisés à accéder au réseau (authentification), ce qu'ils peuvent faire pendant qu'ils y sont
(autorisation) et de vérifier les actions qu'ils ont effectuées lors de l'accès au réseau (traçabilité).
Ce chapitre présente le modèle AAA et ses trois concepts ensuite abordera le Secure
Shell. Il commence par expliquer l’authentification, ses modes, ses méthodes, ses facteurs. Il
décrit ensuite l’autorisation et ses méthodes, les niveaux de privilège et l’accès CLI basé sur les
rôles. Ensuite, le chapitre définit la traçabilité et ses méthodes. Enfin, il évoque la notion de
SSH.
III.2 Authentification
III.2.1 Définition
Elle est utilisée dans tous les systèmes, pas seulement dans les réseaux informatiques.
Donc si un administrateur réseau a besoin d'accéder à un équipement réseau et souhaite apporter
des modifications, une sorte d'authentification doit être définie sur l'équipement.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 24
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
- Mots de passe de ligne « line passwords » : facile à mettre en œuvre à l'aide des
commandes de mot de passe « password » et de connexion « login », mais c'est la
méthode la moins sécurisée et très vulnérable aux attaques par brute-force. Il y a
également une perte de responsabilité car le mot de passe peut-être partager.
- Authentification locale « local authentication » : mise en œuvre pour améliorer la
sécurité, car l'utilisateur doit fournir un nom d'utilisateur et un mot de passe, qui sont
comparés aux entrées de la base de données locale de l'équipement.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 25
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Serveur Radius.
Cisco Secure Access Control Server (ACS).
Cisco Identity Services Engine (ISE).
Mise en place d’une authentification forte pour l’accès à distance aux équipements 26
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
L'authentification par connaissance est une méthode consistant à fournir un secret par
un utilisateur et qui n'est connu que par lui. Un exemple de cette méthode serait un utilisateur
fournissant un mot de passe, un code de numéro d'identification personnel (PIN) ou répondant
à des questions de sécurité.
L’inconvénient de l’utilisation de cette méthode est qu’une fois les informations sont
perdues ou volées (par exemple, si le mot de passe d’un utilisateur est volé), un attaquant peut
s’authentifier avec succès. Actuellement, il ne passe pas un jour sans avoir entendu parler d'une
nouvelle faille chez les fournisseurs de services, les services cloud et les entreprises de réseaux
sociaux.
Avec ce type d'authentification, l'utilisateur est invité à fournir la preuve qu'il possède.
Par exemple, un système peut exiger qu'un employé utilise un badge pour accéder à une
installation. D’autres exemples d'authentification par propriété est l'utilisation d'un jeton, d’une
carte à puce, d’une carte mémoire ou d’un mot de passe à usage unique (OTP). Similaire à la
méthode précédente, si un attaquant est capable de voler l'objet utilisé pour l'authentification, il
pourra accéder avec succès au système.
- Empreintes digitales ;
- Reconnaissance faciale ;
- Reconnaissance vocale ;
- Rétine et iris ;
- Informations sanguines et vasculaires ;
- Signature dynamique (comportementale).
Mise en place d’une authentification forte pour l’accès à distance aux équipements 27
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
L'authentification multi facteurs est basée sur trois facteurs ou plus. Les trois principaux
facteurs utilisés sont connus comme :
III.3 Autorisation
L'autorisation détermine l'accès aux ressources et les opérations effectuées par les
utilisateurs en fonction de leur rôle de travail. Une fois l'authentification de l'utilisateur réussie,
l'étape suivante consiste à gérer le niveau d'autorisation dont un utilisateur a besoin pour
effectuer ses actions en justice.
Exemple d'autorisation :
Mise en place d’une authentification forte pour l’accès à distance aux équipements 28
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Dans cet exemple d'autorisation, un serveur AAA est ajouté pour donner une idée du
processus lorsqu'un serveur externe est utilisé. Ce serveur peut être utilisé pour les autorisations,
comme le montre la figure 7 mais il peut également être utilisé pour authentifier les utilisateurs.
Etape 1. Une fois l'authentification terminée, une session est établie avec un serveur AAA.
Etape 2. L’équipement réseau demande l'autorisation pour le service demandé au serveur
AAA.
Etape 3. Le serveur AAA renvoie une réponse PASS / FAIL pour l'autorisation
Mise en place d’une authentification forte pour l’accès à distance aux équipements 29
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Pour cela, IOS fournit 16 niveaux d'accès, appelés niveaux de privilège. Le nombre de
commandes disponibles pour un utilisateur dépend de son niveau de privilège. Des niveaux de
privilèges plus élevés fournissent plus de commandes.
Par défaut, les trois niveaux suivants sont définis sur l’équipement :
Niveau de privilège 0 : Inclut les commandes disable, enable, exit, help, et logout.
Vous ne pouvez pas vraiment accéder à ce niveau car après la connexion, le premier
niveau accessible est le niveau 1. Ainsi, les commandes définies dans ce niveau sont
disponibles pour tous les utilisateurs et n'affectent pas la configuration de l’équipement.
Niveau de privilège 1 : Inclut toutes les commandes user-level à l'invite ‘>’ de
l’équipement réseau. Ce niveau est également appelé User-EXEC mode. Les
commandes à ce niveau n'affectent pas la configuration de l’équipement.
Niveau de privilège 15 : Inclut toutes les commandes enable-level à l'invite ‘#’ de
l’équipement. À ce niveau, toutes les commandes sont disponibles et toute
configuration peut être visualisée ou modifiée. Ce niveau est également appelé
Privileged-EXEC mode.
III.3.3 Accès CLI basé sur les rôles « Role based CLI Access »
Pour offrir plus de flexibilité que les niveaux de privilèges, Cisco propose une fonction
d'accès CLI basée sur les rôles pour les administrateurs réseau afin de restreindre l'accès des
utilisateurs. Les fonctionnalités d'accès CLI basées sur les rôles permettent à l'administrateur
Mise en place d’une authentification forte pour l’accès à distance aux équipements 30
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
de définir des vues « views ». Ces vues sont l'ensemble des commandes opérationnelles et des
configurations. La configuration d'une vue permet un accès sélectif ou partiel aux commandes
du mode EXEC et du mode Configuration.
Root View : Un système dans une vue racine a les mêmes privilèges qu'un utilisateur
avec le niveau de privilège 15. Pour créer toute autre vue comme la vue CLI ou Super
vue, l'administrateur doit être en vue racine.
CLI View : Dans une vue CLI, il n'y a pas de vue supérieure ou inférieure en spécifique,
elle consiste en un ensemble de commandes spécifiques.
Super view : Une super vue comprend une ou plusieurs vues CLI, qui permettent aux
utilisateurs de définir quelles commandes sont acceptées à partir d'un certain niveau et
quelles informations de configuration sont disponibles pour les utilisateurs. Les
utilisateurs qui se trouvent dans une super vue peuvent accéder à toutes les commandes
configurées pour l'une des vues CLI qui font partie de la super vue.
Lawful Intercept View : Un système dans une vue d'interception légale a accès aux
commandes et aux informations de configuration spécifiées. Plus précisément, une vue
d'interception légale permet à un utilisateur de sécuriser l'accès aux commandes
d'interception légales ; ces commandes ne sont disponibles pour aucune autre vue ou
niveau de privilège.
Parser View : Les vues d'analyseur font la même chose que les niveaux de privilèges
personnalisés, mais elles ont moins de commandes et donnent une vue de configuration
claire. Du point de vue de l'implémentation, nous définissons d'abord une vue, puis nous
lui affectons des commandes utilisateur ou de groupe. La fonction d'affichage de
l'analyseur fournit un contrôle d'accès granulaire en limitant les utilisateurs autorisés à
un certain niveau de privilège où des commandes d'ensemble spécifiques sont
autorisées uniquement.
La dernière partie de l'AAA est la traçabilité. Lorsque vous essayez d’accéder au réseau,
et si vous êtes authentifié, AAA peut commencer à suivre toutes les actions que vous
entreprenez.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 31
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Dans un environnement Cisco elle permet de suivre et de sauvegarder toutes les actions
effectuées par les utilisateurs. Par exemple, les administrateurs système peuvent avoir besoin
de facturer aux services ou aux clients le temps de connexion ou les ressources utilisées sur le
réseau (par exemple, le temps total de connexion). La traçabilité AAA permet de suivre cette
activité, ainsi que les tentatives de connexion suspectes au réseau.
Exemple de traçabilité :
Vous pouvez désormais utiliser la traçabilité AAA pour effectuer l'un des types de
traçabilité. Dans cet exemple, vous récupérez une fois l'authentification et l'autorisation
effectuées. Ici, la traçabilité des ressources effectue la traçabilité START / STOP pour FTP sur
le réseau. Voir la figure.
Étape 1. Une fois qu'un utilisateur a été authentifié, le processus de traçabilité AAA sur le
client AAA génère un message de démarrage pour indiquer le début de la session.
Étape 2. Lorsque l'utilisateur termine sa session et se déconnecte, un message d'arrêt est
envoyé par le client AAA pour indiquer la fin de la session.
Là encore, une liste de méthodes « method list » détermine le type de traçabilité à effectuer.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 32
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Network accounting : La traçabilité réseau fournit des informations pour toutes les
sessions PPP, SLIP ou ARAP, y compris le nombre de paquets et d'octets.
Connection accounting : La traçabilité des connexions fournit des informations sur
toutes les connexions sortantes effectuées à partir du client AAA, telles que Telnet,
LAT, TN3270, PAD, et rlogin.
EXEC accounting : La traçabilité EXEC fournit des informations sur user EXEC
terminal sessions « user shells » sur le serveur d'accès au réseau, y compris le nom
d'utilisateur, la date, les heures de début et de fin, l'adresse IP du serveur d'accès et le
numéro de téléphone d'où provient l'appel pour les utilisateurs entrants.
System accounting : La traçabilité système fournit des informations sur tous les
événements au niveau du système (par exemple, lorsque le système redémarre ou
lorsque la traçabilité est activée ou désactivée).
Command accounting : La traçabilité des commandes fournit des informations sur les
commandes EXEC shell pour un niveau de privilège spécifié qui sont exécutées sur un
serveur d'accès réseau. Chaque enregistrement de traçabilité de commande comprend
une liste des commandes exécutées pour ce niveau de privilège, ainsi que la date et
l'heure auxquelles chaque commande a été exécutée et l'utilisateur qui l'a exécutée.
Resource accounting : L'implémentation Cisco de la traçabilité AAA fournit une prise
en charge des enregistrements de démarrage et d'arrêt pour les appels qui ont réussi
l'authentification de l'utilisateur. La fonctionnalité supplémentaire de génération
d'enregistrements d'arrêt pour les appels dont l'authentification échoue dans le cadre de
l'authentification de l'utilisateur est également prise en charge. Ces enregistrements sont
nécessaires pour les utilisateurs qui utilisent des enregistrements de traçabilité pour
gérer et surveiller leurs réseaux.
Les concepts de l’AAA peuvent être appliqués à de nombreux aspects du cycle de vie
d'une technologie. Les deux principaux aspects de l’AAA liés aux réseaux sont les suivants :
Mise en place d’une authentification forte pour l’accès à distance aux équipements 33
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
L’administration des équipements est une méthode AAA pour contrôler l'accès à une
console d'équipement réseau, une session Telnet, une session SSH ou toute autre méthode
d'accès au système d'exploitation de l’équipement lui-même à des fins de configuration.
Par exemple, imaginez que votre entreprise dispose d'un groupe Active Directory
nommé administrateurs réseau, qui devrait avoir un accès complet (niveau de privilège 15) aux
commutateurs Cisco dans le réseau d'une entreprise. Ils devraient donc être en mesure
d'apporter des modifications aux réseaux locaux virtuels (VLAN), voir la configuration en cours
d'exécution de l'équipement, et plus encore.
Il pourrait y avoir un autre groupe nommé opérateurs de réseaux qui devrait être autorisé
à afficher uniquement l’affichage des commandes Show et à ne rien configurer dans
l’équipement.
À cette époque, les entreprises fournissaient un accès au réseau pour les travailleurs en
dehors des limites physiques des bâtiments de l'entreprise grâce à des modems. Les gens ont
également accédé à Internet en utilisant l'accès à distance aux fournisseurs de services Internet
(FAI) « Internet service providers (ISPs) » via leurs modems. Fondamentalement, il suffisait
d'un modem et d'une ligne téléphonique.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 34
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements 35
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
De deux serveurs Microsoft Windows Server 2012 servant d’AD, DNS et NPS ;
Des ordinateurs pour nos tests ;
D’un Switch ;
D’un client SSH Putty ;
Câbles réseaux ;
DEPARTEMENT DE
GENIE PETROLIER
Mise en place d’une authentification forte pour l’accès à distance aux équipements 36
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Pour installer notre rôle NPS Radius nous allons sélectionner le case Services de
Stratégie et d’accès réseau et ensuite faire suivant suivant jusqu’à lancer notre installation.
Après notre installation on va sur notre console NPS et on déroule « Clients et serveurs
RADIUS » et on fait un clic droit sur « Clients RADIUS » puis Nouveau.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 37
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Pour créer une stratégie réseau, on va toujours rester dans notre console NPS et là on
va dérouler l’option « Stratégie » et ensuite nous effectuons un clic sur « Stratégies Réseau »
puis sur « Nouveau » immédiatement une boite de dialogue va s’ouvrir :
Mise en place d’une authentification forte pour l’accès à distance aux équipements 38
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements 39
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements 40
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
A ce niveau, on va sur « NAS Port Type » et on coche comme sur la capture ci-
dessous :
Mise en place d’une authentification forte pour l’accès à distance aux équipements 41
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
A ce niveau, on nous donne le résumé de tout ce qui a été configuré. Après avoir bien
observer, on choisit « Terminer » pour créer la stratégie.
Lorsque le serveur NPS est membre d’un domaine des services de domaine Active
Directory (ADDS), NPS procède à l’authentification en comparant les informations
d’identification de l’utilisateur qu’il reçoit des serveurs d’accès réseau à celles qui sont stockées
pour le compte d’utilisateur dans les services de domaine Active Directory (ADDS). Il procède
également à l’autorisation des demandes de connexion en utilisant la stratégie réseau et en
vérifiant les propriétés de numérotation du compte d’utilisateur dans les services de domaine
Active Directory (ADDS). Pour que NPS soit autorisé à accéder aux informations
d’identification et aux propriétés d’accès distant des comptes d’utilisateurs dans les services de
domaine Active Directory (ADDS), le serveur exécutant NPS doit être inscrit dans ces derniers.
Pour se faire Cliquez avec le bouton droit sur NPS (local), puis cliquez sur Inscrire un serveur
dans Active Directory. Lorsque la boîte de dialogue "Inscrire un serveur dans Active Directory"
s’ouvre,
cliquez sur OK.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 42
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements 43
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Une fois le serveur inscrit dans le domaine, une interface qui indique que le serveur NPS est
autorisé à lire les propriétés des utilisateurs de domaine Apparaît.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 44
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Avec notre client Telnet nous allons indiquer l’adresse de notre switch cisco puis le
numéro de port utiliser et tenter ensuite d’ouvrir une connexion.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 45
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Toujours avec Putty nous allons cette fois établir une connexion avec SSH, nous
authentifier et faire des configurations.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 46
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Nous allons maintenant effectuer une capture sur le port 23 pour analyser la
communication Telnet.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 47
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Nous allons utiliser une fonction filtre pour capturer uniquement les paquets SSH.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 48
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Résultat de la capture : Cette capture peut témoigner que toutes la communication est
chiffrée de bout en bout et donc notre choix s’est avéré le meilleur choix pour répondre aux
besoins de l’IST en terme de sécurité.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 49
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
CONCLUSION GENERALE
Aux termes de ce mémoire, nous pouvons conclure que ce projet de fin de cycle reste
très enrichissant ; elle nous a donné l’opportunité de confronter l’acquis théorique à
l’environnement pratique. La mise en place d’une d’authentification forte pour l’accès à
distance à nos équipements Cisco est née du besoin de sécurité et de continuité de service du
réseau informatique de L’IST.
La réalisation de ce projet a été très instructif car elle nous a permis de travailler sur de
nombreux outils comme les Switchs, les routeurs, sur diverses technologies et ainsi que sur des
concepts de la sécurité des systèmes informatiques. Enfin, de réfléchir sur d’autres perspectives
pour renforcer et améliorer notre infrastructures réseaux.
Dans la suite de ce travail nous pensons déployer un portail captif avec PFsense dans le
but d'instruire une authentification sur le réseau internet. Dans notre cas il reposera sur notre
serveur NPS Radius ce qui nous permettra d'obtenir un suivi et un historique précis des
connexions. Ainsi il obligera tout utilisateur désirant naviguer sur internet de s'identifier grâce
notamment à une redirection vers une page de connexion et également mettre en place second
contrôleur de domaine pour assurer la disponibilité et la continuité des service d’annuaire en
cas d’indisponibilité de notre contrôleur de domaine primaire.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 50
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Référence
BIBLIOGRAPHIE
WEBOGRAPHIE
https://www.it-connect.fr
Consulter entre 02/2021 à 08/2021
https://forums.commentcamarche.net
Consulter 05/2021
https://www.reseaucerta.org
Consulter le 09/05/2021
https://www.lesechos.fr/tech-medias/hightech/une-cyberattaque-a-frappe-des-
entreprises-et-des-institutions-francaises
Consulter le 20/05/2021
https://pro.orange.fr/actualites/cybersecurite-quelles-sont-les-principales-menaces-en-
2021
Consulter le 20/05/2021
https://www.reseaucerta.org/authentification_au_sein_d’un_réseau_câblé_protocole_8
02.1x_serveur_Radius
Consulter 07/2021
https://www.linksys.com/fr/support-article/?articleNum=132430
Consulter le 17/09/2021
https://rdr-it.com/category/windows-server/general/
Consulter entre 08/2021 à 09/2021
Mise en place d’une authentification forte pour l’accès à distance aux équipements VIII
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Annexes
Annexe 1 : Installation et configuration du contrôleur de domaine (AD et DNS)
Installation
Pour démarrer notre installation rendons nous dans le gestionnaire de serveur ensuite
sur Ajouter des rôles et des fonctionnalités :
Après avoir cliqué sur Ajouter des rôles et des fonctionnalités. Faites Suivant :
Mise en place d’une authentification forte pour l’accès à distance aux équipements IX
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Après cela on va maintenant sélectionner le rôle ADDS et faire suivant jusqu’à terminer
l’installation.
Configuration ADDS
Nous allons sélectionner ajouter une nouvelle forêt en indiquant le nom qu’on attribue
à notre nouveau domaine puis on fait suivant.
Mise en place d’une authentification forte pour l’accès à distance aux équipements X
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Après avoir taper le mot de passe de restauration des services d’annuaire en clique sur
suivant, ensuite on vérifie le nom NetBIOS attribuer au domaine et on fait suivant jusqu’à lancer
l’installation.
Mise en place d’une authentification forte pour l’accès à distance aux équipements XI
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Après cet étape notre serveur va redémarrer pour nous placer dans notre nouveau
domaine ecisco-ist. :
Configuration DNS
Maintenant nous allons dans notre gestionnaire DNS pour le configurer, donc on se rend
dans la zone de recherche inversé puis en fait un clic droit ensuite on clic sur Nouvelle zone ;
Mise en place d’une authentification forte pour l’accès à distance aux équipements XII
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Ici nous allons entrer notre ID réseau comme et taper sur suivant puis sur terminer pour
achever la configuration.
Mise en place d’une authentification forte pour l’accès à distance aux équipements XIII
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements XIV
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Création du groupe
Nous allons maintenant crée un groupe pour regrouper tous pour l’administration de nos
équipements. Pour cela rendons nous dans outils « Utilisateurs et ordinateurs Active
Directory » puis dans nous allons faire un clic droit sur Users puis sur Nouveau ensuite
cliquant sur Groupe pour crée notre groupe.
Maintenant donnons un nom à notre groupe puis cliquez sur « OK » pour le créer :
Mise en place d’une authentification forte pour l’accès à distance aux équipements XV
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Le groupe étant à présent créé, nous allons devoir créer les utilisateurs qui feront partie de
ce groupe. Faites à nouveau un clic droit sur « Users », sélectionnez « Nouveau » puis «
Utilisateur » :
Mise en place d’une authentification forte pour l’accès à distance aux équipements XVI
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements XVII
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Le groupe et l’utilisateur étant créé, nous allons intégrer l’utilisateur à ce groupe. Faites
un clic droit sur le groupe créé puis sélectionnez « Propriétés » et une fois cette interface allez
dans l’onglet membre, cliquez sur « Ajouter… » :
Mise en place d’une authentification forte pour l’accès à distance aux équipements XVIII
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements XIX
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements XX
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements XXI
Cisco cas de l’IST
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Mise en place d’une authentification forte pour l’accès à distance aux équipements XXII
Cisco cas de l’IST