Mémoire SIALE-1

UNIVERSITE DE BANGUI REPUBLIQUE CENTRAFRICAINE
***********
Unité-Dignité-Travail
INSTITUT SUPERIEUR DE TECHNOLOGIE

DEPARTEMENT DE GENIE INFORMATIQUE
BP : 802 Bangui (RCA)
MEMOIRE DE FIN DE CYCLE
En vue de l’obtention du :
LICENCE PROFESSIONNELLE EN GENIE INFORMATIQUE
THEME :
Mise en place d’une authentification forte pour l’accès à

distance aux équipements Cisco
Cas de l’IST
Option : Réseaux & Systèmes Informatiques
Réalisé et présenté par Sous la Direction de

SIALE KOYAMBA Ephraïm, Etudiant M. KOYANDONDRI Bob, Enseignant
En fin de cycle Chercheur à l’Université de Bangui
2019-2020
Mémoire de fin de cycle Réalisé par Ephraïm SIALE-KOYAMBA
Dédicace
A
Notre mère KPEOU KOLENGUE Geneviève Olga.
Mise en place d’une authentification forte pour l’accès à distance aux équipements I
Cisco cas de l’IST
Remerciements
La réalisation de ce mémoire a été possible grâce au concours de plusieurs personnes
à qui nous voudrions, à travers ces quelques lignes, témoigner toute notre gratitude.
Nous tenons dans un premier temps à adresser nos sincères et chaleureux
remerciements à l’endroit de nos responsables académiques :
Dr Jean M’BOLIGUIPA Directeur de l’IST ;
Dr Prince Emilien DANGUENE-YEDIDYA Directeur des Etudes de l’IST ;
M. Innocent GOUMAPE Chef de Département de Génie Informatiques.
Nous souhaitons adresser nos profonds remerciements à notre directeur de mémoire M.

Bob KOYANDONDRI enseignant chercheur à l’Institut Supérieur de Technologie pour
l’honneur qu’il nous a fait en acceptant de nous encadrer. Son appui technique et matériels ont
permis une bonne orientation et réalisation de ce modeste travail.
Nos remerciements s’adressent également à tous les enseignants et aux personnels

administratifs de l’institut Supérieur de Technologie.
Nous adressons également nos remerciements à l’endroit de notre Père M. Paul

SIALE, pour l'éducation que vous nous avez prodiguée et pour tous ces sacrifices sans limite
consentis à notre égard.
Nous tenons à remercier finalement toute personne qui a, de près ou de loin, contribué
d’une manière ou d’une autre à l’élaboration de ce travail et spécialement ceux que nous
n’avons pas pu citer, mais qui sont présents dans nos esprits et dans nos cœurs.
Mise en place d’une authentification forte pour l’accès à distance aux équipements II
Avant-propos
La gestion des accès au réseau est devenue très importante, d’une part pour la protection
contre les tentatives d’intrusions, et d’autres part pour la télé administration, la télé
maintenance.
Notre travail de recherche en vue de l’obtention du diplôme de Licence Professionnelle

en Réseaux et Système Informatiques consiste donc à mettre en place une authentification
forte pour l’accès à distance aux équipement Cisco de l’Institut Supérieure de
Technologie.
Ce projet représente une mise en place d’une solution de sécurité ayant comme objectif
principal la gestion des accès aux ressources réseau de marque Cisco, avec un accès en
configuration CLI à distance pour les équipements. Le présent travail va consister à déployer
l’ensemble des mécanismes du modèle AAA (Authentication, Authorization, Accounting) via
des stratégies réseaux reposant sur un serveur Radius. Ainsi dans ce projet nous allons répondre
à des besoins couvrant les concepts de base de la sécurité informatique.
Mise en place d’une authentification forte pour l’accès à distance aux équipements III
Sommaire
DEDICACE ................................................................................................................................. I
REMERCIEMENTS ................................................................................................................. II
AVANT-PROPOS ................................................................................................................... III
SOMMAIRE ............................................................................................................................ IV
SIGLES ET ABREVIATION ................................................................................................... V
LISTE DES FIGURES ............................................................................................................VII
INTRODUCTION GENERALE................................................................................................ 1
PARTIE I : ETUDE PREALABLE ........................................................................................... 2
CHAPITRE I : PRESENTATION DE L’IST ......................................................................... 3
CHAPITRE II : PRESENTATION DU THEME ................................................................... 7
PARTIE II : ETUDE THEORIQUE ........................................................................................ 11
CHAPITRE I : FONDAMENTAUX DE LA SECURITE INFORMATIQUE..................... 12
CHAPITRE II : CHOIX DES SOLUTIONS ........................................................................ 19
CHAPITRE III : GENERALITES SUR LE SERVEUR AAA ............................................. 24
PARTIE III : IMPLEMENTATION ........................................................................................ 35
CHAPITRE I : MISE EN ŒUVRES .................................................................................... 36
CHAPITRE II : PRESENTATION DE LA SOLUTION...................................................... 45
CONCLUSION GENERALE .................................................................................................. 50
REFERENCE ........................................................................................................................ VIII
ANNEXES ............................................................................................................................... IX
TABLES DES MATIERES ................................................................................................... XX
Mise en place d’une authentification forte pour l’accès à distance aux équipements IV
Sigles et abréviation
N° Sigles Significations
1 AAA Authentification Authorization Accounting
2 ACL Access Control List
3 ACS Cisco Secure Access Control
4 AD Active Directory
5 ADDS Active Directory Domain Service
6 ANSSI Agence National de Sécurité des Systèmes Informatiques
7 ATM Asynchronous Transfer Mode
8 CHAP Challenge-Handshake Authentification Protocol
9 CID Confidentialité Intégrité Disponibilité
10 CLI Command Line Interpreter
11 CPU Central Processing Unit
12 DNS Domain Name Server
13 EAP Extensible Authentification Protocol
14 HD Hard Disk
15 http Hyper Text Transfert Protocol
16 IEEE Institut of Electrical and Electronics Engineers
17 IP Internet Protocol
18 IST Institut Supérieur de Technologie
19 LAN Local Area Network
20 LDAP Lightweight Directory Access Protocol
21 MAN Métropolitan Area Network
22 MS - CHAP Microsoft Challenge Handshake Authentication Protocol
23 NAP Network Access Protection
24 NAS Network Access Server
25 NPS Network Policy Server
26 PAP Password Authentification Protocol
27 PEAP Protected Extensible Authentication Protocol
28 PME Petite et Moyenne Entreprise
Mise en place d’une authentification forte pour l’accès à distance aux équipements V
29 RADIUS Ramote Acces Dial In User Service

30 RAM Random Access Memory
31 SE Système d’Exploitation
32 SI Système d’Information
33 SMS Short Message System
34 SSH Secure Shell
35 TACACS Terminal Access Controller Access Control System
36 TCP Transmission Control Protocol
37 TELNET Telecommunication Network
38 VLAN Virtual Local Area Network
39 WAN Wide Area Network
41 WEP Wired Equivalent Privacy
Mise en place d’une authentification forte pour l’accès à distance aux équipements VI
Liste des Figures

Figure 1: L’organigramme de l’IST. .......................................................................................... 4
Figure 2: Schéma global de la solution proposée ....................................................................... 8
Figure 3: La triade CID ............................................................................................................ 13
Figure 4: Concepts généraux de la confidentialité ................................................................... 14
Figure 5: Authentification locale .............................................................................................. 25
Figure 6: Authentification centralisée ...................................................................................... 26
Figure 7: Exemple d'autorisation.............................................................................................. 29
Figure 8: Exemple de traçabilité .............................................................................................. 32
Figure 9: Architecture réseau de la solution proposée ............................................................. 36
Figure 10: Installation NPS ...................................................................................................... 37
Figure 11: Création d'un Client Radius .................................................................................... 38
Figure 12: Etape création client Radius ................................................................................... 38
Figure 13: Création d'une stratégie réseau ............................................................................... 39
Figure 14: Choix du Groupe..................................................................................................... 39
Figure 15: Autorisation d'accès ................................................................................................ 40
Figure 16: Choix de la méthode d'authentification .................................................................. 40
Figure 17: Choix du type de NAS ............................................................................................ 41
Figure 18: Paramètre de demande connexion .......................................................................... 41
Figure 19: Finalisation de configuration de la stratégie ........................................................... 42
Figure 20: Inscrire le serveur NPS dans le domaine ................................................................ 43
Figure 21: Demande d'autorisation d'inscription du NPS ........................................................ 43
Figure 22: Fin de l'inscription du NPS dans le domaine .......................................................... 44
Figure 23: Tentative de connexion Telnet................................................................................ 45
Figure 24: Accès distant à l'interface de configuration du Switch via Telnet .......................... 46
Figure 25: Tentative de connexion via SSH sur Putty ............................................................. 46
Figure 26: Accès distant à l'interface de configuration du Switch via SSH ............................. 47
Figure 27: Capture de la connexion Telnet .............................................................................. 47
Figure 28: Capture de l'analyse de la connexion Telnet........................................................... 48
Figure 29: Capture de la connexion SSH ................................................................................. 48
Figure 30: Résultat de la connexion SSH................................................................................. 49
Mise en place d’une authentification forte pour l’accès à distance aux équipements VII
INTRODUCTION GENERALE
Les systèmes d’information occupent aujourd’hui une place très capitale dans le
fonctionnement des grands groups, des PME ainsi que des services publics. Leur sécurité est
un enjeu majeur pour chaque structure et pour chaque domaine d’activité. Les investissements
en matière de sécurité informatique sont de plus en plus indispensables avec l’évolution rapide
de l’informatique et des systèmes de communication.
Le réseau des entreprises est devenu de plus en plus exposé à des éventuelles attaques
menées par des intrus au système, ce qui menace la sécurité des ressources matérielles et
logicielles de l’entreprise, la preuve en est que selon un rapport révélé par L’ANSSI au mois de
février, il stipule qu’aucun secteur d’activité n’est épargné. Les attaques informatiques seraient
toutefois particulièrement en hausse à l’encontre des entreprises de services numériques, du
secteur de la santé et de l’éducation ainsi que des collectivités locales. Alors pour faire face à
ces risques, l’administrateur systèmes doit mettre en place des stratégies de sécurité
performantes pour le contrôle des accès au réseau de son entreprise assurant à la fois : un niveau
de sécurité élevé, une simplicité pour l’utilisateur et une fiabilité de services.
Notre objectif est donc d’implémenter une solution d’authentification centralisée pour
l’accès aux ressources réseaux du constructeur Cisco de notre structure d’accueil, selon le
protocole AAA en vue de protéger son système d’information des attaques basées sur une
exploitation frauduleuse des protocoles réseaux, ainsi que des failles liées à leurs
configurations.
Pour atteindre cet objectif, nous avons à notre disposition, plusieurs solutions
d’authentification et d’accès distant parmi lesquelles, on a choisi le protocole SSH pour un
accès distant aux équipements via Putty1 un client SSH, couplé avec un serveur
d’authentification RADIUS.
Notre mémoire est articulé autour de trois grandes parties :
La première partie sera consacrée à l’étude préalable qui va décrire notre structure
d’accueil et présenter une analyse de l’existant. La deuxième partie portera sur l’étude théorique
et la dernière partie sera consacrée à la mise en œuvre du serveur d’authentification RADIUS.
1
Putty c’est un émulateur terminal qui prend en charge les connexions SSH, Telnet, Raw.
Mise en place d’une authentification forte pour l’accès à distance aux équipements 1
PARTIE I : ETUDE PREALABLE
CHAPITRE I : PRESENTATION DE L’IST
I.1Historique
L’Institut Supérieur de Technologie dit ‘IST’ est l’une des instituts de l’Université de
Bangui qui, depuis longtemps forme des hauts cadres dans le domaine de la technologie. Il a
été créé en 1973 et portait le nom de l’IUTMG (Institut Universitaire Technologique des Mines
et Géologies), en 1980 il a pris le nom de l’Ecole polytechnique et il formait toujours dans le
même domaine.
En 1990, l’Ecole polytechnique devient l’Institut Facultaire Technologique (IFT), et ce

sera quand 1992, qu’il prendra le nom de l’Institut Supérieur de Technologie sous l’égide de
PRESCA (Projet de Restructuration de l’Enseignement en Centrafrique).
En 2000 grâce au projet d’appui à l’Enseignement Supérieur en Centrafrique le

département de génie informatique a vu le jour. Cependant, ce département est annexé au sein
de l’Ecole Normale Supérieure (ENS). Ce dernier héberge un laboratoire informatique, un
laboratoire polyvalent, un atelier d’usinage et un Département de l’Enseignement Technique
Agricole.
Aujourd’hui, l’IST est composée de cinq (05) grands départements, avec la création
d’un nouveau département en 2021 le département de génie pétrolier.
I.2 Domaines d’activités

L’IST a pour activité principale la formation des étudiants dans des différentes filières,
il forme des étudiants en DUT (Diplôme Universitaire de Technique) au bout de deux années
de formation qui est équivalent du BTS (Brevet des Techniciens Supérieurs) et au bout de trois
ans de formation il offre aux étudiants un diplôme en Licence professionnelle et l’obtention de
ce dernier est conditionné par un stage pratique. En plus il forme désormais des étudiants en
MASTER dans le domaine minier.
L’IST forme aujourd’hui les étudiants dans cinq départements à savoir :
 Le département de Génie Industriel qui forme des ingénieurs de travaux en

télécommunication et en électromécanique ;
 Le département de Génie Civil forme des ingénieurs de travaux en bâtiments et en
travaux publiques ;
 Le département de Génie Minier et Géologique forme des ingénieurs de travaux en mine

exploration et mine environnementale ;
 Le département de Génie Informatique, forme ingénieurs de travaux en informatique de
gestion et en réseaux et système informatique ;
 Le département de Génie Pétrolier forme des ingénieurs de travaux en pétrochimie.
I.3 Sa Mission
Sa vocation première est de former, tant sur le plan théorique que pratique des futurs
ingénieurs. L’objectif visé est de faciliter l’intégration de ces étudiants dans le milieu
environnemental de l’entreprise et de les mettre face aux épreuves fréquentes de la vie
professionnelle. Il permettra donc à l’étudiant de mettre en pratique les nombreuses
connaissances acquises au cours de ces trois années de formation.
I.4 Organigramme
DIRECTION
DIRECTION DES ETUDES SECRETARIAT PRINCIPALE
DEPARTEMENT DE GENIE DEPARTEMENT DE GENIE

CIVIL INDUSTRIEL
DEPARTEMENT DE GENIE
DEPARTEMENT DE GENIE INFORMATIQUE
MINIER GEOLOGGIQUE
DEPARTEMENT DE GENIE
PETROLIER
Figure 1: L’organigramme de l’IST.
I.4 Etude de l’existant

Cette phase d’étude va nous permettre d’avoir une vue générale des techniques, des
méthodes et des moyens de travail dont l’Institut Supérieur de Technologie disposent.
Dès notre arrivé au sein de l’Institut on a constaté que ce dernier dispose d’un certain nombre
des logiciels et de matériels pour son fonctionnement.
Disposant d’un laboratoire informatique contenant des équipements informatiques

permettant aux enseignants et étudiants de réaliser des séances de travaux pratiques. A cet effet
elle dispose de quelques ordinateurs (ordinateurs fixes de marque DELL, Packarbell dual core
et des ordinateurs portables de marque HP) sur lesquels les systèmes installés sont : Windows7
Professionnel, Windows XP, le Windows 10 ou installés en dual Boot (Linux et Windows). Sur
ces systèmes, l’on retrouve des logiciels tels que : Notepad, WampServer, Pack Tracer,
Microsoft Office ; on n’y trouve également quelques switch, routeur et câble Ethernet
permettant de pratiquer les cours théoriques faits en classe.
On trouve également dans des différents bureaux administratifs de l’Institut Supérieur

de Technologie quelques équipements informatiques : les ordinateurs portables ou bureautiques
et les imprimantes.
Nous allons ici présenter les quelques équipements que dispose l’institut dans les
tableaux ci-après :
Type de poste Marques Nombres Caractéristiques

Desktop Dell 02 H D: 320GB
RAM: 4GB
Laptop Packarbell 07
Laptop HP 10 H D: 500GB
RAM: 4GB
Tableau 1 : les postes de travail.
Type Marques Nombres Caractéristiques

d’imprimante
Routeur Linksys 01 Point d’accès 1 port Internet 4
port Ethernet
Switch D-LINK 02 16 ports
Switch D-LINK 01 8 ports
Câble réseaux - 50 Câble blindé FTP
Tableau 2 : Liste des équipements réseaux
I.5 Critique de l’existant

Bien que l’IST dispose des outils informatiques nécessaires qui fonctionnent
normalement et qui assurent la réalisation de certaines de ces activités. Cependant ces outils ne
peuvent pas satisfaire pleinement aux besoins de ce dernier. D’après notre analyse, des
difficultés et manquements sont constatés :
1. Un manque d’un réseau intranet pouvant relier la direction et ses différents

départements.
2. Le problème de la connexion internet qui ralentit les recherches et le processus de la
communication à distance.
3. Manque d’un outil de sécurisation d’accès aux ressources de l’IST.
4. Manque d’un dispositif de haute disponibilité ;
5. Absence de visibilité sur internet.
Face à ces manquements énumérer nous avons décidé de faire une proposition de
solution afin de répondre à ses besoins citer ci haut :
 Mettre en place une architecture réseau de notre SI ;

 Assurer une protection physique de notre réseau ;
 Gérer des prises à accès libre ;
 Sécurisé les réseaux filaires et sans fil ;
 Restreindre les services accessibles en authentification automatique ;
 Concevoir un site web
 Assurer la redondance des serveurs.
Pour cela il nous est apparu judicieux de mettre en place une solution capable d’assurer au
moins l’un de trois concepts de base de la sécurité informatique t qui répondent aux exigences
fixées :
Moindre coût ;
Facilité de déploiement ;
Facilité d’administrations et de gestion ;
Facilité d’extension.
CHAPITRE II : PRESENTATION DU THEME
II.1 Problématique
La problématique au quelle on fait face aujourd’hui à l’IST est également présent dans
beaucoup d’entreprise. Nous constatons premièrement que y’a un besoin de réaliser une
administration ou une configuration des équipements réseau à distance sans pour autant
effectuer un déplacement sur le site en question ou sur l’équipement pour faire les
configurations en locale ; ce qui prendrait un temps énorme car s’il faut que l’administrateur se
déplace tout le temps de service en service, de direction en direction ou de succursale en
succursale et bien l’entreprise perdras en terme de temps et d’argent pour un travail qui pouvait
être fait à distance et en quelques minutes.
Ensuite l’autre aspect est que le contrôle d’accès aux ressources qui est un élément
capital dans la sécurité des réseaux n’est pas garanti. Ce contrôle qui normalement permet de
protéger le réseau contre tout accès non autorisé aux ressources n’est vraiment pas assurer tant
sur le plan physique que sur le plan technique. Ce qui veut dire que si par manque d’attention
quelqu’un venait à se connecter par le biais de nos prise murale au réseau peut voire toutes nos
configurations et même prendre le contrôle de notre réseau.
II.2 Objectifs
Nous nous sommes fixés pour objectifs de déployer une solution d’authentification forte
qui va répondre impérativement aux besoins suivants. Ils sont de deux ordres différents :
 Fonctionnels
Le projet doit apporter une solution pleinement fonctionnelle permettant à une équipe
restreinte, de quelques personnels d’administrer l’ensemble des équipements réseaux. Pour cela
nous allons :
Permettre un accès d’administration des ressources réseaux à distance et sécurisé en

mettant en place un accès SSH sur nos équipements Cisco filaire. En utilisant le
protocole SSH nous allons ainsi chiffrer les informations afin d’apporter une couche de
sécurité à la connexion distante ;
Renforcer l’authentification des équipements Cisco (Switch, Routeur) avec les
utilisateurs qui sont enregistrés au niveau de notre annuaire Active Directory (AD) en
passant par un serveur d’authentification Radius ;
 Economiques :
La solution de télé-administration doit réduire le temps actuel d’exploitation et

d’administration des clients Radius et ainsi permettre de réaliser une économie par rapport au
mode de fonctionnement initial.
Tentative d accès aux

équipements réseaux
Demande
d authentification
Login/mot de passe
Les informations
Login/mot de passe
transmis au serveur
Le serveur Radius
contrôle les informations
en vérifiant dans
l annuaire AD
Informations non valides Informations valides
L accès à
Echec l équipement est
d authentification autorisé en fonction
des privillège
Figure 2: Schéma global de la solution proposée
II.3 Les outils nécessaires

III.3.1 Les équipements réseaux
L’élément pivot dans notre dispositif est l’équipement réseau, c’est-à-dire le commu-
tateur ou le routeur. Ces équipements sont appelés NAS. Ce sont eux qui soumettent des
requêtes au serveur. Avec 802.1X, ils sont appelés Authenticator. Ils doivent impérativement
supporter les standards suivants :
Le protocole Radius ;
Les protocoles IEEE 802.1X et EAP.
De plus, si l’utilisation des réseaux virtuels est souhaitée, les NAS doivent être com-
patibles avec le protocole IEEE 802.1Q qui définit les critères d’utilisation des réseaux virtuels,
appelés VLAN (Virtual Local Area Network). Il convient, avant toute chose, de bien vérifier
si son matériel, ou celui qu'on souhaite acquérir, possède bien les fonctionnalités
recommandées.
III.3.2 Le serveur d’authentification

C’est le point de décision, il fournit le service d’authentification au point de contrôle ou
aux NAS. Il authentifie les clients en fonction des informations qu’il reçoit. Ces informations
sont des données émises par le NAS. Le serveur après avoir reçu et traité les données
d’authentification, retourne au NAS le résultat de l’authentification. En général,
l’authentification peut être faite par un serveur de la famille technologique AAA. Il peut s’agir
d’un RADIUS ou d’un TACCAS+.
III.3.3 Windows Server 2012

Parmi les systèmes d’exploitation pouvant supporter l’implémentation AAA, notre
choix s’est porté sur Windows Server 2012 car il présente l’avantage d’une simplicité
d’utilisation et l’implémentation du serveur RADIUS ne nécessite pas l’importation des
différents rôles (annuaire AD, DNS) ou composants du système, car ses rôles sont préinstallés
et il suffit simplement de les configurer ; par rapport à Linux qu’il faut télécharger tous les rôles
et les implémenter sur le système. Par contre Linux présente l’avantage d’être invulnérable aux
virus par rapport à Windows. Sous Windows Server, la mise en place d'un serveur RADIUS
s'effectue en installant le rôle NPS (Network Policy Server). Ce serveur pourra être utilisé pour
authentifier des utilisateurs Active Directory.
III.3.4 Les postes de travail clients
Aussi appelé client final ou supplicant les postes de travail serviront à nos utilisateurs
d’effectuer leurs tâches quotiennes et pour cela ils devront s’authentifier.
III.4 Coût du projet
Dans cette partie nous allons évaluer combien nous coûte le déploiement de notre
dispositif de sécurité et la mise en place d’un réseau. Mais nous rappelons que nous ne tiendrons
pas compte des coûts liés à l’installation des Faisceau Hertziens mentionnés sur notre
architecture réseau afin de regrouper les trois sites de l’IST dans un même réseau.
A partir de ces éléments, il nous sera donc possible de mettre en place cette solution.
DESIGNATION QUANTITE P.U TOTAL

Serveur physique 1 - 1.579.500 FCFA
Système Windows Server 2012 - - 617.500 FCFA
avec Licence
Routeur 1 325.000 FCFA 325.000 FCFA
Switch 3 260.000 FCFA 780.000 FCFA
Câbles réseaux 50 2000 FCFA 100.000 FCFA
Etiquètes 300 100 FCFA 30.000 FCFA
Frais de déploiement + un - - 1.715.000 FCFA
transfert de connaissance
Marge - - 514.800 FCFA
TOTAL 5.661.800 FCFA
PARTIE II : ETUDE THEORIQUE
CHAPITRE I : FONDAMENTAUX DE LA SECURITE INFORMATIQUE
INTRODUCTION
Nous vivons dans un monde interconnecté où les actions individuelles et collectives ont
le potentiel d'entraîner une bonté inspirante ou un préjudice tragique. L’objectif de la sécurité
est de protéger chacun d’entre nous, notre économie, nos infrastructures essentielles et notre
pays contre les dommages pouvant résulter d’une mauvaise utilisation, d’une compromission
ou d’une destruction accidentelle ou intentionnelle des données ou des systèmes d’information.
Un équipement non protégé connecté à un réseau peut être infecté en quelques minutes et
comme des informations confidentielles circulent dans les réseaux, la sécurité est donc devenue
une préoccupation importante des utilisateurs et des entreprises. Tous cherchent à se protéger
contre une utilisation frauduleuse de leurs données ou contre des intrusions malveillantes dans
les systèmes informatiques. Dans ce chapitre nous verrons les principes de base de la sécurité
en commençant par justifier son importance, ensuite, nous citerons ses objectifs principaux et
allant définir quelque terminologie nécessaire. Enfin, nous expliquerons les trois axes de
l’implémentation d’une bonne sécurité.
I.1 Importance de la sécurité

À l'heure du "tout disponible partout tout de suite", le transport des données en
dehors du domicile d'un particulier ou d'une entreprise est une réalité qui mérite que l'on
s'interroge sur la sécurité des transmissions pour ne pas compromettre un système
d'information. Que ce soit à l'échelle d'une entreprise, d'une multinationale1 ou à une plus petite
échelle, la sécurité d'un système d'information prend plus ou moins d'importance selon la valeur
que l'on confère à ces données. De nos jours, les gens sont de plus en plus conscients de la
sécurisation de leurs équipements connectés à Internet en raison d'événements de fuite de
données, d'altération et d'utilisation abusive au cours des dernières années. La vulnérabilité du
réseau et les nouvelles méthodes d'attaque augmentent de jour en jour, d'où l'évolution des
techniques de sécurisation du réseau.
La sécurité des équipements et des réseaux est importante pour :
Empêcher la divulgation non-autorisée de données ;

Empêcher la modification non-autorisée de données ;
1
Une multinationale est une entreprise, une firme qui exerce son activité dans plusieurs pays,
qui a des filiales à l’étranger.
Empêcher l'utilisation non-autorisée de ressources réseau ou informatiques de façon

générale l’interruption de service.
I.2 Objectif de la sécurité

Le système d'information est généralement défini par l'ensemble des données et des
ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les
faire circuler. Le système d'information représente un patrimoine essentiel de l'entreprise,
qu'il convient de protéger. La sécurité informatique, d'une manière générale, consiste à
assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement
utilisées dans le cadre prévu.
Lors de la sécurisation d’un réseau, plusieurs principes de sécurité importants doivent

être mis en place. Chaque mesure de sécurité mise en œuvre doit contribuer à la réalisation de
l'un des trois principes fondamentaux de la sécurité qui sont la confidentialité, l'intégrité et la
disponibilité. La plupart des problèmes de sécurité entraînent une violation d'au moins une
facette de la triade CID. La compréhension de ces trois principes de sécurité contribuera à
garantir que les contrôles et les mécanismes de sécurité misent en œuvre protègent au moins
l'un de ces principes. Chaque contrôle de sécurité mis en place par une organisation répond au
moins à l'un des principes de sécurité de la triade CID. Comprendre comment contourner ces
principes de sécurité est aussi important que comprendre comment les fournir.
Figure 3: La triade CID
I.2.1 Confidentialité
La confidentialité est l'exigence de ne pas mettre à disposition ou divulguer des

informations privées ou confidentielles à des personnes, des entités ou des processus non
autorisés. Elle repose sur trois concepts généraux, comme le montre la figure 3.
Dans le cadre de la confidentialité, le niveau de sensibilité des données doit être

déterminé avant la mise en place des contrôles d'accès. Les données avec un niveau de
sensibilité plus élevé auront plus de contrôles d'accès que les données à un niveau de sensibilité
inférieur.
Confidentialité
Contrôler l'accès aux

Identifier les Identifier qui est ou n'est informations afin que
informations à contrôler pas autorisé à accéder seules les parties
aux informations. autorisées puissent y
accéder.
Figure 4: Concepts généraux de la confidentialité
I.2.2 Intégrité
L'intégrité est la capacité d’assurer qu'un système et ses données n'ont pas été modifiés
ou compromis. Elle garantit que les données sont une représentation exacte des données
sécurisées d'origine (les informations reçues du destinataire sont exactement les informations
envoyées à l'origine par l'expéditeur). L'intégrité et la confidentialité sont interdépendantes. Si
un mot de passe d'utilisateur est divulgué à la mauvaise personne, cette dernière pourrait à son
tour manipuler, supprimer ou détruire des données après avoir accédé au système avec le mot
de passe qu'il a obtenu.
I.2.3 Disponibilité
Le dernier composant de la triade CID est la disponibilité, qui stipule que les systèmes,
les applications et les données doivent être disponibles pour les utilisateurs autorisés en cas de
besoin et sur demande. La productivité des utilisateurs peut être considérablement affectée et
les entreprises peuvent perdre beaucoup d'argent si les données ne sont pas disponibles.
Cela devient une grave préoccupation pour la réputation de l'organisation, ce qui entraîne une
perte financière et l'enregistrement de certaines données importantes.
I.3 Terminologie de la sécurité

I.3.1 Terminologie générale
Avant de lancer une discussion significative sur la sécurité du réseau, il est d'abord
nécessaire de définir quelques termes fondamentaux relatifs à la sécurité du réseau. Ces termes
sont le fondement de toute discussion sur la sécurité du réseau et les éléments utilisés pour
mesurer la sécurité d'un réseau.
 Une ressource : C’est un composant matériel, logiciel ou les deux ayant une valeur
pour l’organisation et qui nécessite une protection.
 Une vulnérabilité : ce sont les failles de sécurité dans un ou plusieurs systèmes,
permettant de mettre en cause la sécurité d'une information ou d'un système
d'information.
 Une attaque(exploits) : elles représentent les moyens d'exploiter une vulnérabilité. Il
peut y avoir plusieurs attaques pour une même vulnérabilité mais toutes les
vulnérabilités ne sont pas exploitables.
 Contre-mesure : ensemble des actions mises en œuvre en prévention de la menace.
 Virus : C’est un programme qui s’attache à un logiciel pour exécuter une fonction
spécifique non souhaitée sur ordinateur. La plupart des virus nécessitent une activation
par l’utilisateur. Cependant, ils peuvent également être programmés pour éviter la
détection ;
 Worms : Ce sont des programmes autonomes qui exploitent des vulnérabilités connues
dans le but de ralentir un réseau. Ils ne nécessitent pas l’activation de l’utilisateur, ils
se dupliquent et tentent d’infecter d’autres équipements dans le réseau ;
 Spyware : Ce sont des logiciels espions qui sont généralement utilisés dans le but
d’influencer l’utilisateur pour acheter certains produits ou services. Les spywares, en
général, ne se propagent pas automatiquement, mais ils s’installent sans autorisation.

Ils sont programmés pour :
- Recueillir des informations personnelles sur les utilisateurs ;
- Surveiller l’activité de navigation sur le Web pour détecter les caprices de
l’utilisateur ;
- La redirection des requêtes HTTP vers des sites de publicité préétablis.
 Adware : Réfère à tout logiciel qui affiche des publicités, sans l’autorisation de
l’utilisateur, parfois sous la forme de fenêtres pop-up ;
 Trojan horse : C’est un programme ayant un comportement apparemment utile à
l’utilisateur et un comportement caché malveillant conduisant généralement à un accès
à la machine sur laquelle il est exécuté ;
 Ransomwares : C’est un programme conçu pour bloquer l’accès à un système
informatique, par le chiffrement de contenu, jusqu’à ce qu’une somme d’argent soit
payée.
I.3.2 Types de hackers
On distingue différents types de hackers existant dans le domaine informatique :
Les hackers aux chapeaux blancs « white hat hackers » : Ce sont des personnes qui
réalisent des audits de sécurité afin d’assurer la protection des systèmes d’information
d’une organisation ;
Les hackers aux chapeaux noirs « black hat hackers » : Ce sont des personnes
expérimentées qui agissent à des fins illégales en pratiquant le vol de données, le
piratage des comptes, l’infiltration dans les systèmes, etc. ;
Les hackers aux chapeaux gris « grey hat hackers » : C’est un mélange de « white
hat » et de « black hat » ;
Les hackers aux chapeaux bleus « blue hat hackers » : Ce sont des testeurs de bogues
pour assurer le bon fonctionnement des applications.
I.4 Axes de la sécurité

La sécurité informatique est divisée en trois grandes catégories bien distinctes :
Sécurité physique et environnementale ;

Sécurité administrative ;
Sécurité technique.
Ces trois grandes catégories définissent les objectifs principaux de l'implémentation

d'une bonne sécurité. Ces contrôles regroupent des sous-catégories examinant plus précisément
les différents contrôles et la manière de les mettre en œuvre.
I.4.1 Sécurité physique et environnementale
La sécurité physique correspond à l'implémentation de mesures de sécurité dans une

structure définie utilisées pour dissuader ou empêcher l'accès non-autorisé à des données
confidentielles. Parmi les exemples de contrôles physiques et environnementaux figurent :
 Les caméras de surveillance ;

 Les systèmes d'alarme basés sur les changements au niveau des mouvements ;
 Les agents de sécurité ;
 Les photos d'identité ;
 Les portes en acier verrouillées à l'aide d'une clé ou d'un bouton ;
 La biométrie (y compris les empreintes digitales, la voix, le visage, l'iris, l'écriture et
d'autres méthodes automatisées utilisées pour reconnaître des individus) ;
 Les systèmes de protection climatique, pour maintenir une température et une humidité
adéquates, en plus d'alerter le personnel en cas d'incendie.
I.1.2 Sécurité administrative
La sécurité administrative est principalement axée sur les politiques, elle définit les
facteurs humains de la sécurité. Elle fait appel à tous les niveaux de personnel présents au sein
d'une société et définit quels utilisateurs ont accès à quelles ressources / informations et cela en
fonction des éléments suivants :
 Formation et sensibilisation ;
 Préparation en cas de catastrophe et plans de récupération ;
 Inscription et traçabilité du personnel ;
 Journalisation des modifications de configuration ;
 Filtrage correct des employés (par exemple, effectuer des vérifications des antécédents
criminels) ;
I.1.3 Sécurité technique
La sécurité technique utilise la technologie comme élément de base dans le contrôle de

l’accès et de l'utilisation de données confidentielles contenues dans une structure physique ou
sur un réseau. Les contrôles techniques ont un vaste champ d'action et englobent parmi leurs
technologies :
 Le cryptage ;
 Les cartes à mémoire ;
 L'authentification de réseau ;
 Les listes de contrôle d'accès (ACLs) ;
 Les logiciels de vérification de l'intégrité des fichiers ;
 Les techniques de sécurité (par exemple, pare-feu, IPS et VPN) ;
 Les applications d'autorisation (par exemple, serveurs RADIUS ou TACACS+ et
scanners de sécurité biométriques).
Conclusion
La vulnérabilité du réseau et les nouvelles méthodes d’attaque augmentent de jour en

jour, d’où l’évolution des techniques de sécurisation du réseau. Puisque le risque nul d’être
piraté n’existe pas, la sécurité doit être itérative de manière à rester efficace et pour l’atteindre
quels que soit les obstacles prévus ou imprévus. Ces techniques sont conçues pour protéger la
confidentialité, l’intégrité et la disponibilité des données et ceci par la mise en place des contres
mesures administratifs, physiques et techniques et par la gestion des accès qui permet de
garantir que les utilisateurs ne puissent accéder aux ressources et aux informations auxquelles
ils ne sont pas autorisés à accéder en se basant sur l’authentification, l’autorisation et la
traçabilité.
CHAPITRE II : CHOIX DES SOLUTIONS
II.1 Présentation des solutions de télé-administration

Dans cette partie nous allons présenter les deux protocoles réseaux utiliser généralement
pour configurer à distance des périphériques réseaux.
SSH et Telnet sont deux protocoles réseau qui sont utilisés pour se connecter à un
ordinateur distant, pour contrôler son système à l’aide de commandes à distance. SSH permet
à l’utilisateur d’échanger des données entre deux ordinateurs d’un réseau à l’aide d’une
connexion cryptée sécurisée. Telnet est un protocole réseau de base qui est utilisé pour
communiquer avec un système distant en utilisant un terminal textuel virtuellement.
II.1.1 Telnet
Telnet est un protocole client-serveur basé sur l'échange de données orientées caractères
via des connexions TCP. Il fait appel à des concepts révolutionnaires tels que la commutation
de paquets de données, elle permet le contrôle d’ordinateurs à distance grâce à des entrées et
sorties textuelles. Pour ce faire, une connexion client-serveur est établie par défaut en utilisant
le protocole TCP et le port 23 : le périphérique distant agit comme un serveur et attend les
commandes. Telnet peut également être utilisé pour contrôler des applications qui n'ont pas
d'interface graphique.
II.1.2 SSH
SSH, Secure Shell est un protocole réseau utilisé pour établir une connexion sécurisée
entre deux hôtes distants sur Internet ou au sein d’un réseau. SSH utilise un format crypté pour
transférer des données entre ordinateurs, de sorte que ce mécanisme crypté assure la
confidentialité et l’intégrité des données échangées. SSH est largement utilisé pour les
systèmes de connexion à distance et pour l’exécution de commandes à distance en raison de sa
sécurité. En utilisant SSH, les utilisateurs peuvent envoyer des données confidentielles telles
que nom d’utilisateur, mot de passe et autres commandes de manière sécurisée car toutes ces
données sont cryptées et ne peuvent pas être déchiffrées et lues facilement par les
pirates. SSH utilise la cryptographie à clé publique pour l’authentification du système distant.
Par défaut, les serveurs SSH écoutent le port 22 sur TCP (Transmission Control Protocol) et
peuvent être utilisés dans les réseaux publics. Il fournit une authentification forte et un
mécanisme de communication sécurisé sur des canaux non sécurisés.
II.1.3 Comparaison entre Telnet et SSH
Le tableau ci-après récapitule ces différents protocoles et présente les caractéristiques

de chacun d’entre eux.
Caractéristiques Telnet SSH
Crée par IETF Tatu Ylönen
Protocol de transport TCP TCP
Numéro du port par 23 22

défaut
Utilisé pour L’administration distante L’administration distante et

sécurisée ;
Transfert de fichier sécurisé ;
X11 Forwarding ;
Tunneling et encapsulation de
protocole.
Cryptage de tous le Non Oui

paquet
Tableau 5 : Tableau comparatif entre Telnet et SSH
II.1.4 Protocol retenu
Pour faire un choix objectif nous nous somme définit un certain nombre de critère
assurons les concepts de base de la sécurité informatique. Pour ce faire le choix s’est porté sur
le protocole SSH qui est un protocole d’authentification forte.
II.2 Les protocoles d’authentification

L’analyse de risque fait apparaître que plusieurs fonctions doivent impérativement être
implémentées. En l’occurrence : l’authentification, l’autorisation, la traçabilité. On parle alors
d’architecture AAA (Authentication, Authorization and Accounting). L’analyse des protocoles
va se focaliser sur ceux implémentant ces fonctionnalités. On peut retenir trois protocoles
principaux présentés au tableau 6 : RADIUS, DIAMETER, TACACS+.
Avantages Inconvénients
RADIUS  Protocole standardisé N'a pas la fiabilité de
 Implémenté sur la majorité des communication de TCP
équipements réseaux (>85%)
 Protocole largement répandu avec
un fort retour d’expérience
DIAMANTER  Protocole standardisé Encore peu implémenté sur

 Protocole en mode connecté (TCP) l'ensemble des équipements
 Successeur de RADIUS réseaux
TACACS+  Protocole en mode connecté (TCP) Protocole Propriétaire

 Peut utiliser le transport réseau CISCO. Non implémenté sur
sécurisé (Ipsec TLS) les matériels autres que
 Authentification et autorisation CISCO
indépendant
Tableau 6 : Comparatif des protocoles d’authentification
Pour ce qui est des protocoles d’authentification, TACACS+ est une solution
propriétaire de CISCO et n’est pas implémentée sur l’ensemble des équipements réseaux.
DIAMETER est une solution récente qui offre des avantages techniques certains mais peu
d’équipements cibles sont compatibles. Le protocole RADIUS offre un niveau de sécurité
satisfaisant et il est possible de l’implémenter sur la majeure partie des équipements réseaux ce
qui répond à la contrainte de compatibilité sur 85% minimum des équipements. C’est donc le
choix du protocole Radius qui a été retenu. Il sera mis en œuvre via le produit Microsoft NPS.
II.3 Présentation des Standards et services utilisés

II.3.1 Protocole 802.1X
Le protocole 802.1x est une solution stanYdard de sécurisation de réseaux mise au point
par l'IEEE en 2001. Il permet d'authentifier un utilisateur souhaitant accéder à un réseau (câblé
ou Wifi) grâce à un serveur central d'authentification. L'autre nom de 802.1x est "Port-based
Network Access Control" ou "User Based Access Control". 802.1x permet de sécuriser l'accès
à la couche 2 (liaison de donnée) du réseau. Ainsi, tout utilisateur, qu'il soit interne ou non à
l'entreprise, est dans l'obligation de s’authentifier avant de pouvoir faire quoi que soit sur le
réseau. Certains équipements de réseau compatibles au Dot1x peuvent réserver un traitement
particulier aux utilisateurs non authentifiés, comme le placement dans un VLAN "guest", une
sorte de quarantaine sans danger pour le reste du réseau. 802.1x a recours au protocole EAP qui
constitue un support universel permettant le transport de différentes méthodes d'authentification
qu'on retrouve dans les réseaux câblés ou sans-fil.
802.1x nécessite donc la présence d'un serveur d'authentification qui peut être un serveur
RADIUS : un serveur Microsoft, Cisco ou un produit libre comme FreeRADIUS ou encore un
serveur TACACS dans le monde des équipements Cisco.
II.3 .2 Le Radius
RADIUS est un protocole client-serveur permettant de centraliser des demandes

d'authentification relayées par des équipements de réseau, comme des commutateurs ou bornes
Wifi, considérés alors comme ses clients. RADIUS interroge une base de données
d'authentification et d'autorisation qui peut être un domaine Active Directory, une base LDAP
ou une base de données SQL. Ces bases ou annuaires peuvent se trouver sur le serveur lui-
même ou sur un serveur tiers. A l'origine, RADIUS était surtout utilisé pour l'identification des
clients des FAI, ses capacités de comptabilisation des accès (accounting) permettant notamment
la journalisation des accès et leur facturation. RADIUS a été utilisé par la suite en entreprise
pour l'identification des clients finals WIFI et pour l'identification des clients finals câblés.
II.3.3 L’active Directory
Active Directory est un annuaire LDAP pour les systèmes d’exploitation Windows, le
tout créé par Microsoft. Cet annuaire contient différents objets, de différents types (utilisateurs,
ordinateurs, etc.), l’objectif étant de centraliser deux fonctionnalités essentielles :
l’identification et l’authentification au sein d’un système d’information. Les intérêts d’un
annuaire AD dans une entreprise sont nombreux notamment :
De permettre une Administration centralisée et simplifiée ;

D’unifier l’authentification ;
D’identifier les objets sur le réseau ;
De référencer les utilisateurs et ordinateurs.
II.3.4 Le DNS
Le service DNS (Domaine Name System) permet de faciliter et de standardiser le

processus d'identification des ressources connectées aux réseaux informatiques, et il associe un
nom à une adresse IP à chaque machine connectée au réseau.
Pour déployer un serveur DNS dans un réseau, il faut définir l'adresse du réseau. Pour
des organisations désirant donner un accès public à leur domaine, il faut acheter un nom de
domaine chez un prestataire de services tout en assurant son unicité sur internet. Dans un réseau
subdivisé en plusieurs sous réseaux, il doit y avoir un serveur DNS primaire par zone (sous
réseau) et plusieurs serveurs secondaires sur lesquels on effectue des copies régulières des
informations primaires pour des mesures de sécurité.
II.3.5 Le NPS
Depuis la version 2008 de Windows Server, Microsoft a développé un module

permettant de gérer un service de stratégie d’accès au réseau. Il s’agit d’un rôle, que peut porter
un serveur faisant partie du domaine, offrant une solution de contrôle d’accès à distance via un
réseaux privés virtuels (VPN), de contrôle d’accès aux réseaux filaires et sans fils. Cette
fonctionnalité permet de définir et d’appliquer des stratégies d’authentification et d’autorisation
d’accès pour l’ensemble des utilisateurs d’un domaine Active Directory. Pour son
fonctionnement, elle repose sur trois composants :
Protection d’accès au réseau (NAP) : permet de s’assurer que les ordinateurs clients du
réseau répondent aux exigences définies en matière d’intégrité par l’administrateur. Il va par
exemple permettre de vérifier que l’ordinateur client dispose bien d’un antivirus installé et à
jour. Pour fonctionner, il a besoin d’un supplicant ou que le supplicant intégré aux ordinateurs
Windows soit activé.
Le serveur Network Policy Server (NPS) : réalise, de façon centralisée,

l’authentification et l’autorisation pour les connexions d’accès à distance, les connexions sans
fils et filaires. Il est au cœur de l’architecture Microsoft et va permettre de définir et d’appliquer
les différentes stratégies en fonction de la nature de la connexion.
Le service routage et accès à distance : fournit l’accès aux ressources situées sur le
réseau privé aux utilisateurs à distance. Il s’agit d’un composant qui va permettre de monter des
tunnels VPN entre les différents utilisateurs à distance et le réseau privé de l’organisation.
CHAPITRE III : GENERALITES SUR LE SERVEUR AAA
III.1 Généralité
L’authentification, l'autorisation et l’Accounting (AAA) est un ensemble de concepts
primaires de sécurité informatique courants qui aide à contrôler l’accès aux réseaux. Ce modèle
est utilisé quotidiennement pour protéger les données et les systèmes contre les dommages
intentionnels ou même non intentionnels. C’est un moyen qui permet de contrôler qui sont
autorisés à accéder au réseau (authentification), ce qu'ils peuvent faire pendant qu'ils y sont
(autorisation) et de vérifier les actions qu'ils ont effectuées lors de l'accès au réseau (traçabilité).
Ce chapitre présente le modèle AAA et ses trois concepts ensuite abordera le Secure
Shell. Il commence par expliquer l’authentification, ses modes, ses méthodes, ses facteurs. Il
décrit ensuite l’autorisation et ses méthodes, les niveaux de privilège et l’accès CLI basé sur les
rôles. Ensuite, le chapitre définit la traçabilité et ses méthodes. Enfin, il évoque la notion de
SSH.
III.2 Authentification
III.2.1 Définition
L'authentification est un processus qui consiste à prouver une identité au système en

utilisant une méthode d’authentification comme un nom d’utilisateur et un mot de passe. Cela
a également pour but de déterminer si l'utilisateur est la même personne qu'il prétend être ou
non.
Elle est utilisée dans tous les systèmes, pas seulement dans les réseaux informatiques.
Donc si un administrateur réseau a besoin d'accéder à un équipement réseau et souhaite apporter
des modifications, une sorte d'authentification doit être définie sur l'équipement.
La première solution pratique et la moins utilisable, serait de définir localement la base

de données des mots de passe et des noms d'utilisateur à l'intérieur de l’équipement. La
deuxième option serait d’utiliser un serveur centralisé. Dans les équipements Cisco, on peut
utiliser la combinaison des deux options en définissant une liste de méthodes, qui indique la
liste des méthodes préférées pour l'authentification. Si une option n'est pas disponible, la
deuxième option sera utilisée et ainsi de suite.
III.2.2 Modes d’authentification
Il existe deux modes d’authentification sur les équipements réseaux, le mode

d’authentification locale et le mode d’authentification basée sur un serveur « centralisée ».
Pour le premier mode, les données d’authentification (nom d’utilisateurs, mot de passe,
etc.) sont directement implémentées à l’intérieur de l’équipement réseau, il n’y a alors une
interaction qu’entre le client et l’équipement qui stocke lui-même ces informations.
Pour le deuxième, il utilise un serveur extérieur pour stocker les données d’authentification
et lorsqu’un utilisateur essaie de s’authentifier, l’équipement réseau consulte la base de données
du serveur pour permettre l’accès à l’utilisateur.
III.2.2.1 Authentification locale

L'accès administratif aux lignes console, vty et AUX peut être authentifié localement à
l'aide des éléments suivants :
- Mots de passe de ligne « line passwords » : facile à mettre en œuvre à l'aide des
commandes de mot de passe « password » et de connexion « login », mais c'est la
méthode la moins sécurisée et très vulnérable aux attaques par brute-force. Il y a
également une perte de responsabilité car le mot de passe peut-être partager.
- Authentification locale « local authentication » : mise en œuvre pour améliorer la
sécurité, car l'utilisateur doit fournir un nom d'utilisateur et un mot de passe, qui sont
comparés aux entrées de la base de données locale de l'équipement.
Exemple d’authentification locale :
Figure 5: Authentification locale
1. JO établit une connexion avec le switch d’accès ;

2. Le switch d’accès demande à JO un nom d'utilisateur et un mot de passe ;
Le switch d’accès authentifie le nom d'utilisateur et le mot de passe à l'aide de la base de

données locale et l'utilisateur est autorisé à accéder au réseau en fonction des informations
contenues dans la base de données locale
III.2.2.2 Authentification basée sur un serveur « centralisée »

C’est une méthode plus évolutive consistant à utiliser une solution basée sur un serveur
tel que :
Serveur Radius.
Cisco Secure Access Control Server (ACS).
Cisco Identity Services Engine (ISE).
Exemple d’authentification centralisée :
Figure 6: Authentification centralisée
1. Jo établit une connexion avec le switch d’accès ;

2. Le switch d’accès demande à Jo un nom d'utilisateur et un mot de passe ;
3. Le switch d’accès authentifie le nom d'utilisateur et le mot de passe à l'aide d'un serveur
distant ;
4. L’utilisateur est autorisé à accéder au réseau en fonction des informations
contenues dans le serveur.
III.2.3 Méthodes d’authentification
Il existe trois méthodes d’authentification : authentification par connaissance (quelque

chose que l'utilisateur sait), authentification par possession (quelque chose qu'un utilisateur
possède) et authentification par l'héritage des caractéristiques (ce que l'utilisateur est).
Authentification par connaissance
L'authentification par connaissance est une méthode consistant à fournir un secret par
un utilisateur et qui n'est connu que par lui. Un exemple de cette méthode serait un utilisateur
fournissant un mot de passe, un code de numéro d'identification personnel (PIN) ou répondant
à des questions de sécurité.
L’inconvénient de l’utilisation de cette méthode est qu’une fois les informations sont
perdues ou volées (par exemple, si le mot de passe d’un utilisateur est volé), un attaquant peut
s’authentifier avec succès. Actuellement, il ne passe pas un jour sans avoir entendu parler d'une
nouvelle faille chez les fournisseurs de services, les services cloud et les entreprises de réseaux
sociaux.
Authentification par propriété ou possession
Avec ce type d'authentification, l'utilisateur est invité à fournir la preuve qu'il possède.
Par exemple, un système peut exiger qu'un employé utilise un badge pour accéder à une
installation. D’autres exemples d'authentification par propriété est l'utilisation d'un jeton, d’une
carte à puce, d’une carte mémoire ou d’un mot de passe à usage unique (OTP). Similaire à la
méthode précédente, si un attaquant est capable de voler l'objet utilisé pour l'authentification, il
pourra accéder avec succès au système.
Authentification par caractéristique
Un système qui utilise l'authentification par caractéristique authentifie l'utilisateur à base

d'une caractéristique physique ou comportementale, parfois appelée attribut biométrique. Les
caractéristiques physiques, physiologiques ou comportementales les plus utilisées sont les
suivantes :
- Empreintes digitales ;
- Reconnaissance faciale ;
- Reconnaissance vocale ;
- Rétine et iris ;
- Informations sanguines et vasculaires ;
- Signature dynamique (comportementale).
III.2.4 Facteurs d’authentification
Authentification à deux facteurs
La forme traditionnelle d'authentification est l'authentification à un seul facteur qui

consiste à entrer un mot de passe correspondant au nom d'utilisateur pour accéder aux
ressources autorisées. De nos jours, cette méthode est considérée comme peu sécurisée pour de
nombreuses raisons. L'une de ces principales raisons est qu'il est facile d'être compromis si le
mot de passe est utilisé plusieurs fois par jour.
La sécurité monocouche n'est alimentée par aucune couche supplémentaire, ce qui

signifie que si le mot de passe est compromis, le contrôle de ressources sera perdu et des
cybercriminels non autorisés peuvent facilement pénétrer dans ses ressources. La solution à ce
problème est l'authentification à deux facteurs et l'authentification multi facteurs.
L'authentification à deux facteurs est également appelée authentification à dual facteurs

ou en deux étapes. Dans ce processus, une couche de sécurité supplémentaire est obtenue pour
accéder aux ressources. Lorsque l’utilisateur entre son nom et son mot de passe, il est invité à
entrer un code d’accès secret. Ce code est couramment envoyé par un SMS ou un appel
automatique sur son téléphone mobile.
Authentification multi facteurs
L'authentification à deux facteurs améliore la sécurité de l'accès aux ressources, mais le

niveau de sécurité dont une donnée critique a besoin n'est pas encore suffisant. Certains
problèmes importants ont été trouvés associés à la sécurité de l'authentification à deux facteurs.
L'authentification multi facteurs est basée sur trois facteurs ou plus. Les trois principaux
facteurs utilisés sont connus comme :
- Ce que vous savez (connaissance) (What you know) ;

- Ce que vous êtes (caractéristique) (What you are) ;
- Ce que vous avez (possession) (What you have).
III.3 Autorisation
L'autorisation détermine l'accès aux ressources et les opérations effectuées par les
utilisateurs en fonction de leur rôle de travail. Une fois l'authentification de l'utilisateur réussie,
l'étape suivante consiste à gérer le niveau d'autorisation dont un utilisateur a besoin pour
effectuer ses actions en justice.
Exemple d'autorisation :
Dans cet exemple d'autorisation, un serveur AAA est ajouté pour donner une idée du
processus lorsqu'un serveur externe est utilisé. Ce serveur peut être utilisé pour les autorisations,
comme le montre la figure 7 mais il peut également être utilisé pour authentifier les utilisateurs.
Figure 7: Exemple d'autorisation.
Etape 1. Une fois l'authentification terminée, une session est établie avec un serveur AAA.
Etape 2. L’équipement réseau demande l'autorisation pour le service demandé au serveur
AAA.
Etape 3. Le serveur AAA renvoie une réponse PASS / FAIL pour l'autorisation
III.3.1 Méthodes d’autorisation AAA
AAA prend en charge cinq méthodes d'autorisation différentes :
If-Authenticated : L'utilisateur est autorisé à accéder à la fonction demandée s’il a été

authentifié avec succès.
None : Le serveur d'accès au réseau ne demande pas les informations d'autorisation ;
l'autorisation n'est pas effectuée.
Local : L’équipement réseau ou le serveur d'accès consulte sa base de données locale,
pour autoriser des droits spécifiques pour les utilisateurs.
TACACS+ : Le serveur d'accès au réseau échange les informations d'autorisation avec
le démon de sécurité TACACS+. L'autorisation TACACS+ définit des droits
spécifiques pour les utilisateurs en associant des paires « attribute-value », qui sont
stockées dans une base de données sur le serveur de sécurité TACACS +, avec
l'utilisateur approprié.
RADIUS : Le serveur d'accès au réseau demande des informations d'autorisation

auprès du serveur de sécurité RADIUS. L'autorisation RADIUS définit des droits
spécifiques pour les utilisateurs en associant des attributs, qui sont stockés dans la base
de données du serveur RADIUS, avec l'utilisateur approprié.
III.3.2 Niveaux de privilège « Privilege Levels »
Il est généralement souhaitable que les utilisateurs disposent de différents niveaux

d'accès en fonction de leur rôle professionnel, de leur expérience, etc. Une telle autorisation
peut également être configurée sur l’équipement sans serveur AAA.
Pour cela, IOS fournit 16 niveaux d'accès, appelés niveaux de privilège. Le nombre de
commandes disponibles pour un utilisateur dépend de son niveau de privilège. Des niveaux de
privilèges plus élevés fournissent plus de commandes.
Par défaut, les trois niveaux suivants sont définis sur l’équipement :
Niveau de privilège 0 : Inclut les commandes disable, enable, exit, help, et logout.
Vous ne pouvez pas vraiment accéder à ce niveau car après la connexion, le premier
niveau accessible est le niveau 1. Ainsi, les commandes définies dans ce niveau sont
disponibles pour tous les utilisateurs et n'affectent pas la configuration de l’équipement.
Niveau de privilège 1 : Inclut toutes les commandes user-level à l'invite ‘>’ de
l’équipement réseau. Ce niveau est également appelé User-EXEC mode. Les
commandes à ce niveau n'affectent pas la configuration de l’équipement.
Niveau de privilège 15 : Inclut toutes les commandes enable-level à l'invite ‘#’ de
l’équipement. À ce niveau, toutes les commandes sont disponibles et toute
configuration peut être visualisée ou modifiée. Ce niveau est également appelé
Privileged-EXEC mode.
Remarque : Les commandes disponibles à des niveaux de privilège inférieurs sont

automatiquement exécutables à des niveaux supérieurs, car un niveau de privilège inclut les
privilèges de tous les niveaux inférieurs.
III.3.3 Accès CLI basé sur les rôles « Role based CLI Access »
Pour offrir plus de flexibilité que les niveaux de privilèges, Cisco propose une fonction
d'accès CLI basée sur les rôles pour les administrateurs réseau afin de restreindre l'accès des
utilisateurs. Les fonctionnalités d'accès CLI basées sur les rôles permettent à l'administrateur
de définir des vues « views ». Ces vues sont l'ensemble des commandes opérationnelles et des
configurations. La configuration d'une vue permet un accès sélectif ou partiel aux commandes
du mode EXEC et du mode Configuration.
Les vues peuvent être des types suivants :
Root View : Un système dans une vue racine a les mêmes privilèges qu'un utilisateur
avec le niveau de privilège 15. Pour créer toute autre vue comme la vue CLI ou Super
vue, l'administrateur doit être en vue racine.
CLI View : Dans une vue CLI, il n'y a pas de vue supérieure ou inférieure en spécifique,
elle consiste en un ensemble de commandes spécifiques.
Super view : Une super vue comprend une ou plusieurs vues CLI, qui permettent aux
utilisateurs de définir quelles commandes sont acceptées à partir d'un certain niveau et
quelles informations de configuration sont disponibles pour les utilisateurs. Les
utilisateurs qui se trouvent dans une super vue peuvent accéder à toutes les commandes
configurées pour l'une des vues CLI qui font partie de la super vue.
Lawful Intercept View : Un système dans une vue d'interception légale a accès aux
commandes et aux informations de configuration spécifiées. Plus précisément, une vue
d'interception légale permet à un utilisateur de sécuriser l'accès aux commandes
d'interception légales ; ces commandes ne sont disponibles pour aucune autre vue ou
niveau de privilège.
Parser View : Les vues d'analyseur font la même chose que les niveaux de privilèges
personnalisés, mais elles ont moins de commandes et donnent une vue de configuration
claire. Du point de vue de l'implémentation, nous définissons d'abord une vue, puis nous
lui affectons des commandes utilisateur ou de groupe. La fonction d'affichage de
l'analyseur fournit un contrôle d'accès granulaire en limitant les utilisateurs autorisés à
un certain niveau de privilège où des commandes d'ensemble spécifiques sont
autorisées uniquement.
III.4 Traçabilité « Accounting »

III.4.1 Définition
La dernière partie de l'AAA est la traçabilité. Lorsque vous essayez d’accéder au réseau,
et si vous êtes authentifié, AAA peut commencer à suivre toutes les actions que vous
entreprenez.
Dans un environnement Cisco elle permet de suivre et de sauvegarder toutes les actions
effectuées par les utilisateurs. Par exemple, les administrateurs système peuvent avoir besoin
de facturer aux services ou aux clients le temps de connexion ou les ressources utilisées sur le
réseau (par exemple, le temps total de connexion). La traçabilité AAA permet de suivre cette
activité, ainsi que les tentatives de connexion suspectes au réseau.
Lors de l'utilisation de la traçabilité AAA, l’équipement réseau peut envoyer des

messages au serveur AAA. Il est ensuite possible d'importer les enregistrements de traçabilité
dans une feuille de calcul ou un programme de traçabilité pour les visualiser.
Les enregistrements de traçabilité envoyés par un équipement Cisco au serveur de

traçabilité sont envoyés sous la forme d'une paire attribut-valeur (AV). Certaines de ces paires
contiennent des informations telles que le nom d'utilisateur, l'adresse, le service demandé ou
l’équipement Cisco traversé par cette demande.
Exemple de traçabilité :
Vous pouvez désormais utiliser la traçabilité AAA pour effectuer l'un des types de
traçabilité. Dans cet exemple, vous récupérez une fois l'authentification et l'autorisation
effectuées. Ici, la traçabilité des ressources effectue la traçabilité START / STOP pour FTP sur
le réseau. Voir la figure.
Figure 8: Exemple de traçabilité
Dans cet exemple, les étapes suivantes sont exécutées :
Étape 1. Une fois qu'un utilisateur a été authentifié, le processus de traçabilité AAA sur le
client AAA génère un message de démarrage pour indiquer le début de la session.
Étape 2. Lorsque l'utilisateur termine sa session et se déconnecte, un message d'arrêt est
envoyé par le client AAA pour indiquer la fin de la session.
Là encore, une liste de méthodes « method list » détermine le type de traçabilité à effectuer.
III.4.2 Méthodes de traçabilité AAA
AAA prend en charge plusieurs types de traçabilité, notamment :
Network accounting : La traçabilité réseau fournit des informations pour toutes les
sessions PPP, SLIP ou ARAP, y compris le nombre de paquets et d'octets.
Connection accounting : La traçabilité des connexions fournit des informations sur
toutes les connexions sortantes effectuées à partir du client AAA, telles que Telnet,
LAT, TN3270, PAD, et rlogin.
EXEC accounting : La traçabilité EXEC fournit des informations sur user EXEC
terminal sessions « user shells » sur le serveur d'accès au réseau, y compris le nom
d'utilisateur, la date, les heures de début et de fin, l'adresse IP du serveur d'accès et le
numéro de téléphone d'où provient l'appel pour les utilisateurs entrants.
System accounting : La traçabilité système fournit des informations sur tous les
événements au niveau du système (par exemple, lorsque le système redémarre ou
lorsque la traçabilité est activée ou désactivée).
Command accounting : La traçabilité des commandes fournit des informations sur les
commandes EXEC shell pour un niveau de privilège spécifié qui sont exécutées sur un
serveur d'accès réseau. Chaque enregistrement de traçabilité de commande comprend
une liste des commandes exécutées pour ce niveau de privilège, ainsi que la date et
l'heure auxquelles chaque commande a été exécutée et l'utilisateur qui l'a exécutée.
Resource accounting : L'implémentation Cisco de la traçabilité AAA fournit une prise
en charge des enregistrements de démarrage et d'arrêt pour les appels qui ont réussi
l'authentification de l'utilisateur. La fonctionnalité supplémentaire de génération
d'enregistrements d'arrêt pour les appels dont l'authentification échoue dans le cadre de
l'authentification de l'utilisateur est également prise en charge. Ces enregistrements sont
nécessaires pour les utilisateurs qui utilisent des enregistrements de traçabilité pour
gérer et surveiller leurs réseaux.
III.5 Rôle du modèle AAA
Les concepts de l’AAA peuvent être appliqués à de nombreux aspects du cycle de vie
d'une technologie. Les deux principaux aspects de l’AAA liés aux réseaux sont les suivants :
L’administration des équipements « Device administration » :
L’administration des équipements est une méthode AAA pour contrôler l'accès à une
console d'équipement réseau, une session Telnet, une session SSH ou toute autre méthode
d'accès au système d'exploitation de l’équipement lui-même à des fins de configuration.
Par exemple, imaginez que votre entreprise dispose d'un groupe Active Directory
nommé administrateurs réseau, qui devrait avoir un accès complet (niveau de privilège 15) aux
commutateurs Cisco dans le réseau d'une entreprise. Ils devraient donc être en mesure
d'apporter des modifications aux réseaux locaux virtuels (VLAN), voir la configuration en cours
d'exécution de l'équipement, et plus encore.
Il pourrait y avoir un autre groupe nommé opérateurs de réseaux qui devrait être autorisé
à afficher uniquement l’affichage des commandes Show et à ne rien configurer dans
l’équipement.
L'accès au réseau « Network Access » :
L'accès sécurisé au réseau consiste essentiellement à apprendre l'identité de l'utilisateur

ou l’entité avant de permettre à cette entité de communiquer au sein du réseau. L'accès au réseau
a vraiment pris une forte emprise à l'époque des modems et des réseaux commutés.
À cette époque, les entreprises fournissaient un accès au réseau pour les travailleurs en
dehors des limites physiques des bâtiments de l'entreprise grâce à des modems. Les gens ont
également accédé à Internet en utilisant l'accès à distance aux fournisseurs de services Internet
(FAI) « Internet service providers (ISPs) » via leurs modems. Fondamentalement, il suffisait
d'un modem et d'une ligne téléphonique.
Permettre à quiconque de se connecter à votre réseau simplement en composant le

numéro de téléphone de votre modem n'est pas une idée sûre. L'utilisateur doit être authentifié
avant d'autoriser la connexion. C'est là que RADIUS est entré en jeu à l'origine.
PARTIE III : IMPLEMENTATION
CHAPITRE I : MISE EN ŒUVRES
I.1. Liste des besoins

Pour la mise en œuvre de notre projet nous allons évoluer dans un environnement virtuel
qui est celui de Microsoft avec le service de « Gestionnaire Hyper V » disponible sur les
ordinateurs depuis la version Windows 8 ou Windows server 2008. Pour cela nous aurons
besoin :
 De deux serveurs Microsoft Windows Server 2012 servant d’AD, DNS et NPS ;
 Des ordinateurs pour nos tests ;
 D’un Switch ;
 D’un client SSH Putty ;
 Câbles réseaux ;
I.2. Architecture Réseau proposée

L’architecture physique suivante est celle que nous proposons pour le déploiement de
notre solution :
DEPARTEMENT DE
GENIE PETROLIER
INSTITUT SUPERIEUR DEPARTEMENT DE

DE TECHNOLOGIE GENIE INFORMATIQUE
Serveur ADDS Serveur NPS
Figure 9: Architecture réseau de la solution proposée
I.3. Installation et configuration du serveur NPS

Installation
Pour installer notre rôle NPS Radius nous allons sélectionner le case Services de
Stratégie et d’accès réseau et ensuite faire suivant suivant jusqu’à lancer notre installation.
Figure 10: Installation NPS
Création d’un client Radius
Après notre installation on va sur notre console NPS et on déroule « Clients et serveurs
RADIUS » et on fait un clic droit sur « Clients RADIUS » puis Nouveau.
Figure 11: Création d'un Client Radius

Ensuite on aura la boite dialogue suivant :
Figure 12: Etape création client Radius

Dans cette boite, on active d’abord le client. On entre son nom, son adresse IP et la clé
sécrète qui sera échangé entre le client et le serveur Radius. Et on le crée en cliquant sur OK.
Création d’une stratégie réseau
Pour créer une stratégie réseau, on va toujours rester dans notre console NPS et là on
va dérouler l’option « Stratégie » et ensuite nous effectuons un clic sur « Stratégies Réseau »
puis sur « Nouveau » immédiatement une boite de dialogue va s’ouvrir :
Figure 13: Création d'une stratégie réseau

Là, on met le nom de la stratégie et on laisse les restent par défaut puis Suivant.
Figure 14: Choix du Groupe
On sélectionne le groupe Windows ou le groupe des utilisateurs ou des ordinateurs

qu’on veut autoriser et on clique sur suivant. Dans notre cas, on a créé un groupe appelé AAA
USERS dans lequel on a mis utilisateurs qui ont le droit de faire des configurations sur les
équipements.
Figure 15: Autorisation d'accès

Ensuite On coche les méthodes d’authentification comme en cliquant sur Suivant.
Figure 16: Choix de la méthode d'authentification
A ce niveau, on va sur « NAS Port Type » et on coche comme sur la capture ci-
dessous :
Figure 17: Choix du type de NAS

Ici, on clique seulement sur Suivant.
Figure 18: Paramètre de demande connexion
A ce niveau, on nous donne le résumé de tout ce qui a été configuré. Après avoir bien
observer, on choisit « Terminer » pour créer la stratégie.
Figure 19: Finalisation de configuration de la stratégie
Inscription du serveur NPS dans le domaine
Lorsque le serveur NPS est membre d’un domaine des services de domaine Active
Directory (ADDS), NPS procède à l’authentification en comparant les informations
d’identification de l’utilisateur qu’il reçoit des serveurs d’accès réseau à celles qui sont stockées
pour le compte d’utilisateur dans les services de domaine Active Directory (ADDS). Il procède
également à l’autorisation des demandes de connexion en utilisant la stratégie réseau et en
vérifiant les propriétés de numérotation du compte d’utilisateur dans les services de domaine
Active Directory (ADDS). Pour que NPS soit autorisé à accéder aux informations
d’identification et aux propriétés d’accès distant des comptes d’utilisateurs dans les services de
domaine Active Directory (ADDS), le serveur exécutant NPS doit être inscrit dans ces derniers.
Pour se faire Cliquez avec le bouton droit sur NPS (local), puis cliquez sur Inscrire un serveur
dans Active Directory. Lorsque la boîte de dialogue "Inscrire un serveur dans Active Directory"
s’ouvre,
cliquez sur OK.
Figure 20: Inscrire le serveur NPS dans le domaine
Figure 21: Demande d'autorisation d'inscription du NPS
Une fois le serveur inscrit dans le domaine, une interface qui indique que le serveur NPS est
autorisé à lire les propriétés des utilisateurs de domaine Apparaît.
Figure 22: Fin de l'inscription du NPS dans le domaine
CHAPITRE II : PRESENTATION DE LA SOLUTION

II.1 Test de d’accès
Dans cette partie nous allons utiliser Putty pour réaliser des tests de connexion à notre
switch Cisco avec les deux protocoles d’accès à distance SSH et Telnet afin de démontrer ou
de prouver que notre solution est sûre et sécurisé.
II.1.1 Test avec Telnet
Avec notre client Telnet nous allons indiquer l’adresse de notre switch cisco puis le
numéro de port utiliser et tenter ensuite d’ouvrir une connexion.
Figure 23: Tentative de connexion Telnet

Lorsque la connexion à l’équipement Cisco est établie, on s’authentifie par exemple
avec le compte « Ephraïm » qui est un membre de notre groupe « AAA USERS »
contenu dans notre annuaire AD. Après l’authentification on peut maintenant effectuer
des configurations sur notre équipement.
Figure 24: Accès distant à l'interface de configuration du Switch via Telnet
II.1.2 Test avec SSH
Toujours avec Putty nous allons cette fois établir une connexion avec SSH, nous
authentifier et faire des configurations.
Figure 25: Tentative de connexion via SSH sur Putty
Figure 26: Accès distant à l'interface de configuration du Switch via SSH
II.2 Analyse des paquets avec Wireshark

Pour montrer la différence entre nos deux protocoles, nous allons maintenant analyser
le trafic réseau.
II.2.1 Analyse sur Telnet
Nous allons maintenant effectuer une capture sur le port 23 pour analyser la
communication Telnet.
Figure 27: Capture de la connexion Telnet

Résultat de l’analyse de la capture : on peut voir que le login de l’utilisateur est Ephraim
et son mot de passe Koyamba1 le mot de passe de configuration est NetworkingCenter ensuite
l’utilisateur en mode configuration terminale ou « conf t ».
Figure 28: Capture de l'analyse de la connexion Telnet

Cette capture montre que la connexion sur le port 23 n’est pas sécuriser et est exposée
à des écoutes car on peut voir en clair l’intégralité des échanges ou de la communication
effectuer sur ce port. Notre test réaliser nous a permis de voir et de comprendre que nos
informations d’identification login, password transitent en claire.
II.2.2 Analyse sur SSH
Nous allons utiliser une fonction filtre pour capturer uniquement les paquets SSH.
Figure 29: Capture de la connexion SSH
Résultat de la capture : Cette capture peut témoigner que toutes la communication est
chiffrée de bout en bout et donc notre choix s’est avéré le meilleur choix pour répondre aux
besoins de l’IST en terme de sécurité.
Figure 30: Résultat de la connexion SSH
CONCLUSION GENERALE
Aux termes de ce mémoire, nous pouvons conclure que ce projet de fin de cycle reste
très enrichissant ; elle nous a donné l’opportunité de confronter l’acquis théorique à
l’environnement pratique. La mise en place d’une d’authentification forte pour l’accès à
distance à nos équipements Cisco est née du besoin de sécurité et de continuité de service du
réseau informatique de L’IST.
Au cours de ce travail, notre analyse de l’existant nous a permis de proposer des

solutions, en dépit des contraintes liées au budget et à trouver des documentations relatives à
notre thématique, nous avons déployé la solution et nos objectifs ont étés atteints. Ainsi nous
avons déployer notre couple de technologie 802.1X / Radius et aussi assurer la réplication de
notre base AD et assurer la disponibilité de nos services grâce au deuxième nœud.
La réalisation de ce projet a été très instructif car elle nous a permis de travailler sur de
nombreux outils comme les Switchs, les routeurs, sur diverses technologies et ainsi que sur des
concepts de la sécurité des systèmes informatiques. Enfin, de réfléchir sur d’autres perspectives
pour renforcer et améliorer notre infrastructures réseaux.
Dans la suite de ce travail nous pensons déployer un portail captif avec PFsense dans le
but d'instruire une authentification sur le réseau internet. Dans notre cas il reposera sur notre
serveur NPS Radius ce qui nous permettra d'obtenir un suivi et un historique précis des
connexions. Ainsi il obligera tout utilisateur désirant naviguer sur internet de s'identifier grâce
notamment à une redirection vers une page de connexion et également mettre en place second
contrôleur de domaine pour assurer la disponibilité et la continuité des service d’annuaire en
cas d’indisponibilité de notre contrôleur de domaine primaire.
Référence
BIBLIOGRAPHIE
Authentification réseaux avec Radius (802.1X, EAP, FreeRadius) ; Edition

EYROLLES ; Serge Bordères
Authentification sur réseau sans fil Radius ; Edition EYROLLES ; Serge Bordères
Etat de l’art de la sécurité informatique ; DESSE S. 2005 ; GUIDARINI S
WEBOGRAPHIE
https://www.it-connect.fr
Consulter entre 02/2021 à 08/2021
https://forums.commentcamarche.net
Consulter 05/2021
https://www.reseaucerta.org
Consulter le 09/05/2021
https://www.lesechos.fr/tech-medias/hightech/une-cyberattaque-a-frappe-des-
entreprises-et-des-institutions-francaises
https://pro.orange.fr/actualites/cybersecurite-quelles-sont-les-principales-menaces-en-
2021
https://www.reseaucerta.org/authentification_au_sein_d’un_réseau_câblé_protocole_8
02.1x_serveur_Radius
Consulter 07/2021
https://www.linksys.com/fr/support-article/?articleNum=132430
https://rdr-it.com/category/windows-server/general/
Consulter entre 08/2021 à 09/2021
Mise en place d’une authentification forte pour l’accès à distance aux équipements VIII
Annexes
Annexe 1 : Installation et configuration du contrôleur de domaine (AD et DNS)
Installation
Pour démarrer notre installation rendons nous dans le gestionnaire de serveur ensuite
sur Ajouter des rôles et des fonctionnalités :
Après avoir cliqué sur Ajouter des rôles et des fonctionnalités. Faites Suivant :
Mise en place d’une authentification forte pour l’accès à distance aux équipements IX
Après cela on va maintenant sélectionner le rôle ADDS et faire suivant jusqu’à terminer
l’installation.
Après l’installation nous passons à la configuration de notre service ADDS :
Configuration ADDS
Nous allons sélectionner ajouter une nouvelle forêt en indiquant le nom qu’on attribue
à notre nouveau domaine puis on fait suivant.
Mise en place d’une authentification forte pour l’accès à distance aux équipements X
Après avoir taper le mot de passe de restauration des services d’annuaire en clique sur
suivant, ensuite on vérifie le nom NetBIOS attribuer au domaine et on fait suivant jusqu’à lancer
l’installation.
Mise en place d’une authentification forte pour l’accès à distance aux équipements XI
Après cet étape notre serveur va redémarrer pour nous placer dans notre nouveau
domaine ecisco-ist. :
Configuration DNS
Maintenant nous allons dans notre gestionnaire DNS pour le configurer, donc on se rend
dans la zone de recherche inversé puis en fait un clic droit ensuite on clic sur Nouvelle zone ;
Mise en place d’une authentification forte pour l’accès à distance aux équipements XII
Ici nous allons entrer notre ID réseau comme et taper sur suivant puis sur terminer pour
achever la configuration.
Mise en place d’une authentification forte pour l’accès à distance aux équipements XIII
Mise en place d’une authentification forte pour l’accès à distance aux équipements XIV
Annexe 2 : Création d’un groupe et d’un utilisateur dans l’AD
Création du groupe
Nous allons maintenant crée un groupe pour regrouper tous pour l’administration de nos
équipements. Pour cela rendons nous dans outils « Utilisateurs et ordinateurs Active
Directory » puis dans nous allons faire un clic droit sur Users puis sur Nouveau ensuite
cliquant sur Groupe pour crée notre groupe.
Maintenant donnons un nom à notre groupe puis cliquez sur « OK » pour le créer :
Mise en place d’une authentification forte pour l’accès à distance aux équipements XV
Création d’un Utilisateur
Le groupe étant à présent créé, nous allons devoir créer les utilisateurs qui feront partie de
ce groupe. Faites à nouveau un clic droit sur « Users », sélectionnez « Nouveau » puis «
Utilisateur » :
Remplissez les champs avec les informations de l’administrateur :
Mise en place d’une authentification forte pour l’accès à distance aux équipements XVI
Ajout d’un utilisateur dans le groupe AAA USERS
Mise en place d’une authentification forte pour l’accès à distance aux équipements XVII
Le groupe et l’utilisateur étant créé, nous allons intégrer l’utilisateur à ce groupe. Faites
un clic droit sur le groupe créé puis sélectionnez « Propriétés » et une fois cette interface allez
dans l’onglet membre, cliquez sur « Ajouter… » :
Renseignez le début du nom de l’utilisateur et cliquez sur « Vérifier les noms » :
Mise en place d’une authentification forte pour l’accès à distance aux équipements XVIII
Validez, notre utilisateur est à présent intégré au groupe.
Mise en place d’une authentification forte pour l’accès à distance aux équipements XIX
Tables des matières

DEDICACE ................................................................................................................................. I
REMERCIEMENTS ................................................................................................................. II
AVANT-PROPOS ................................................................................................................... III
SOMMAIRE ............................................................................................................................ IV
SIGLES ET ABREVIATION ................................................................................................... V
LISTE DES FIGURES ............................................................................................................VII
INTRODUCTION GENERALE................................................................................................ 1
PARTIE I : ETUDE PREALABLE ........................................................................................... 2
CHAPITRE I : PRESENTATION DE L’IST ......................................................................... 3
I.1Historique ....................................................................................................................... 3
I.2 Domaines d’activités ..................................................................................................... 3
I.3 Sa Mission ..................................................................................................................... 4
I.4 Etude de l’existant ......................................................................................................... 4
I.5 Critique de l’existant ..................................................................................................... 6
CHAPITRE II : PRESENTATION DU THEME ................................................................... 7
II.1 Problématique............................................................................................................... 7
II.2 Objectifs ....................................................................................................................... 7
II.3 Les outils nécessaires ................................................................................................... 9
III.3.1 Les équipements réseaux ...................................................................................... 9
III.3.2 Le serveur d’authentification................................................................................ 9
III.3.3 Windows Server 2012 .......................................................................................... 9
III.3.4 Les postes de travail clients ................................................................................ 10
PARTIE II : ETUDE THEORIQUE ........................................................................................ 11
CHAPITRE I : FONDAMENTAUX DE LA SECURITE INFORMATIQUE..................... 12
INTRODUCTION ............................................................................................................ 12
I.1 Importance de la sécurité ............................................................................................. 12
I.2 Objectif de la sécurité .................................................................................................. 13
I.2.1 Confidentialité....................................................................................................... 14
I.2.2 Intégrité ................................................................................................................. 14
I.2.3 Disponibilité .......................................................................................................... 15
I.3 Terminologie de la sécurité ......................................................................................... 15
I.3.1 Terminologie générale .......................................................................................... 15
I.3.2 Types de hackers ................................................................................................... 16
I.4 Axes de la sécurité ....................................................................................................... 16
I.1.2 Sécurité administrative.......................................................................................... 17
I.1.3 Sécurité technique ................................................................................................. 17
CHAPITRE II : CHOIX DES SOLUTIONS ........................................................................ 19
II.1 Présentation des solutions de télé-administration ...................................................... 19
Mise en place d’une authentification forte pour l’accès à distance aux équipements XX
II.1.1 Telnet ................................................................................................................... 19

II.1.2 SSH ...................................................................................................................... 19
II.1.3 Comparaison entre Telnet et SSH ....................................................................... 20
II.1.4 Protocol retenu ..................................................................................................... 20
II.2 Les protocoles d’authentification ............................................................................... 20
II.3 Présentation des Standards et services utilisés ........................................................... 21
II.3.1 Protocole 802.1X ................................................................................................. 21
II.3.2 Le Radius ............................................................................................................. 22
II.3.3 L’active Directory................................................................................................ 22
II.3.4 Le DNS ................................................................................................................ 23
II.3.5 Le NPS ................................................................................................................. 23
CHAPITRE III : GENERALITES SUR LE SERVEUR AAA ............................................. 24
III.1 Généralité .................................................................................................................. 24
III.2 Authentification ........................................................................................................ 24
III.2.1 Définition ........................................................................................................... 24
III.2.2 Modes d’authentification.................................................................................... 25
III.2.2.1 Authentification locale ................................................................................ 25
III.2.2.2 Authentification basée sur un serveur « centralisée » ................................. 26
III.2.3 Méthodes d’authentification ............................................................................... 26
III.2.4 Facteurs d’authentification ................................................................................. 27
III.3 Autorisation ............................................................................................................... 28
III.3.1 Méthodes d’autorisation AAA ........................................................................... 29
III.3.2 Niveaux de privilège « Privilege Levels » ......................................................... 30
III.3.3 Accès CLI basé sur les rôles « Role based CLI Access » .................................. 30
III.4 Traçabilité « Accounting »........................................................................................ 31
III.4.1 Définition ........................................................................................................... 31
III.4.2 Méthodes de traçabilité AAA ............................................................................. 33
III.5 Rôle du modèle AAA................................................................................................ 33
PARTIE III : IMPLEMENTATION ........................................................................................ 35
CHAPITRE I : MISE EN ŒUVRES .................................................................................... 36
I.1. Liste des besoins ......................................................................................................... 36
I.2. Architecture Réseau proposée .................................................................................... 36
I.3. Installation et configuration du serveur NPS .............................................................. 37
CHAPITRE II : PRESENTATION DE LA SOLUTION...................................................... 45
II.1 Test de d’accès ........................................................................................................... 45
II.1.1 Test avec Telnet ................................................................................................... 45
II.1.2 Test avec SSH ...................................................................................................... 46
II.2 Analyse des paquets avec Wireshark ......................................................................... 47
II.2.1 Analyse sur Telnet ............................................................................................... 47
II.2.2 Analyse sur SSH .................................................................................................. 48
CONCLUSION GENERALE .................................................................................................. 50
REFERENCE ........................................................................................................................ VIII
ANNEXES ............................................................................................................................... IX
Mise en place d’une authentification forte pour l’accès à distance aux équipements XXI
TABLES DES MATIERES ................................................................................................... XX
Mise en place d’une authentification forte pour l’accès à distance aux équipements XXII

Mémoire SIALE-1

Transféré par

Droits d'auteur :

Formats disponibles

Mémoire SIALE-1

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mémoire SIALE-1

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSITE DE BANGUI REPUBLIQUE CENTRAFRICAINE

INSTITUT SUPERIEUR DE TECHNOLOGIE

MEMOIRE DE FIN DE CYCLE

LICENCE PROFESSIONNELLE EN GENIE INFORMATIQUE

Mise en place d’une authentification forte pour l’accès à

Option : Réseaux & Systèmes Informatiques

Réalisé et présenté par Sous la Direction de

Dr Jean M’BOLIGUIPA Directeur de l’IST ;

Dr Prince Emilien DANGUENE-YEDIDYA Directeur des Etudes de l’IST ;

M. Innocent GOUMAPE Chef de Département de Génie Informatiques.

Nous souhaitons adresser nos profonds remerciements à notre directeur de mémoire M.

Nos remerciements s’adressent également à tous les enseignants et aux personnels

Nous adressons également nos remerciements à l’endroit de notre Père M. Paul

Notre travail de recherche en vue de l’obtention du diplôme de Licence Professionnelle

29 RADIUS Ramote Acces Dial In User Service

Liste des Figures

Notre mémoire est articulé autour de trois grandes parties :

PARTIE I : ETUDE PREALABLE

CHAPITRE I : PRESENTATION DE L’IST

En 1990, l’Ecole polytechnique devient l’Institut Facultaire Technologique (IFT), et ce

En 2000 grâce au projet d’appui à l’Enseignement Supérieur en Centrafrique le

I.2 Domaines d’activités

L’IST forme aujourd’hui les étudiants dans cinq départements à savoir :

 Le département de Génie Industriel qui forme des ingénieurs de travaux en

 Le département de Génie Minier et Géologique forme des ingénieurs de travaux en mine

DIRECTION DES ETUDES SECRETARIAT PRINCIPALE

DEPARTEMENT DE GENIE DEPARTEMENT DE GENIE

Figure 1: L’organigramme de l’IST.

I.4 Etude de l’existant

Disposant d’un laboratoire informatique contenant des équipements informatiques

On trouve également dans des différents bureaux administratifs de l’Institut Supérieur

Type de poste Marques Nombres Caractéristiques

Type Marques Nombres Caractéristiques

I.5 Critique de l’existant

1. Un manque d’un réseau intranet pouvant relier la direction et ses différents

 Mettre en place une architecture réseau de notre SI ;

CHAPITRE II : PRESENTATION DU THEME

Permettre un accès d’administration des ressources réseaux à distance et sécurisé en

La solution de télé-administration doit réduire le temps actuel d’exploitation et

Tentative d accès aux

Informations non valides Informations valides

Figure 2: Schéma global de la solution proposée

II.3 Les outils nécessaires

III.3.2 Le serveur d’authentification

III.3.3 Windows Server 2012

III.3.4 Les postes de travail clients

III.4 Coût du projet

DESIGNATION QUANTITE P.U TOTAL

PARTIE II : ETUDE THEORIQUE

CHAPITRE I : FONDAMENTAUX DE LA SECURITE INFORMATIQUE

I.1 Importance de la sécurité

La sécurité des équipements et des réseaux est importante pour :

Empêcher la divulgation non-autorisée de données ;

Empêcher l'utilisation non-autorisée de ressources réseau ou informatiques de façon

I.2 Objectif de la sécurité

Lors de la sécurisation d’un réseau, plusieurs principes de sécurité importants doivent

Figure 3: La triade CID

La confidentialité est l'exigence de ne pas mettre à disposition ou divulguer des

Dans le cadre de la confidentialité, le niveau de sensibilité des données doit être

Contrôler l'accès aux