EPIGRAPHE
« L'homme et sa sécurité doivent
constituer la première préoccupation de toute aventure
technologique. »
Albert EINSTEIN
II
IN MEMORIAM
- En mémoire de mon regretté Papa
MINGOLO WAWA SANDUKU Casimir
- Et ma petite Soeur MINGOLO
Emilienne
MINGOLO JEAN-DENIS John
III
DEDICACE
Nous dédions ce travail è toutes les
personnes qui ont eu la bonne volonté de nous soutenir, en particulier
:
Ø Le Révérend Don Maurizio
Canclini ;
Ø A ma Future épouse
MINGOLO JEAN-DENIS John
IV
REMERCIEMENT
Nous tenons d'abord à remercier Dieu de nous avoir
accordé la vie et la bonne santé jusqu'à la
réalisation de ce travail, et nous rendons gloire à Son Fils
Jésus-Christ notre Sauveur.
Voici pour nous, arriver le moment de présenter ce
travail qui sanctionne la fin de notre deuxième cycle universitaire en
télécommunication et administration des réseaux. Les
sentiments de notre profonde joie peuvent à notre sens être
manifestés par le témoignage de notre gratitude à toutes
les autorités tant académiques qu'administratives, pour leur
encadrement durant ces deux dernières années de notre cursus
universitaire à l'ISIC.
Nos sincères gratitudes se dirigent à
l'endroit du CT Dior MIZONZA, qui a voulu bien diriger et encadrer ce travail,
malgré ses multiples occupations, à qui nous devons beaucoup
d'estimes. Nous n'oublierons pas l'Assistant Guelord 13ANZADIO pour sa
contribution scientifique. Nous ne saurons trouver de mots assez justes pour
vous exprimer nos reconnaissances.
Nous remercions de tout coeur tous ceux qui de
près ou de loin nous ont soutenu et nous ont permis d'arriver au bout de
cette aventure passionnante et exigeante qu'est l'étude. A tous nos
frères et amis du Foyer saint Paul et Cénacle, en particulier :
Maurice ALAM13A, Héritier MIDU, Aristote MPUDI, Merveille MPUDI,
Orphée LAKUZIN, Cédric KAKULE, Corneille MAKA13A, Patrice
MUKWINI, Coach TOU13I, Jonas 13OYINDOM13E, Christian Valere NGUNGU, Claude
M13UYI, Stéphanie 13OOLO, Guyphard NDOM13ASI, Augustin MAKUMA etc. pour
leur amour et leur assistance à la réalisation de ce
travail.
De tout coeur nous disons grand merci à tous nos
compagnons de lutte, avec qui nous avons passé des nuits et des jours,
des pluies et des beaux temps pendant deux années de dur labeur à
l'ISIC, notamment à Merveille MULOPO,Franck MONDOM13O, Grâce
MUSELE, Christian KIDIKALA, Sylvain NKOMA, Révérend Père
Michel PINDA, Révérend Frère 13audouin
V
MWANANGULU, pour leur collaboration tout au long de notre
deuxième cycle.
Nous tenons également à remercier le
Comité Directeur de l'Hôpital Saint Joseph et ses collaborateurs
pour leur soutien morale, financier et spirituel dont Monsieur l'Abbé
Docteur François KAJINGULU Pantaléon, Madame Sophie MONSENEPWO,
Docteur Sébastien ZOLA, Directeur Djunes NTADINGA, Soeur Patience
NGIUVULA, Soeur Gisèle MONKANGO,Soeur Espérance SEKELA KABAMBA,
Soeur Caroline NZOMWISI, Madame MPIA Léonie, Papa Blaise IBULA, Papa
Célestin LIKWE NZABA, Maman Gisèle MITETE.
Enfin, nous remercions nos différents membres de
Famille, Oncles, tantes, frères et soeurs, amis et connaissances dont la
famille MABUSAMA NDUMBU Adrien, notre Maman MABUSAMA Perpetit, MABUSAMA
Félicité, Rodine MINSALA, Benjamin SABANGA, Innocent WABUZA,
Michaelle KALUNGWISHI MABUSAMA, Grâce MABUSAMA, Daniel MABUSAMA, Adriel
MABUSAMA, Plamedie MPATI, Ferney BUYIBU, Larissa WANYA, Patient BILENGA, Gradi
BULA, Surya BANZALA, Alain MUNGENDA, Rodrick MUKWABIAWU, Giresse MITWINSI,
Landrine BATA, Junior KAMBAMBA, Constance KIKASSA, Benedicte ASIANI, Souzy
MWADI, Deborah MAYINDOMBE, Blondelle MAKUTA.
MINGOLO JEAN-DENIS John
1
0. INTRODUCTION GENERALE
Aujourd'hui, la sécurité informatique constitue
un enjeu majeur pour les entreprises ainsi que pour l'ensemble des acteurs qui
l'entourent. Elle n'est plus confinée uniquement au rôle de
l'informaticien. Sa finalité à long terme est de maintenir la
confiance des utilisateurs et des clients. La finalité à moyen
terme est la cohérence de l'ensemble du système d'informations. A
court terme, l'objectif est que chacun ait accès aux informations dont
il a besoin de façon sûre.
La sécurité des systèmes informatiques
se cantonne généralement à garantir les droits
d'accès aux données et ressources d'un système en mettant
en place des mécanismes d'authentification et de contrôle
permettant d'assurer que les utilisateurs desdites ressources possèdent
uniquement les droits qui leur ont été octroyés.
Les mécanismes de sécurité mis en place
peuvent néanmoins provoquer une gêne au niveau des utilisateurs,
les consignes et règles deviennent de plus en plus compliquées au
fur et à mesure que le réseau s'étend. Ainsi, la
sécurité informatique doit être étudiée de
telle manière à ne pas empêcher les utilisateurs de
développer les usages qui leur sont nécessaires, et de faire en
sorte qu'ils puissent utiliser le système d'informations en toute
confiance. C'est la raison pour laquelle il est nécessaire de
définir dans un premier temps une politique de sécurité et
nous avons pensé au protocole client-serveur appelé Radius
(Remote Authentification Dial-In User Service) afin de faire la liaison entre
des besoins d'identification et une base d'utilisateur en assurant le transport
des données d'authentification de façon normalisée.
1. PROBLEMATIQUE
La pérennité de toute entreprise passe, entre
autres, par une disponibilité permanente de son système
d'information. L'information nécessaire au bon fonctionnement de
l'entreprise englobe aussi bien les données stratégiques que les
données de tous les jours. Le système d'information doit donc
être vu comme un ensemble, qui inclut aussi bien l'information
elle-même que les systèmes et réseaux nécessaires
à sa mise en oeuvre.
La continuité de l'activité de l'entreprise
appelle celle de son système d'information. Cette continuité ne
peut être assurée que par la mise en place de moyens de protection
apportant un niveau de sécurité adapté aux enjeux
spécifiques de l'entreprise. Ces derniers peuvent varier d'une
entreprise à une autre, mais la mise en place de la protection des
systèmes d'information répond à des critères
communs.
Une information sans système d'informations qui pourra
la mettre en oeuvre est vaine, et un système d'informations coupé
de ses utilisateurs est sans objet. La sécurité de données
est donc devenue l'un des éléments clés de la
continuité des systèmes d'informations de l'entreprise, quelles
que soient ses activités, sa taille ou ses répartitions
géographiques.
Plusieurs approches peuvent être adoptées pour
sécuriser les systèmes d'informations. Selon leur culture et leur
tempérament, certains responsables de la sécurité des
systèmes d'informations (RSSI) privilégient le management pour
descendre progressivement vers la technique.
2
À l'inverse, d'autres préfèrent lancer
des actions techniques produisant directement des résultats palpables,
avant de remonter progressivement vers le management. Quelle que soit
l'approche, les questions liées à la sécurité
opérationnelle se posent de la manière suivante :
Quels processus mettre en place pour sécuriser au mieux
l'accès aux infrastructures réseaux de l'Hôpital Saint
Joseph?
Comment s'assurer que les utilisateurs qui seraient
connectés dans le système d'informations de l'Hôpital Saint
Joseph sont ceux-là qui devraient y accéder ?
2. HYPOTHESE
Nous assistons actuellement à une évolution
constante des techniques, qu'il s'agisse de sécuriser les données
échanges des ou d'accès aux ressources. La sécurité
des données tend à s'améliorer et figure parmi les objets
sensibles pour les entreprises, les individus et les organismes.
Alors que les facteurs clés de succès pour
l'entreprise évoluent, les infrastructures réseaux et le
système d'informations doivent également évoluer.
Pour cela, enfin d'essayer de répondre aux questions
posées ci-haut, nous allons utiliser dans notre travail un protocole de
sécurité basé sur le protocole Radius qui permettrait
à notre site de sécuriser l'accès à ses
infrastructures. C'est grâce donc à ce même protocole que
nous pouvons-nous rassurer sur l'authentification des utilisateurs qui se
connecteraient dans le système.
3. CHOIX ET INTERET DU SUJET
3.1. Choix du sujet
A ce début du troisième millénaire, le
monde est en train de connaitre de bouleversements sensationnels, notamment
dans le domaine du traitement et de la transmission de l'information. En vue de
concevoir et de réaliser des mécanismes de
sécurité, les différents outils, méthodes et
protocoles sont utilisés.
La sécurité informatique, est l'ensemble de
moyens techniques, organisationnels, juridiques et humains nécessaires
à la mise en place d'un système visant à empêcher
l'utilisation non-autorisée, le mauvais usage, la modification ou le
détournement du système d'information. Assurer la
sécurité du système d'informations est une activité
du management du système d'information1.
À l'heure où "tout est disponible, partout,
tout de suite", le transport des données en dehors du domicile d'un
particulier ou d'une entreprise est une réalité qui mérite
que l'on s'interroge sur la sécurité des transmissions pour ne
pas compromettre un système d'information. Que ce soit à
l'échelle d'une entreprise, d'une multinationale ou à plus petite
échelle, la sécurité d'un système d'information
prend plus ou moins d'importance selon la valeur que l'on confère
à ces données.
'Encyclopédie,
https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9dessyst%C3%A8mesd%27information
Consulté le 20/04/2019
2F. MPUKU, Méthodes de recherches
scientifiques, Notes de cours, Institut supérieur d'informatique
chaminade, Kinshasa, 2015, Inédit
3
Le choix de ce sujet se justifie d'abord par notre souci de
mettre en place un système de sécurité pour l'accès
dans un réseau d'une institution hospitalière à l'instar
de l'Hôpital Saint Joseph avec le serveur Radius.
Ensuite, ce sujet est choisi pour répondre à
une des exigences du Ministère de l'Enseignement Supérieur et
Universitaire qui oblige le choix, le développement et la défense
publique d'un sujet de recherche à la fin de chaque cycle
universitaire.
3.2. Intérêt du sujet
Nous sommes face non seulement à une augmentation de
la quantité, mais aussi et surtout de l'importance des données.
Alors le besoin de préserver nos données et les autres ressources
d'une structure devient de plus en plus important. Raison pour laquelle, notre
travail présente un intérêt à trois dimensions :
Au niveau personnel : ce travail nous permet
de bien assimiler les théories et pratiques apprises tout au long de
notre parcours universitaire et de les appliquées.
Au niveau de la société : ce
travail apporte une mesure sécuritaire permettant à tous les
utilisateurs de l'Hôpital Saint Joseph d'avoir une authentification
sereine leur évitant tous les dérapages des données.
Au niveau scientifique : ce travail
constitue l'une des références sur lesquelles s'appuierait tout
chercheur qui orienterait une étude et/ou une mise en place de ce
système pour la continuité de la science.
4. DELIMITATION DU SUJET
Il est affirmé qu'un travail scientifique, pour
être bien précis, doit être délimité. Raison
pour laquelle, nous n'allons pas aborder toutes les questions liées
à la sécurité réseau car elles paraissent
très complexes.
Ainsi, nous avons pensé limiter notre travail par
rapport à l'espace et au
temps.
Par rapport à l'espace, il s'inscrit
dans la mise en place d'un système de sécurité
réseau basée sur le serveur Radius au sein d'un réseau de
l'institution hospitalière Saint Joseph.
Par rapport au temps, nos investigations
couvrent la période allant d'octobre 2018 à juillet 2019.
5. METHODES ET TECHNIQUES2
5.1. Méthodes
4
Une méthode est un ensemble de démarches
rationnelles de l'esprit pour arriver à la connaissance ou la
démonstration afin d'atteindre un ou plusieurs objectifs. Dans ce
travail, nous nous sommes servis des méthodes suivantes :
Méthode comparative : elle nous a
permis de comparer le système de sécurité existant dans
l'environnement informatique avec celui que nous voulons concevoir.
Méthode analytique : cette
méthode nous a permis de faire l'analyse, à séparer les
phénomènes, les faits et les éléments de l'ensemble
pour les examiner afin de tirer l'essentiel.
Méthode de PERT : c'est une
méthode de modélisation de projet qui nous a permis de concevoir
et d'évaluer notre projet en définissant sa durée, son
coût, chemin critique,...
5.2. Techniques
La technique est définie comme étant une
façon de posséder, d'agir pour arriver à un
résultat. Puisque toutes les recherches scientifiques sont
réalisées avec l'appui d'un certain nombre des techniques, dans
notre travail, nous avons utilisé les techniques suivantes :
Technique documentaire : pour donner sens
à ce travail, cette technique nous a emmené à recourir
à une documentation dans laquelle sont couchées des informations
utiles à notre analyse. Cette technique nous a donc permis à nous
référer à des ouvrages, travaux de fin d'étude,
notes des cours etc.
Technique de l'interview : celle-ci, a
été choisie pour nous aider à collecter des informations
essentielles à partir des questions ouvertes posées aux personnes
que nous avons supposées intéressantes.
Technique de consultation : cette technique
nous a permis de consulter les sites web afin de comprendre le sujet
davantage.
6. SUBDIVISION DU TRAVAIL
Pour mener à bien nos réflexions, nous avons
subdivisé ce travail en cinq chapitres, hormis l'introduction et la
conclusion générale.
y' Le premier chapitre traite des
généralités sur la sécurité informatique
;
y' Le deuxième chapitre est consacré à
l'étude du serveur Radius;
y' Le troisième chapitre est axé sur le cadrage du
projet ;
y' Le quatrième chapitre parle sur l'étude du
système existant ;
y' Et le dernier chapitre (5) fait objet de la mise en place du
système de sécurité
réseau basée sur le serveur Radius.
CHAPITRE I : GENERALITES SUR LA SECURITE
INFORMATIQUE
I.0. INTRODUCTION
5
« La sécurité est une fonction
incontournable des réseaux. Puisqu'on ne voit pas son correspondant
directement, il faut l'authentifier. Puisqu'on ne sait pas par où
passent les données, il faut les chiffrer. Puisqu'on ne sait pas si
quelqu'un ne va pas modifier les informations émises, il faut
vérifier leur intégrité. Nous pourrions ajouter une longue
suite de requêtes du même genre qui doivent être prises en
charge par les réseaux. »3 Dès lors qu'il permet à
des centaines, voire des milliers d'utilisateurs de communiquer et
d'échanger des informations, le réseau pose inévitablement
le problème de la sécurité : les informations qu'il
véhicule possèdent de la valeur et ne doivent pas être
accessibles à tout le monde. Globalement, on peut diviser la
sécurité en deux parties :
Ø La sécurité à l'ouverture de la
session et
Ø La sécurité lors du transport de
l'information.
Les techniques pour réaliser ces deux formes de
sécurité sont extrêmement diverses, et il s'en invente de
nouvelles tous les jours. De même, les pirates, à chaque attaque
contrée, vont un peu plus loin pour contourner les défenses. Ce
jeu de poursuite n'est pas de nature à faciliter la présentation
des mécanismes de sécurité. La sécurité est
un vaste sujet, qui dépasse le cadre du réseau tant sur les plans
techniques que méthodologique.
Ainsi, ce chapitre ne traite pas des étapes
essentielles de la sécurité approfondies mais il donne les
fondamentaux sur la sécurité informatique.
I.1. DÉFINITION ET QUELQUES CONCEPTS
I.1.1. La Sécurité
D'une manière générale, nous pouvons
définir la sécurité comme étant une absence de
danger, c'est-à-dire une situation dans laquelle quelqu'un n'est pas
exposé à des évènements critiques ou à des
risques (défaillance, accident détérioration, agression
physique, vol etc.) ou encore comme un état où les dangers et les
conditions pouvant provoquer des dommages d'ordre physique, psychologique ou
matériel sont contrôlés de manière à
préserver la santé et le bien-être des individus et de la
communauté.
En informatique, la sécurité est définie
comme étant une discipline qui se veut de protéger
l'intégrité et la confidentialité des informations
stockées dans un système informatique.
I.1.2. Définition d'autres concepts liés
· Une Attaque : c'est n'importe quelle action qui
compromet la sécurité des informations.
· Mécanismes de Sécurité : sont des
méthodes qui sont conçues pour détecter, prévenir
et lutter contre une attaque de sécurité.
· Service de Sécurité : c'est un service
qui augmente la sécurité des traitements et des échanges
de données d'un système. Un service de sécurité
utilise un ou plusieurs mécanismes de
sécurité4
3G. Pujolle, Les réseaux, 2 ème
éd. Eyrolles, Paris, 2008, 886 pages8
4C. Llorens, L. Levier.,Tableaux de bord de la
sécurité réseaux, 2 ème éd. Eyrolles, Paris,
2006, 7 pages..
6
I.2. COMMENT ORGANISER LA SÉCURITÉ
La sécurité est le thème qui pose le plus
de problème à un administrateur système. En effet, avant
même de mettre en place des mesures pour se protéger, il faut
déterminer quelles types d'attaques l'on risque de subir (sans tomber
dans la paranoïa). Bien sûr, plus on va vouloir augmenter le niveau
de sécurité du réseau, plus les coûts vont
être importants, il va donc falloir trouver le bon compromis entre un
niveau de sécurité acceptable pour un budget donné. La
sécurité, étant donné son importance doit
répondre à des critères très stricts qui doivent
être bien définis dès le début de la mise en place
d'un réseau et qui doivent pouvoir suivre l'évolution constante
de la technique. Nous pouvons énumérer quelques bons
critères pour une mise en place d'une bonne sécurisation du
réseau :
o Une bonne architecture ;
o De bons outils ;
o Une bonne administration ;
o Et aussi de bonnes compétences pour les personnes en
charge du réseau.
I.3. PRINCIPES DE LA SECURITE
La sécurité présente les exigences
suivantes : I.3.1. Exigences fondamentales
La sécurité informatique c'est l'ensemble de
moyens mis en oeuvre pour réduire la vulnérabilité d'un
système contre les menaces accidentelles ou intentionnelles. Il convient
d'identifier les exigences fondamentales en sécurité
informatique. Elles caractérisent ce à quoi s'attendent les
utilisateurs de système informatiques en regard de la
sécurité :
o Disponibilité : demande que l'information sur le
système soit disponible aux autorisées.
o Confidentialité : demande que l'information sur le
système ne puisse être lue que par les personnes
autorisées.
o Intégrité : demande que l'information sur le
système ne puisse être modifiée que par les personnes
autorisées.
La sécurité recouvre ainsi plusieurs
aspects :
o Intégrité des informations (pas de modification
ni destruction) ;
o Confidentialité (pas de divulgation à des tiers
non autorisés) ;
o Authentification des interlocuteurs (signature) ;
o Respect de la vie privée (information et
liberté).
Du point de vue sécurité informatique, une
menace est une violation potentielle de la sécurité. Cette menace
peut être accidentelle, intentionnelle (attaque), active ou passive.
I.3.2. Etudes des risques
7
Les coûts d'un problème informatique peuvent
être élevés et ceux de la sécurité le sont
aussi. Il est nécessaire de réaliser une analyse de risque en
prenant soin d'identifier les problèmes potentiels avec les solutions,
avec les coûts associés. L'ensemble de solutions retenues doit
être organisé sous forme d'une politique de sécurité
cohérente, fonction du 10 niveau de tolérance au risque. Nous
obtenons ainsi la liste de ce qui doit être protégé.
Ménace * Vulnerabilité
Voici quelques éléments pouvant servir de base
à une étudede risque :
ü Quelle est la valeur des équipements, des
logiciels et surtout des informations ?
ü Quel est le coût et le délai de remplacement
?
ü Faire une analyse de vulnérabilité des
informations contenues sur les ordinateurs en réseau (programmes
d'analyse des paquets, logs...).
ü Quel serait l'impact sur la clientèle d'une
information publique concernant des intrusions sur les ordinateurs de la
société ?
I.4. QUELQUES ATTAQUES INFORMATIQUES
Nous allons juste décrire dans ce point quelques
attaques susceptibles d'affecter un réseau et les systèmes qui le
composent. Les buts des attaques sont :
o Interruption: vise la disponibilité des informations
o Interception: vise la confidentialité des
informations
o Modification: vise l'intégrité des
informations
o Fabrication: vise l'authenticité des informations
Comme l'illustre la figure 1.1, les attaques touchent
généralement les trois composantes suivantes d'un système
: la couche réseau, en charge de connecter le système au
réseau, le système d'exploitation, en charge d'offrir un noyau de
fonction au système, et la couche applicative, en charge d'offrir des
services spécifiques.
8
User
User
Figure 1.1. Les composants d'un système
I.4.1. Les attaques des équipements
réseaux
Ce point dresse une classification des attaques
orientées équipements réseau, que celles-ci visent
directement des systèmes réseau tels que routeurs (et les
protocoles qu'ils gèrent), commutateurs (afin de passer outre les
réseaux virtuels), points d'accès sans fil (afin d'entrer dans le
réseau d'entreprise sans y avoir d'accès physique) ou services
critiques tel que le service de nommage, ou DNS (Domain Name Service).
Les méthodes et techniques d'intrusion permettant de
prendre le contrôle d'un système sont nombreuses. Ces attaques
reposent sur les faiblesses de sécurité des systèmes
d'exploitation des équipements réseau. Certaines attaques peuvent
affecter indirectement le réseau, même si ce n'est pas leur but
initial. Tel est le cas du déni de service distribué
engendré par des vers informatiques, mais également, à
moindre échelle, par des virus.
Les attaques sur les équipements réseau sont
aujourd'hui si nombreuses qu'il serait illusoire de prétendre les
décrire toutes. Il est cependant possible de dresser une typologie de
faiblesses de sécurité afin de mieux appréhender ces
attaques, qui ont pour point commun d'exploiter des faiblesses de
sécurité.
L'objectif de ce point est de présenter les faiblesses
les plus couramment exploitées par les attaques et de détailler
les mécanismes de ces attaques. Nous espérons de la sorte faire
comprendre les dangers qui menacent les réseaux, et non de susciter des
vocations de piraterie, au demeurant réprimandées par la loi.
Comme tout effet a une cause, les attaques sur les
équipements réseau s'appuient sur divers types de faiblesses, que
l'on peut classifier par catégorie, comme illustré à la
figure 1.2.
9
User User
User
Figure 1.2: Typologie des faiblesses de
sécurité
Les faiblesses de configuration des équipements
réseau peuvent provenir d'une mauvaise configuration d'un pare-feu,
laissant passer du trafic non autorisé par la politique de
sécurité, ou d'un équipement réseau, permettant
à un attaquant d'y accéder, etc.
En s'appuyant sur ces faiblesses, le pirate peut lancer un
ensemble d'attaques permettant d'influencer le comportement du réseau ou
de récolter des informations importantes.
Quelques attaques réseau
V' Attaque par balayage ICMP ;
V' Attaque par balayage TCP ;
V' Attaque par modification du port source ;
V' Attaques permettant d'écouter le trafic
réseau ;
V' Attaque par sniffing ;
V' Attaque de commutateur ;
V' Attaques permettant d'interférer avec une
session réseau ;
V' Attaque ARP spoofing ;
V' Attaque IP spoofing ;
V' Attaque man-in-the-middle ;
V' Attaques permettant de modifier le routage
réseau ;
V' Attaques par OSPF (Open Shortest Path First) ;
V' Attaques permettant de mettre le réseau en
déni de service ;
V' Attaque par inondation ;
V' Attaques par déni de service distribué
(DdoS).
I.4.2. Les attaques des systèmes réseau
Nous avons détaillé au point
précédent un ensemble d'attaques orientées réseau
visant à exploiter des faiblesses de sécurité. Cependant,
la prise de contrôle d'un système par un pirate est beaucoup plus
nuisible dans l'absolu pour l'entreprise, car le pirate peut dès lors
installer des outils dévastateurs sur le système
pénétré.
10
Entre le moment où le pirate peut examiner un
système cible et celui où il réussit à le
pénétrer, un certain nombre d'étapes doivent être
franchies.
Le pirate doit d'abord découvrir les services
réseau offerts par le système, puis estimer l'attrait de chacun
d'eux en termes de possibilités de pénétration (risque
intrinsèque du service, vulnérabilités, etc.) et enfin
effectuer le choix de ceux qui présentent la meilleure chance de
pénétrer le système le plus discrètement
possible.
Quelques attaques systèmes
réseau
V' Attaques permettant d'identifier les services
réseau ;
V' Attaques par balayage TCP ;
V' Attaque par balayage FIN ;
V' Attaques permettant de prendre l'empreinte
réseau dusystème ;
V' L'empreinte TCP ;
V' L'empreinte ICMP ;
V' Attaques permettant de pénétrer le
système ;
V' Attaques sur les faiblesses des systèmes
réseau ;
V' Attaques sur les faiblesses de conception.
I.4.3. Les attaques réseaux indirectes
Beaucoup d'attaques peuvent impacter le réseau de
manière directe ou indirecte. Les points précédents ont
détaillé les attaques réseau proprement dites. Et ce
présent, traite d'autres types d'attaques susceptibles d'impacter le
réseau de manière indirecte en provoquant des
phénomènes de saturation ou de congestion du réseau.
Ces autres formes d'attaques réseau s'appuient
principalement sur les faiblesses des applications. Les virus sont les vecteurs
des attaques les plus fréquentes contre les systèmes et
réseaux informatiques. De par leur mode de reproduction, ils sont
capables de saturer le réseau et de le placer en déni de service,
ce qui impacte en premier lieu le réseau local.
Nous pouvons qualifier de virus tout programme, sous quelque
forme que ce soit, capable de se reproduire par lui- même. Les virus ont
pour caractéristique commune une volonté de nuire. Cette
volonté peut prendre la forme d'une routine, ou programme, qui, une fois
activée, use de tous les moyens à sa disposition pour empoisonner
la vie de l'utilisateur.
Les principaux impacts réseau recherchés
par les virus sont les suivants :
Perturber l'utilisation de la machine en faisant
apparaître, par exemple, des images à l'écran ou en
modifiant constamment le design de l'interface graphique ;
o Consommer inutilement toutes les ressources mémoire
et de calcul de la machine ;
o Se reproduire autant que possible sur le disque dur de
l'utilisateur, consommant le processeur et l'espace disque ;
o Se reproduire sur les disques durs des autres utilisateurs
par l'intermédiaire du partage de fichiers en réseau ;
11
o Se reproduire en s'envoyant dans des courriers
électroniques émis au nom de l'utilisateur attaqué aux
contacts présents dans son carnet d'adresses.5
I.5. POLITIQUE DE LA SÉCURITÉ
RÉSEAU
I.5.1. Établissement d'une politique de
sécurité
Suite à l'étude des risques et avant de mettre
en place des mécanismes de protection. Il faut préparer une
politique à l'égard de la sécurité. C'est elle qui
fixe les principaux paramètres, notamment les niveaux de
tolérances et les coûts acceptables.
L'établissement d'une politique de
sécurité exige de prendre en compte l'historique de l'entreprise,
l'étendue de son réseau, le nombre d'employés, la
sous-traitance avec des tierces parties, le nombre de serveurs, l'organisation
du réseau, etc.
D'une manière générale, une bonne
politique de sécurité vise à définir et mettre en
oeuvre des mécanismes de sécurité, des procédures
de surveillance des équipements de sécurité, des
procédures de réponse aux incidents de sécurité et
des contrôles et audits de sécurité. Elle veille en outre
à ce que les dirigeants de l'entreprise approuvent la politique de
sécurité de l'entreprise.
Voici quelques éléments pouvant aider
à définir une politique :
o Quels furent les coûts des incidents informatiques
passés ?
o Quel degré de confiance pouvons-nous avoir envers nos
utilisateurs internes ?
o Qu'est-ce que les clients et les utilisateurs espèrent
de la sécurité ?
o Quel sera l'impact sur la clientèle ou utilisateurs
si la sécurité est insuffisante, ou tellement forte qu'elle
devient contraignante ?
o Y-a-t-il des informations importantes sur des ordinateurs
en réseaux ? sont-ils accessibles de l'externe ?
o Quelle est la configuration du réseau et y a-t-il
des services accessibles de l'externe ?
o Quelles sont les règles juridiques applicables
à l'entreprise concernant la sécurité et la
confidentialité des informations (exemple : loi « informatique et
liberté », archives comptable...) ?
I.5.2. Éléments d'une politique de
sécurité
Il ne faut pas perdre de vue que la sécurité
est comme une chaîne, guère plus solide que son maillon le plus
faible, en plus de la formation et de la sensibilisation permanente des
utilisateurs. La politique de sécurité peut être
découpée en plusieurs parties :
Accidents (pannes, incendies, inondations...) : une
sauvegarde est indispensable pour protéger efficacement les
données contre ces problèmes. Cette procédure de
sauvegarde peut combiner plusieurs moyens fonctionnant à des
échelles de temps différentes :
o Disques RAID pour maintenir la disponibilité des
serveurs ;
o Copies de sécurité via le réseau
(quotidienne) ;
5P. ATELIN, Réseaux informatiques notions
fondamentales, Paris, Eni, 2009, Page 142.
12
o Copie de sécurité dans un autre
bâtiment (hebdomadaire) ;
o La disposition et l'infrastructure des locaux peut aussi
fournir une protection intéressante ;
o Pour des sites particulièrement importants (site
informatique central d'une banque...) il sera nécessaire de
prévoir la possibilité de basculer totalement et rapidement vers
un site de secours (éventuellement assuré par un sous-traitant
spécialisé). Ce site devra donc contenir une copie de tous les
logiciels et matériels spécifiques à l'activité de
la société.
o Défaillance matérielle : tout
équipement physique est sujet à défaillance (usure,
vieillissement, défaut...). L'achat d'équipements de
qualité et standard accompagnés d'une bonne garantie avec support
technique est essentiel pour minimiser les délais de remise en fonction
seule une forme de sauvegarde peut cependant protéger les
données.
o Défaillance logicielle : tout programme informatique
contient des bugs. La seule façon de se protéger efficacement
contre ceux-ci est d'effectuer des copies de l'information à risque. Une
mise à jour régulière des logiciels et la visite des sites
consacrés à ce type de problèmes peuvent contribuer
à en diminuer la fréquence.
o Erreur humaine : outre les copies de
sécurité, seule une formation adéquate du personnel peut
limiter ce problème.
I.6. LES STRATÉGIES DE SÉCURITÉ
RÉSEAU
La sécurité d'un réseau dépendant
souvent du maillon le plus faible, il est important de normaliser au maximum
l'ensemble de mécanismes de sécurité afin qu'ils puissent
être applicables et maintenus dans le temps.
Des règles de sécurité de configuration
des systèmes réseau (routeur, commutateur, etc.) doivent en outre
être clairement définies à la fois pour renforcer la
sécurité intrinsèque de chaque système et assurer
en toute sécurité l'administration du réseau et des
services associés. La protection des systèmes réseau
concerne à la fois la configuration de ces systèmes et les
protocoles utilisés pour le routage et l'administration du
réseau.
La sécurité d'un réseau repose
principalement sur la protection de ses équipements. La
sécurité de ces équipements recouvre les grands domaines
suivants :
o Sécurité physique : Il s'agit de la
protection physique des équipements face aux menaces de feu,
d'inondation, de survoltage, d'accès illégal à la salle
informatique, etc.
o Sécurité du système d'exploitation :
Tout équipement réseau exécute un OS (Operating System)
susceptible de contenir des faiblesses de sécurité ou des
bogues.
o Sécurité logique : Il s'agit de la
configuration de l'équipement réseau, qui traduit par son contenu
la politique de sécurité réseau.
I.6.1. Sécurité des équipements
réseaux
13
La maîtrise de la sécurité de ces
équipements réseau permet de se protéger des attaques
suivantes :
ü Attaques par déni de service visant à
exploiter des faiblesses de configuration (attaques de type smurf, par exemple,
qui broadcastent des paquets IP par rebond via les adresses IP d'un
équipement réseau).
ü Attaques permettant d'obtenir un accès non
autorisé à 'équipement réseau suite à des
faiblesses de configuration (attaques de type SNMP, par exemple, avec des
communautés SNMP triviales).
ü Attaques exploitant un bogue
référencé de l'operating system. Cisco, Microsoft et
d'autres éditeurs de systèmes d'exploitation disposent
désormais d'équipes dédiées à la
sécurité et à la délivrance de « patchs »
pour corriger les bogues.
Sécurité physique des
équipements
La sécurité physique vise à
définir des périmètres de sécurité
associés à des mesures de sécurité de plus en plus
strictes suivant la nature des équipements à protéger.
D'une manière générale, tout équipement
réseau ou lié au réseau doit être situé dans
des locaux dédiés, réservés au personnel
habilité (badge, clé, etc.).
De plus, tous les accès doivent être
archivés à des fins d'investigation en cas d'incident de
sécurité et doit être en conformité avec l'exigence
de la sécurité de l'infrastructure (Chaque équipement doit
être connectée à l'onduleur ou stabilisateur...)
Tout local contenant des équipements de
télécommunications doit être protégé des
menaces telles que l'humidité, le feu, les inondations, la
température, le survoltage, les coupures de courant, etc.
Sécurité logique des
équipements
La configuration des équipements réseau est un
aspect majeur de la sécurité des réseaux. Une
configuration réseau doit refléter l'application d'une politique
de sécurité.
I.6.2. Protection des accès réseau
La protection des accès réseau consiste non
seulement à maîtriser les flux réseau qui transitent dans
l'entreprise par l'implémentation de systèmes pare-feu, mais
aussi à assurer un niveau de confidentialité suffisant des
données qui seront transmises à l'aide de protocoles de
sécurité.
Tout accès à un réseau externe au
réseau d'entreprise doit faire l'objet d'un contrôle
d'accès afin de ne laisser passer que le trafic autorisé.
L'objectif d'un tel contrôle est à la fois de créer un
périmètre de sécurité, de limiter le nombre de
points d'accès afin de faciliter la gestion de la
sécurité, mais aussi de disposer de traces systèmes en cas
d'incident de sécurité.
14
En filtrant le trafic entrant et sortant du réseau
d'entreprise, on réduit tout d'abord l'éventail des attaques
possibles aux seuls services autorisés à transiter sur le
réseau. De plus, suivant le niveau de granularité du
contrôle de filtrage mis en place, on peut se prémunir contre les
attaques de type déni de service, spoofing, etc., ainsi que contre les
attaques applicatives sur les programmes CGI (Common Gateway Interface) d'un
site Web si l'on met en place un filtrage applicatif (proxy) ou les attaques
à partir de programmes Java, etc.
V' Le pare-feu
Un pare-feu6 est un composant réseau qui
permet non seulement de concentrer l'administration de la
sécurité en des points d'accès limités au
réseau d'entreprise mais aussi de créer un
périmètre de sécurité, par exemple entre le
réseau intranet de l'entreprise et le réseau Internet. Une
architecture à base de pare-feu offre l'avantage de concentrer les
efforts de sécurité sur un unique point d'entrée.
Grâce à des mécanismes de filtrage en profondeur ainsi
qu'à des fonctions de journalisation des événements, les
pare-feu sont en outre des éléments cruciaux pour les
investigations de sécurité.
V' Les NIPS (Network Intrusion Prevention
System)
Les NIPS sont des IPS permettant de surveiller le trafic
réseau, ils peuvent prendre des mesures telles que terminer une session
TCP. Une déclinaison en WIPS (wireless intrusion prevention system) est
parfois utilisée pour évoquer la protection des réseaux
sans-fil7.
Ils incarnent une nouvelle génération
d'équipements réseau qui combine les fonctionnalités des
IDS (Intrusion Detection System) et celles de pare-feu. Ils présentent
au minimum deux interfaces réseau (entrante et sortante) et se
positionnent en passerelle/coupure de niveau 2 OSI du trafic réseau.
Bien qu'un NIPS reste invisible pour le trafic IP (il n'agit pas comme un noeud
IP), le trafic réseau est analysé en son sein afin de
contrôler les données et de détecter des attaques
potentielles.
À l'inverse d'un IDS, un NIPS peut agir directement sur
le trafic lors de la détection d'un trafic malicieux en agissant en
coupure sur ce trafic. Cela permet de réduire la propagation de
l'attaque au plus vite. L'objectif de tels équipements est ainsi
d'offrir des contre-mesures en temps réel.
I.6.3. Protection des systèmes, des applications et
de la gestion du réseau
Tout réseau est construit dans le but d'offrir des
services à valeur ajoutée implémentés sur des
systèmes dédiés. Les règles de
sécurité à considérer pour la gestion de
réseau sont les suivantes :
V' Les accès logiques d'administration des
équipements réseau ne sont
possibles que depuis une zone
dédiée à la gestion du réseau.
6N. AGOULMINE, O. CHERKAOUI., Pratique de la gestion
de réseau, 2éd. Paris,
Eyrolles, 2003, 280 pages.
7Encyclopédie,
https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_pr%C3%A9vention_d%27intrusion
consulté le 16/07/2007
15
V' La zone dédiée à la gestion du
réseau fait l'objet d'une politique de
sécurité spécifique et implémente un
niveau de sécurité maximal.
V' Les protocoles mis en oeuvre pour la gestion du
réseau implémentent au
maximum les options de
sécurité.
V' Tous les services et systèmes associés
à l'activité réseau sont parties
prenantes de la
politique de sécurité réseau.
Les systèmes d'exploitation des équipements
réseau sont de sources importantes de failles potentielles de
sécurité. Cela concerne à la fois les problèmes ou
faiblesses du système d'exploitation lui-même et les services qui
y sont implémentés. De nombreux sites Internet centralisent de
telles alertes, comme celui du CERT (Computer Emergency Response Team) ou ceux
des fournisseurs d'équipements réseau.
Les faiblesses associées au système
d'exploitation proviennent généralement d'une mauvaise
implémentation ou de mauvaises règles de codage. Ces faiblesses
peuvent être exploitées par des attaques de type buffer overflow
et donnent la possibilité d'exécuter du code malicieux.
Ces faiblesses sont généralement difficiles
à déceler sans des tests de non-régression et de
sécurité complets. Elles proviennent le plus souvent d'une
mauvaise implémentation/ codage ou d'une mauvaise interprétation
du protocole.
I.6.4. Sécurité de l'infrastructure
V' Le paratonnerre a pour rôle de protéger une
structure contre les coûts
directs de la foudre.
V' Le parafoudre (ou para-sur tenseur) protège les
installations électriques
et de télécommunications
contre les surtensions en général qui peuvent avoir pour origine
la foudre ou la manoeuvre d'appareils électriques (surtensions dites de
manoeuvre). La mise en place d'un parafoudre est importante.
V' L'onduleur8 est un maillon important dans la
sécurité des systèmes
informatiques. Il a pour
principale mission de prendre le relais du secteur lorsque des coupures de
courant se produisent, laissant ainsi aux utilisateurs le temps de sauvegarder
le travail en cours. Les coupures ne sont pas les seuls incidents auxquels ces
appareils doivent faire face. Le filtrage, ainsi que la régulation de la
tension, font aussi partie des fonctions importantes à assurer. Un bon
onduleur devra assurer la continuité de la fourniture
d'électricité aux appareils, mais également veiller
à ce que le courant soit de bonne qualité.
I.7. Les dispositifs de la sécurité9
I.7.1. Les pare-feu
I.7.1.1. Définition et fonctionnement
8Anonyme,
http://www.infosec-ups.com/fr/faq/guide-de-la-protection-electrique/
consulté le 10/05/2019
9Michel.R. La sécurité des
réseaux et des systèmes, Paris, 2005-2006
16
Un pare-feu (firewall, en anglais) est un dispositif
matériel et/ou logiciel qui implémente la fonction de
sécurité de contrôle d'accès. Un pare-feu est donc
un dispositif pour filtrer les accès, les paquets IP, les flux entrant
et sortant d'un système. Un pare-feu est installé en coupure sur
un réseau lorsqu'il sert de passerelle filtrante pour un domaine
à la frontière d'un périmètre fermé.
Un pare feu est un système permettant de filtrer les
paquets de données échangés avec le réseau, il
s'agit aussi d'une passerelle filtrante comportant au minimum les interfaces
réseaux suivante: Une interface pour le réseau à
protéger (réseau interne).Une interface pour le réseau
externe.
Un pare-feu met en vigueur une politique de
sécurité qui laisse passer, ou arrête les trames ou les
paquets d'information selon cette politique. Il peut donc autoriser ou
empêcher des communications selon leur origine, leur destination ou leur
contenu. Dans la pratique, un pare-feu lit et analyse chacun des paquets qui
arrivent. Après analyse, il décide du passage ou de l'arrêt
selon l'adresse IP de l'émetteur, du récepteur, selon le type de
transport (TCP ou UDP) et le numéro de port, en relation avec le type
d'application réseau.
Quand la politique de sécurité ne concerne que
les couches basses, la seule analyse du paquet permet d'autoriser, de rejeter
ou d'ignorer le paquet.
Quand la politique décrit des règles de
sécurité qui mettent en jeu le transport fiable, les sessions ou
les applications, le pare feu doit connaître l'état
momentané de la connexion et doit garder en mémoire de nombreux
paquets pendant un certain temps de façon qu'il puisse décider de
l'autorisation ou du rejet des paquets.
Les pare-feu ont des limitations : ils doivent être
très puissants en termes de ressources pour ne pas ralentir le trafic,
dans un sens ou dans un autre, puisqu'ils ont en coupure sur le réseau.
Ils ne doivent pas être court-circuités par d'autres passerelles
ou des modems connectés directement à l'extérieur. Ils
sont des « bastions », c'est-à-dire des cibles pour les
attaquants qui peuvent les assaillir pour saturer leur
ressource. Un pare-feu doit posséder un système
de journalisation (.log)
sophistiqué a posteriori tous les faits
importants qui jalonnent la vie de cette passerelle filtrante : tentatives
d'intrusion, événements anormaux, attaques par saturation, par
balayage.
Un pare feu est en général architecturé
de telle manière que l'on puisse distinguer physiquement les
communications avec l'extérieur, celles avec le réseau à
protéger et enfin celles qui sont déviées vers une zone
tampon de parking, souvent appelée zone démilitarisée (DMZ
en anglais), c'est dans cette zone qu'on place le site web, ouvert à
l'Internet, à l'abri d'un pare-feu, mais nettement séparé
du réseau interne à protéger.
Il convient d'ailleurs de dire ici qu'il n'existe aucun
système de sécurité qui soit infaillible à 100%.
Tout logiciel, qu'il soit de type firewall ou de type chiffrement d'information
peut être «cassé». Mais il suffit que les besoins
financiers à mettre en oeuvre pour ce faire soient supérieurs
à la valeur marchande estimée des informations en notre
possession pour que le système soit considéré comme
fiable.
I.7.1.2. Les types de firewalls Packetfilter
17
Le packetfilter, comme son nom l'indique,
filtre les paquets dans les deux sens. Pour ce faire, il utilise des fonctions
de routage interne classiques. Ce sont des protections efficaces, mais pas
toujours suffisantes. Certaines attaques complexes peuvent déjouer les
règles.
Screening router : Evite le IP spooffing en vérifiant
que les adresses d'origine des paquets qui arrivent sur chaque interface sont
cohérentes et il n'y a pas de mascarade. Exemple: un paquet qui a une
adresse de votre réseau interne et qui vient de l'extérieur est
un SpoofedPacket. Il faut le jeter et prévenir le plus vite
l'administrateur qu'il y a eu tentative d'attaque.
I.7.2. Les systèmes de détection et de
prévention de l'intrusion
Un système de détection d'intrusion (IDS en
anglais), est un dispositif matériel et/ou logiciel de surveillance qui
permet de détecter en temps réel et de façon continue des
tentatives d'intrusion en temps réel, dans un SI ou dans un ordinateur
seul, de présenter des alertes à l'administrateur, voire pour
certains IDS plus sophistiqué, de neutraliser ces
pénétrations éventuelles et de prendre en compte ces
intrusions afin de sécuriser davantage le système
agressé.
Un IDS réagit en cas d'anomalie, à condition que
le système puisse bien identifier les intrus externes ou internes qui
ont un comportement anormal, en déclenchant un avertissement, une
alerte, en analysant éventuellement cette intrusion pour empêcher
qu'elle ne se reproduise, ou en paralysant même l'intrusion.
Un IDS est un capteur informatique qui écoute de
manière furtive le trafic sur un système, vérifie, filtre
et repère les activités anormales ou suspectes, ce qui permet
ultérieurement de décider d'action de prévention. Sur un
réseau, l'IDS est souvent réparti dans tous les emplacements
stratégiques du réseau.
Les techniques sont différentes selon que l'IDS
inspecte un réseau ou que l'IDS contrôle l'activité d'une
machine (hôte, serveur). Sur un réseau, il y a en
général plusieurs sondes qui analysent de concert, les attaques
en amont d'un pare-feu ou d'un serveur. Sur un système hôte, les
IDS sont incarnés par des démons ou des applications standards
furtives qui analysent des fichiers de journalisation et examinent certains
paquets issus du réseau. Il existe deux grandes familles distinctes
d'IDS: Les N-IDS (Network Based Intrusion Detection system), ils assurent la
sécurité au niveau du réseau. Les H-IDS (Host Based
Intrusion Detection system), ils assurent la sécurité au niveau
des hôtes.
Un N-IDS nécessite un matériel
dédié et constitue un système capable de contrôler
les paquets circulant sur un ou plusieurs liens réseau dans le but de
découvrir si un acte malveillant ou anormal a lieu.
Le H-IDS réside sur un hôte particulier et la
gamme de ces logiciels couvre donc une grande partie des systèmes
d'exploitation tels que Windows, Linux, ect... Le H-IDS se comporte comme un
démon ou un service standard sur un système hôte.
Traditionnellement, le H-IDS analyse des informations particulières dans
les journaux de logs (syslogs, messages, lastlogs...) et aussi capture les
paquets réseaux entrant/sortant de l'hôte pour y déceler
des signaux d'intrusion (Déni de services, Backdoors, chevaux de
troie...).
I.7. CONCLUSION
18
Pour définir la sécurité, on peut partir
de la couche application en disant qu'une application est
sécurisée si l'utilisateur qui s'en sert a été
identifié et authentifié, si les données
transportées n'ont pas été modifiées, si les
données n'ont pu être interceptées et si elles ont une
valeur juridique.
À partir de cette définition, on peut
considérer que la
Sécurité consiste en cinq types d'opération
:
V' identification d'un utilisateur ;
V' authentification d'un utilisateur ;
V' intégrité des données ;
V' confidentialité des données ;
V' non-répudiation.
Les outils à mettre en oeuvre pour assurer ces
opérations proviennent de différents horizons et progressent
rapidement pour tenter de rattraper le retard sur les attaquants, qui ont
toujours une longueur d'avance.
Le réseau informatique de tout établissement ou
de toute entreprise est le premier maillon d'une grande chaîne qu'un
utilisateur rencontre dès qu'il veut
CHAPITRE. II. ETUDE DUSERVEUR RADIUS
II.1. Introduction
19
bénéficier des services en ligne qui lui sont
proposés localement ou à distance dans les méandres
d'Internet. L'accès à un réseau est un service qui peut
être convoité dans un but malveillant. Un pirate qui obtient la
clé d'un réseau peut chercher à s'y introduire,
compromettre des machines et s'en servir pour rebondir vers d'autres
réseaux avec toutes les conséquences désagréables
que cela implique.
II.1.2. Historique
Le protocole RADIUS a été créé par
Livingston, il est développé en trois étapes
présentées comme suit :
· Janvier 1997 : Première version de RADIUS
décrite dans RFC 2058 (authentification) et 2059 (accounting).
· Avril 1997 : Deuxième version de RADIUS
décrite dans RFC 2138 (authentification) et 2139 (accounting).
· Juin 2000 : La dernière version de RADIUS
décrite dans RFC 2865 (authentification) et 2866 (accounting).
II.3. Origine
Le Serveur Radius avait tout d'abord pour objet de
répondre aux problèmes d'authentification pour des accès
distants, par liaison téléphonique, vers les réseaux des
fournisseurs d'accès ou des entreprises. C'est de là qu'il tient
son nom qui signifie Remote Access Dial In User Service. Au
fil du temps, il a été enrichi et on peut envisager aujourd'hui
de l'utiliser pour authentifier les postes de travail sur les réseaux
locaux, qu'ils soient filaires ou sans fil.
II.4. Définition
RADIUS (Remote Authentification Dial In User Service) est un
protocole d'authentification client/serveur habituellement utilisé pour
l'accès à distance, défini par la RFC 2865. Ce protocole
permet de sécuriser les réseaux contre des accès à
distance non autorisés. Il est indépendant du type de support
utilisé.
Le protocole Radius repose principalement sur un serveur
(serveur Radius), relié à une base d'identification (fichier
local, base de données, annuaire LDAP, etc.) et un client Radius,
appelé NAS (Network Access Server), faisant office
d'intermédiaire entre l'utilisateur final et le serveur10.
Radius est un protocole qui répond au modèle
AAA. Ces initiales résument les trois fonctions du protocole :
· A = Authentication : authentifier l'identité du
client ;
· A = Authorization : accorder des droits au client ;
· A = Accounting : enregistrer les données de
comptabilité de l'usage du réseau par le client.
Le mot de passe servant à authentifier les transactions
entre le client Radius et le serveur Radius est chiffré et authentifier
grâce à un secret partagé. Il est
10
http://www-igm.univ-mlv.fr/~dr/XPOSE2003/Mandille/Radius.htm
20
à noter que le serveur Radius peut faire office de
proxy, c'est-à-dire transmettre les requêtes du client a d'autres
serveurs Radius.
II.1.2. Principe de fonctionnement
Le poste utilisateur (supplicant dans les RFC)
transmet une requête d'accès à un client RADIUS pour entrer
sur le réseau. Ce client se charge de demander les informations
identifiant l'utilisateur : le nom d'utilisateur (login) et le mot de passe par
exemple.
Le client RADIUS génère selon le protocole une
requête Access-Request contenant les informations
d'authentification. Le serveur RADIUS peut traiter lui-même cette
requête ou la transmettre à un autre serveur RADIUS par un
mécanisme appelé Proxy Radius. Le serveur Radius chargé de
l'identification finale (appelé Home Radius) peut traiter la demande
s'il dispose de suffisamment d'éléments dans l'Access-Request ou
demander des informations supplémentaires par un renvoi de paquet
"Access Challenge", auquel le client répondra par un autre «
Access-Request », et ainsi de suite. Les échanges sont retransmis
par la chaîne de serveurs Radius proxy intermédiaires dans un sens
et dans l'autre.
Quand le serveur Radius dispose de suffisamment
d'éléments (jusqu'à une douzaine d'échanges pour
les protocoles complexes de type EAP) le serveur RADIUS valide ou refuse
l'identification en renvoyant un paquet de type : Access-Accept ou
Access-Reject.
Le fonctionnement de Radius est basé sur un
scénario proche de
celui-ci :
1. Un utilisateur envoie une requête au NAS afin
d'autoriser une connexion à distance ;
2. Le NAS achemine la demande au serveur Radius ;
3. Le serveur Radius consulte la base de données
d'identification afin de connaître le type de scénario
d'identification demandé pour l'utilisateur. Soit le scénario
actuel convient, soit une autre méthode d'identification est
demandée à l'utilisateur.
Le serveur Radius retourne ainsi une des quatre
réponses suivantes :
- ACCEPT : l'identification a réussi ;
- REJECT : l'identification a échoué ;
- CHALLENGE : le serveur RADIUS souhaite des informations
supplémentaires de la part de l'utilisateur et propose un «
défi » (en anglais « challenge ») ;
- CHANGE PASSWORD : le serveur Radius demande à
l'utilisateur un nouveau mot de passe.
Suite à cette phase d'authentification débute
une phase d'autorisation ou le serveur retourne les autorisations aux
utilisateurs.
21
Figure II 12 : Principe de fonctionnement de Radius
II.1.3. Rôles de protocole RADIUS
V' Authentifier les machines/utilisateurs pour
l'accès au réseau local.
V' Utilisable en filaire et sans-fil.
V' Placer les machines dans des sous-réseaux
virtuels.
V' Plusieurs moyens d'authentification.
V' Initialiser les algorithmes de chiffrement des
communications (WPA).
V' Les communications WiFi peuvent être
sécurisées.
V' Radius est un élément actif du
réseau, pas seulement une base de donnée.
V' Interfaçage avec des logiciels de portails
captifs.
V' Authentification distante par redirection de
requêtes (proxy).
V' Utilisable par d'autres types de serveurs
(VPN)11.
II.1.4. Principes de protocole RADIUS
RADIUS connaît nativement deux protocoles de mot de
passe : PAP (échange en clair du nom et du mot de passe), et CHAP
(échange basé sur un hachage de part et d'autre avec
échange seulement du « challenge »). Le protocole
prévoit deux attributs séparés : User-Password et
CHAP-Password.
Depuis, se sont greffées les variations Microsoft:
MS-CHAP et MS-CHAP-V2; leur similitude avec CHAP permet de les transporter en
RADIUS de la même façon, à l'initiative du serveur et sous
réserve de possibilité de transport de bout en bout du
supplicant au client Radius, du client au serveur Radius et enfin du
serveur Radius à la base de données d'identification.
C'est sur cette dernière étape que souvent le
bât blesse : rien n'est prévu par exemple en LDAP pour transporter
le challenge ni les étapes spécifiques de MS-CHAP ou MS-CHAP-V2
qui, du coup, se terminent exclusivement sur des bases d'identification
Microsoft locales pour le serveur Radius.
V' RADIUS repose principalement sur un serveur (le
serveur RADIUS), relié à une base d'identification (base de
données, annuaire LDAP, etc.), et sur un client RADIUS, appelé
NAS, faisant office d'intermédiaire entre l'utilisateur final et le
serveur.
11
https://www.culture-informatique.net.
22
ü L'ensemble des transactions entre le client RADIUS et
le serveur RADIUS est chiffré par la clé (secret) partagée
afin de renforcer la sécurité et garantir
l'intégrité de ces transactions.
ü Le serveur RADIUS peut faire office de proxy en
transmettant les requêtes du client à d'autres serveurs RADIUS.
ü Le serveur traite les demandes d'authentification en
accédant si nécessaire à une base externe: base de
données SQL, annuaire LDAP, comptes d'utilisateur de machine ou de
domaine.
ü Protocole de prédilection des fournisseurs
d'accès à internet : relativement standard, propose des
fonctionnalités de comptabilité permettant aux FAI de facturer
précisément leurs clients.
II.1.5. Eléments d'authentification RADIUS
L'identification RADIUS peut être enrichie d'une
autorisation, par exemple pour un client de fournisseur d'accès son
adresse IP, son temps de connexion maximal, son temps d'inactivité. Tous
ces paramètres sont définis par des attributs du paquet dans les
RFC, en l'occurrence pour cet exemple l'attribut 8, plus connu sous son nom
"convivial" Framed-IP-Address, bien que le protocole ne connaisse en fait que
les numéros, et les attributs Session-Timeout et Idle-Timeout. Les
attributs standards sont définis dans les RFC, les attributs
spécifiques d'un fournisseur ou VSA (Vendor Specific Attributes) sont
multiplexés dans l'attribut 26 : chaque fournisseur se voit attribuer un
numéro unique permettant de l'identifier, un octet de cet attribut
définit un numéro de VSA, ce qui permet à chaque
fournisseur de définir jusqu'à 255 attributs spécifiques
pour son matériel. Le serveur Radius s'adapte à ces "dialectes"
par des dictionnaires d'attributs...
ü Authentification avec l'adresse Ethernet (adresse
MAC)
L'adresse MAC de la carte Ethernet du poste de travail
identifie ce dernier. Cette adresse MAC n'est pas une preuve absolue
d'identité puisqu'il est relativement facile de la modifier et d'usurper
l'identité d'un autre poste de travail.
Néanmoins, sur un réseau filaire, cette adresse
peut être suffisante puisque, pour tromper le système
d'authentification, il faudra tout de même pénétrer sur le
site, connaître une adresse MAC valide et réussir à s'en
servir. Même si on peut imaginer qu'une personne décidée
peut y arriver, cette solution est suffisante si on considère qu'il
s'agit là d'une première barrière.
En revanche, si on souhaite une authentification très
forte il faudra utiliser une autre méthode, à savoir 802.1X et
EAP. Dans le cas du sans-fil, l'authentification par adresse MAC fonctionne
également mais elle est fortement déconseillée comme
unique moyen. En effet, même si on met en place un chiffrement fort des
communications, l'adresse MAC circule toujours en clair.
Or, le problème du sans-fil est que le
périmètre du réseau est flou et incontrôlable. Par
conséquent, n'importe qui, écoutant ce réseau, même
sans accès physique, peut capter des adresses MAC et s'en servir
très facilement ensuite pour s'authentifier. Cet inconvénient est
moindre en filaire car le périmètre est complètement
déterminé et une présence physique dans les locaux est
nécessaire. Ce type d'authentification est appelé Radius-MAC ou
encore MAC-based.
Figure : Format des Paquets Radius
23
V' Authentification par certificat électronique
X509
Ce type d'authentification consiste à faire
présenter par le client un certificat électronique dont la
validité pourra être vérifiée par le serveur.
Il peut s'agir d'un certificat appartenant à un
utilisateur. Dans ce cas on parlera d'authentification par utilisateur. Mais il
peut également s'agir d'un certificat machine qui sera alors lié
à la machine. L'usage des certificats implique l'existence d'une IGC
(Infrastructure de gestion de clés, ou PKI en anglais, pour Public Key
Infrastructure).
V' Authentification RADIUS par identifiant et mot de
passe
Ce type d'authentification correspond plutôt à
une authentification par utilisateur et suppose qu'il existe quelque part une
base de données qui puisse être interrogée par le serveur.
Plusieurs protocoles peuvent être mis en oeuvre pour assurer une
authentification par identifiant et mot de passe. Cependant, il convient
d'éliminer ceux pour lesquels le mot de passe circule en clair sur le
réseau ou bien est stocké en clair dans la base de
données.
Le protocole 802.1X nous permettra de mettre en oeuvre des
solutions (EAP/PEAP ou EAP/TTLS) qui permettront de résoudre ces
problèmes. Comme les utilisateurs sont déjà
confrontés à la nécessité de posséder de
multiples mots de passe pour de multiples applications, il sera
intéressant de réutiliser une base existante comme un domaine
Windows ou une base LDAP.
A. Les différents types de paquets
RADIUS
V' Access-Request : la conversation commence toujours par un
paquet Access-Requestémis par le NAS (client RADIUS) vers le serveur
RADIUS. Il contient au moins l'attribut User-Name et une liste d'autres
attributs tels que Calling Station-Id, Nas-Identifier, etc.
V' Access-Challenge : après réception d'un
paquet Access-Request, le serveur peut renvoyer un paquet Access-Challenge qui
a pour but de demander d'autres informations et de provoquer l'émission
d'un nouveau paquet Access-
Request:parleNAS.Access-ChallengeseratoujoursutiliséavecEAP
puisqu'il
permettra au serveur de demander un certificat ou un mot de passe
au poste de travail.
V' Access-Accept : Ce paquet est renvoyé au NAS par le
serveur Radius si l'authentification transmise par l'Access-Request a
été correctement validée.
B. Format générale des paquets
RADIUS
Radius utilise quatre types de paquets pour assurer les
transactions d'authentification. Tous les paquets ont le format
général indiqué par la figure suivante :
Code Longueur Authentificateur Attributs et
valeurs
Id
24
· Code : Ce champ d'un seul octet contient une valeur
qui identifie le type du paquet. La RFC 3575 (IANA considerations for Radius)
définit 255 types de paquets. Par chance, quatre d'entre eux seront
suffisants pour les problèmes qui nous préoccupent ici. Il s'agit
de :
Access-Request (code=1);
Access-Accept (code=2);
Access-Reject (code=3);
Access-Challenge (code=11).
· ID : Ce champ, d'un seul octet, contient une valeur
permettant au client Radius d'associer les requêtes et les
réponses.
· Longueur : Champ de seize octets contenant la longueur
totale du paquet.
· L'authentificateur : Ce champ de seize octets a pour
but de vérifier l'intégrité des paquets. On distingue
l'authentificateur de requête et l'authentificateur de réponse. Le
premier est inclus dans les paquets de type Access-Request ou
Accounting-Request envoyés par les NAS. Sa valeur est calculée de
façon aléatoire. Et l'authentificateur de réponse est
présent dans les paquets de réponse de type Access-Accept,
Access-Challenge ou Access-Reject. Sa valeur est calculée par le serveur
à partir d'une formule de hachage MD5 sur une chaîne de
caractères composée de la concaténation des champs code,
ID, longueur, authentificateur de requête et attributs.
· Attributs et valeur : Ce champ du paquet est de
longueur variable et contient la charge utile du protocole, c'est-à-dire
les attributs et leur valeur qui seront envoyés soit par le NAS (client
RADIUS) en requête, soit par le serveur en réponse.
Suite à la phase d'authentification définie
au-dessus, débute une phase d'autorisation où le serveur RADIUS
retourne les autorisations de l'utilisateur.
4. Autorisation RADIUS
Dès que la phase d'authentification est passée,
celle d'autorisation commence. Des données supplémentaires
peuvent être transmises à l'utilisateur : - Les services
autorisés, Telnet, connections PPP, etc. - Les paramètres de
connexion, host, adresse IP, temps de connexion, etc.
5. Accounting RADIUS La comptabilité permet de
suivre les services que l'utilisateur accède et les ressources
réseaux utilisés. II.1.6. RADIUS et Les protocoles de mots de
passe
RADIUS connaît nativement deux protocoles de mot de
passe qu'on a déjà défini dans le premier chapitre :
PAP (échange en clair du nom et du mot de passe),
CHAP
:(échangebasésurunhachagedepartetd'autreavecéchangeseulement
du 'challenge'). La similarité de deux protocoles MS-CHAP et MS-CHAPv2
avec CHAP permet de les transporter en RADIUS de la même façon,
à l'initiative du serveur et sous réserve bien entendu de
possibilité de transport de bout en bout du supplicant auclient Radius,
du client au serveur Radius et enfin du serveur RADIUS à la base de
données d'identification.
II.1.7. Le protocole RADIUS et la couche de transport
UDP
Le protocole RADIUS établit une couche applicative
au-dessus de la couche de transport UDP. Les ports utilisés seront :
2.2. Le support de IEEE 802.1X et EAP
25
· 1812 pour recevoir les requêtes d'authentification
et d'autorisation ;
· 1813 pour recevoir les requêtes de
comptabilité
II.2. Les Extensions du Protocole Radius
Le protocole Radius d'origine a été
étendu afin de le rendre compatible, d'une part avec l'utilisation des
réseaux virtuels et, d'autre part, avec les protocoles 802.1X et EAP.
Ces apports font de Radius un protocole désormais capable de
réaliser des authentifications sur des réseaux locaux.
Nous verrons comment les réseaux virtuels sont mis en
jeu. Nous détaillerons comment EAP est architecturé, comment il
transporte les protocoles d'authentification et comment Radius transporte
EAP.
Nous parcourrons tous les mécanismes mis en oeuvre
depuis le branchement (ou l'association) d'un poste de travail sur le
réseau, jusqu'au moment de son authentification. Nous verrons
également, pour les réseaux sans fil, comment est amorcé
le chiffrement des communications de données.
2.1. Les Réseaux Virtuels (VLAN)
Dans Radius, la compatibilité avec la technologie des
VLAN est en fait réalisée au travers du support des tunnels (RFC
2868). Cette RFC spécifie comment il est possible d'établir des
tunnels de différents types entre un client et un serveur Radius. Elle
définit douze types de tunnels et introduit un certain nombre de
nouveaux attributs. Cependant, cette RFC ne mentionne pas directement les
VLAN.
Cette notion apparaît dans la RFC 3580 qui décrit
les spécifications d'usage de 802.1X avec Radius. C'est ici qu'est
introduit un treizième type de tunnel : le VLAN. La définition de
ce type particulier de tunnel s'opère grâce à trois
attributs, déjà définis par la RFC 2868, et auquel un
treizième type (VLAN) a été ajouté. Ces attributs
sont :
Ø Tunnel-Type : la valeur est VLAN ou 13 ;
Ø Tunnel-Medium-Type: la valeur est 802 pour indiquer
qu'il s'applique à un réseau de type IEEE 802 (Ethernet, Token
Ring, Wi-Fi) ;
Ø Tunnel-Private-Group-Id: la valeur est le
numéro de VLAN qui doit être affecté au port sur lequel est
connecté le poste de travail.
Ils ne sont pas spécifiquement liés à
l'utilisation de 802.1X et sont pleinement utilisables pour l'authentification
Radius-MAC. Jusqu'ici, nous avons vu des attributs liés au processus
d'authentification (User-Name, Calling-Station-Id) et émis par les NAS
dans les paquets Access-Request, alors que les attributs de type Tunnel sont
liés aux autorisations qui seront délivrées par le
serveur. Ils seront émis dans les paquets Access-Challenge ou
Access-Accept.
26
Le protocole EAP est utilisé pour transporter le
protocole d'authentification qu'on veut utiliser (TLS, PEAP...). Nous allons
maintenant étudier la structure d'EAP et les différentes phases
des échanges.
EAP est un protocole qui place trois couches au-dessus la
couche liaison, IEEE 802. C'est là qu'intervient le code logiciel du
supplicant. Lorsque l'authentification sera terminée, ces couches EAP
resteront en place car elles seront utiles pour gérer, par exemple, les
réauthentifications ou encore la rotation des clés GTK qui sera
vue au paragraphe « Spécificités Wi-Fi : la gestion des
clés de chiffrement et WPA ». Quatre types de paquets sont
utilisés pour le protocole EAP :
· Request ;
· Response ;
· Success ;
· Failure.
Elle reçoit et envoie les paquets vers la couche basse
et transmet les paquets de type Request, Success et Failure à la couche
EAP Peer. Les paquets Response sont transmis à la couche EAP
Authenticator »Les couches EAP Peer et EAP Authenticator La couche EAP
Peer est implémentée sur le poste de travail, tandis que la
couche EAP Authenticator est implémentée sur le NAS et sur le
serveur Radius. Ces couches ont pour rôle d'interpréter le type de
paquet Request ou Response et deles diriger vers la couche EAP Method
correspondant au protocole d'authentification utilisé (par exemple,
TLS).
La couche EAP Method
C'est dans cette couche que se tient le code logiciel du
protocole d'authentification utilisé. Le NAS n'a pas besoin de cette
couche puisqu'il agit de façon transparente (sauf si le serveur Radius
est embarqué dans le NAS).
Le rôle du NAS est d'extraire le paquet EAP qui lui
arrive du supplicant et de le faire passer dans la couche Radius (et vice
versa). Pour cela, il doit encapsuler, c'est-à-dire écrire, le
paquet EAP dans un attribut particulier de Radius qui a été
ajouté au modèle d'origine pour cette fonction. Il s'agit de
l'attribut EAP-Message (numéro 79).
Un autre attribut, Message-Authenticator (numéro 80),
a été ajouté. Cependant, nous ne nous appesantirons pas
plus sur cet attribut qui possède, à peu près, la
même fonction que le champ authenticator vu au chapitre 5, à
savoir assurer l'intégrité des paquets EAP.
Cet attribut sera présent dans tous les paquets
échangés entre le NAS et le serveur mais n'influe pas sur la
compréhension globale du protocole. Du côté du serveur
Radius, c'est un module spécifique qui décapsulera la valeur de
l'attribut EAP-Message et qui l'interprétera en suivant le modèle
de couches d'EAP vu plus haut12.
On peut découper le protocole EAP en quatre
étapes que nous baptiserons :
· Identité externe.
· Négociation de protocole.
· Protocole transporté.
12
https://loufida.com/fonctionnement-de-lauthentification-basee-sur-le-port-ieee-802-1x-dot1x/
27
Gestion des clés de chiffrement. 2.2.1. Le
protocole EAP/TLS
TLS dispose de trois fonctions : l'authentification du
serveur, l'authentification du client et le chiffrement. Le chiffrement dont il
est question ici a pour but de créer un tunnel protégé
dans lequel passeront les données sensibles une fois que
l'authentification sera faite.
Il s'agit du même principe mis en oeuvre lorsqu'on
utilise une URL du type
https:// dans un navigateur Internet. Dans
notre cas, ce tunnel aura une fonction légèrement
différente. Il s'agit de protéger l'authentification
elle-même lorsque cela est nécessaire. Par exemple, avec les
protocoles PEAP et TTLS pour lesquels il faut protéger les
échanges d'authentification du mot de passe.
Avec EAP/TLS, ce tunnel ne sera pas utilisé puisque
l'authentification est déjà réalisée avec les
certificats qui servent à créer le tunnel. TLS est un protocole
d'authentification mutuelle par certificat du client (le supplicant) et du
serveur.
Chacun doit donc posséder un certificat qu'il envoie
à l'autre qui l'authentifie. Cela impose donc l'existence d'une IGC
(Infrastructure de Gestion de Clés). Si elle n'existe pas, il est
possible d'en créer une assez facilement.
2.2.2. Le protocole EAP/PEAP
PEAP est un protocole qui a été
développé par Microsoft, Cisco et RSA security pour pallier le
principal problème d'EAP/TLS, à savoir la nécessité
de distribuer des certificats à tous les utilisateurs ou machines. Cela
peut être une charge importante, voire ingérable pour certains
sites.
Comme avec EAP/TLS, c'est une authentification mutuelle qui
s'établit entre le supplicant et le serveur. Mais cette fois, elle est
asymétrique. Le serveur sera authentifié par son certificat
auprès du supplicant qui, lui-même, s'authentifiera auprès
du serveur par la présentation d'un identifiant et d'un mot de
passe.Seul le serveur a besoin d'un certificat. Mais les clients doivent tout
de même installer le certificat de l'autorité qui a émis le
certificat du serveur.
Cela permet de s'assurer que les mots de passe sont
envoyés au bon serveur et non à un usurpateur. Comme un mot de
passe va être envoyé par le supplicant au serveur, il faudra bien
que ce dernier le valide en fonction d'une base d'authentification qu'il pourra
interroger.
Le serveur Radius devra donc être
paramétré de manière à pouvoir valider le mot de
passe. En principe, si on décide d'utiliser PEAP, cela signifie que
cette base existe déjà sur le site. En général, il
s'agit d'une base Windows mais il est aussi possible d'utiliser une base
LDAP.
Une authentification PEAP se décompose suivant le
modèle à quatre étapes d'EAP que nous avons vu
précédemment:
1. Étape « Identité externe ».
2. Étape « Négociation de protocole
».
28
3. Étape « Protocole transporté ».
4. Étape « Clés de chiffrement ».
PEAP n'est autre que la mise en oeuvre des deux phases du
protocole TLS dont nous avons parlé précédemment. Phase
TLS Handshake.
o Le serveur envoie au supplicant une requête de
démarrage de PEAP au moyen d'un paquet EAP-Request contenant
EAP-Type=PEAP (PEAP-start).
o Le supplicant répond (client_hello) avec la liste
des algorithmes de chiffrement qu'il est capable d'utiliser.
o Le serveur envoie son certificat et sa clé publique
au supplicant. Il lui transmet aussi l'algorithme qu'il a choisi parmi la liste
qu'il a reçue précédemment.
o Le supplicant authentifie le certificat du serveur. Il
génère la Pré-Master Key. Celle-ci est chiffrée
avec la clé publique que vient de lui envoyer le serveur.
o Client et serveur calculent la Master Key et le tunnel
chiffré est ainsi établi.
2.2.3. Le protocole EAP/TTLS
TTLS (Tunneled Transport Layer Security) a été
développé par les sociétés Funk Software et
Certicom. Son objectif est exactement le même que celui de PEAP,
c'està-dire fournir un protocole d'authentification mutuelle entre le
poste client et le serveur d'authentification.
Le premier s'authentifie grâce à un couple
identifiant-mot de passe, et le second, avec un certificat. En revanche, la
technique utilisée est différente. Au départ, les choses
sont identiques. Le protocole EAP est mis en oeuvre et se déroule
suivant les quatre étapes que nous avons vues précédemment
: identité externe, négociation de protocole, protocole
transporté, clés de chiffrement. TTLS intervient dans
l'étape « Protocole transporté ».
TTLS se différencie de PEAP à deux niveaux.
D'une part les informations sont transportées au moyen de couples
Attributs/Valeurs (AVP) compatibles avec ceux de Radius. D'autre part, la
notion de serveur TTLS est introduite. Il s'agit d'un serveur qui s'intercale
entre l'équipement réseau et le serveur d'authentification. Bien
sûr, le serveur TTLS n'est pas forcément une machine
séparée du serveur d'authentification.
Le supplicant communique toujours grâce à EAP
avec l'équipement réseau. Ce dernier n'a plus de relation directe
avec le serveur d'authentification, mais avec le serveur TTLS, au moyen du
protocole Radius. C'est également avec Radius que le serveur TTLS
communique avec le serveur d'authentification.
TTLS s'appuie sur TLS pour réaliser, comme avec PEAP,
une authentification en deux phases. La phase TLS Handshake pour établir
un tunnel chiffré, et la phase TLS Record pour faire passer dans le
tunnel un protocole d'authentification par mot de passe.
29
Mais, cette fois, les paquets du protocole d'authentification
dans le tunnel vont être encapsulés dans des paquets du protocole
TTLS qui, eux-mêmes, sont formés de couples Attribut/Valeur (AVP)
compatibles avec ceux de Radius.
2.3. FreeRadius13
FreeRadius est une implémentation de Radius
élaborée, à la suite du projet Cistron, par un groupe de
développeurs. La scission entre les deux projets date de 1999. C'est un
projet Open Source sous licence GPL.
Le site officiel du projet est
http://www.freeradius.org
d'où il est possible de télécharger le logiciel et de
trouver les pointeurs sur deux listes de diffusion très actives. L'une
est à l'usage des utilisateurs et l'autre est dédiée aux
développeurs qui ont contribué au projet. FreeRadius doit son
succès à sa compatibilité avec un grand nombre de
standards couvrant les systèmes d'exploitation, les protocoles et les
bases d'authentification. Cette large couverture offre une riche palette de
possibilités qui lui permet de s'intégrer dans la plupart des
architectures existantes. Il est annoncé comme testé et
fonctionnel sur les systèmes Linux (toutes distributions), FreeBSD,
NETBSD et Solaris.
Parmi les protocoles d'authentification compatibles citons
:
· IEEE 802.1X ;
· EAP/TLS (Transport Layer Security);
· EAP/PEAP (Protected Extensible Authentication
Protocol);
· EAP/TTLS (Tunneled Transport Layer Security);
· EAP/SIM (Subscriber Identity Module);
· EAP/GTC (GenericTokenCard);
· EAP/MD5 (Message Digest) ;
· LEAP (Lightweight Extensible Authentication Protocol);
· MS-CHAP (Microsoft Challenge Handshake Authentication
Protocol);
· CHAP (Challenge Handshake Authentication Protocol);
· PAM (PluggableAuthentication Modules).
Et pour les bases d'authentification (et d'autorisation),
LDAP, Domaine Windows (authentification seulement), Mysql, Oracle, Postgresql,
DB2, fichiers Unix /etc/ passwd, /etc/shadow (authentification seulement), base
locale sous forme de fichier plat (users). Ces listes ne sont pas exhaustives
et sont susceptibles de s'étoffer au fil des nouvelles versions.
Dans le cadre de cet ouvrage, nous utiliserons les protocoles
EAP/TLS, EAP/PEAP, EAP/TTLS ainsi que CHAP. Ce dernier est utilisé dans
le cas de l'authentification Radius-MAC sur certains matériels
(Hewlett-Packard). Pour les bases de données nous utiliserons d'abord le
fichier local users, qui nous permettra de nous familiariser avec les
mécanismes de FreeRadius.
2.3.1. Principes généraux
13
http://www.ietf.org/rfc
30
Le processus exécuté par FreeRadius comprend
principalement deux étapes : l'autorisation et l'authentification. Aussi
curieux que cela puisse paraître, c'est bien dans cet ordre que les
opérations vont se dérouler.
Bien sûr, FreeRadius ne va pas donner d'autorisations
avant d'avoir authentifié le client. Il va préparer le terrain en
établissant la liste des autorisations qui sera envoyée au NAS
quand l'authentification sera positive.
2.4. L'authentification réseau
De façon imagée, l'utilisateur qui veut entrer
sur le réseau va s'adresser à un gardien qui lui demande de
décliner son identité qui va vérifier auprès d'un
poste de sécurité centrale, que l'on peut effectivement le
laisser entrer et qui prendra connaissance des prérogatives qui seront
accordées à l'utilisateur après son admission.
Tout d'abord il faut se souvenir que dans des temps
très reculés dans les années 70, les terminaux
étaient reliés au serveur par des liens
spécialisés. Pour s'infiltrer, un hacker devait donc
obligatoirement se brancher physiquement sur ces liens. Lorsque les
réseaux ont commencé à utiliser un modèle
client-serveur et que les terminaux ont été remplacé par
les PC, les administrateurs ne pouvaient plus avoir confiance aux utilisateurs.
En effet, ceux-ci peuvent désormais modifier un logiciel ou
écouter le réseau. Il a donc fallu mettre en place un
système permettant de rétablir cette confiance sur le
réseau : L'authentification réseau.
2.4.1. Intérêt d'utiliser des protocoles
d'authentification Réseau
L'authentification réseau
(Identification + vérification) c'est
authentifier une machine lorsqu'elle se branche sur le réseau afin
d'autoriser ou de refuser l'usage du réseau14.
Plusieurs raisons nous amènent à utiliser
l'authentification
notamment :
· La sécurisation des réseaux filaires ou
sans fils ;
· L'interdiction les postes inconnus ;
· Placer les postes connus à des endroits
spécifiques du réseau (vlan) de façon dynamique ;
· Connaitre quelle machine est connectée et
où elle est connectée
2.4.2. Eléments pour s'authentifier
Pour s'authentifier sur un réseau on a disposé
des éléments suivants :
· L'adresse MAC de la carte Ethernet
· Une base de login/mot de passe (Windows, LDAP...)
14
http://www.reseaucerta.org
31
· De certificats (utilisateurs ou machines)
2.5. Conclusion
L'étude d'une solution a pour objectif, de permettre
une bonne réalisation. Dans ce chapitre on a bien détaillé
le protocole RADIUS qui convient à la norme 802.1X et supporte les
protocoles EAP. Le chapitre qui suit va être consacré à la
mise oeuvre d'un service RADIUS pour l'authentification des utilisateurs.
32
CHAPITRE III : CADRAGE DU PROJET
III.1. Introduction
Par le cadrage de projet, on attend l'étude de
faisabilité en vue d'atteindre les objectifs fixés au
départ. Ce chapitre nous permettra à déterminer les
ressources (humaines, matérielles, financières) et planifier les
temps pour chaque activité que nous avons prévue pour notre
étude.
Les différentes activités seront
réparties en tâches (jalon) et chaque étape sera
découpée en tâches, chaque tâche comporte des
éléments essentiels ci-après : son début et sa fin
d'exécution, sa marge libre, sa marge totale, son
antériorité (contrainte), son code. Pour réaliser notre
projet, nous utiliserons la méthode PERT.
Pour finir, nous allons déterminer les chemins
critiques qui nous permettront à évaluer économiquement
notre projet ; l'intervalle de confiance que nous allons calculer, va nous
aider à avoir une plage de temps acceptable pour notre étude.
III.2. Technique d'ordonnancement des tâches
Quelle que soit la réalisation d'un projet :
étude sur un système, lancement d'un nouveau produit,
installation d'un nouvel équipement, mise en place d'une
opération de communication etc...) passe nécessairement par
l'exécution d'un nombre de tâches plus ou moins important à
réaliser dans les délais impartis et selon un agencement bien
déterminé.15
Ces techniques d'ordonnancement comptent à optimiser la
planification de ces taches en respectant leurs contraintes. Il convient de ne
pas perdre de vue que ces différentes techniques s'inscrivent dans une
démarche plus générale qui s'articule autour de trois
étapes principales :
Ø La planification : la
détermination des différentes opérations à
réaliser en précisant leurs dates de début et
d'achèvement et les moyens matériels et humains à y
affecter
Ø L'exécution : mise en oeuvre
des différentes activités définies lors de la phase de
planification.
Ø Le contrôle : comparaison
entre les moyens et délais effectivement alloués à la
réalisation des taches et ceux initialement s'effectuant
simultanément ou postérieurement à l'exécution des
taches.
III.3.Méthodes d'ordonnancement des
tâches
Nous allons utiliser la méthode des
antécédents avec laquelle nous supposons que sauf indication
contraire, la liaison entre deux taches successives est une liaison
fin-début = 0 ce qui veut dire que la date de fin tâche
précédente est confondue avec la date de début de la
tâche suivante16.
III.4. Principes de représentation des taches en
PERT
Avant de construire un graphe PERT, nous sommes censés
de passer aux principes ci-apres :
15 Charles KUTU, Cours : Evaluation de projets,
I.S.I.C., L2ADR, 2018-2019, P 43 Inédit ;
16 KASORO, Génie logiciel, I.S.I.C.,
L2ADR, 2017-2018, P 35. Inédit;
Duréeprob =
D. opt + D. pessimiste
2
(1)
33
§ Ressortir l'ensemble des taches ou opérations,
à réaliser et leur durée ;
§ Analyser et définir précisément les
liens d'indépendance entre les tâches ;
§ Identifier les tâches pouvant être
réalisées simultanément ;
§ Identifier les tâches dépendantes.
La construction d'une activité en PERT est
représentée sous forme d'un arc comme nous la montre la figure
III.1.
id(i)
Figure III.1 : Représentation d'une
activité en PERT.
· X et Y : Sommets d'une activité ;
· i : Tâche d'un projet ;
d(i) : durée de l'activité i. III.5.
Contraintes du graphe PERT
Le graphe PERT présente les contraintes majeures
suivantes :
· Une tâche (j) ne peut commencer que si la
tâche (i) se termine ;
· Il y'a l'existence d'une ou plusieurs tâches
fictives (taches sans durée) ;
· Il y'a une étape de début et une
étape de fin. Pour notre, cas les contraintes sont les suivantes :
(1) avant (2)
(2) avant (3)
(3) avant (4)
(4) avant (5)
(5) avant (6)
(6) avant (7)
La durée probable d'une activité se calcule par la
relation ci-dessous :
34
III.5.1. Identification des activités
(tâches)
Le tableau ci-dessous nous donne les différentes taches
retenues pour notre étude en déterminant les durées
(optimiste, pessimiste, et probable) mais aussi leur cout.
Tableau III.1: Identification des activités
prévues pour ce cas.
|
Code
|
Tâches (activités)
|
Durée optimiste
|
Durée
pessimiste
|
Durée probable
|
Coût en $
|
Contrainte
|
|
A
|
Etude préalable ;
|
4
|
10
|
7
|
200
|
-
|
|
B
|
Conception ;
|
5
|
5
|
5
|
120
|
A
|
|
C
|
Achat, acquisition des
matériels et accessoires ;
|
5
|
15
|
10
|
15.000
|
B
|
|
D
|
Installation et
configuration des
matériels ;
|
2
|
12
|
7
|
300
|
C
|
|
E
|
Déploiement du système ;
|
6
|
12
|
9
|
150
|
D
|
|
F
|
Test
|
4
|
10
|
7
|
450
|
E
|
|
G
|
Formation
|
5
|
11
|
8
|
300
|
F
|
35
Le calcul des durées moyennes des activités est
donné par la relation suivante :
???? = ????+????+?????? (2)
??
Avec, xi = durée moyenne de
l'activité i. ai= durée optimale de
l'activité i. bi = durée pessimiste de
l'activité i. mi = durée probable de
l'activité i.
x1 =
x2 =
x3 =
x4 =
x5 =
x6 =
x7 =
= 7
4 + 10 + 4(7)
= 5
6
5 + 5 + 4(5)
6
= 10
5 + 15 + 4(10)
= 7
= 9
= 7
= 8
6
2 + 12 + 4(7)
6
6 + 12 + 4(9)
6
4 + 10 + 4(7)
6
5 + 11 + 4(8)
6
III.5.2 Evaluation des ressources
Cette évaluation des ressources tient compte de trois
éléments que nous citons à savoir :
§ Les ressources Humaines : nécessairement voir la
compétence des gens qu'on engage ;
§ Les ressources matérielles : faire un bon choix de
matériel ;
§ Les ressources financières : il faut avoir un
budget (l'argent). III.5.3. Contraintes techniques
La réussite d'un projet suppose la prise en compte de
trois éléments importants17 :
§ Les temps (délai) ;
§ Le cout (budget) ;
§ Les ressources (humaines, matérielles et
financière).
Bref, il faut bien planifier les ressources et les temps pour
mieux réussir ou réaliser un bon projet.
Ø Les temps : pour respecter le
délai, il faut planifier le temps. Faire le WBS (Works
Breakdown Structure ou Structure de découpage de Projet).
Temps = Etape + tache (3)
Etape ou jalon = plusieurs taches ; pour chaque étape,
il faut déterminer sa durée et ses ressources.
III.6. Graphe PERT non ordonné
Ce graphe a été construit à partir des
taches retenues pour les contraintes techniques de notre étude
(figure III.2).
Celui-ci, nous permettra à représenter notre graphe
PERT ordonné (cfr.III.7).
17 Charles KUTU. Op.cit, P 56;
36
7
2 3 4 6
1 5
1 2 7
3 4 5 6
8
Figure III.2 : Graphe perte non ordonné.
37
III.6.1. Matrice booléenne (Tableau
III.2) Tableau III.2 : Matrice Booléenne.
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
|
1
|
0
|
1
|
0
|
0
|
0
|
0
|
0
|
|
2
|
0
|
0
|
1
|
0
|
0
|
0
|
0
|
|
3
|
0
|
0
|
0
|
1
|
0
|
0
|
0
|
|
4
|
0
|
0
|
0
|
0
|
1
|
0
|
0
|
|
5
|
0
|
0
|
0
|
0
|
0
|
1
|
0
|
|
6
|
0
|
0
|
0
|
0
|
0
|
0
|
1
|
|
7
|
0
|
0
|
0
|
0
|
0
|
0
|
0
|
III.6.2. Calculs de Rangs
Rn - 7 = R0
R7 - 1 = R6 R7 - 2 = R5 R7 - 3 = R4 R7 - 4 = R3 R7 - 5 = R2 R7 -
6 = R1 R7 - 7 = R0
Avec n: notre de tâches retenues pour
notre projet, il est égal à 7
38
III.7. Graphe PERT ordonné (Figure III.3)
Ce graphe PERT ordonné consiste à
représenter l'ensemble des tâches à partir duquel il sera
possible d'identifier leurs dates au plus tôt et celles au plus tard mais
aussi de calculer leurs marges.
0 0 0 0 0 7 7 7 5 12 12 10 22 22 7 29 29 9 38 38 7 45 45 8 53
A B C D E F
Début
G
53
Fig. III.3 : Graphe PERT
ordonné
39
II.8. Calcul de DTO et de DTA
II.8.1. DTO (date au plutôt)
La date au plus tôt consiste à définir en
unités de temps cumulés depuis l'origine du projet que l'on peut
prévoir pour chaque tâche, et se calcule comme suit
:
DTO (x) = Max {DTO(y) + d (i)} (4)
DTO (A) = Max = 0 DTO (B) = 0+ 7 = 7 DTO (C) = 7+ 5 = 12
|
DTO (D) = 12
|
+ 10
|
= 22
|
|
DTO (E) =
|
22
|
+ 7
|
=
|
29
|
|
DTO (F) =
|
29
|
+ 9
|
=
|
38
|
|
DTO (G) =
|
38
|
+ 7
|
=
|
45
|
DTO (Fin) = 45 + 8 = 53
II.8.2. DTA (date au plus tard)
Elle consiste à définir la date de début et
la date de fin ; à ne jamais dépasser pour chaque tâche si
l'on veut respecter l'objectif temps de la fin d'un projet.
Cette date est calculée par la formule :
DTA (x) = Min{DTA (y) - d (i) }( 5)
DTA (A) = 7 - 7 = 0
DTA (B) = 12 - 5 = 7
DTA (C) = 22 - 10 = 12
DTA (D) = 29 - 7 = 22
DTA (E) = 38 - 9 = 29
DTA (F) = 45- 7 = 38
DTA (G) = 53- 8 = 45
DTA (fin) = 53
II.9. Détermination des marges libres (ML) et
marges totales (MT)
II.9.1. Marge libre (ML)
Les marges libres sont définies comme étant le
délai du retard maximum que
l'on peut apporter à la mise en route d'une tâche
sans affecter la tâche suivante :
ML (i) = {DTO (y) - DTO (x) - d (i)} (6)
ML (A) = 7 - 0 - 7 = 0
ML (B) = 12 - 7 - 5 = 0
ML (C) = 22 - 12 - 10 = 0
ML (D) = 29 - 22 - 7 = 0
ML (E) = 38 - 29 - 9 = 0
ML (F) = 45 - 38 - 7 = 0
ML (G) = 53 - 45 - 8 = 0
II.9.2. Marge totale (MT)
Les marges totales nous permettent à définir un
délai flottant pour la mise en route d'une tâche sans
dépasser la date au plus tard de la tâche suivante :
MT (i) = {DTA (y) - DTO (x) - d (i) (7)
MT (A) = 7 - 0 - 7 = 0
40
MT (B) = 12 - 7 - 5 = 0 MT (C) = 22 - 12 - 10 = 0 MT (D) = 29 -
22 - 7 = 0 MT (E) = 38 - 29 - 9 = 0 MT (F) = 45 - 38 - 7 = 0 MT (G) = 53 - 45 -
8 = 0
III.9.3. Choix du chemin critique
Tableau III.3 : Représentation des marges
libres et totales
|
Tâche
|
Marge Libre
|
Marge totale
|
Observation
|
|
1
|
0
|
0
|
Chemin critique
|
|
2
|
0
|
0
|
Chemin critique
|
|
3
|
0
|
0
|
Chemin critique
|
|
4
|
0
|
0
|
Chemin critique
|
|
5
|
0
|
0
|
Chemin critique
|
|
6
|
0
|
0
|
Chemin critique
|
|
7
|
0
|
0
|
Chemin critique
|
Les chemins critiques sont : 1, 2, 3, 4, 5, 6,7.
III.10. Durée et cout total du Projet
Ces deux critères : durée et le cout total du
projet se calculent en fonction des activités prévues dans votre
projet. Pour notre cas, nous avons prévus six activités, chaque
activité à sa durée et son cout (cfr II.5.1)
III.10.1. Durée Totale du Projet (DTP)
i = 1
i = 1
c(i)
La durée totale du projet consiste à additionner
la durée de chaque tâche c'est-à-dire faire cette somme des
durées de toutes les tâches critiques. Pour notre cas :
Après ces calculs effectués la DTP sera de 53
jours. III.10.2. Cout Total du Projet (CTP)
On évalue le cout total du projet en faisant la somme
des couts de toutes les activités ou tâches prévues.
Après le calcul la relation (9) nous montre que le CTP
sera de 16.520$ III.11. Intervalle de confiance de la durée
optimale
Nous aurons nécessairement besoin des
éléments ci-dessous pour calculer l'intervalle de confiance de la
durée optimale de notre projet; il s'agit de la (l') :
1) Variance
2) Ecart type du projet
3) Durée moyenne du project.
n
(12)
Avec activité i appartenant au chemin critique c'est ainsi
que nous aurons :
x
=
?
xi
x=x
41
4) Intervallic de confiance.
III.11.1. Variance ()
2 ? _
11 5 '
= ??
? 6)
La variance de l'activité i ( ) est donnée par la
relation:
(10)
1
2
cYG
III.11.2. Ecart type du projet
Nous allons nous servir de cette relation pour calculer
l'écart type de notre projet :
(11)
+ x + x + x + x +
x + x
III.11.3. Durée moyenne du PROJET (x)
Nous avons cette relation qui va nous aider de calculer la
durée moyenne du projet (x)
i = 1
1 2 3 4 5 6 7
42
= 7+ 5 + 10 + 7 + 9 + 7 + 8 = 53 jours III.11.4.
Intervalle de confiance
La relation suivante permet de calculer l'intervalle de confiance
(I): (13)
Si nous voulons avoir 99,9 % de chance d'exécution de
notre projet, le tableau
statistique donne pour la valeur 3.
D'où, I =
=
Donc, la Durée optimale du projet est comprise entre 40
et 66 jours à 99.9 % de chance d'être réalisé.
III.12. Conclusion
Dans ce chapitre, toutes les procédures principales
conduisant à la réalisation d'un projet ont été
fournies. Après avoir effectué des calculs, la relation (9)
montre enfin que le cout total du projet est évalué à
16.520$ durant totalement 53 jours (relation 8).
43
CHAPITRE IV : ETUDE SUR LE SYSTEME EXISTANT
IV.0. INTRODUCTION
Au niveau de ce chapitre nous allons présenter, dans
une première partie, les résultats de l'étude de
l'état actuel au niveau infrastructure réseaux et
sécurité réseaux.
Avant tout nous allons présenter l'hôpital Saint
Joseph dans son ensemble IV.1. Présentation
Aperçu Historique
L'Hôpital Saint Joseph remonte son histoire en 1987
lorsque le cardinal MALULA a reçu un don de 27.676$ auprès du
président Mobutu à l'occasion de son jubilé d'or de sa vie
épiscopale. Avec cet argent le cardinal décida de transformer le
couvent des soeurs Thérésiennes à un hôpital qui
sera inauguré en 1981 avec un premier service qui est le dispensaire,
comptant 2 médecins et quelques infirmiers et qui sera gérer
après sa mort par l'archidiocèse de Kinshasa.
Les choses vont s'accélérer en 1939 avec la
nomination du BDOM, la soeur Bénédicte et le médecin
directeur de l'Hôpital Saint Joseph. A noter que dans cette époque
l'hôpital comptant que 3 médecins et quelques infirmiers de niveau
A3 et A2 qui seront recrutés grâce à l'appui de MEMISA
Hollande.
Alors ce dispensaire et le service de la médecine
interne seront agrandis et un service chirurgical sera créé,
ainsi les premiers médecins spécialistes et
généralistes seront engagés.
Très vite avec l'appui de MEMISA Belgique
l'hôpital Saint Joseph deviendra un hôpital de
référence pour les maternités du BDOM/Kinshasa où
seront référé tout le cas de césariennes du
réseau des centres de santé mis en place dans le cadre de «
santé pour tous ».
Face aux problèmes de dystocie des femmes
référés par les maternités BDOM et celles
refusées par les Hôpitaux de la ville par manque des moyens
financières et dans un souci de diminuer la mortalité des femmes
refoulées dans autres institutions sanitaires. Le BDOM décida
décongestionner l'hôpital en créant de salles
d'opération dans le 6 centres en cas des césariennes simples.
Actuellement ces centres hospitaliers assurent les
interventions courantes et se référant à l'hôpital
Saint Joseph que dans le cas le plus compliques ou difficiles.
En même temps un système des consultations dans
les centres périphériques se mit en place à partir de
l'hôpital Saint Joseph d'où les médecins
spécialistes de l'hôpital vont quelques jours par semaine pour
consulter les diabétiques, les hypertendus, les tuberculeux et d'autres
maladies chroniques dans les centres hospitaliers du BDOM. Avec création
des autres services spécialistes tels que l'ophtalmologie et l'ORL.
Il est a noté que le couvent transformé en
dispensaire par le Cardinal MALULA, évolue à l'Hôpital de
3ème échelon où d'autres hôpitaux de
référence se réfèrent dans le cas difficile.
44
Pendant ces derniers années, l'hôpital Saint
Joseph en particulier et BDOM en général a vu clairement le jour
enfin de cadencée par le rythme de la misère croissante de Kinois
n'ayant pas d'accès aux soins médicaux par manque des moyens
financiers.
Situation Géographique
L'hôpital Saint Joseph se situe dans la commune de
Limete, entre quatorzième et quinzième rue, il est limité
:
· Au nord par les couvents des pères dominicains
· Au sud par le quartier MOTEL FIKIN
· A l'Est par le boulevard Lumumba
· A l'ouest par le quartier Masiala, dans le quartier
résidentiel, de la commune de Limete.
Objectifs
Comme tout hôpital digne de ce nom, l'Hôpital
Saint Joseph a comme tâche principale d'assurer les soins de santé
aux malades. Outre cette mission de routine, il a en effet une triple mission
:
· Répondre aux besoins de santé de la
population ;
· Réduire les distances à parcourir par les
malades en quête de soins médicaux ;
· Procéder à la formation et à
l'éducation du personnel soignant, administratif et des stagiaires.
2.1. Structure organisationnelle et fonctionnelle 2.1.1.
Structure Organisationnelle
Dans son évolution actuelle, l'Hôpital Saint
Joseph comprend :
· 54 médecins
· 218 personnels soignants
· 120 administratifs
· 9 autres agents
Notons que l'effectif du personnel dans son ensemble est de 401
agents
dont 424 travaillant à temps plein et 15 à temps
partiel.
L'Hôpital Saint Joseph dispose en son sein les services
ci-après.
a. Les services médicaux
La capacité d'accueil de l'Hôpital Saint Joseph
est de 300 lits repartis de
la manière suivante :
· Le dispensaire 0 lit
· Le service d'urgence avec 32 lits dont 17 pour la
pédiatrie
· La médecine interne avec 39 lits
· Le service de la réanimation avec 6 lits
· La maternité post-partum avec 30 lits
· La gynécologie avec 59 lits
· La chirurgie avec 46 lits
· La pédiatrie avec 24 lits
· La néonatalogie avec 14 lits
· L'ophtalmologie avec 21 lits
· Le pavillon privé avec 19 lits
45
· L'oto-rhino laryngologie avec 10 lits
· La dentisterie
· La kinésithérapie
· La dermatologie
· La stérilisation
· Le bloc opératoire
· L'anesthésie
· La diabétologie
· La consultation prénatale
b. Les services médico-techniques
:
· Le laboratoire
· La pharmacie
· L'imagerie médicale
c. Les services administratifs
· Les archives, statistiques & bibliothèque
documentations
· La morgue
· L'informatique
· Le magasin
· La sécurité
· Le service technique
· Le secrétariat
· Le charroi
· L'intendance
· Le mess
· La buanderie
2.2. Structure fonctionnelle
L'hôpital dispose de quatre directions suivantes :
- Direction administrative
- Direction médicale
- Direction financière
- Direction de Nursing
a. La Direction Administrative Cette
direction a pour tâches :
· Tenir l'administration de l'hôpital
· Représenter l'hôpital chez les
différents partenaires
· Engager l'hôpital en cas de besoin
b. La Direction Financière
Les attributions dévolues à cette direction sont
les suivantes :
· Assurer la gestion de la trésorerie
· Planifier les recettes et les dépenses de
l'exercice
· Contrôler les coûts
· Déterminer les tarifs
c. La Direction Médicale
Cette direction est chargée principalement de
l'organisation des soins et collabore avec les médecins chefs de
services et le pharmacien. Elle regroupe tout le corps médical et
coordonne l'action de cette dernière. Elle organise les roulements de
médecins. La Direction médicale est subdivisée en service
suivants :
46
· Dispensaire
· Urgence
· Réanimation
· Médecin interne
· Maternité post-partum
· Chirurgie
· Gynécologie
· Ophtalmologie
· Pédiatrie (néonatologie)
· Pavillon privé
· Oto-rhino-laryngologie
· Dentisterie, kinésithérapie
· Dermatologie
· Stérilisation
· Pharmacie
· Salle d'opération
· Anesthésie
· Diabétologie
· Consultation prénatale
d. La Direction Nursing :
Cette dernière direction s'occupe de la dispensation
des soins infirmiers. Elle joue les rôles ci-après : Regrouper les
infirmiers et les techniciens chef des services para médicaux.
· Organiser les roulements des infirmiers
Etudier l'organisation matérielle, la planification et
la dotation humaine
47
2.3.Organigramme de l'Hôpital Saint
Joseph
Conseil d'Administration
Bureau Diocésain Des OEuvres
Comité Directeur
|
|
|
|
|
|
Audit Interne
|
|
|
Direction Générale
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Direction Médicale
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Pharmacie
|
|
|
|
|
|
|
|
. Dépôt Pharmacie
. Pharmacie cession
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Soins Intensifs
|
|
|
|
|
|
|
· Dispensaire
· Urgence ad, Réan. & Soin Int
· Pédiatrie
· Gynécologie Obs.
· Imagerie Méd.
· Chirurgie Méd.
· Med. Interne
· Laboratoire
· Kinésithérapie
· Stomatologie
· Ophtalmologie
· Rhumatologie
|
·
|
|
|
Compt. Budjet
|
|
|
Imagerie Médicale
|
|
Maternité
|
|
|
Social & Pastoral
|
|
|
|
|
Achats
|
|
|
Anesthésie
|
|
Stomatologie
|
|
|
|
Magasin
|
|
|
|
|
Gynécologie
|
|
Ophtalmologie
|
|
|
Buandérie
|
|
|
|
|
Chirurgie
|
|
Hygiène Hospi
|
|
|
Pédiatrie
|
|
|
Sécurité
|
|
·
·
·
·
|
Mat. Méd. Lingerie Div. Fourn Prod. Entr.
|
|
|
|
Méd. Interne
|
|
|
Morgue
|
|
|
|
|
49
2.4. Etude de l'existant
2.4.1. Infrastructure réseaux
En menant un audit sur l'architecture réseau de
l'Hôpital Saint Joseph on a pu avoir l'architecture
schématisé dans la figure IV.1. Qui est une structure plane
comportant un Routeur Microtic et plusieurs switches.
1
1
4
4
1
Point d'accès
sans fil
Commutateur.
14
Moniteur LCD
Cadre
Symbole Total
Sous-titre de la légende
Bâtiment Laboratoire
Légende
26
1
2
1
1
Routeur ATM
Description
Liaison
commutée
Serveur
Modem
Cloud
PC
Bâtiment
Kinésithérapie
Bâtiment Administratif
Bureau IT
Figure II.1:Architecture
Réseau
50
2.4.2. Matériels
En menant un inventaire aux différents services et
départements de l'Hôpital, on a pu avoir les résultats
suivants :
+ Vingt-six Ordinateurs repartis entre différents
services (Comptabilité, Caisse, Trésorerie, Box des
Médecins, etc...)
+ Les équipements sont homogènes de point de vue
caractéristique et tous sont des PC marque HP Pro
+ Les capacités mémoires des PC varient entre 1
GO, 2GO de RAM dans la plupart des cas et de 4 GO de RAM dans une dizaine
d'ordinateurs.
+ Les processeurs sont tous avec une architecture 64 bits (non
exploitée dans la plupart des cas).
+ Système d'exploitation 32 bits et 64 bits Windows 7
dans la plupart.
2.4.3. Sécurité
Aucune politique de sécurité n'est
appliquée, mais on peut remarquer qu'il y avait une politique qui n'est
pas prise en charge par la Direction. Concernant les réseaux sans-fil
sont ouverts et accessibles par tous les utilisateurs même ceux qui
n'appartiennent pas l'Hôpital.
2.4.4. Services
Les services offerts pour le moment sont des services de base
c'est-à-dire la gestion de la pharmacie, des mouvements des malades, des
consultations, dépannage et maintenance des équipements
informatiques dont les ordinateurs, le réseau et spécification
des caractéristiques de matériel à procurer en cas de
besoin.
2.4.5. Critique de l'existant
Ø Réseau non segmenté ;
Ø Pas de politique de sécurité ;
Ø Pas de gestion des stratégies d'accès
;
Ø Abus d'utilisation des ressources réseaux
Ø Une perte de temps : le fait que le technicien doit
réinstaller l'ensemble des logiciels chaque semestre ainsi que chaque
fois qu'il y a des problèmes par exemple de virus.
Ø Mauvaise exploitation du matériel : soit une
sous exploitation du matériel le cas des machines avec 4 GO de RAM avec
Windows 7, 32 bits seulement 3.72 Go exploitable ainsi que le processeur n'est
pas exploité.
2.4.3.1. Besoins en sécurité
Ø Sécurisation du réseau sans fil et
filaire ;
Ø Création de profils utilisateurs
personnalisé ;
Ø Protection de donnée ;
Ø Filtrage de sites indésirables.
51
2.5. Besoins résultats de notre étude
Ø Créer une politique de sécurité
;
Ø Gestion de la haute disponibilité ;
Ø Segmentation du réseau.
52
IV.2. Conclusion
Ce chapitre a fait l'objet d'une présentation
d'infrastructure réseau existant et une critique par rapport à la
politique de sécurité que nous montre cette institution
hospitalière.
Nous avons établi les besoins en sécurité
que nous disposons d'un serveur Radius permettra une meilleure politique de
sécurité pour celle-ci.
53
CHAPITRE V : MISE EN PLACE DU SYSTEME DE SECURITE
RESEAU BASEE SUR LE SERVEUR RADIUS
5.1. Introduction
Lorsque l'on doit assurer le bon fonctionnement d'un
réseau qui dépasse les dimensions du réseau familial, il
devient nécessaire de s'assurer que le danger ne vient pas de
l'intérieur. Avec la prolifération des ordinateurs personnels
portables, le risque de voir une machine inconnue venir polluer le
réseau de l'intérieur doit être pris au sérieux.
Ce chapitre a pour but d'apporter quelques ébauches de
solutions à tous ces problèmes en mettant en oeuvre une solution
d'authentification autour de serveurs Radius.
5.2. Analyse de besoin
Après notre étude mène à
l'hôpital saint joseph, nous avons constaté que ce dernier a
besoin d'améliorer la sécurité des infrastructures
réseau en mettant en place un système d'authentification base sur
le serveur radius.
5.3. Etat de besoin
Les besoins matériels suivant pourraient nous aider
à réaliser cette mise en place
- 1 serveur Radius
- Des accès-points (antenne Wifi)
- Des Switchs - 1 Routeur
5.4. Plan d'adressage
Adresse réseau : 192.168.160.0
Adresse passerelle : 192.168.160.1
Masque : 255.255.255.248
Adresse du serveur : 192.168.160.3/29
Adresse des points d'accès : 192.168.160.5/29 et
192.168.160.8/29
Adresse routeur : 192.168.160.4/29
Adresse postes clients (DHCP) : 192.168.160.6 à
192.168.160./24
53
5.5. Schéma du nouveau Réseau
BUREAU IT
AUTRES SERVICES
DIRECTION GENERALE BATIMENT DES
CONSULTATIONS
Médecin Directeur
Général
Directeur
Directeur de
Médical
Nursing
Administratif
Directeur
Directeur
Financier
Secrétariat
Administratif
Schéma du nouveau
Réseau
Légende
34
4
1
1
1
1
1 Moniteur LCD
1 Routeur ATM
1
Commutateur
ATM
Point d accès
sans fil
Terminal
Cloud
Serveur
Modem
PC
Symbole Total Description
Sous-titre de la légende
Suivant
54
5.6. Installation et configuration
Premièrement, vous devez posséder votre serveur
Windows 2012 R2 ou une autre version. Le service RADIUS est introduit depuis la
version 2003 édition entreprise (elle n'y est pas dans la version
standard). Dans ce chapitre nous partons du principe que vous possédez
déjà le serveur, comme c'est le cas dans une grande partie des
entreprises voulant mettre en place un serveur d'authentification.
Pour commencer, on sous-entend que notre serveur d'annuaire
(ADDS et DNS) sont déjà installé sur notre serveur. Ici,
nous procéderons à l'installation NPS (Network Policy Server) qui
implémente le serveur RADIUS.
Il faut donc aller sur le gestionnaire de serveur et cliquer
sur Ajouter des rôles et des fonctionnalités.
Puis Installation basée sur un rôle ou une
fonctionnalité.
55
Dans service de rôle il faut sélectionner Serveur
NPS (Network Policy Server).
Vous pouvez cocher 'Redémarrer automatiquement le
serveur de destination si nécessaire' (suivant vos impératifs)
- Enfin cliquer sur 'Installer'
56
- Une fois l'installation terminé, cliquer sur
'Fermer'. Voilà, nous venons d'installer Notre NPS (Network Policy
Server).
Configuration du rôle NPS (Network Policy
Server)
Ajouter un nouveau client RADIUS : Ouvrer
votre panneau de configuration, Aller dans 'Outils d'administration', Puis
'Serveur NPS (Network Policy Server)', Puis 'Clients et serveurs RADIUS',
'Clients RADIUS' et 'Nouveau'
- Cocher 'Activer ce client RADIUS'
- Donner lui un nom (il servira à identifier le
client)
- Saisisse l'adresse IP du client ou son nom DNS (le serveur
NPS doit être capable de
le résoudre)
- Vous pouvez ajouter un 'Secret partagé' qui sera
partagé par le client et le serveur
RADIUS
- Cliquer sur 'OK'
Création d'une nouvelle stratégie
réseau :
Dans notre exemple, nous allons autoriser un groupe de
sécurité à s'authentifier sur le
serveur RADIUS.
- Allez dans 'NPS (Local)'
- 'Stratégies'
- 'Stratégies réseau'
57
- Clic droit 'Nouveau'
- 'Nom de la stratégie' mettez ce que vous voulez -
'Suivant'
58
- Séléctionner 'Groupes Windows'
- Cliquer sur 'Ajouter'
- Cliquer sur 'Ajouter des groupes ...' - Sélectionner
vos groupes et valider
59
- Renseigner le groupe qui doit faire partie de cette
stratégie, dans notre cas le groupe se nommera TSE (il contient
l'ensemble des utilisateurs).
- Cliquer sur 'Ajouter' si vous désirez des conditions,
pour cet exemple je n'en rajouterai pas
- 'Suivant'
60
- Cocher 'Accès accordé' - 'Suivant'
- Cocher comme ci-dessus - 'Suivant'
- Ne toucher pas aux contraintes, cette partie ne nous
intéresse pas - 'Suivant'
61
- Tout est bon dans cette partie également - 'Suivant'
- Enfin cliquer sur 'Terminer'
La nouvelle stratégie est belle est bien crée.
Pour achever notre configuration nous allons tout simplement
inscrire ce serveur NPS dans le domaine Active Directory comme ci-dessous :
62
5.7. Coûts des Matériels
|
N°
|
Matériels
|
Quantités
|
Caractéristiques
|
Prix unitaire
|
Prix Total
|
|
01
|
Serveur
|
1
|
32Go de RAM, 3X300Go HDD (extensible jusqu'à 8), 2,4X4 Ghz
CPU, Génération 9, Marque DELL Power Edge R730, 4 Ports RJ45, 2
Boitier d'alimentation
|
3.500$
|
3.500$
|
|
02
|
Accès- points
|
2
|
600??2 en champ libre, Bi-Bnde 2,4 Ghz, norme
802.11 a/b/g/n, débit théorique 300Mbps
|
200$
|
400$
|
|
03
|
Switch
|
4
|
24 ports, Marque cisco 10/100 SF110-24
|
50$
|
200$
|
|
04
|
La ligne internet
|
1
|
2Mbps/2Mbps, bande dédiée en Full duplex
|
500$
|
900$
|
|
05
|
Router
|
1
|
Microtik
|
200$
|
200$
|
|
06
|
Câble à paire torsadée
|
2 cartons
|
Catégorie 6, Marque UTP
|
120$
|
240$
|
|
07
|
Rack
|
4
|
1 grand format et 3 petits formats
|
250$+150$
|
700$
|
|
08
|
Ecran Moniteur
|
1
|
32 pouce
|
250$
|
250$
|
|
09
|
Imprimante Réseau
|
1
|
Canon,
Multifonction
|
500$
|
500$
|
|
10
|
Patch pannel
|
4
|
48 ports cat.6
|
25$
|
100$
|
|
11
|
Connecteur RJ45
|
1 Carton
|
|
10$
|
10$
|
|
Total
|
5.900$
|
63
5.6.1. Conclusion
Ce chapitre est une réalisation de ce qu'on a
étudié dans les chapitres précédents. Nous l'avons
débuté par les composantes et outils nécessaires pour
répondre à notre politique de sécurité,
après nous avons décrit les étapes de sa
réalisation. De cette manière nous avons pu répondre au
besoin ciblé au début de notre projet qui est l'Authentification
des Utilisateurs au niveau de l'Hôpital de Référence de
l'Archidiocèse de Kinshasa nommé « Hôpital Saint
Joseph », en mettant en place un Serveur Radius au sein de
l'entreprise.
Grâce à ce chapitre nous avons donc appris
comment installer et configurer notre protocole Radius dans le but de
centraliser nos données d'authentification et par la même occasion
rendre l'architecture de notre serveur plus fonctionnel et plus
sécurisé.
64
Conclusion Générale
Dans le domaine de la sécurité des
Réseaux informatiques, il est difficile de mettre en oeuvre une solution
qui répond parfaitement aux besoins ressentis dans une organisation, ce
qui oblige les administrateurs réseaux de travailler sans cesse afin
d'aboutir à une solution permettant d'améliorer la
sécurité de leur réseau.
Après notre étude consacrée au
mécanisme d'authentification, nous avons constaté l'avantage de
celui-ci concernant le contrôle d'accès des utilisateurs aux
services demandés pour minimiser le risque des attaques menaçant
le réseau.
Ce mécanisme s'agit en fait de la mise en place d'une
solution d'authentification RADIUS basée sur un serveur Radius qui
permet d'assurer l'authentification des utilisateurs avant tout accès au
réseau de l'Hôpital, ainsi de définir les droits
d'accès à chacun de ces utilisateurs.
Pour la réalisation de service d'authentification
Radius, nous avons utilisé Windows Server 2012 R2 qui inclut le serveur
d'authentification Radius, et qui fait appel à des domaines Active
Directory permettant d'avoir des contrôleurs de domaines.
La mise en oeuvre de ce projet, nous a permis d'apporter une
contribution à l'Hôpital Saint Joseph de Kinshasa, mais aussi
d'acquérir de nouvelles connaissances sur le protocole
d'authentification Radius grâce à une étude
détaillée sur son fonctionnement, ses principes et les protocoles
qu'il utilise, durant notre formation, nous avons mis en pratique ces
connaissances.
Enfin, comme perspective pour ce projet, nous souhaitons
également exploiter mieux les services qu'offre le protocole Radius
notamment l'authentification des utilisateurs en s'appuyant sur le standard
802.1x pour les connexions réseau sans fil.
65
BIBLIOGRAPHIE
v Ouvrages
1. ATELIN Philippe, Réseaux informatiques notions
fondamentales, 3ème éd. Eni, Paris, 2009.
2. LLORENS Cédric, LEVIER Laurent, Tableaux de bord de
la sécurité réseaux, 2éd. Eyrolles, Paris, 2006, 7
pages.
3. MONTAGNON Jean-Antoine, Les réseaux d'entreprise
aujourd'hui, éd. Eyrolles, Paris, 2001.
4. G. Pujolle, les réseaux, 2éme
éd.Eyrolles, Paris, 2008, 886 pages 8
5. Michel.R. La sécurité des réseaux et
des systèmes, Paris, 2005-2006.
v Notes de cours
1. MATONDO Emmanuel, Administration réseaux, Notes de
cours, Institut Supérieure d'informatique Chaminade, Kinshasa, 2019.
Inédit.
2. TSHIKOLO Alain, Sécurité informatique, Notes
de cours, Institut Supérieure d'informatique Chaminade, Kinshasa, 2019.
Inédit.
3. Charles KUTU., cours : Evaluation de projets, Institut
Supérieur d'Informatique Chaminade, L2ADR, 2018-2019, P43,
inédit.
4. KASORO, Génie logiciel, , Institut Supérieur
d'Informatique Chaminade, L2ADR,2017-2018, P35, inédit.
v Travaux de fin de cycles et
mémoires
1. SWENGI NDOMBASI Guyhphard, Etude sur la stratégie
de sécurité avec la cryptographie, mémoire de fin de
cycle, Institut Supérieure de Programmation et Analyse, Kinshasa, 2018.
Inédit.
v Site internet
1. Anonyme,
http://www.ensta.fr/uer/uma/crypto/fldv.html
visité le 15/6/2019.
2. Encyclopédie,
https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9
des_syst%C3%A8mesd%27information visité le 28/06/2019
3.
http://www.reseaucerta.org
4.
http://www.ietf.org/rfc
5.
http://loufida.com/fonctionnementde
l'authentification basé sur le port ieee 802.1x.dot1x/
6.
https://www.culture-informatique.net
http://www.igm.univ.m/v.fr/dr/expose2003/Mandille/Radius.htm
66
Table des Matières
EPIGRAPHE I
IN MEMORIAM II
DEDICACE III
REMERCIEMENT IV
INTRODUCTION GENERALE 1
CHAPITRE I : GENERALITES SUR LA SECURITE INFORMATIQUE 4
I.0. INTRODUCTION 4
I.1. DÉFINITION ET QUELQUES CONCEPTS 5
I.1.1. La Sécurité 5
I.1.2. Définition d'autres concepts liés 5
I.2. COMMENT ORGANISER LA SÉCURITÉ 6
La sécurité recouvre ainsi plusieurs aspects : 6
Voici quelques éléments pouvant servir de base
à une étudede risque : 7
I.4.1. Les attaque des équipements réseaux 8
I.4.2. Les attaques des systèmes réseau 9
I.4.3. Les attaques réseaux indirectes 10
I.5.1. Établissement d'une politique de
sécurité 11
I.6.1. Sécurité des équipements
réseaux 12
I.6.2. Protection des accès réseau 13
I.6.3. Protection des systèmes, des applications et de la
gestion du réseau 14
I.6.4. Sécurité de l'infrastructure 15
I.7.1. Les pare-feu 15
I.7.1.1. Définition et fonctionnement 15
I.7.1.2. Les types de firewalls Packetfilter 16
I.7.2. Les systèmes de détection et de
prévention de l'intrusion 17
CHAPITRE. II. ETUDE DUSERVEUR RADIUS 18
II.1. Introduction 18
II.1.2. Historique 19
II.3. Origine 19
II.4. Définition 19
II.1.2. Principe de fonctionnement 20
II.1.3. Rôles de protocole RADIUS 21
II.1.4. Principes de protocole RADIUS 21
II.1.5. Eléments d'authentification RADIUS 22
II.1.6. RADIUS et Les protocoles de mots de passe 24
II.1.7. Le protocole RADIUS et la couche de transport UDP 24
2.5. Conclusion 31
CHAPITRE III : CADRAGE DU PROJET 32
III.1. Introduction 32
III.2. Technique d'ordonnancement des tâches 32
III.3.Méthodes d'ordonnancement des tâches 32
III.4. Principes de représentation des taches en PERT
32
III.5. Contraintes du graphe PERT 33
III.5.1. Identification des activités (tâches) 34
III.5.2 Evaluation des ressources 35
III.5.3. Contraintes techniques 35
III.6. Graphe PERT non ordonné 35
III.6.1. Matrice booléenne (Tableau III.2) 37
67
III.6.2. Calculs de Rangs 37
III.7. Graphe PERT ordonné (Figure III.3) 38
II.8. Calcul de DTO et de DTA 39
II.8.1. DTO (date au plutôt) 39
II.8.2. DTA (date au plus tard) 39
II.9. Détermination des marges libres (ML) et marges
totales (MT) 39
II.9.1. Marge libre (ML) 39
II.9.2. Marge totale (MT) 39
III.9.3. Choix du chemin critique 40
III.10. Durée et cout total du Projet 40
III.10.1. Durée Totale du Projet (DTP) 40
III.10.2. Cout Total du Projet (CTP) 40
III.11. Intervalle de confiance de la durée optimale 40
III.11.1. Variance ( ) 41
III.11.2. Ecart type du projet 41
III.11.3. Durée moyenne du PROJET (x) 41
III.11.4. Intervalle de confiance 42
III.12. Conclusion 42
CHAPITRE IV : ETUDE SUR LE SYSTEME EXISTANT 43
IV.0. INTRODUCTION 43
IV.1. Présentation 43
Aperçu Historique 43
Situation Géographique 44
Objectifs 44
2.1. Structure organisationnelle et fonctionnelle 44
2.1.1. Structure Organisationnelle 44
2.2. Structure fonctionnelle 45
2.3. Organigramme de l'Hôpital Saint Joseph Erreur
I Signet non défini.
2.4. Etude de l'existant 49
2.4.1. Infrastructure réseaux 49
2.4.2. Matériels 50
2.4.3. Sécurité 50
2.4.4. Services 50
2.4.5. Critique de l'existant 50
2.4.3.1. Besoins en sécurité 50
2.5. Besoins résultats de notre étude 51
Chapitre V : MISE EN PLACE DU SYSTEME DE SECURITE RESEAU BASEE
SUR LE SERVEUR RADIUS 53
5.1. Introduction 53
5.2. Analyse de besoin 53
5.3. Etat de besoin 53
5.4. Plan d'adressage 53
5.5. Schéma du nouveau Réseau 53
5.6. Installation et configuration 54
Configuration du rôle NPS (Network Policy Server) 56
5.7. Coûts des Matériels 62
5.6.1. Conclusion 63
Conclusion Générale 64
BIBLIOGRAPHIE 65
Table des Matières 66
