Mise en place d'un système de sécurité dans un hôpital avec le serveur radius. Cas de l'hôpital saint Joseph de Kinshasa.

II.1.3. Rôles de protocole RADIUS

V' Authentifier les machines/utilisateurs pour l'accès au réseau local.

V' Utilisable en filaire et sans-fil.

V' Placer les machines dans des sous-réseaux virtuels.

V' Plusieurs moyens d'authentification.

V' Initialiser les algorithmes de chiffrement des communications (WPA).

V' Les communications WiFi peuvent être sécurisées.

V' Radius est un élément actif du réseau, pas seulement une base de donnée.

V' Interfaçage avec des logiciels de portails captifs.

V' Authentification distante par redirection de requêtes (proxy).

V' Utilisable par d'autres types de serveurs (VPN)¹¹.

II.1.4. Principes de protocole RADIUS

RADIUS connaît nativement deux protocoles de mot de passe : PAP (échange en clair du nom et du mot de passe), et CHAP (échange basé sur un hachage de part et d'autre avec échange seulement du « challenge »). Le protocole prévoit deux attributs séparés : User-Password et CHAP-Password.

Depuis, se sont greffées les variations Microsoft: MS-CHAP et MS-CHAP-V2; leur similitude avec CHAP permet de les transporter en RADIUS de la même façon, à l'initiative du serveur et sous réserve de possibilité de transport de bout en bout du supplicant au client Radius, du client au serveur Radius et enfin du serveur Radius à la base de données d'identification.

C'est sur cette dernière étape que souvent le bât blesse : rien n'est prévu par exemple en LDAP pour transporter le challenge ni les étapes spécifiques de MS-CHAP ou MS-CHAP-V2 qui, du coup, se terminent exclusivement sur des bases d'identification Microsoft locales pour le serveur Radius.

V' RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, annuaire LDAP, etc.), et sur un client RADIUS, appelé NAS, faisant office d'intermédiaire entre l'utilisateur final et le serveur.

11 https://www.culture-informatique.net.

22

ü L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré par la clé (secret) partagée afin de renforcer la sécurité et garantir l'intégrité de ces transactions.

ü Le serveur RADIUS peut faire office de proxy en transmettant les requêtes du client à d'autres serveurs RADIUS.

ü Le serveur traite les demandes d'authentification en accédant si nécessaire à une base externe: base de données SQL, annuaire LDAP, comptes d'utilisateur de machine ou de domaine.

ü Protocole de prédilection des fournisseurs d'accès à internet : relativement standard, propose des fonctionnalités de comptabilité permettant aux FAI de facturer précisément leurs clients.