WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Authentification et protocole PPPOE: le cas de l'accessibilité à  l'internet via "ringodialeré"

( Télécharger le fichier original )
par Charles Emmanuel Mouté Nyokon
Université de Yaoundé I - Master 2 en réseaux et applications multimédias 2011
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

LISTE DES FIGURES

FIGURE 1.1 Structure du Département Technique de Ringo S.A. 7

FIGURE 1.2 Architecture Réseau de Ringo S.A. 8

FIGURE 1.3 Procédure d'authentification par portail captif 10

FIGURE 2.1 Protocole de Nedham/Schroeder 17

FIGURE 2.2 Architecture triple-A 19

FIGURE 2.3 Format d'un paquet RADIUS 21

FIGURE 2.4 Disposition des composants du protocole PPP 26

FIGURE 2.5 Les étapes de fonctionnement du protocole PPP 27

FIGURE 2.6 Pile protocolaire PPPoE 30

FIGURE 2.7 Processus d'authentification du protocole PPPoE au protocole RA-

DIUS 33

FIGURE 3.1 Isolement d'un hôte par corruption de cache ARP 40

FIGURE 3.2 Cohabitation hackeur/hôte par corruption de cache ARP 40

FIGURE 4.1 Déploiement de RingoDialer 43

FIGURE 4.2 Schéma de communication RingoDialer/Système d'authentification 46

FIGURE 4.3 Organisation des composantes logicielles du RingoDialer . . . . 48

FIGURE 4.4 Diagramme de conception du Framework MVCFramework . . . 52

FIGURE 4.5 Interface de communication dialeur/NAS-ISP 54

FIGURE 4.6 Diagramme de conception du composant connexion 56

FIGURE 4.7 Transitions nominales du diagramme d'états du composant Connexion 58

FIGURE B.1 Organigramme Ringo S.A. 70

FIGURE C.1 Principe général de fonctionnement d'un protocole question/réponse 71

FIGURE E.1 Flux de messages RADIUS 76

FIGURE F.1 Mise en oeuvre du roque AP 77

LISTE DES ANNEXES

ANNEXE A LE CAHIER DES CHARGES DU STAGE 65

A.1 La Mise en oeuvre d'un client d'authentification PPPoE 66

A.1.1 Le contexte 66

A.1.2 Le « Dialeur PPPoE » 66

A.1.3 Le cahier des charges 66

A.2 La Proposition d'une politique de sécurité des serveurs 67

A.2.1 Le Contexte 67

A.2.2 Le cahier des charges 67

ANNEXE B L'ORGANIGRAMME DE L'ENTREPRISE RINGO S.A.... 69

ANNEXE C LE PRINCIPE DES PROTOCOLES QUESTION/RÉPONSE . 71

ANNEXE D L'EXEMPLE D'UN PROTOCOLE AVEC SECRET PARTAGÉ 72

ANNEXE E L'AUTHENTIFICATION VIA LE PROTOCOLE RADIUS . . 74

E.1 Les généralités 74

E.2 Le processus de connexion au réseau 74

E.3 Le processus de déconnexion au réseau 75

E.4 Le schéma récapitulatif des flux de messages RADIUS 75

ANNEXE F LE ROQUE AP 77

INTRODUCTION

Dans le cadre de sa politique d'expansion, de sécurisation et d'amélioration de l'accessibilité de son réseau par ses différents clients-utilisateurs, l'entreprise Ringo S.A. a entrepris de migrer son système d'authentification par portail captif vers un système assurant :

- d'une part, l'authentification de l'utilisateur avant accès au réseau;

- et d'autre part, la confidentialité des échanges de données de ce dernier.

En effet, l'authentification par portail captif, qui est une technique d'authentification consistant à forcer un client HTTP1 à afficher une page web spéciale dans le but d'une authentification avant accès à l'Internet, présente une faille majeure : un utilisateur est identifié sur la base de son adresse MAC2 et de son adresse IP 3, deux paramètres facilement falsifiables. Ainsi, en scannant les adresses IP et MAC transitant par le réseau, puis en clonant l'adresse MAC d'un abonné entrain de surfer, est-il aisé pour un hackeur d'usurper l'identité de l'abonné et de se faire attribuer le trafic Internet de l'adresse MAC clonée.

De plus, le médium utilisé comme support des échanges est de type Ethernet qui assure peu la confidentialité tout en étant vulnérable aux attaques de la couche de niveau 2 du modèle ISO, à la corruption de la mémoire cache du système donné et à l'usurpation d'adresse IP.

Dans l'optique de pallier ce type de failles, le Département technique de Ringo S.A. opte
pour l'implémentation du protocole PPP au-dessus du protocole Ethernet afin de garantir :

1. Un client HTTP est une application interagissant avec un serveur HTTP (HyperText Transfer Protocol). Le cas peut être donné des navigateurs Web suivants : Internet Explorer, Safari, Mozilla Firefox et Google Chrome.

2. Une adresse MAC (Medium Access Control) est un numéro unique qui identifie une carte réseau. Elle porte aussi les noms d'adresse physique, d'adresse Ethernet et d'adresse matérielle.

3. Une adresse IP (Internet Protocol) est un numéro qui identifie chaque ordinateur connecté à l'Internet.

- à l'usager, le respect de son identité et la confidentialité de ses échanges; - à l'entreprise, un coût de migration relativement peu onéreux.

Ce choix, bien que stratégique, pose un problème de migration. En effet, comment mettre en oeuvre une interface d'authentification pour les clients, au couleur de Ringo S.A., prenant en compte le protocole PPPoE (Point-to-Point over Ethernet); mettant à disposition les services phares de l'entreprise (connexion à l'Internet, consultation de droits d'accès...) et conservant en partie l ' architecture réseau déjà implémentée?

Ainsi, l'objectif principal du stage est-il de mettre en oeuvre une « application-cliente » d'authentification via protocole PPPoE au couleur de Ringo S.A., qui permet, à « l'utilisateur-client », d'accéder à un ensemble de services, notamment ceux de la connexion et de la déconnexion rapide d' Internet, dans un environnement doté d'une infrastructure sécurisée, assurant l'authentification des utilisateurs et la confidentialité des échanges de données. Dans cette optique, l'application-client d'authentification intègre les fonctionnalités suivantes :

- une interface de connexion conviviale, « customisée » aux couleurs de l'entreprise, permettant à un client utilisateur de se connecter par simple validation de son nom d'utilisateur et de son mot de passe;

- une procédure de déconnexion, tout aussi simple que celle de connexion;

- une interface bilingue, Anglais et Français, s'adaptant automatiquement à la langue d'usage de l'utilisateur, avec l'Anglais comme langue par défaut;

- une procédure de mémorisation des paramètres de connexion de l'utilisateur;

- une procédure de visualisation de l'état de la connexion, en termes de temps écoulé

depuis l'établissement de la connexion, du taux de transfert effectif, d'octets transmis

et reçus;

- un ensemble de menu assurant l'accessibilité à certains services phares de l'entreprise.

Toutefois, il est à noter que les aspects tels que la non répudiation, la disponibilité et l'intégrité des ressources ne sont pas abordés dans le cadre de cette étude et pourraient faire l'objet d'une étude approfondie ultérieurement. La présente étude s'est bornée à l'analyse des aspects d'authentification et de confidentialité.

Aussi, le reste de ce mémoire est-il organisé comme suit:

- Le chapitre 1 est consacré à l'entreprise d'accueil. Nous y abordons d'une part, sa raison sociale en spécifiant ses missions, sa structure et son fonctionnement, tout en nous appesantissant sur notre département d'accueil, et d'autre part, l'état de lieux de son système d'authentification.

- Le chapitre 2 est consacré au point sur l'état de l'art des systèmes d'authentification. Nous y abordons, d'abord la problématique triple-A à laquelle les systèmes d'authentification sont soumis; ensuite les techniques d'authentification; puis les protocoles triple-A et enfin les protocoles complémentaires aux protocoles triple-A.

- Le chapitre 3 est consacré à l'analyse critique du système d'authentification de Ringo S.A.

- Le chapitre 4 est consacré au processus de conception et de mise en oeuvre de l'applicationcliente d'authentification.

- Et enfin, le dernnier chapitre qui est consacré à la conclusion du mémoire; tout en introduisant les perspectives d'amélioration de l'application développée; notamment en abordant sommairement, les aspects liés à la non-répudiation, à l'intégrité des données et à la disponibilité des ressources.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy