3.7. Sécurité avancée
Notre recherche propose à toute entreprise qui pour
des raisons de sécurité avancée du réseau sans fil
voudraient investir dans les technologies dernier cri en général,
ainsi qu'à la microfinance COOPEC NYAWERA en particulier.
Afin de gérer plus efficacement les authentifications,
les autorisations et la gestion des comptes utilisateurs (en anglais
AAA pour Authentication, Authorization, and Accounting) il
est possible de recourir à un serveur RADIUS (Remote Authentication
Dial-In User Service), ou bien aux réseaux privés virtuels
(VPN). Le protocole RADIUS (défini par les RFC 2865 et 2866),
est un système client/serveur permettant de gérer de façon
centralisée les comptes des utilisateurs et les droits d'accès
associés.
3.7.1. RADIUS
3.7.1.1. Introduction au protocole RADIUS
Le protocole RADIUS (Remote
Authentication Dial-In User Service), mis au point initialement par
Livingston, est un protocole d'authentification standard, défini par un
certain nombre de RFC.
Le fonctionnement de RADIUS est basé sur un
système client/serveur chargé de définir les accès
d'utilisateurs distants à un réseau. Il s'agit du protocole de
prédilection des fournisseurs d'accès à internet car il
est relativement standard et propose des fonctionnalités de
comptabilité permettant aux FAI5 de facturer
précisément leurs clients.
5 FAI : signifie littéralement
Fournisseur d'accès à Internet. C'est
un service (la plupart du temps payant) qui vous permet de vous connecter
à Internet...
47
Le protocole RADIUS repose principalement sur un serveur (le
serveur RADIUS), relié à une base d'identification (base de
données, annuaire LDAP, etc.) et un client RADIUS, appelé
NAS (Network Access Server), faisant office
d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des
transactions entre le client RADIUS et le serveur RADIUS est chiffrée et
authentifiée grâce à un secret partagé.
Il est à noter que le serveur RADIUS peut faire office
de proxy, c'est-à-dire transmettre les requêtes du client à
d'autres serveurs RADIUS.
3.7.1.2. Fonctionnement de RADIUS
Le fonctionnement de RADIUS est basé sur un
scénario proche de celui-ci :
· Un utilisateur envoie une requête au NAS afin
d'autoriser une connexion à distance ;
· Le NAS achemine la demande au serveur RADIUS ;
· Le serveur RADIUS consulte la base de données
d'identification afin de connaître le type de scénario
d'identification demandé pour l'utilisateur. Soit le scénario
actuel convient, soit une autre méthode d'identification est
demandée à l'utilisateur.
Le serveur RADIUS retourne ainsi une des quatre réponses
suivantes :
1. ACCEPT : l'identification a réussi
;
2. REJECT : l'identification a
échoué ;
3. CHALLENGE : le serveur RADIUS souhaite
des informations supplémentaires de la part de l'utilisateur et propose
un « défi » (en anglais « challenge ») ;
48
4. Il existe une réponse appelée CHANGE
PASSWORD où le serveur RADIUS demande à l'utilisateur un
nouveau mot de passe. Change-password est un attribut VSA (Vendor-Specific
Attributes) , c'est-à-dire qu'il est spécifique à un
fournisseur, et dans ce cas, c'est un attribut de Microsoft et pour être
plus précis, celui de MS-CHAP v2. Il n'appartient pas aux attributs
radius standard définis dans la RFC 2865.
Suite à cette phase dite d'authentification,
débute une phase d'autorisation où le serveur retourne les
autorisations de l'utilisateur.
Le schéma suivant récapitule les
éléments entrant en jeu dans un système utilisant un
serveur RADIUS :
Figure 8: Authentification Radius
49
| 
