Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.

Slides:



Advertisements
Présentations similaires
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Advertisements

INTERNET (Wan) Réseau local (LAN) Livebox (passerelle) Adresse réseau (IP) Internet La passerelle dispose de 2 adresses réseau: - adresse.
23/09/20161DRT du CRDP de l'académie de Lyon Eole – Scribe Le réseau SCRIBE et son contexte.
Présentation de Scribe Votre nouvelle organisation du Réseau Informatique Pédagogique.
Présentation LabPlus v3. Solution novatrice en Technologies de l’information Solution novatrice en Technologies de l’information Application pour la Gestion.
OpenArticles : Libérez votre savoir ! Mise en place d'un service libre et gratuit de dépôt et d'accès aux articles scientifiques David Larlet – Janvier.
25/09/2016DRT du CRDP de l'académie de Lyon1 OCSInventory Expression du besoin Présentation OCS Démonstrations des fonctionnalités de base Déploiement.
FORMATION Administrateur de site PRODIGE Introduction Eric Bleuzet Philippe Terme Catherine Chamard-Bois.
1 Administration ESCO-Portail Les environnements numériques de travail Administration du socle de l'ENT Les applications.
Séminaire EOLE Dijon-Beaune Octobre 2008 Quelques mots sur le Plan National de Formation
Ministère de l'Écologie, du Développement durable, des Transports et du Logement Journées EOLE 23/24 Novembre 2011 Les.
Convergence Fixe Mobile UMLV – Ingénieurs2000 Maxime Sarvarie.
Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Séminaire EOLE Beaune Septembre 2007 HORUS.
La mise en réseau des ordinateurs à l'école Sources : Educnet christian.caleca.free.fr.
Séminaire Novembre 2006 Réseau EOLE pour l'établissement.
Serveurs PingOO V4 Usages pédagogiques - - ATICE PASSY – Septembre
ARCHITECTURE RESEAUX.
MENUS PRINCIPAL RESEAU.
Brève histoire d’Internet
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
Comment Sécuriser Le Système d’information de son entreprise
Solutions EOLE pour les ENR
ATS8500 Standalone Downloader.
Le VLAN Session David Parayre Benoit Perotin.
Technologie wifi.
Réseau WIFI avec Contrôle Centralisé et Sécurisé
Centre Universitaire des Ressources Informatiques CURI-UH2MC
Présentation Scribe NG Serveur pédagogique.
Wifi sécurisé et Windows
CCNP Routage Chapitre 4 - Questionnaire N°1
Sécurisation de l’accès Internet
Séminaire Novembre 2006 Zephir : Déploiement et supervision des serveurs Eole.
Séminaire EOLE Dijon octobre 2010
NuFW, un parefeu authentifiant
Séminaire EOLE Dijon Octobre 2010
SECURITE DU SYSTEME D’INFORMATION (SSI)
Cairo – EGYPTE 10 au 22 Mai 2009 Routage Statique
2ème partie – mise en oeuvre
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Configuration de Voice VLAN
Sécurité - Configuration de
Comment fonctionne RADIUS?
Sécurité - Configuration d'un
Installation des OS par réseaux (PXE)
1ers pas des utilisateurs migrés
Les enjeux des Environnements numériques de travail (ENT)
Liste de contrôle d’accès
Agrégation de Liens A Guyancourt le
Mise en place d’une stratégie de groupe
Séminaire EOLE Beaune Septembre 2007
Notion De Gestion De Bases De Données
Direction commerciale
L’hébergement de fournisseurs d'identités par RENATER
GLPI Gestion libre de parc informatique Application à la cellule DSI Pédagogie Avec liaison OCS-NG Gaétan TIRMONT.
3- Nouvelles pages d’accueil
Sfaihi Yassine Rabai Fatma Aissaoui Walid
Branche Professionnelle des organismes de formation
EPREUVE E4: PPE Mise en place d’un portail captif
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
LES RESEAUX.
Bonnes pratiques d’exploitation des applications
Les collectivités locales et l’e-Education
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Module 5 : Gestion de l'accès aux ressources à l'aide de groupes
Les différents modes de démarrage de Windows
Backup des Postes de Travail
Délégation académique pour le numérique éducatif
Gestion des destinataires (recipients)
Transcription de la présentation:

Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS

Introduction (1) Actuellement, chaque groupe d'utilisateur doit utiliser un ensemble d'ordinateurs précis. Personnels administratifs, professeurs, élèves. Bâtiments administratifs, salle des professeurs, CDI ou salle de cours de Technologie. L'accès aux ressources est géré de manière géographique. D'où vient l'utilisateur ?

Introduction (2)

Introduction (3) Objectif : permettre le nomadisme entre les postes de l'établissement. Un ordinateur doit pouvoir être utilisé par n'importe quel membre de l'établissement. Pour cela, une des solutions est de mettre en place un attribution dynamique des VLAN. Chaque type d'utilisateur est sur un réseau différent. Les accès aux ressources sont simplifiés. Qui est l'utilisateur ?

Introduction (4)

802.1x ? Décrit le contrôle d’accès à un réseau. Mis au point en 2001 par le groupe de travail IEEE 802 Permet de réguler les accès aux réseaux depuis des ports libres, en restreignant l’accès de clients non identifiés ou non autorisés. Repose sur l’utilisation d’EAP (Extended Authentication Protocol) pour transporter les informations d’identification des utilisateurs.

Objectif de 802.1x Sécuriser l’accès au réseau, dès la connexion d’un client sur l’un des équipements d’extrémité. Standardiser un mécanisme de relais d’authentification au niveau 2 Pour les accès via des interfaces IEEE 802{ } Pour permettre un contrôle d’accès aux ressources Même si l’accès physique au réseau n’est pas contrôlable Exemples Accès Internet depuis une aire publique Affectation à un VLAN donné en fonction de l’authentification.

Utilité de 802.1x Sécuriser les réseaux. Assure une validation de l'accès au médium. Limite en amont les intrusions sur le réseau. Enregistre éventuellement les opérations de chaque utilisateur. Faciliter la gestion pour les administrateurs. Permettre la mobilité des utilisateurs. Banalisation des postes. Intégration des postes nomades (portables, terminaux, etc.) Prise en compte des connexions sans fil.

Principes (1) Interaction entre 3 acteurs Système à authentifier Système authentificateur (Relais) Système d’authentification (serveur Radius) LAN 802.1x PAE

Système à authentifier (supplicant) : Client, équipement qui a besoin de se faire authentifier sur le réseau. Utilise EAP pour dialoguer avec l'Authenticator. Système authentificateur (Authenticator) Équipement (de niveaux 2 ou 3) qui assure la sécurité 802.1x sur l'interface et l'accès au réseau. Gère un PAE (Port Access Entity) qui permettra au Supplicant d’accéder ou non aux ressources du réseau. Fait la transition des informations du Supplicant au serveur d'authentification. Principes (2)

Système d'authentification (Authentication Server) Équipement qui valide ou non les informations fournies par l'Authenticator. Fournit les informations relatives au compte de l'utilisateur authentifié (VLAN, ACL, DHCP). Différents serveurs d'authentification : En local dans l'authenticator. TACAC, TACAC+. RADIUS (le plus utilisé). DIAMETER (successeur de RADIUS). Principes (3)

1. Le poste utilisateur fait une demande d’accès au commutateur, en utilisant le protocole EAPOL. 5. Le poste utilisateur peut accéder aux ressources réseau, selon son statut. Fonctionnement (1) 2. Le NAS effectue un Access-Request via EAP au serveur FreeRadius. 3. Le serveur envoie sa réponse au commutateur dans un paquet standard RADIUS. 4. Le commutateur, selon la réponse du serveur, passe le port dans le VLAN correspondant.

Phase 1 : Connexion d'une station à l'équipement d'accès. Par défaut, le port de l'équipement est fermé. Phase 2 : Demande d'authentification du client de la part de l'équipement d'accès. Phase 3 : Le client fournit son certificat d'authentification à l'équipement. Fonctionnement (2)

Phase 4 : L'équipement propage ce certificat jusqu'au serveur d'authentification. Phase 5 : Le serveur d'authentification vérifie le profil de l'utilisateur, valide (ou non) le certificat, autorise (ou non) l'accès au réseau puis renvoi sa réponse à l'équipement. Phase 6 : Si le serveur d'authentification accepte le certificat, alors l'équipement ouvre son port et le trafic peut être diffusé. Le client peut accéder aux ressources réseau. Sinon, le port reste dans son état initial et le trafic est bloqué. Fonctionnement (3)

Fonctionnement (4)

État d'un port : L'état d'un port varie en fonction du résultat de la requête d'accès. Le port contrôlé peut prendre deux états : Authorized : dans ce cas le port est passant pour tout le trafic. Unauthorized : dans ce cas le port est bloquant pour tout le trafic. Fonctionnement (5)

Par défaut, port en mode unauthorized. Connexion, requête d’authentification : Port en mode authorized si authentification valide. Port en mode unauthorized si authentification pas valide. Déconnexion, port en mode unauthorized. Client ne supportant pas le 802.1x, port en mode unauthorized (possibilité d'activation du port avec accès restreint). Fonctionnement (6) État d'un port :

Mise en place de services supplémentaires grâce à la centralisation des profils au niveau d'un serveur RADIUS. Affectation dynamique de VLAN Association dynamique à un pool DHCP Affectation dynamique de règles de sécurité (Access List - ACL)... Configuration dynamique. Fonctionnement (7)

Un port peut être placé de façon dynamique dans un vlan en fonction de la réussite ou de l’échec de l’authentification. L’affectation dynamique des VLANs se configure sur le serveur RADIUS. 3 comportements d’attribution sur un port 802.1x : Pas de VLAN (échec d'authentification, etc.) Guest VLAN (Connexion d’un client ne supportant pas l’authentification). VLAN spécifique à l'utilisateur (authentification réussi et affectation d'un VLAN par radius). Configuration dynamique de VLANs. Fonctionnement (8)

Remote Access Dial In User Service. Conçu pour répondre aux problème d'authentification des accès distants par liaison téléphonique. Permet l’application du protocoles AAA (Authentication, Authorization, Accounting). Offre une sécurité avancée pour des systèmes de points d’accès au réseau. Deux sortes d'authentification RADIUS : Basée sur l'adresse MAC de la carte Ethernet. Basée sur le protocole 802.1x. RADIUS (1)

Principe de base : Fournir un modèle d'échange d'information de l'authentification Permettre le transport des données d'authentification MAC ou EAP. Va être utilisé entre deux acteurs : Le serveur Radius qui délivre ou non une autorisation au client. Le client Radius (NAS: Network Autorisation System) qui est le commutateur qui demande s'il doit, ou non autoriser l'entité distante a se connecter au réseau. L'entité qui se connecte sur le réseau n'a pas a connaître le protocole Radius. Le serveur Radius peut identifier les entités grâces à la une base d'utilisateur dans un annuaire LDAP. RADIUS (2)

Authentification Radius 802.1x L'entité qui se connecte fournit des informations au commutateur au travers du protocole EAP. Le dialogue qui s'instaure entre l'entité et le serveur se fait indirectement par l'intermédiaire du NAS via le protocole Radius. Cela implique l'utilisation d'un logiciel spécifique sur le client qui saura parler 802.1x. RADIUS (3)

Mise en place (1) Sur le Supplicant : Activation de 802.1x Choix de la méthode EAP. Sur l'Authenticator : Activation du 802.1x sur les ports. Redirection vers l’Authentication Server. Règles de sécurité sur les ports ou la borne.

Mise en place (2) Sur l'Authentication Server Création des profils. Mise en place des règles de sécurités sur les profils. Liens externes (LDAP, DHCP).

Principal inconvénients Nécessite une configuration spécifique sur chacun des postes client (installation des certificats et configuration de la méthode d'authentification). Nécessite des équipements réseau compatibles avec ce protocole (mineur puisque la plupart d'entre eux le sont désormais). Difficulté de fournir une configuration clef en main car une partie est spécifique au type d'équipement.

Perspectives Eole (1) Phase 1 :Réalisation d'une maquette. Installation et configuration de RADIUS sur Amon. Couplage RADIUS avec l'annuaire LDAP de Scribe. Affectation des VLANs en fonction des utilisateurs. Début de templatisation des fichiers de configurations.

Perspectives Eole (2) Phase 2 : Mise en place dans un établissement pilote. Dans un premier temps, sur le réseau pédagogique afin d'affecter des ressources différentes en fonction des communautés. Prise en compte de réseaux WIFI et des postes nomades. Par la suite, banalisation du poste client. Phase 3 : Mise à disposition sur les modules Eole.

Merci de votre attention

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.