+ de 700 vidéos sur le CCNA
  • N°1 de la certification Cisco Francophone
  • + de 8000 abonnés
  • + de 400 000 vidéos vues

Atténuer les menaces à la couche d’accès

RADIUS TACACS: La couche d’accès c’est le niveau ou les utilisateurs se connectent au réseau. 

C’est le point de connexion entre le réseau et tout périphérique client. 

Protéger la couche d’accès revient donc à protéger :

  • Les utilisateurs
  • les applications
  • et le réseau en lui-même, contre toutes attaques malveillantes, voir même des erreurs humaines.

Il est possible de diminuer la plupart de ces menaces, en utilisant certaines fonctionnalités.

|Par exemple, le Port Sécurity, qui permet de filtrer et de restreindre le nombre d’adresses MAC autorisées à se connecter sur le port d’un switch.

|Ou bien avec le DHCP Snooping, qui s’utilise aussi sur un switch, et qui permet d’empêcher de brancher un serveur DHCP malveillant sur un réseau.
|Le DHCP Snooping permet de filtrer les requêtes DHCP qui ne sont pas |autorisées.

Et la dernière fonctionnalité qu’on pourrait mettre en place pour diminuer le risque |est de se protéger des attaques ARP Spoofing.

C’est une sécurité qui permet de valider les paquets ARP dans le réseau.

|L’ARP spoofing consiste à diffuser un paquet ARP, qui change la table ARP pour rediriger le trafic destiné à une machine, vers une autre.

En gros, on peut le voir comme de l’usurpation d’identité.

C’est-à-dire, qu’un équipement sur le réseau se fera passer pour un autre, dans le but de recevoir les paquets qui lui était destiné !

C’est là qu’intervient le DAI, qui permet de vérifier avant tout, qu’une adresse MAC à bien obtenu son IP via le serveur DHCP autorisé.

Ces 3 fonctionnalités permettent de fournir une sécurité et une protection supplémentaires sur les ressources réseau.

RADIUS TACACS: AAA : Authentication Authorization Accounting

|On va maintenant parler des serveurs d’authentification, qui permettent de vérifier les utilisateurs qui se connectent, quel que soit leur emplacement physique.

Sans ce type d’authentification, ça réduit grandement la mobilité des utilisateurs.

Par exemple, une personne qui souhaite accéder au vlan « comptabilité » , devra obligatoirement entrer dans ce service et se brancher sur un port du switch qui appartient à ce vlan.

La mobilité des utilisateurs est aujourd’hui une priorité pour les entreprises.

C’est pourquoi il est préférable d’utiliser un serveur d’authentification.

Ce concept, permets de vérifier les utilisateurs, au moment où ils se connectent sur le switch.

Ils seront authentifiés et placés automatiquement dans le VLAN en fonction de leurs types de profil. 

Et si un utilisateur n’est pas reconnu, alors son accès sera soit refusé, ou bien il sera placé dans un vlan invité, avec des restrictions.

Sur les petits réseaux, une authentification locale est largement suffisante. 

Par contre, si on à plusieurs centaines d’utilisateurs et plusieurs équipements réseau, alors il vaudrait mieux utiliser un serveur d’authentification.

Par exemple, si vous avez 100 switchs sur le réseau, et qu’un nouvel utilisateur arrive, alors il faudra l’ajouter sur l’ensemble des périphériques réseau. 

Et de plus, si vous ajoutez un switch, alors il faudra également ajouter tous les comptes utilisateurs pour qu’ils puissent accéder à ce nouvel équipement.

Un serveur d’authentification est aussi connu |sous le nom de « serveur 3A ».
Les 3A signifient :

  • |Authentification
  • |Autorisation
  • |Et Accounting.
    Que l’on peut traduire par comptabilité ou bien aussi par traçabilité.

|Le premier A, pour l’Authentification, consiste à déterminer si l’utilisateur ou l’équipement est bien celui qu’il prêtant être, à l’aide d’une authentification nom d’utilisateur/mot de passe, ou bien avec à un certificat.

|Le second A, pour Autorisation, détermine les droits de l’utilisateur sur les différentes ressources du réseau.

|Et le dernier A, pour Accounting, permet de tracer l’utilisation des ressources, par les utilisateurs.

Les deux types de serveurs 3A, les plus populaires, |sont :

  • le RADUIS
  • et le TACACS.

|Le protocole RADIUS est basé sur un système client/serveur, qui est chargé de définir les accès utilisateurs sur le réseau.
C’est le protocole qu’utilisent les fournisseurs d’accès à internet, car il propose des fonctionnalités de comptabilité, qui leur permet de facturer précisément leurs clients.

|Et le protocole TACACS, fonctionne de la même manière, sauf qu’il est plutôt utilisé sur des plates-formes UNIX.

Que l’on utilise Radius ou TACACS+, toutes les demandes d’authentification sont transmises au serveur 3A, et c’est ce dernier, qui autorisera ou non l’utilisateur.

Avant terminer le cours, on va voir les différentes étapes de son fonctionnement.

|Pour commencer, le client est invité à entrer un nom d’utilisateur et un mot de passe.

|Ensuite, le périphérique réseau transmet une demande d’accès au serveur Radius ou Tacacs, avec les données de connexion de l’utilisateur.

|Le serveur d’authentification valide cette demande de connexion, et récupère les droits liés au client.

|Et pour finir, le client reçoit l’accord ou non de s’authentifier sur le réseau.