Application de la sécurité AAA à l’Administration d’Equipements de Connectivité

Sécurité AAA (Authentification, Autorisation, Accounting) – authentification, autorisation et traçabilité

Les systèmes de sécurité distribuée qui sécurisent les réseaux et les services réseau contre les accès non autorisés sont généralement déployés dans de grandes entreprises. Il est ainsi possible de contrôler qui se connecte au réseau et de définir ce que les utilisateurs sont autorisés à faire. Ceci permet en outre de conserver une piste d’audit de l’activité des utilisateurs.

Les protocoles AAA (Authentication, Authorization, Accounting - authentification, autorisation et traçabilité) tels que RADIUS (RFC 2865) et TACACS+, qui a été développé par Cisco, ont été créés pour faire face à ces défis. L’architecture AAA permet aux utilisateurs d’accéder aux périphériques en réseau qui leur ont été attribués et protège le réseau contre les accès non autorisés.

L’application Secure ACS de Cisco, par exemple, offre une protection AAA lors des accès réseau au moyen du protocole TACACS+ dans de nombreuses grandes entreprises.

Le contrôle de l’accès du module de gestion dans les applications de Commutateurs Administrables et de Convertisseurs de Médias et Extenseurs Ethernet à forte densité est d’une importance capitale. La forme rudimentaire, une simple combinaison ID utilisateur/mot de passe, proposée par certains fournisseurs n’est pas suffisante. Seuls les modules de gestion qui s’intègrent aux systèmes d’autorisation de l’entreprise, tels que TACACS+ ou RADIUS, doivent être déployés. Ainsi, il est possible de contrôler de façon centralisée les personnes qui accèdent au module de gestion, de définir leurs autorisations et de mettre en place une piste d’audit.

Perle Systems dispose d’une longue expérience de l’accès réseau sécurisé. Nous avons fourni des équipements intégrant RADIUS et TACACS+ à des milliers d’entreprises, ce qui nous a apporté l’expérience nécessaire pour offrir ce qui se fait de mieux en termes d’administration pour des applications de Commutateurs Industriels, Convertisseurs de Médias et Extenseurs Ethernet. La solution de Perle va au-delà de toute autre offre du marché.

Nous allons examiner les éléments d’un profil de sécurité AAA.

Authentification

Les systèmes de type ID utilisateur/mot de passe d’un périphérique réseau apportent uniquement un niveau primitif de sécurité. Un nombre limité d’identifiants de compte sont configurés et doivent être gérés sur chaque dispositif matériel. Lorsqu’un compte est ajouté, supprimé ou modifié, chaque système doit être traité individuellement, ce qui est coûteux et source d’erreurs. En outre, les utilisateurs doivent mémoriser leur identifiant et leur mot de passe pour accéder à ces périphériques. D’autre part, étant donné le nombre sans cesse croissant d’informations de ce genre à mémoriser, retrouver les identifiants corrects peut poser problème en cas de demande d’accès urgente. Les identifiants et les mots de passe sont transmis sur le réseau en clair ; un simple équipement de suivi permet de récupérer ces informations facilement et de mettre en danger votre réseau.

L’application du système AAA existant aux Convertisseurs de Médias et Extenseurs Ethernet existants élimine ces problèmes. Les identifiants et les mots de passe sont centralisés et les comptes existants donnent accès aux zones autorisées. Les processus de mise à jour des comptes existants évitent les erreurs et les sources de frustration des utilisateurs. Les identifiants et les mots de passe sont chiffrés au moyen d’un algorithme de hachage qui a fait ses preuves. Par conséquent, vos comptes sont protégés contre les accès malveillants.

Les Commutateurs Industriels Perle, équipés du package d’options du Software PRO prennent en charge TACACS+ et RADIUS, les   standard d’authentification les plus courants

Les Convertisseurs de Médias et Extenseurs Ethernet Administrables de Perle prennent en charge des standards d’authentification supplémentaires tels que :

• LDAP
• Active Directory via LDAP
• Kerberos
• NIS
• RSA’s Secure ID token authentication

Afin de garantir un accès ininterrompu, il est possible de mettre en place des serveurs d’authentification secondaires. Vous pouvez pour ce faire utiliser différents types de serveurs.

Autorisation

Une fois l’utilisateur authentifié, les règles d’autorisation désignent les ressources accessibles et les opérations possibles. Les Convertisseurs de Médias et Extenseurs Ethernet Administrables de Perle offrent un niveau lecture/écriture de type « Administration » et un niveau lecture seule de type « Opérateur ». Ces niveaux peuvent être configurés et contrôlés à partir du serveur d’authentification. Comme il s’agit d’un processus centralisé, les interventions sur les « boîtes » sont éliminées.

Traçabilité

L’aspect traçabilité des serveurs AAA fournit une piste d’audit indiquant la durée de connexion des utilisateurs, leur mode de connexion et leur adresse IP. Ceci permet aux administrateurs d’analyser les violations de sécurité et les problèmes d’accès opérationnels, le cas échéant.

Plus d’informations sur les Commutateurs Industriels Administrables, Convertisseurs de Médias Administrables et Extenseurs Ethernet Administrables de Perle.