Note technique de Perle Systems
Utiliser la Sécurité AAA pour des équipements de mise en réseau
Authentification, Autorisation et Traçabilité
Les systèmes de sécurité distribuée qui sécurisent les réseaux et les services réseau contre les accès non autorisés sont généralement déployés dans de grandes entreprises. Il est ainsi possible de contrôler qui se connecte au réseau et de définir ce que les utilisateurs sont autorisés à faire. Ceci permet en outre de conserver une piste d’audit de l’activité des utilisateurs.
Les protocoles AAA (Authentication, Authorization, Accounting - Authentification, Autorisation et Traçabilité) tels que RADIUS (RFC 2865) et TACACS+, qui a été développé par Cisco, ont été créés pour faire face à ces défis. L’architecture AAA permet aux utilisateurs d’accéder aux périphériques en réseau qui leur ont été attribués et protège le réseau contre les accès non autorisés.
L’application Secure ACS de Cisco, par exemple, offre une protection AAA lors des accès réseau au moyen du protocole TACACS+ dans de nombreuses grandes entreprises. Examinons les éléments d’un profil de sécurité AAA.
Authentification
Les systèmes de type ID utilisateur/mot de passe d’un périphérique réseau apportent uniquement un niveau primitif de sécurité. Un nombre limité d’identifiants de compte sont configurés et doivent être gérés sur chaque dispositif matériel. A chaque fois qu'un compte est ajouté, supprimé ou modifié, chaque système doit être traité individuellement, ce qui est coûteux et source d’erreurs. En outre, les utilisateurs doivent mémoriser leur identifiant et leur mot de passe pour accéder à ces périphériques. Etant donné le nombre sans cesse croissant d’informations de ce genre à mémoriser, retrouver les identifiants corrects peut devenir un problème. Et, puisque les identifiants et les mots de passe sont transmis sur le réseau en clair, un simple équipement de suivi peut permettre de récupérer ces informations facilement et de mettre en danger votre réseau.
L’application du système AAA permet d'éliminer ces problèmes. Les identifiants et les mots de passe sont centralisés, et les comptes existants peuvent etre utilisés pour accéder à de nouveaux équipements au fur et à mesure que le réseau change ou grandit. Les processus de mise à jour des comptes existants évitent les erreurs et les sources de frustration des utilisateurs. Les identifiants et les mots de passe sont chiffrés au moyen d’un algorithme de hachage qui a fait ses preuves. Par conséquent, vos comptes sont protégés contre les accès malveillants.
Afin de garantir un accès ininterrompu, il est possible de mettre en place des serveurs d’authentification redondants, primaires et secondaires. Vous pouvez pour ce faire utiliser différents types de serveurs.
Authorisation
Une fois l’utilisateur authentifié, les règles d’autorisation désignent les ressources accessibles et les opérations possibles pour l'utilisateur. Des profils avec un niveau lecture/écriture de type « Administration » et un niveau lecture seule de type « Opérateur » peuvent être configurés et contrôlés à partir du serveur d’authentification. Comme il s’agit d’un processus centralisé, la nécessité d'intervenir indépendamment sur chaque équipement est éliminée.
Traçabilité
L’aspect traçabilité des serveurs AAA fournit une piste d’audit indiquant le mode de connexion de chaque utilisateur, leur adresse IP de provenance et la durée de leur connexion. Ceci permet aux administrateurs d’analyser les violations de sécurité et les problèmes d’accès opérationnels, le cas échéant.
