Passer au contenu

Radius : un filtre encore perméable

Standard de facto pour l’authentification des usagers accédant à un réseau, Radius fait montre de faiblesses contre lesquelles peu de solutions existent aujourd’hui.

Le serveur Radius (Remote Authentication Dial in User Service), parfois baptisé triple A (pour Authentication, Authorisation, Accounting) a une fonction unique : s’assurer de l’identité des utilisateurs entrant sur un réseau d’entreprise. Par sa capacité à centraliser les procédures d’admission d’un grand nombre d’utilisateurs, il se révèle particulièrement utile lorsqu’il s’agit de débarrasser les coupe-feu, routeurs et autres équipements de réseau tels que les serveurs d’accès distant ou les passerelles RPV, de la tâche d’authentification. D’un fonctionnement relativement simple, Radius se contente de répondre à la demande d’authentification formulée par un client (un agent logiciel implanté sur le routeur, le coupe-feu ou le serveur d’accès).

Des faits et gestes conservés dans un fichier de traces

Cette demande contient un nom d’usager et un mot de passe (chiffré avec MD5 ou un autre algorithme) dont la validité sera comparée avec le couple identifiant-mot de passe enregistré dans un annuaire centralisé (généralement un service d’annuaire LDAP). L’identifiant et le mot de passe sont déchiffrés au moyen d’un se-cret partagé entre le client et le serveur Radius. Si les informations fournies sont correctes, le serveur Radius renvoie une chaîne numérique aléatoire que le client utilisera pour faire sa demande d’accès au réseau. À réception de celle-ci, le serveur Radius inscrit l’usager authentifié sur le réseau en lui attribuant une adresse IP par l’entremise du serveur DHCP.Le protocole Radius dispose également de fonctions pour comptabiliser le temps de connexion. Le serveur Radius conserve au sein d’un fichier de traces la date et l’heure de connexion et de déconnexion de l’utilisateur, ou transmet ces informations à une base de données. À noter, toutes ces connexions s’effectuent en mode session grâce au protocole UDP.Standard de facto pour l’authentification des accès aux réseaux des opérateurs et fournisseurs de services, Radius trouve désormais une utilisation plus large en entreprise. C’est en effet sur un service d’authentification Radius que se base EAP (Extended Authentication Protocol), un mécanisme de contrôle d’accès au niveau d’Ethernet. Connu également sous le numéro 802.1x, EAP intercepte la demande d’inscription d’un adaptateur Ethernet sur le segment du réseau dont il dépend et la soumet à une authentification Radius. D’un intérêt limité pour les réseaux locaux d’entreprise, ce protocole assure en revanche une sécurisation efficace pour les réseaux locaux radio. EAP garantit en effet qu’un utilisateur non-autorisé ne puisse pas accéder à la zone de couverture dans laquelle il se trouve. En théorie donc, Radius cumule presque tous les avantages.Cependant, à l’exploitation, le protocole révèle non seulement des contraintes qui compliquent son déploiement, mais aussi des failles de sécurité inquiétantes. Ainsi, une étude récente réalisée par Infoguard, un cabinet d’experts américain, démontre que l’identifiant généré par le client, permettant au serveur Radius de reconnaître l’origine d’une requête, autant que le secret partagé, utilisé pour chiffrer et déchiffrer l’échange du mot de passe de l’utilisateur, sont vulnérables aux attaques de pirates chevronnés.“Radius n’impose pas de limites, note ainsi Joshua Hill, l’auteur de ce rapport. Cela permet à un pirate ayant observé et capturé une demande de requête et sa réponse, de reproduire l’échange et d’obtenir ainsi frauduleusement un accès “légal” sur le réseau.” Le secret partagé lui-même peut être décodé facilement dès que l’on est parvenu à se procurer un nom d’utilisateur et un mot de passe valides. “Le protocole autorise l’utilisation du même secret partagé pour un nombre illimité de clients, relève l’expert. Ce qui signifie que dans beaucoup de cas, la découverte d’un seul secret partagé permet de collecter tous les identifiants d’utilisateurs qui seront transmis au serveur Radius.”

Un secret facile à percer

S’assurer que les secrets partagés sont bien tous différents et suffisamment complexes pour ne pas être trouvés trop facilement constitue pour l’instant la seule défense possible. Car il n’existe pas de réelle solution disponible à ce jour. L’espoir ne semble pas même devoir venir de Diameter. Ce protocole d’authentification, actuellement en cours de finalisation par l’IETF, prévoit certes des mécanismes de sécurité, mais les limite à l’échange d’informations entre serveurs Diameter. Pour autant, cette version révisée de Radius est attendue. Tournant le dos à l’architecture client-serveur classique qui handicape Radius (un client doit émettre une requête pour démarrer le processus d’authentification), Diameter permettra au serveur de détecter l’entrée d’usagers non encore autorisés sur le réseau. Plus important, le protocole prévoit aussi des mécanismes d’échange, d’interrogation à distance et de délégation d’autorité entre les serveurs d’authentification. L’autorisation délivrée par un serveur sera ainsi valable non seulement pour son propre réseau, mais aussi pour tous les réseaux reliés, et ce, selon des permissions prédéfinies dans le cadre des informations reçues de l’usager.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Phillipon-Dollet