Sécurité RADIUS TACACS : La couche d'accès est le point auquel les périphériques utilisateurs se connectent au réseau. C’est donc le point de connexion entre le réseau et tout périphérique client.

Protéger cette couche revient à protéger les utilisateurs, les applications et le réseau lui-même contre les erreurs humaines et les attaques malveillantes. Les protocoles d'authentification comme RADIUS TACACS renforcent la sécurité en vérifiant l'identité des utilisateurs et en contrôlant leur accès au réseau de manière fiable.

Atténuer les menaces à la couche d'accès

Il est possible d’atténuer la plupart des menaces de la couche d'accès, avec certaines fonctionnalités :

• comme le Port Security qui permet de filtrer et de restreindre le nombre d’adresses MAC autorisées à se connecter sur le port d’un switch Cisco.

• Ou bien le DHCP Snooping qui est une technologie à implémenter sur un switch et qui permet d'empêcher de brancher un serveur DHCP malveillant sur un réseau.

Cette technologie consiste donc à filtrer les requêtes DHCP de type « DHCP OFFER » non autorisées. Pour cela, tous les ports du switch doivent filtrer les requêtes DHCP à l'exception du port correspondant à celui du vrai serveur DHCP.

En pratique, seul un ou plusieurs ports du switch seront autorisés à distribuer une plage d'adresses IP, ce qui évite à un potentiel attaquant de brancher son propre serveur DHCP sur l’un des autres ports du switch...

• Et on a le DAI, qui signifie dynamic ARP Inspection, qui permet d’éviter les attaques de type « arp spoofing » en vérifiant qu’une adresse MAC a bien obtenu son IP via le serveur DHCP autorisé.

L’ensemble de ces fonctionnalités fournit une sécurité et une protection supplémentaires sur les ressources réseau.

Client authentifié

Un réseau qui comprend un serveur d’authentification permet de vérifier les utilisateurs lorsqu'ils se connectent, quel que soit leur emplacement physique.

Sans ce type d’authentification, la mobilité des utilisateurs est réduite, car par exemple, un client qui souhaite accéder au vlan « comptable », devra entrer dans ce service et se brancher sur un port Ethernet du switch appartenant à ce vlan.

La mobilité des utilisateurs étant l'une des principales exigences des réseaux d'entreprise modernes, ce type de configuration, basé uniquement sur les vlan, n'est plus pratique et ne fournit pas une sécurité suffisante.

Le concept d’un réseau basé sur l’identité regroupe plusieurs composants d'authentification, de contrôle d'accès et de politique utilisateur, dans le but de leur fournir les services réseau auxquels ils ont droit.

Ce concept permet de vérifier les utilisateurs au moment où ils se connectent à un port Ethernet du switch. Ils seront authentifiés et placés automatiquement dans le VLAN en fonction de leurs types de profil. Et si l’utilisateur n’est pas reconnu, alors l’accès leur sera refusé, ou bien, ils seront placés dans un vlan invité, avec des restrictions.

La norme I3E 802.1X classe cette fonctionnalité en 3 rôles :

• LeClient est le poste de travail qui utilisera une application d’authentification compatible avec la norme 802.1X.
• L’Authentification est en général un switch qui contrôle l'accès physique au réseau ; il agit comme un proxy entre le client et le serveur d'authentification.
• Et le dernier rôle est le Serveur d'authentification (qu’on peut aussi appeler serveur RADIUS) : Il permet d’authentifier chaque client qui se connecte à un port du switch, et de lui affecter les services auquel, il aura le droit d’accéder.

Serveur RADIUS TACACS

Sur les petits réseaux, une authentification locale est souvent suffisante. Cependant, pour plusieurs centaines d’utilisateurs et de périphériques réseau, il est fortement recommandé d’utiliser un serveur RADIUS TACACS. Par exemple, si l’on possède 100 switchs sur le réseau et qu’un nouvel utilisateur arrive, il faudrait le configurer sur tous ces périphériques. Ajouter un nouveau switch impliquerait également de configurer tous les comptes utilisateurs pour permettre l’accès au réseau. Le serveur RADIUS TACACS centralise ainsi la gestion des utilisateurs, simplifiant l’administration et réduisant les risques d’erreurs humaines.

Un serveur RADIUS TACACS est également connu sous le nom de serveur 3A, pour Authentification, Autorisation et Accounting, ce qui permet de gérer la traçabilité et la sécurité du réseau. Ce protocole développé par Cisco permet aux utilisateurs d’accéder aux périphériques réseau autorisés et protège contre les accès non autorisés, tout en assurant une traçabilité complète des actions sur le réseau.

Le premier A, Authentification, vérifie que l’utilisateur ou l’équipement est bien celui qu’il prétend être, via nom d’utilisateur et mot de passe ou certificat. Le second A, Autorisation, définit précisément les droits de l’utilisateur sur les différentes ressources réseau, assurant que chaque employé n’accède qu’aux services pour lesquels il est autorisé. Le dernier A, Accounting, permet de tracer l’utilisation des ressources par les utilisateurs, générant des logs utiles pour l’analyse des activités et la détection de comportements anormaux.

Les deux options les plus utilisées pour les serveurs 3A sont RADIUS et TACACS. Le serveur RADIUS TACACS fonctionne sur un modèle client/serveur, définissant précisément les accès des utilisateurs au réseau. RADIUS est largement utilisé par les fournisseurs d’accès à Internet pour la comptabilité et la facturation, tandis que TACACS est généralement utilisé dans les environnements UNIX, permettant à un serveur d’accès distant de communiquer avec le serveur d’authentification et de vérifier les droits d’accès. Le serveur RADIUS TACACS peut aussi être intégré dans des infrastructures complexes avec plusieurs VLAN et sous-réseaux, garantissant une sécurité uniforme sur l’ensemble du réseau.

Que l’on utilise RADIUS TACACS+, toutes les demandes d’authentification sont transmises au serveur RADIUS TACACS, qui autorisera ou non l’utilisateur. Par exemple, à l’étape 1, le client saisit son nom d’utilisateur et mot de passe. À l’étape 2, le périphérique réseau envoie la demande au serveur RADIUS TACACS. L’étape 3 consiste à valider les informations sur le serveur RADIUS TACACS, et enfin, à l’étape 4, le serveur renvoie la réponse au périphérique réseau qui applique la décision. Cette approche centralisée assure non seulement une sécurité renforcée mais aussi une grande flexibilité pour les administrateurs réseau qui doivent gérer de nombreux utilisateurs et équipements simultanément.

Suivez et découvrir tout le parcours CCNA sur le site Formip et retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.

Pour compléter la sécurité réseau, il est également recommandé de consulter notre guide sur le DAI Dynamic ARP Inspection : Fiche résumé afin de comprendre comment protéger votre réseau contre les attaques ARP spoofing.