Testez-nous

Authentication, Authorization et Accounting (AAA) – RADIUS ou TACACS+

June 2, 2017
Télécom
Authentication, Authorization et Accounting (AAA) – RADIUS ou TACACS+
Lors de la construction et de l'exploitation d'un réseau, il est important de contrôler strictement l'accès aux appareils. Si votre réseau est petit et que le nombre d'utilisateurs est faible, la surveillance des accès et de la sécurité est aisée, et un seul administrateur réseau en est souvent responsable. En revanche, si l'organisation possède un vaste réseau d'entreprise ou un réseau d'opérateur télécom avec un grand nombre d'abonnés, le suivi manuel des accès devient impossible. Dans ce cas, AAA est la solution : un mécanisme permettant l'authentification, l'autorisation et la comptabilisation des utilisateurs, c'est-à-dire le contrôle des accès et l'enregistrement des actions effectuées.

À quoi sert l’AAA ?

Pour garantir la sécurité du réseau, il est nécessaire de contrôler l’accès des utilisateurs à ses différents éléments. Ces éléments peuvent être des périphériques réseau, des serveurs, des ordinateurs, des applications, voire des segments du réseau lui-même.

Les scénarios sont différents, mais le principe est le même : authentification, autorisation, comptabilité (AAA).

Il existe deux principaux types d’AAA pour les réseaux :

  • Administration des périphériques réseau : gère les personnes autorisées à se connecter à la console d’un périphérique réseau, à une session Telnet, à une session Secure Shell (SSH) ou à d’autres moyens.
  • Accès réseau : identifie un utilisateur ou un périphérique avant de lui accorder l’accès au réseau.

Il existe deux principales solutions AAA dans les réseaux modernes : le service RADIUS (Remote Authentication Dial-In User Service) et le protocole TACACS+ (Terminal Access Controller Access-Control System Plus) de Cisco. Il existe un troisième protocole AAA, DIAMETER, généralement réservé aux opérateurs mobiles. Nous allons examiner et comparer RADIUS et TACACS+ pour vous aider à déterminer celui qui convient le mieux à votre réseau.

Concepts AAA de base

Avant de nous familiariser avec les protocoles RADIUS et TACACS+, comprenons les concepts de base du mécanisme AAA. Prenons l’exemple d’une entrée légale dans une salle avec contrôle d’accès.

Authentification : identification de la personne qui tente d’entrer dans la salle. Dans notre exemple, il pourrait s’agir d’une empreinte digitale, chaque personne possédant une empreinte digitale unique, garante de la confirmation de son identité. Dans un environnement connecté, l’authentification standard implique l’utilisation d’un identifiant et d’un mot de passe générés pour chaque utilisateur et permettant de confirmer son identité.

Autorisation : étape suivante après une authentification réussie. Elle consiste à vérifier les droits d’accès à la salle de la personne ayant réussi l’authentification. Une personne peut être autorisée à entrer dans la première salle, mais ne peut pas aller plus loin. Sur les équipements réseau, les droits d’accès définissent généralement une liste de commandes qu’un utilisateur authentifié peut exécuter. Par exemple, un ingénieur réseau disposant d’un accès de niveau 1 est uniquement autorisé à consulter la configuration de l’équipement à l’aide de la commande show, tandis qu’un ingénieur de niveau 2 peut y apporter des modifications. Sur les serveurs AAA des opérateurs télécoms, le droit d’accès permet de déterminer l’affiliation de l’abonné à un forfait.

La comptabilité est une étape parallèle à l’authentification et à l’autorisation, qui enregistre dans un journal le succès ou l’échec de ces processus, l’accès aux locaux, l’accès au périphérique réseau et, le cas échéant, les actions effectuées. Ce processus est important du point de vue de la sécurité et du contrôle d’accès, car il permet d’identifier les menaces potentielles et de détecter les failles du système.

Subscribers Authorization on Stingray

En pratique, le processus AAA dans les réseaux des opérateurs télécoms se présente comme suit :

  1. L’abonné se connecte à la passerelle d’accès (AGW) ou au serveur d’accès réseau (NAS) et saisit son identifiant et son mot de passe.
  2. L’AGW (NAS) génère et envoie une demande d’authentification au serveur AAA et attend une réponse.
  3. Le serveur AAA contacte le système DPI ou le serveur de facturation via le protocole RADIUS pour vérifier l’identifiant et le mot de passe de l’abonné.
  4. Le serveur AAA génère une réponse et la renvoie à l’AGW (NAS).
  5. Si l’authentification est réussie, l’AGW (NAS) autorise l’abonné à accéder au réseau, mais ne lui fournit aucun service pour le moment.
  6. Si l’utilisateur tente d’accéder à Internet (en saisissant une URL dans le navigateur), l’AGW (NAS) génère une nouvelle demande d’autorisation auprès du serveur AAA.
  7. Le serveur AAA contacte à nouveau le système DPI ou le serveur de facturation pour obtenir des informations sur le forfait et les services auxquels l’abonné est connecté.
  8. Après avoir reçu une réponse positive de la facturation, le serveur AAA envoie une réponse à l’AGW (NAS) et l’abonné obtient l’accès à Internet conformément aux paramètres définis pour le plan tarifaire.

RADIUS

Le protocole RADIUS est une norme IETF pour AAA. Utilisé depuis le début des années 1990, il était initialement utilisé pour les connexions par modem commuté. Il servait initialement à étendre la couche 2 du protocole PPP (Point-to-Point Protocol) entre un utilisateur final et un serveur d’accès réseau (NAS), transmettant le trafic d’authentification du NAS au serveur AAA. Les informations d’authentification et d’autorisation sont transmises dans un seul type de paquet, et la comptabilité est gérée par un processus distinct. RADIUS est largement utilisé et pris en charge par la plupart des fabricants d’appareils et des développeurs de logiciels.

Une implémentation moderne de RADIUS utilise les ports 1812 (authentification) et 1813 (comptabilité) du protocole UDP (les ports 1645 et 1646 peuvent également être utilisés). UDP est rapide, mais présente plusieurs inconvénients dont il faut tenir compte lors de son utilisation. Lors du développement de RADIUS, les problèmes de sécurité n’étaient pas aussi pressants qu’aujourd’hui. Il prend donc en charge un nombre relativement restreint de types d’authentification (texte clair et CHAP), chiffre uniquement le champ du mot de passe et offre globalement un niveau de sécurité moyen.

TACACS+

Ce protocole, développé par Cisco, est une évolution des versions précédentes de TACACS et XTACACS. Malgré la similitude des noms, TACACS+ a été fortement modifié et n’est pas rétrocompatible avec TACACS, qui est aujourd’hui quasiment inutilisé. TACACS+ est principalement utilisé pour l’administration des périphériques réseau, mais il peut être utilisé pour certains types de protocoles AAA lors de l’accès au réseau. TACACS+ utilise le port 49 du protocole TCP (Transmission Control Protocol) plutôt que le protocole UDP, car il est plus fiable et permet une réception précoce des informations sur les erreurs potentielles grâce au paquet TCP-RST. TCP est un protocole plus lent, mais présente des avantages supplémentaires : la possibilité de séparer l’authentification, l’autorisation et la comptabilité en fonctions distinctes et indépendantes, plusieurs autorisations après une authentification et le chiffrement de l’intégralité du contenu du paquet.

Pour plus de clarté, nous allons regrouper les principales caractéristiques dans un tableau :

RADIUS
TACACS+
Protocoles et ports utilisés
UDP: 1812 & 1813 ou UDP: 1645 & 1646
TCP: 49
Services
Combine authentification et autorisation
Différents processus d’authentification, d’autorisation et de comptabilité
Chiffrement
Seul le mot de passe est chiffré
L’intégralité du corps du paquet est chiffrée
Types d’authentification pris en charge
Clear text (ASCII, PAP), CHAP
Clear text (ASCII, PAP), CHAP, ARAP
Possibilité de redirection des requêtes
Oui
Non
Objectif principal
Accès réseau
Administration des appareils

Principales différences entre RADIUS et TACACS+

Les principales différences résident dans le fait que TACACS+ chiffre l’intégralité du contenu du paquet, ne laissant qu’un simple en-tête. Cette méthode protège contre les attaquants qui écoutent les messages échangés entre les appareils. TACACS+ implémente également les fonctions AAA séparément, ce qui permet de les placer sur un serveur distinct ou même d’utiliser un protocole différent (autre que TACACS+).

TACACS+ offre également une intégration plus étroite avec les appareils Cisco et permet une gestion détaillée des routeurs (processus d’autorisation). Avec un serveur TACACS+, il est possible de mettre en œuvre la gestion des commandes à l’aide de niveaux d’accès (qui sont ensuite configurés sur les appareils eux-mêmes). RADIUS offre certaines de ces fonctionnalités, mais avec moins de performance ni de flexibilité que TACACS+.

TACACS+ prend également en charge plusieurs autres protocoles (non IP), tels qu’AppleTalk, NetBIOS, NetWare Asynchronous Service Interface (NASI) et X.25, mais leur utilisation est en déclin dans les réseaux modernes.

Avec le protocole TACACS+, il n’y a pas de pare-feu entre le client et le serveur, car le serveur doit recevoir une requête du client avec son adresse IP, et non celle du pare-feu. Avec RADIUS, l’adresse IP du client est également contenue dans le paquet lui-même, ce qui permet au serveur AAA de l’obtenir.

Le principal inconvénient de TACACS+ réside dans le fait que Cisco a développé ce protocole pour ses propres besoins, ce qui explique le large support offert par ses équipements réseau. Cependant, la situation évolue progressivement et d’autres fabricants ont commencé à prendre en charge TACACS+.

Le choix du protocole pour le serveur AAA dépend de la tâche à accomplir. Pour l’administration d’équipements, TACACS+ est la meilleure option, tandis que pour l’accès réseau, RADIUS est une solution plus universelle et plus rapide.

Subscriber Authorization on Stingray

À partir de Stingray Service Gateway 6.0, l’autorisation des sessions IPoE sur RADIUS est disponible, ce qui a étendu les capacités de l’opérateur télécom pour contrôler l’accès des abonnés à Internet et appliquer des politiques de plans tarifaires et des options tarifaires supplémentaires :

  • Affectation et modification des politiques (plans tarifaires et options) ;
  • redirection des utilisateurs vers le portail captif (blocage) ;
  • fonctionnement au niveau L3 ;
  • identification des utilisateurs par IP ou par tag Q-in-Q.

For more detailed information on the advantages of Stingray Service Gateway, its effective use on telecom operator networks, as well as on migration from other platforms, you can find out from the specialists of VAS Experts, the developer and supplier of the Stingray Service Gateway traffic analysis system.

Pour plus d’informations sur les avantages de Stingray Service Gateway, son utilisation efficace sur les réseaux des opérateurs télécoms, ainsi que sur la migration depuis d’autres plateformes, contactez les spécialistes de VAS Experts, développeur et fournisseur du système d’analyse de trafic Stingray Service Gateway.

Vote:
5 sur 5
Note moyenne : 5
Évalué par: 1
Le botnet envoie des spams via des routeurs. VAS Experts renforce sa présence en Inde grâce à son partenariat avec XELE Labs LLP