× RIP ! L'équipe de développement annonce l'arête de développement du site.

Introduction

Nous avons utilisé deux protocoles différents pour établir un système d’authentification entres les routeurs. Les deux protocoles sont PAP et CHAP. Dans le cadre du TP, il faut créer le login et mot de passe du routeur lors de la configuration de celui-ci, et accepter le login et mot de passe de l’autre routeur. Dans un cadre normal, les login et mot de passe sont stockés dans une table dédiée à cette utilisation.

PAP

1 – Présentation du protocole PAP

Le protocole PAP( Password Authentication Protocol – protocole d’authentification du mot de passe) est un protocole d’authentification qui permet d’identifier un utilisateur lors de sa connexion à un serveur Internet. Lors de cette authentification, le mot de passe est transmis en clair, c’est-à-dire qu’il n’est pas chiffré. Le protocole PAP est utilisé avec le protocole PPP et il s’agit d’un protocole d’autorisation d’accès pour l’ouverture d’une session sur le réseau.

2 – Fonctionnement du protocole PAP

Une table de noms d’utilisateurs et de mots de passe est stockée sur un serveur. Le principe du protocole PAP est le suivant : lorsqu’un utilisateur s’identifie, son nom et son mot de passe sont transmis au serveur pour une vérification.

Une authentification avec le protocole PAP se fait en quatre étapes :

  • Le processus serveur pppd envoie une requête d’authentification spécifiant l’utilisation du protocole PAP.
  • Puis le client accepte de s’authentifier.
  • Il répond alors avec son nom PAP qui très souvent correspond au nom d’utilisateur ainsi qu’avec son mot de passe.
  • Le serveur valide ou rejette la tentative de connexion avec un acquittement positif ou négatif. Cette requête acquittement peut contenir du texte visant à informer l’utilisateur de l’état de la connexion.

PAP est certainement le plus simple des protocoles d’authentification  que le protocole PPP permet d’utiliser.

3 – Notion de One Time Password

Les One Time Password (OTP) sont tout simplement des mots de passe jetables, c’est-à-dire qu’ils ne peuvent être utilisés que pour une seule session. Le protocole PAP supporte l’utilisation de ces OTP.

 

Cette utilisation n’est pas recommandée car elle est complexe à mettre en place et n’est pas souple d’utilisation. En effet, le problème se situe également au niveau de l’utilisateur car c’est lui qui dispose de sa propre liste de mots de passe. Le risque est bien entendu que celui-ci ne sache plus quel mot de passe utiliser dans sa liste. Pour remédier à ce problème, il faudrait que le serveur envoie une indication quant au mot de passe à utiliser par l’utilisateur, mais ceci n’est pas pris en charge par le protocole PPP.

 

4 – Illustration graphique de l’étape d’authentification avec le protocole PAP :

 PAP protocole

5 – Avantages du protocole PAP

Le premier avantage du protocole PAP est sa facilité de configuration.

En effet, ce protocole ne requiert qu’un minimum de compétences dans le domaine du réseau, et est par conséquent accessible par tous les administrateurs réseaux.

Le second avantage est que PAP constitue un premier pas vers la sécurité. Même si celui-ci ne garantie pas une sécurité accrue, il empêche les utilisateurs basiques mal intentionnés de pénétrer dans un réseau et d’utiliser une connexion qui ne leur est pas destinée.

6 – Inconvénients du protocole PAP

Le premier inconvénient du protocole PAP est bien sûr le fait que le mot de passe circule en clair. Il en résulte donc que la sécurité des données transmises n’est pas du tout garantie. En effet, un utilisateur confirmé qui a l’habitude de l’utilisation d’Internet peut parvenir assez rapidement à pénétrer dans un réseau alors qu’il n’en a pas les droits et ce grâce à une connexion qui utilise par exemple le protocole PAP.

Le second inconvénient concerne le choix de l’administrateur réseau quant à l’utilisation des One Time Password décrits dans la section trois. Cette solution est assez complexe à mettre en œuvre et est par conséquent réservée à des administrateurs confirmés puisque ce sont eux qui sont chargés de la mise en place du protocole d’authentification mais également à des utilisateurs organisés car ce sont eux qui doivent gérer leur liste de mot de passe.

7 – Format du paquet avec le protocole PAP

Code – Identifiant -Longueur totale

Longueur Login – Identification

Longueur Mot de passe -Mot de passe

Le champs code peut prendre trois valeurs : 1, 2, 3 ;

  1.  Demande d’authentification
  2.  Authentification accordée
  3.  Authentification non accordée

8 – Conclusion

Si le protocole PAP est un bon compromis entre simplicité de mise en œuvre et base de la sécurité sur un réseau, il convient toutefois de reconnaître que le fait que le mot de passe circule en clair sur le réseau n’est pas synonyme de sécurité accrue.

Ce type de protocole d’authentification convient parfaitement sur des réseaux de petites tailles où les utilisateurs n’ont besoin d’un accès que périodique à Internet et qui de plus n’échangent que des données non confidentielles.

Dès lors que les réseaux atteignent des tailles plus importantes, certains utilisateurs éprouvent le besoin d’échanger des données importantes et strictement confidentielles, mais aussi d’avoir la garantie que des informations ne peuvent être interceptées sur le réseau. Il est donc judicieux dans ce cas-là d’opter pour un protocole d’authentification plus sûr du fait que le mot de passe n’est pas transmis en clair sur le réseau, à savoir le protocole CHAP.

CHAP :

1 – Présentation du protocole CHAP

Le protocole CHAP (Challenge Handshake Authentification Protocol – protocole d’authentification à  échanges confirmés) négocie une forme sécurisée d’authentification cryptée à l’aide de MD05 (Message Digest 5).

MD5 est un modèle de hachage normalisé, c’est-à-dire une méthode de transformation des données en un résultat unique qui ne peut plus retrouver sa forme d’origine. Cette méthode permet donc de s’authentifier auprès d’un serveur en lui montrant que l’on connaît le mot de passe sans réellement l’envoyer par le réseau. Grâce au protocole CHAP,  les connexions réseau et d’accès à distance peuvent se connecter à pratiquement tous les autres serveurs PPP de manière sécurisée.

2 – Fonctionnement du protocole CHAP

Le protocole CHAP utilise un système un système de défi-réponse qui consiste de la part du serveur à envoyer au client une clé destinée à chiffrer le non d’utilisateur et le mot de passe dés lors que le client fait sa demande d’accès.

Grâce au système défi-réponse, le serveur d’authentification envoie un identifiant au hasard, c’est le défi, le client va le crypter avec son mot de passe puis le renvoyer au serveur, c’est ce qu’on appelle la réponse.

Avec le protocole CHAP, l’authentification se fait en cinq étapes :

  •    Le serveur envoie une requête contenant son nom ð c’est le défi.
  •    Le client transforme ce défi avec sa clé et l’algorithme MD 5
  •    Le client envoie son résultat au serveur ð c’est la réponse
  •    Le serveur applique le même algorithme avec la clé du client, puis compare son résultat avec celui du client
  •    Le serveur accorde ou rejette la connexion

Ce processus de défi-réponse peut être répété à n’importe quel moment de la phase de communication.

Illustration graphique de l’étape d’authentification avec le protocole CHAP :

Protocole Chap

3 – Avantages du protocole CHAP

Le premier avantage est que CHAP assure une protection maximale grâce à l’utilisation de la méthode défi-réponse. Le fait de répéter cette méthode au cours des connexions permet de limiter le temps d’exposition à une quelconque attaque. La méthode d’authentification CHAP dépend d’un secret que seul l’authentificateur connaît.

Le second avantage est que CHAP peut être employé pour l’authentification de systèmes différents, les champs d’identification peuvent alors être employés comme index pour localiser le secret approprié dans une grande table des secrets. Cette méthode permet de changer le secret en service à tout moment pendant la session.

4 – Inconvénients du protocole CHAP

Le premier inconvénient du protocole CHAP est que le secret doit être disponible sous la forme de texte. Les bases de données de mots de passe chiffrés de manière irréversible généralement disponibles ne peuvent pas être utilisées.

Le second inconvénient est que ce protocole nécessite un certain nombre de compétences pour sa mise en œuvre, il est donc réservé à des personnes confirmées afin que la sécurité au  niveau de l’authentification soit maximale.

5 – Format du paquet avec le protocole CHAP

Il n’y a qu’un seul paquet de protocole d’authentification d’établissement de lien (CHAP) qui est encapsulé dans le champ information d’une trame de couche liaison de données PPP où le champ protocole indique le type en hexadécimal c223 (CHAP). Un récapitulatif du format de paquet CHAP est montré ci-dessous :

Code – Identificateur – Longueur – Données…

Code : Il est défini sur un octet et identifie le type de paquet CHAP. Des codes CHAP sont assignés comme suit :

  1.  Challenge
  2.  Réponse
  3.  Succès
  4.  Echec

Identificateur : Le champ identificateur est d’un octet et permet d’optimiser les étapes suivantes de l’authentification : challenges, réponses et répliques.

Longueur : Le champ longueur est de deux octets et indique la longueur du paquet CHAP comprenant les champs code, identificateur, longueur et données. Les octets en dehors de l’intervalle du champ longueur sont ignorés à la réception.

Données : Le champ données est de zéro octets ou plus. Le format de ce champ est déterminé par le champ code.

6- Conclusion

Le protocole CHAP assure une authentification sécurisée des clients souhaitant se connecter au réseau par le serveur d’accès à distance. Néanmoins, la gestion des ressources (noms d’utilisateurs, mots de passe) nécessaires à son fonctionnement est une contrainte de plus pour l’administrateur du réseau. Cette charge peut être répartie: chaque utilisateur stocke son secret dans un fichier dont il est le propriétaire. Ainsi, chacun peut modifier à souhait son propre mot de passe sans l’intervention de l’administrateur.

Et même si le protocole CHAP présente quelques inconvénients cités dans la partie 4 ci-dessus, il reste un des meilleurs protocoles d’authentification sécurisés.

Conclusion finale :

Le protocole PAP connaît un énorme défaut. En effet, il n’est pas nécessaire de connaître le mot de passe, il suffit juste d’avoir son cryptogramme. Le risque est qu’une personne intercepte le mot de passe chiffré, car cette personne pourra se connecter en reproduisant le même cryptogramme sans même savoir sa signification en clair.

Une solution pour essayer de remédier à cette faille est l’utilisation du système One Time Password (OTP), qui permet à chaque utilisateur de se connecter une seule fois avec son nom d’utilisateur et son mot de passe. A la prochaine connexion, l’utilisateur devra obtenir de la part de l’administrateur réseau un nouveau login de connexion ainsi qu’un nouveau mot de passe. Cette solution permet certes de continuer à utiliser le protocole PAP dans de meilleures conditions mais c’est une solution très lourde pour  l’administrateur car c’est une gestion relativement compliquée de la liste des logins et des mots de passe.

La seconde solution pour remédier au problème du protocole PAP est justement l’utilisation de CHAP. En effet, si une personne mal intentionnée intercepte le secret, elle sera incapable d’avoir le mot de passe utilisé puisque celui-ci n’est pas transmis. Elle ne saura donc pas chiffrer correctement la chaîne aléatoire que le serveur lui enverra quand elle voudra se connecter.

A propos de l'auteur :

Hamza Abouabid étudiant en 3 année physique au sien de la faculté des sciences Ain Chock Casablanca , Admin des sites coursfaciles.com et AB7AT.COM

a écrit 73 articles sur le site :).

Suivez moi sur :

Laissez un commentaire


  • RSS
  • Youtube
  • Digg
  • Facebook
  • Twitter
  • Linkedin
  • Partenaire

  • Articles :


    100 de100 | 100 vote 68 point de vue visiteur