AAA/RADIUS

📚 Définition et Concepts Fondamentaux

🆔 Qu'est-ce que AAA ?

AAA (Authentication, Authorization, Accounting) est une framework de sécurité qui fournit trois services essentiels :

1. Authentification - Vérifier l'identité de l'utilisateur

2. Autorisation - Déterminer les permissions et accès

3. Comptabilité - Enregistrer et tracer les actions

Cette approche est fondamentale pour le contrôle d'accès réseau et la conformité réglementaire.

---

🔑 Les 3 Piliers de AAA

🆔 Authentification - "Qui es-tu ?"

Objectif : Vérifier que l'utilisateur est bien celui qu'il prétend être.

Mécanismes disponibles :

• Nom d'utilisateur + mot de passe

• Certificats numériques

• Biométrie

• Multi-facteurs (MFA)

Exemple dans SEC2 :

Utilisateur : saisit "jdoe" + "P@ssw0rd"
Serveur AAA : valide contre la base AD
Résultat : Accepté ✓ ou Rejeté ✗

Flux d'authentification :

Flux d'authentification RADIUS

---

🔓 Autorisation - "Que peux-tu faire ?"

Objectif : Définir ce que l'utilisateur peut faire après authentification.

Mécanismes :

• Rôles et groupes (RBAC - Role-Based Access Control)

• Listes de contrôle d'accès (ACL)

• Politiques granulaires

Exemple pour cette infrastructure :

Utilisateur : jdoe (groupe: secu_net_admin)
Action demandée : accès en lecture au Mikrotik
Décision : Autorisé (groupe a permission "read-only")

Permissions:
✓ Voir configuration
✓ Voir logs
✗ Modifier configuration
✗ Redémarrer

Matrice de permissions :

Groupe	Ressource	Permission	Justification
secu_net_admin	Mikrotik	READ-ONLY	Audit
secu_net_admin	Proxy Squid	ADMIN	Gestion
utilisateurs	Proxy Squid	USE	Navigation
utilisateurs	Mikrotik	NONE	Sécurité

---

📝 Comptabilité - "Qu'as-tu fait ?"

Objectif : Enregistrer chaque action pour audit, traçabilité et conformité.

Informations enregistrées :

• Qui a accédé (identité)

• Quand (timestamp)

• D'où (IP source)

• Quoi (ressource/action)

• Résultat (succès/échec)

Exemple pour le proxy :

Utilisateur : jdoe
Heure : 2025-12-01 14:32:15
IP source : 192.168.7.13
Site demandé : www.cpnv.ch:80
Résultat : Autorisé via proxy
Bytes transférés : 4562

Analyse des logs :

# Voir log d'accès
tail -f /var/log/squid/access.log

# Exemple de ligne:
# 2025-12-01T14:32:15.234 245 192.168.7.13 TCP_MISS/200 4562 GET http://www.cpnv.ch/ jdoe

# Compter par utilisateur
cut -d' ' -f10 /var/log/squid/access.log | sort | uniq -c

# Voir tentatives échouées
grep " 407 " /var/log/squid/access.log

---

🎨 Synthèse Conceptuelle de AAA

Synthèse AAA

---

🌐 Protocoles et Ports AAA

🔵 RADIUS (Remote Authentication Dial In User Service)

Paramètre	Valeur
Port	UDP 1812 (auth) / 1813 (accounting)
Variante	UDP 1645 / 1646 (ports hérités)
Protocole	UDP (rapide mais non fiable)
Chiffrement	MD5 (obsolète) ou CoA
Usage	Authentification centralisée

🟢 TACACS+ (Terminal Access Controller Access-Control System Plus)

Paramètre	Valeur
Port	TCP 49
Protocole	TCP (fiable)
Chiffrement	AES-128 (meilleur que RADIUS)
Usage	Administration réseau, contrôle fin

Comparaison RADIUS vs TACACS+

Aspect	RADIUS	TACACS+
Protocole	UDP	TCP
Fiabilité	Faible	Haute
Confidentialité	Faible	Forte
Chiffrement	MD5	AES
Cas d'usage	Proxy, VPN, WiFi	Routeurs, Switches
Complexité	Simple	Moyenne

⚙️ Choix pour SEC2

• RADIUS pour Squid → Port UDP 1812

• Justification : Simple, standardisé, adapté au proxy HTTP, compatible Windows NPS

---

💼 Cas d'Application en Production

🖥️ Cas #1 : Authentification Mikrotik (US#08)

Scénario:
  → L'administrateur "netadmin" veut accéder au Mikrotik en SSH/API
  → Mikrotik interroge le serveur NPS (RADIUS)
  → NPS valide le compte AD et le groupe "secu_net_admin"
  → Mikrotik applique les permissions : READ-ONLY

Bénéfices:
  ✓ Contrôle d'accès centralisé
  ✓ Audit des connexions admin
  ✓ Pas de compte local sur le routeur
  ✓ Politique d'expiration des mots de passe appliquée

Flux d'authentification Mikrotik :

Flux Authentification Mikrotik

---

🌍 Cas #2 : Authentification Proxy Squid (US#09)

Scénario:
  → L'utilisateur "jdoe" du LAN ouvre son navigateur
  → Navigateur envoie requête HTTP via proxy
  → Squid demande authentification
  → Navigateur envoie credentials (Basic Auth)
  → Squid valide via RADIUS vers NPS
  → NPS valide le compte AD
  → Squid autorise et enregistre dans les logs

Bénéfices:
  ✓ Traçabilité complète (qui surfe quand)
  ✓ Conformité légale (logs utilisateur/URL)
  ✓ Authentification transparente (SSO possible)
  ✓ Limitation par utilisateur ou groupe

Flux d'authentification Squid :

Flux Authentification Squid

---

📱 Cas #3 : WiFi Enterprise (Futur)

Scénario:
  → Utilisateur connecte son téléphone au WiFi
  → Point d'accès WiFi demande authentification WPA2-Enterprise
  → Téléphone envoie credentials
  → WiFi valide via RADIUS
  → RADIUS répond Accept/Reject
  → Téléphone connecté avec traçabilité

Bénéfices:
  ✓ Réseau WiFi sécurisé
  ✓ Authentification par compte utilisateur
  ✓ Rotation de clés de session
  ✓ Audit des connexions

---

🏛️ Architecture AAA Complète SEC2

Architecture AAA SEC2

---

📊 Ports et Protocoles - Résumé

Service	Source	Destination	Port	Protocole	Cas d'usage
RADIUS Auth	Mikrotik	NPS	UDP/1812	RADIUS	US#08 (gestion)
RADIUS Auth	Squid	NPS	UDP/1812	RADIUS	US#09 (proxy)
RADIUS Acct	Mikrotik	NPS	UDP/1813	RADIUS	Logs gestion
RADIUS Acct	Squid	NPS	UDP/1813	RADIUS	Logs proxy
LDAP Query	NPS	AD	TCP/389	LDAP	Validation AD
Kerberos	NPS	AD	TCP/88	Kerberos	Validation tickets

---

📋 Résumé Visuel - Les 3 Piliers AAA

Synthèse AAA

---

📚 Referências e Leituras Complementares

• RFC 2865 : Remote Authentication Dial In User Service (RADIUS)

• RFC 8044 : RADIUS Protocol Extensions

• Windows NPS : Implémentation Microsoft du serveur RADIUS

• Squid + RADIUS : Support nativement compatible

• Mikrotik + RADIUS : Support via authentification distante