RADIUS/AAA

US#07

En tant que responsable de la sécurité, je veux qu'uniquement les flux identifiés (dans l'exercice précédent sur la DMZ ainsi que les nouveaux flux identifiés dans cet exercice) soit autorisé à traverser le routeur, dans le but de protéger l'infrastructure d'accès non autorisés.

Schéma des flux et architecture

Diagramme des flux RADIUS/AAA

Tableau des règles firewall

Source	Destination	Protocole	Port	Action
*	*	established,related	-	ACCEPT
LAN	DMZ	TCP	3128	ACCEPT
LAN	WAN	ICMP	-	ACCEPT
DMZ	WAN	TCP	80,443	ACCEPT
WAN	DMZ	TCP	80,443	ACCEPT
LAN	DMZ	TCP	80	ACCEPT
DMZ	LAN	UDP	1812	ACCEPT
DMZ	NPS	UDP	1812,1813	ACCEPT
LAN	WAN	*	*	REJECT
WAN	*	*	*	DROP
LAN	*	*	*	REJECT

Firewall Rules Table

---

US#08

En tant que responsable de la sécurité, je veux que mon routeur (Mikrotik) puisse être consulté en lecture seul par les utilisateurs du groupe secu_net_admin par l'utilisation d'un protocole AAA, dans le but d'accroître la sécurité et la granularité des accès.

Tests d'acceptation

Utilisateur AD avec le groupe secu_net_admin

Création de la policy Mikrotik-Admin-ReadOnly dans NPS

Création de la policy Squid-Proxy-Auth dans NPS

Authentification avec un compte AD avec Winbox

Event log RADIUS Mikrotik - Authentification réussie

US#09

En tant que responsable de la sécurité, je veux que l'ensemble des utilisateurs du domaine puissent surfer au travers du proxy de manière authentifiée par Radius, dans le but de répondre au besoin de traçabilité des accès vers internet et d'obtenir des logs légaux à présenter en cas d'enquête.

Fenêtre d'authentification proxy Squid

Loging RADIUS - Authentification Squid réussie

Event log RADIUS Squid - Authentification réussie

Logs d'accès Squid - Utilisateur authentifié

Configuration du fichier /etc/squid/squid.conf :

# Port d'écoute
http_port 3128
hosts_file /etc/hosts

# Authentification RADIUS
# - h : adresse du serveur NPS (192.168.7.11)
# - w : shared secret configuré sur NPS (Test123$)
# - t : timeout en secondes (10)
auth_param basic program /usr/lib/squid/basic_radius_auth -h 192.168.7.11 -w Test123$ -t 10
auth_param basic children 5
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on

# ACLs - Utilisateurs authentifiés
acl authenticated proxy_auth REQUIRED

# ACLs - Réseaux autorisés
acl lan src 192.168.7.0/24
acl dmz src 192.168.100.0/24

# ACLs - Domaines whitelistés
acl allowed_sites dstdomain "/etc/squid/acl/whitelist_sites.txt"
acl internal dstdomain iam.secu07.internal

# Règles d'accès
http_access allow lan internal
http_access allow lan allowed_sites
http_access allow authenticated
http_access allow dmz
http_access deny all

# Logs
access_log /var/log/squid/access.log
visible_hostname proxy

---

Conclusion

Cette implémentation RADIUS sur le proxy Squid répond au besoin de traçabilité des accès internet et de centralisation de l'authentification. Cependant, elle nécessite une infrastructure de configuration centralisée et le chiffrement des communications RADIUS pour minimiser les risques liés à l'interception et au détournement de proxy.

Avantages

• Centralisation de l'authentification : La solution RADIUS permet une gestion centralisée des identifiants via Active Directory, éliminant le besoin de comptes locaux sur le proxy.

• Traçabilité des accès : Chaque requête HTTP/HTTPS est associée à un utilisateur spécifique, offrant une traçabilité complète pour les audits de sécurité et la conformité légale.

• Contrôle granulaire des accès : Les stratégies d'autorisation peuvent être appliquées au niveau utilisateur ou groupe (ex: blocage de catégories de sites selon les rôles).

• Logs : L'intégration RADIUS avec Squid génère des logs structurés utilisables en cas d'enquête ou de litige.