Mise en place d'un système de sécurité dans un hôpital avec le serveur radius. Cas de l'hôpital saint Joseph de Kinshasa.

II.3. Origine

Le Serveur Radius avait tout d'abord pour objet de répondre aux problèmes d'authentification pour des accès distants, par liaison téléphonique, vers les réseaux des fournisseurs d'accès ou des entreprises. C'est de là qu'il tient son nom qui signifie Remote Access Dial In User Service. Au fil du temps, il a été enrichi et on peut envisager aujourd'hui de l'utiliser pour authentifier les postes de travail sur les réseaux locaux, qu'ils soient filaires ou sans fil.

II.4. Définition

RADIUS (Remote Authentification Dial In User Service) est un protocole d'authentification client/serveur habituellement utilisé pour l'accès à distance, défini par la RFC 2865. Ce protocole permet de sécuriser les réseaux contre des accès à distance non autorisés. Il est indépendant du type de support utilisé.

Le protocole Radius repose principalement sur un serveur (serveur Radius), relié à une base d'identification (fichier local, base de données, annuaire LDAP, etc.) et un client Radius, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur¹⁰.

Radius est un protocole qui répond au modèle AAA. Ces initiales résument les trois fonctions du protocole :

· A = Authentication : authentifier l'identité du client ;

· A = Authorization : accorder des droits au client ;

· A = Accounting : enregistrer les données de comptabilité de l'usage du réseau par le client.

Le mot de passe servant à authentifier les transactions entre le client Radius et le serveur Radius est chiffré et authentifier grâce à un secret partagé. Il est

10 http://www-igm.univ-mlv.fr/~dr/XPOSE2003/Mandille/Radius.htm

20

à noter que le serveur Radius peut faire office de proxy, c'est-à-dire transmettre les requêtes du client a d'autres serveurs Radius.

II.1.2. Principe de fonctionnement

Le poste utilisateur (supplicant dans les RFC) transmet une requête d'accès à un client RADIUS pour entrer sur le réseau. Ce client se charge de demander les informations identifiant l'utilisateur : le nom d'utilisateur (login) et le mot de passe par exemple.

Le client RADIUS génère selon le protocole une requête Access-Request contenant les informations d'authentification. Le serveur RADIUS peut traiter lui-même cette requête ou la transmettre à un autre serveur RADIUS par un mécanisme appelé Proxy Radius. Le serveur Radius chargé de l'identification finale (appelé Home Radius) peut traiter la demande s'il dispose de suffisamment d'éléments dans l'Access-Request ou demander des informations supplémentaires par un renvoi de paquet "Access Challenge", auquel le client répondra par un autre « Access-Request », et ainsi de suite. Les échanges sont retransmis par la chaîne de serveurs Radius proxy intermédiaires dans un sens et dans l'autre.

Quand le serveur Radius dispose de suffisamment d'éléments (jusqu'à une douzaine d'échanges pour les protocoles complexes de type EAP) le serveur RADIUS valide ou refuse l'identification en renvoyant un paquet de type : Access-Accept ou Access-Reject.

Le fonctionnement de Radius est basé sur un scénario proche de

celui-ci :

1. Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;

2. Le NAS achemine la demande au serveur Radius ;

3. Le serveur Radius consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur.

Le serveur Radius retourne ainsi une des quatre réponses suivantes :

- ACCEPT : l'identification a réussi ;

- REJECT : l'identification a échoué ;

- CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ;

- CHANGE PASSWORD : le serveur Radius demande à l'utilisateur un nouveau mot de passe.

Suite à cette phase d'authentification débute une phase d'autorisation ou le serveur retourne les autorisations aux utilisateurs.

21

Figure II 12 : Principe de fonctionnement de Radius