Exporter (0) Imprimer
Développer tout

Considérations relatives à la sécurité du service IAS en tant que serveur RADIUS

Mis à jour: janvier 2005

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Considérations relatives à la sécurité du service IAS en tant que serveur RADIUS

Lors du développement du service IAS en tant que serveur RADIUS, vous devez prendre en compte les aspects suivants relatifs à la sécurité :

  • Secrets partagés

    Configurez des secrets partagés forts et modifiez-les fréquemment afin de prévenir toute attaque de dictionnaire. Les secrets partagés forts sont une séquence longue (plus de 22 caractères) de lettres, de nombres et de signes de ponctuation aléatoires. Pour plus d'informations, voir Secrets partagés.

  • Attribut de l'authentificateur de message

    Pour vous assurer qu'un message RADIUS Access-Request entrant (pour les demandes de connexion qui utilisent les protocoles d'authentification PAP, CHAP, MS-CHAP et MS-CHAP v2) a bien été envoyé par un client RADIUS configuré avec le bon secret partagé, vous pouvez utiliser l'attribut de l'authentificateur de message (également appelé signature numérique ou attribut de signature). Vous devez activer l'utilisation de l'attribut de l'authentificateur de message sur le serveur IAS (dans le cadre de la configuration du client RADIUS dans le service d'authentification Internet) et sur le client RADIUS (le serveur d'accès ou le proxy RADIUS). Assurez-vous que le client RADIUS prend en charge l'attribut de l'authentificateur de message avant de l'activer. L'attribut de l'authentificateur de message est toujours utilisé avec le protocole EAP (sans qu'il soit nécessaire de l'activer sur le serveur IAS et le serveur d'accès). Pour plus d'informations, voir Modifier la configuration d'un client RADIUS.

    Pour obtenir des informations sur l'activation de l'attribut de l'authentificateur de message RADIUS pour votre serveur d'accès, voir la documentation du serveur d'accès approprié. Pour le service de routage et d'accès distant, l'utilisation de l'attribut de l'authentificateur de message RADIUS est activée à partir des propriétés d'un serveur RADIUS lorsque vous configurez le fournisseur d'authentification RADIUS. Pour plus d'informations, voir Utiliser l'authentification RADIUS.

  • Configuration du pare-feu

    Si votre serveur IAS se trouve sur un réseau de périmètre (également appelé Zone démilitarisée ou DMZ), configurez votre pare-feu Internet (entre votre réseau de périmètre et Internet) de façon à autoriser le passage des messages RADIUS entre votre serveur IAS et les clients RADIUS sur Internet. Vous devrez peut-être configurer un pare-feu supplémentaire (placé entre votre réseau de périmètre et votre intranet) de façon à autoriser le flux du trafic entre le serveur IAS du réseau de périmètre et les contrôleurs de domaine de l'intranet. Pour plus d'informations, voir Service IAS et pare-feu.

  • Protocoles d'authentification

    Le service IAS prend en charge plusieurs protocoles d'authentification. L'ordre des protocoles d'authentification, du plus sûr au moins sûr, est le suivant : PEAP-EAP-TLS (uniquement pour les clients sans fil et les clients de commutateur authentifiés), EAP-TLS, PEAP-EAP-MS-CHAPv2 (uniquement pour les clients sans fil et les clients de commutateur authentifiés), MS-CHAP v2, MS-CHAP, EAP-MD5, CHAP et PAP. Microsoft vous recommande d'utiliser uniquement les protocoles d'authentification les plus sûrs nécessaires à votre configuration. Pour les protocoles d'authentification par mot de passe, des stratégies de mot de passe fort doivent être implémentées afin de protéger le réseau des attaques de dictionnaire. L'utilisation du protocole PAP est déconseillée, sauf nécessité absolue. Pour plus d'informations, voir Méthodes d'authentification.

  • Verrouillage des comptes d'accès distant

    Pour protéger les serveurs d'accès contre les attaques de dictionnaire en ligne qui utilisent des noms d'utilisateurs connus, vous pouvez activer le verrouillage des comptes d'accès distant. Le verrouillage des comptes d'accès distant désactive l'accès distant pour les comptes d'utilisateurs après qu'une quantité prédéfinie de tentatives de connexion échouées a été atteinte. Pour plus d'informations, voir Verrouillage des comptes d'accès distant.

    Le verrouillage des comptes d'accès distant peut également servir à empêcher un utilisateur malveillant de verrouiller intentionnellement un compte de domaine en effectuant de multiples tentatives de connexions d'accès distant ou VPN avec le mot de passe fort. Vous pouvez définir la quantité de tentatives échouées pour le verrouillage de compte d'accès distant sur un chiffre inférieur au nombre de nouvelles tentatives d'ouverture de session pour le verrouillage de compte de domaine. Ainsi, le verrouillage de compte d'accès distant aura lieu avant le verrouillage de compte de domaine, ce qui empêchera le verrouillage intentionnel du compte de domaine.

  • Authentification par certificats

    Lorsque vous utilisez le protocole d'authentification EAP-TLS, vous devez installer un certificat d'ordinateur sur le serveur IAS. Pour l'authentification de l'utilisateur et du client, vous pouvez installer un certificat sur l'ordinateur client ou utiliser des cartes à puce. Avant que l'inscription du certificat puisse avoir lieu, le certificat doit être configuré avec les exigences et les objectifs corrects. Pour plus d'informations, voir Authentification et certificats d'accès au réseau et Certificats d'ordinateurs pour l'authentification par certificat.

  • Authentification des clients sans fil à l'aide du protocole PEAP (Protected Extensible Authentication Protocol)

    Vous pouvez utiliser le protocole PEAP avec EAP-TLS (également appelé PEAP-EAP-TLS) pour déployer un certificat avec le protocole PEAP. Le protocole PEAP avec EAP-MS-CHAPv2 (également appelé PEAP-EAP-MS-CHAPv2) procure une authentification par mot de passe sécurisé. PEAP-EAP-TLS utilise une infrastructure à clé publique (PKI, Public Key Infrastructure) avec des certificats pour l'authentification du serveur et des cartes à puce ou des certificats pour l'authentification de l'utilisateur et du client. Lorsque vous utilisez PEAP-EAP-TLS, les informations relatives au certificat du client sont cryptées.

    Bien que l'utilisation du protocole PEAP-EAP-TLS avec des cartes à puce pour le déploiement des certificats constitue la méthode d'authentification la plus sûre, la complexité et le coût du déploiement des certificats sur les clients sans fil et les clients de commutateur authentifiés peuvent se révéler prohibitifs pour votre organisation. Le protocole PEAP-EAP-MS-CHAPv2 offre un équilibre entre la sécurité et le coût et la complexité du déploiement. Contrairement au protocole MS-CHAPv2, le protocole PEAP-EAP-MS-CHAPv2 est une méthode d'authentification mutuelle qui utilise la sécurité TLS (Transport Level Security) pour créer une connexion cryptée de bout en bout entre le client et l'authentificateur. Le client authentifie le serveur à l'aide du certificat du serveur et le serveur authentifie le client avec des informations d'identification basées sur mot de passe. Pour obtenir un exemple de stratégie d'accès distant qui utilise le protocole PEAP, voir Accès sans fil avec authentification par mot de passe sécurisé.

  • Enregistrement du serveur IAS dans Active Directory

    Pour que le serveur IAS puisse accéder aux domaines Active Directory afin d'authentifier les informations d'identification de l'utilisateur et les propriétés du compte d'accès de l'utilisateur, il doit être enregistré dans ces domaines. Pour plus d'informations, voir Activer le serveur IAS pour lire les comptes d'utilisateurs dans Active Directory.

  • Utilisation de filtres IPSec pour verrouiller des serveurs IAS

    Vous pouvez configurer des filtres IPSec sur un niveau granulaire de façon à autoriser un trafic spécifique à traverser des cartes réseau sur les serveurs RADIUS. Ces filtres peuvent être appliqués aux unités d'organisation et stockés dans Active Directory, ou être créés et appliqués à chaque serveur individuellement. Pour plus d'informations, voir Sécurisation du trafic RADIUS avec IPSec.

Remarque

  • Sous Windows Server 2003, Standard Edition, vous pouvez configurer IAS avec un nombre maximum de 50 clients RADIUS et un maximum de deux groupes de serveurs RADIUS distants. Vous pouvez définir un client RADIUS en utilisant un nom de domaine complet ou une adresse IP, mais vous ne pouvez pas définir des groupes de clients RADIUS en spécifiant une plage d’adresses IP. Si le nom de domaine complet d’un client RADIUS se résout en plusieurs adresses IP, le serveur IAS utilise la première adresse IP retournée dans la requête DNS. Le nombre de clients RADIUS et de groupes de serveurs RADIUS distants que vous pouvez configurer est illimité avec IAS sur Windows Server 2003 Enterprise Edition et Windows Server 2003 Datacenter Edition. De plus, vous pouvez configurer des clients RADIUS en spécifiant une plage d’adresses IP.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft