Mis en place d'un système Authentification forte

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Mis en place d'un système Authentification forte

Messagepar moi95800 » 18 Mars 2009 12:54

Bonjour,

Je suis débutant ! donc excusez-moi si ce que je dis est absurde.

Je souhaite mettre en place un système d'authentification forte afin de sécurisé le réseau d'une entreprise.

Voici l'architecture :

Annuaire Domino
Messagerie LOTUS NOTE
Les serveurs sont principalement sous Linux (Red HAT)
Les postes clients sont sous XP

Voici les conditions:

- Il faut que la solution d'authentification forte soit "implémentable" avec l'annuaire LDAP domino.
- Il faut que la solution fonctionne avec les VPN

Après avoir étudié différente solution j'ai choisi la société ActivIdentity avec un système de code qui se régénéré toute les minutes.

Qu'en pensez-vous ?
Avez-vous Mis en place un système d'authentification forte ?
Par quoi dois-je commencer ?
Quel sont les étapes à réaliser ?

Merci pour vos réponses !
moi95800
Matelot
Matelot
 
Messages: 5
Inscrit le: 18 Mars 2009 12:20

Messagepar ccnet » 18 Mars 2009 13:22

Il y a quelque chose que je ne comprend pas dans votre approche. Pourquoi avoir choisi une société californienne et des produits (et sur quel critères alors que vous semblez ne pas maitriser la question sur le plan purement technique ?) Pourquoi n'avoir pas commencé par choisir un prestataire français capable de piloter le projet puis ensuite choisir des produits pour mettre en oeuvre le projet ?
Ce que j'en pense c'est donc que le problème est pris à l'envers.

Ensuite il faudrait qualifier ce que vous voulez authentifier (des personnes, des machines, les deux ?)

Je ne vois pas de problème à ce que le LDAP Domino fournisse une base utilisateur. Bien sûr vous ne pourrez pas utiliser le http password comme élément de sécurité (en tout cas en V7 et inférieure).

Si la sécurité est critique pour vous, vous devrez être attentif aux conditions d'utilisation du webmail, si vous l'utilisez.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar moi95800 » 18 Mars 2009 16:27

Effectivement je ne maitrise pas du tout le sujet !

J'ai choisi d'utiliser ActivIdentity car cette solution est implémentable avec l'annuaire Lotus Note et dans la société on utilise l'annuaire domino pour s'authentifier.

Je souhaite authentifier des personnes.

Je vous explique :

Les machines sont joins à un domaine.
Les utilisateurs s’authentifient sur les postes clients avec un login + mot de passe
Un système synchronise ce mot de passe avec Lotus Note et VPN
Ainsi on a 1 mot de passe pour ces 3 services.

Ce que je veux et je souhaite dans un premier temps savoir si c’est possible :

1er partie

Les utilisateurs démarrent les postes clientes
Ils entrent le login (stocker dans l’annuaire LDAP Domino)
Ensuite pour le mot de passe ils utilisent le petit boitier qui fourni un mot de passe toutes les minutes

Windows se lance on est connecté au réseau (lecteur réseau monté etc.)

2eme partie

Maintenant pour accéder à Lotus Note chaque utilisateur doit posséder dans sa machine un fichier ID.
Ce que je souhaite c’est mettre ce fichier ID dans une clé USB
Ainsi pour se connecté a Lotus Note les utilisateurs sont obligé de posséder la clé USB.

Qu’est ce que vous en pensez ?
moi95800
Matelot
Matelot
 
Messages: 5
Inscrit le: 18 Mars 2009 12:20

Messagepar ccnet » 18 Mars 2009 17:13

Je vous explique :

Les machines sont joins à un domaine.
Les utilisateurs s’authentifient sur les postes clients avec un login + mot de passe
Un système synchronise ce mot de passe avec Lotus Note et VPN
Ainsi on a 1 mot de passe pour ces 3 services.

C'est donc le système actuel ? Quel mot de passe est synchronisé ? cela inclue t il le http password ?

1er partie

Les utilisateurs démarrent les postes clientes
Ils entrent le login (stocker dans l’annuaire LDAP Domino)
Ensuite pour le mot de passe ils utilisent le petit boitier qui fourni un mot de passe toutes les minutes

Windows se lance on est connecté au réseau (lecteur réseau monté etc.)

Si je comprend bien login (nom ou shortname) depuis lannuaire Domino via Ldap et mot de passe via boitier secure id (ou similaire) ?

2eme partie

Maintenant pour accéder à Lotus Note chaque utilisateur doit posséder dans sa machine un fichier ID.
Ce que je souhaite c’est mettre ce fichier ID dans une clé USB
Ainsi pour se connecté a Lotus Note les utilisateurs sont obligé de posséder la clé USB.

Cette méthode fonctionne sans problème je l'ai utilisé maintes fois dans différents contexte. Néanmois prenez soin de mettre en ouvre dans Domino tous les mécanisme de sécurité disponibles :
- Comparaison des clés publiques
- Vérification des mots de passe
- LCA cohétentes activées partout.
- Chiffrement des bases et des répliques.
- Groupe d'intrus
- Interdire les accès anonymes.
- Vérifier les options d'accès au serveur et d'authentification pour tous les protocoles (beaucoup d'administrateurs Notes passent à côté ....).

Et puis il y a tous les problèmes réseau qui peuvent mettre au tapis tout l'édifice, ainsi que les procédures et méthodes d'administration.

Tout cela est très général, non limiltatif et forcément partiel parce que je ne connais pas votre politique de sécurité (en avez vous une ?), ni ce que vous avez à protéger ni quelles sont les menaces. Il est donc très difficile sans tout cela de mettre des outils en place puisqu'on se sait pas vraiment pourquoi. C'est en ce sens que je pense que le problème n'est peut être pas pris dans le bon ordre.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar moi95800 » 19 Mars 2009 13:30

Tout d’abord Merci pour vos réponses ! Il est difficile de trouver des personnes dans les forums qui ont mis en place l'authentification forte !

Oui c’est bien le système actuel.
Sous Lotus note lors de la création d’un compte plusieurs informations sont demandées dont le mot de passe ensuite il y a une case à cocher pour que ce mot de passe soit le même pour le http password. Ensuite toutes ces informations sont répliquées sur le serveur et l’utilisateur pourra s’authentifié.
Reste plus qu’a mettre le fichier ID sur la machine de l’utilisateur ainsi il aura accès à Lotus Note et à internet.

Oui la personne saisie son login contenu dans l’annuaire LDAP et elle recopie le mot de passe du boitier Secure id enfin je ne sais pas comment ça se passe dans les autres sociétés. Utilise t il le même principe ?

Concernant la politique de sécurité je n’ai pas d’information.
Lorsqu’une personne ouvre Lotus Note un message apparait lui demandant de saisir un mot de passe de 7 caractères et contenant obligatoirement 2 chiffres.
Ensuite une autre fenêtre explique que le mot de passe Lotus note ne correspond pas à celui de Windows et demande si l’utilisateur veut que les 2 mots de passe soient le même.

On ne m’a pas parlé de menaces particulières mais seulement que dans la société tout le monde se connecte avec un login et mot de passe et le responsable informatique trouve qu’un mot de passe n’est pas assez sécurisant. Avec l’authentification forte l’utilisateur qui se connecte doit obligatoirement avoir le boitier ID pour se connecté au réseau et la clé USB pour avoir accès a lotus note.
moi95800
Matelot
Matelot
 
Messages: 5
Inscrit le: 18 Mars 2009 12:20


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron