Quand quelqu’un essaie de se connecter à votre réseau via des serveurs d’accès réseau, NPS authentifie cette connexion avant de permettre l’accès. Cette authentification a pour but de vérifier l’identité de l’utilisateur ou de l’ordinateur qui se connecte au réseau. NPS récolte donc des preuves attestant de la véracité de l’identité de l’utilisateur ou de l’ordinateur. Pour crypter ces informations, il y a ce que l’on appelle les protocoles d’authentification. Quels sont-ils ?
Le RADIUS
Le RADIUS est un protocole qui marche en se basant sur le modèle client/serveur. Le Network Access Serveur fonctionne comme étant un client RADIUS. Il lance des requêtes et agit selon les réponses qu’il reçoit par la suite. Le serveur RADIUS peut fonctionner comme un proxy pour d’autres serveurs utilisant le même protocole. Il peut aussi être utilisé pour plusieurs systèmes d’authentifications. Toutes les transactions effectuées sur RADIUS sont authentifiées par un code secret qui ne véhiculera pas sur le réseau. Les mots de passe sont en effet encryptés avec des clés secrètes. Pour rappel RADIUS se base sur le protocole UDP.
Le CHAP ou le Challenge-Handshake Authentication Protocol
Il s’agit d’une procédure qui est plus sécurisée puisqu’il permet de se connecter à un système. Il peut remplacer le procédé d’authentification de mot de passe PAP. La particularité de ce protocole c’est qu’il fonctionne en mode défi-réponse, en d’autres termes, après que le lien ait été fait, le serveur transmet un message à celui qui tente de se connecter. Le demandeur répond par la suite en utilisant une valeur obtenue à l’aide d’une fonction à sens unique de données parasites. Le serveur gère la réponse et la compare en calculant la valeur prévue des mêmes informations. Dans le cas où les valeurs sont compatibles, l’authentification sera reconnue et la connexion est autorisée. Les identificateurs de CHAP sont régulièrement modifiés et l’authentification peut être demandée par le serveur plusieurs fois. Ce protocole est donc plus sécuritaire que le PAP.
Le SecurID
C’est un protocole permettant d’identifier tous les utilisateurs du système et du réseau en une seule fois. Il peut aussi interdire tout accès illicite. Le SecurID est employé avec des modules de contrôle d’accès appelé ACM qui sont des logiciels ou des matériels spécialement conçus à cet effet. Ce protocole génère un code d’accès toutes les minutes pour sécuriser l’accès. Il dispose de plusieurs spécificités. En premier lieu, la procédure est plus simple puisqu’elle se fait en une seule fois ainsi il est facile d’assurer l’authentification des utilisateurs. Par ailleurs, c’est une bonne prévention pour les accès non-autorisés aux ressources d’information de l’organisation. Les codes d’accès générés sont à usage unique et sont complètement aléatoire la sécurité est donc accrue. Outre ces protocoles cités, il y a aussi ce que l’on appelle le PAP et le TACAS. Chacun d’eux joue un rôle important dans l’authentification.