1 / 33

La norme 802.1X

La norme 802.1X. Plan. Présentation Objectifs Utilité Equipements Procédure d'accès au réseau Le fonctionnement Mise en place. Présentation.

filia
Download Presentation

La norme 802.1X

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. La norme 802.1X

  2. Plan • Présentation • Objectifs • Utilité • Equipements • Procédure d'accès au réseau • Le fonctionnement • Mise en place

  3. Présentation • 802.1X : solution de sécurisation, mise au point par l'IEEE en juin 2001, permettant d'authentifier (identifier) un utilisateur souhaitant accéder à un réseau (filaire ou non) grâce à un serveur d'authentification. • repose sur le protocole EAP (Extensible Authentication Protocol), défini par l'IETF, dont le rôle est de transporter les informations d'identification des utilisateurs.

  4. Objectifs • autoriser l'accès physique à un réseau après une phase d'authentification

  5. Utilité

  6. Schéma de principe

  7. Equipements • le supplicant (client 802.1X) ou demandeur • l'AP (Access Point) ou Authenticator switch ou point d'accès Wifi • le serveur d'authentification (NAS : Network Authentication Server). C'est la plupart du temps un serveur RADIUS (Remote Acces Dial-In User Service). Le NAS donne l'accès ou non au supplicant

  8. Le protocole EAP • Extended Authentication Protocol • extension de PPP - RFC 2284 – maintenant surtout utilisé sur les réseaux sans fils • Protocole de transport d'authentification • Extensible • L'AP n'est pas obligé de connaître le protocole utilisé entre le client et le serveur • Utilisé par les protocoles WPA/WPA2

  9. EAP: les protocoles • EAP-TLS : standard IETF – impératif pour obtenir les logo WPA et WPA2. 1 certificat coté serveur + 1 cert. coté client => sûr mais déploiement lourd • EAP-TTLS : EAP-Tunneled Transport Layer Security – standard IETF • EAP-MD5 : pas d'authentification mutuelle entre client et le serveur Radius, le client s'authentifie par mot de passe - sécurité faible (faiblesses MD5)‏ • PEAP

  10. EAP-TLS • standard IETF • SSL (Secure Socket Layer) v3 • impératif pour obtenir les logo WPA et WPA2. • 1 certificat coté serveur + 1 certificat. coté client => PKI • sûr mais déploiement lourd • Implémentations Microsoft, Apple, Linux, Cisco • Pas d'authentification utilisateur

  11. EAP-TTLS • EAP-TTLS : Tunneled TLS • authentification mutuelle du client et du serveur Radius par le biais d'un certificat coté serveur • Permet d'établir un tunnel chiffré pour transporter le mot de passe client • Coté client : couple login/mot de passe ; • Pas supporté par Microsoft

  12. EAP-PEAP • Protected EAP • Développé par Microsoft, RSA Security et Cisco • Principe semblable à EAP-TTLS : il utilise le certificat du serveur pour créer un tunnel dans lequel transitera le mot de passe. • PEAP utilise MSCHAP v2 (Challenge Handshake Authentication Protocol) : le mot de passe qui transite est "haché" ( le serveur envoie un nombre (challenge) et le client mixe ce nombre avec le mot de passe avant envoi).

  13. EAP- PEAP – Suite • 2 phases : • identification du serveur grâce une Infrastructure à clés publiques. Une fois le serveur identifié il y a la création d'un tunnel sécurisé qui permettra à la phase suivante d'être chiffrée. • identification du client au travers du tunnel chiffré.

  14. EAP-MD5 • standard ouvert IETF • Sécurité assez faible • Hachage MD5 vulnérable • Authentification utilisateur seulement

  15. Procédure d'accès au réseau

  16. Le fonctionnement • Réseau filaire commuté • Chaque station est reliée à un port du commutateur • Elle s'authentifie en 8902.1x sur ce port • Réseau Wifi • toutes les stations accèdent à l'AP via le même support • L'AP donne à chaque client qui est authentifié une clé de session propre • Toute trame n'utilisant pas de clé de session est ignorée par l'AP

  17. Fonctionnement – 2 • Pendant la phase d'authentification • La station ne peut accéder qu'au serveur d'authentification (NAS)‏ • Tous les autres flux sont bloqués par l'AP

  18. EAP : fonctionnement

  19. Les normes Wifi • WPA • PSK : Pre-Shared-Key • Enterprise • WPA2 (802.11i)‏ • PSK : Pre-Shared-Key • Enterprise

  20. Mise en place • Le Supplicant • Activation de 802.1x • Choix de la méthode EAP • L’Authenticator • Activation du 802.1x sur les ports • Redirection vers l’Authentication Server • Règle de sécurité sur le port ou la borne • L’Authentication Server • Création des profils • Mise en place des règles de sécurités sur les profils • Liens externes (LDAP, DHCP)‏

  21. Radius – 1 • Remote Access Dial In User Service • Rôle : authentification des utilisateurs par des moyens divers (fichiers texte, abses de données , annuaires LDAP, ...)‏

  22. Radius – 2 • encore appelé AAA • Authentication : établissement de l'identité (mots de passe, certificats, ...)‏ • Autorisation : affectation de droits et privilèges à un utilisateur • Accounting : gestion des ressources pour statistiques, facturation, ...

  23. Les serveurs RADIUS • IAS (Internet Authentication System) Microsoft • Cisco ACS • FreeRadius (Linux)‏

  24. Le serveur FreeRadius • Serveur Radius Open-source de référence. • Utilisé dans des configurations de plus de 10 millions d'utilisateurs • Utilisable avec Mysql, PostgreSQL, Active Directory, des fichiers plats, OpenLdap, Oracle • Utilisé pour les connections commutées (PAP) ou EAP

  25. Le serveur FreeRadius • Gère les serveurs virtuels (~Apache)‏

  26. FreeRadius – Configuration • radiusd.conf — configuration du serveur • clients.conf— les clients Radius (NAS : switches et points d'accès, contient les adresses IP et le secret partagé)‏ • users — définit les utilisateurs • proxy.conf— les fichiers Radius amont • snmp.conf — liens avec Net-SNMP

  27. FreeRadius - • 3 sections : • Authenticate • Autorize • Accounting

  28. Section Authenticate • Freeradius peut authentifier des utilisateurs avec les méthodes • PAP, CHAP, MS-CHAP, MS-CHAPv2, • Et les méthodes EAP • EAP-TLS, EAP-TTLS, EAP-PEAP • Peut utiliser LDAP, PAM, Unix (/etc/passwd), Kerberos, Active Directory, ou des proxy RADIUS

  29. Section Authenticate – 2 • Les mots de passe peuvent être stockés en clair ou cryptés (MD4, LM, MD5, SHA1)‏ • Gère tous les client classiques (Wwindows XP, Vista, Linux, Mac OS)‏

  30. Section Authorize • Permet d'utiliser des stratégies de pré-authentification • Ou de post-authentification (heures, bloc d'adresse, ...)‏

  31. Section Accounting • Permet de stocker des information de comptabilisation dans des fichiers plats ou des bases de données

  32. Les proxys • Freeradius peut utiliser ou être utilisé comme proxy Radius • Il est également possible d'utiliser des pools de serveurs Freeradius pour faire de l'équilibrage de charge.

  33. VMPS • VLAN Management Policy Server (VMPS - Cisco) permet d'affecter des machines dans des VLAN selon leur adresse MAC. • Depuis FreeRADIUS 2.0 • Les configurations VMPS peuvent être stockées dans des fichiers plats ou dans des bases de données.

More Related