460 likes | 858 Views
La norme 802.1X. Plan. Présentation Objectifs Utilité Equipements Procédure d'accès au réseau Le fonctionnement Mise en place. Présentation.
E N D
Plan • Présentation • Objectifs • Utilité • Equipements • Procédure d'accès au réseau • Le fonctionnement • Mise en place
Présentation • 802.1X : solution de sécurisation, mise au point par l'IEEE en juin 2001, permettant d'authentifier (identifier) un utilisateur souhaitant accéder à un réseau (filaire ou non) grâce à un serveur d'authentification. • repose sur le protocole EAP (Extensible Authentication Protocol), défini par l'IETF, dont le rôle est de transporter les informations d'identification des utilisateurs.
Objectifs • autoriser l'accès physique à un réseau après une phase d'authentification
Equipements • le supplicant (client 802.1X) ou demandeur • l'AP (Access Point) ou Authenticator switch ou point d'accès Wifi • le serveur d'authentification (NAS : Network Authentication Server). C'est la plupart du temps un serveur RADIUS (Remote Acces Dial-In User Service). Le NAS donne l'accès ou non au supplicant
Le protocole EAP • Extended Authentication Protocol • extension de PPP - RFC 2284 – maintenant surtout utilisé sur les réseaux sans fils • Protocole de transport d'authentification • Extensible • L'AP n'est pas obligé de connaître le protocole utilisé entre le client et le serveur • Utilisé par les protocoles WPA/WPA2
EAP: les protocoles • EAP-TLS : standard IETF – impératif pour obtenir les logo WPA et WPA2. 1 certificat coté serveur + 1 cert. coté client => sûr mais déploiement lourd • EAP-TTLS : EAP-Tunneled Transport Layer Security – standard IETF • EAP-MD5 : pas d'authentification mutuelle entre client et le serveur Radius, le client s'authentifie par mot de passe - sécurité faible (faiblesses MD5) • PEAP
EAP-TLS • standard IETF • SSL (Secure Socket Layer) v3 • impératif pour obtenir les logo WPA et WPA2. • 1 certificat coté serveur + 1 certificat. coté client => PKI • sûr mais déploiement lourd • Implémentations Microsoft, Apple, Linux, Cisco • Pas d'authentification utilisateur
EAP-TTLS • EAP-TTLS : Tunneled TLS • authentification mutuelle du client et du serveur Radius par le biais d'un certificat coté serveur • Permet d'établir un tunnel chiffré pour transporter le mot de passe client • Coté client : couple login/mot de passe ; • Pas supporté par Microsoft
EAP-PEAP • Protected EAP • Développé par Microsoft, RSA Security et Cisco • Principe semblable à EAP-TTLS : il utilise le certificat du serveur pour créer un tunnel dans lequel transitera le mot de passe. • PEAP utilise MSCHAP v2 (Challenge Handshake Authentication Protocol) : le mot de passe qui transite est "haché" ( le serveur envoie un nombre (challenge) et le client mixe ce nombre avec le mot de passe avant envoi).
EAP- PEAP – Suite • 2 phases : • identification du serveur grâce une Infrastructure à clés publiques. Une fois le serveur identifié il y a la création d'un tunnel sécurisé qui permettra à la phase suivante d'être chiffrée. • identification du client au travers du tunnel chiffré.
EAP-MD5 • standard ouvert IETF • Sécurité assez faible • Hachage MD5 vulnérable • Authentification utilisateur seulement
Le fonctionnement • Réseau filaire commuté • Chaque station est reliée à un port du commutateur • Elle s'authentifie en 8902.1x sur ce port • Réseau Wifi • toutes les stations accèdent à l'AP via le même support • L'AP donne à chaque client qui est authentifié une clé de session propre • Toute trame n'utilisant pas de clé de session est ignorée par l'AP
Fonctionnement – 2 • Pendant la phase d'authentification • La station ne peut accéder qu'au serveur d'authentification (NAS) • Tous les autres flux sont bloqués par l'AP
Les normes Wifi • WPA • PSK : Pre-Shared-Key • Enterprise • WPA2 (802.11i) • PSK : Pre-Shared-Key • Enterprise
Mise en place • Le Supplicant • Activation de 802.1x • Choix de la méthode EAP • L’Authenticator • Activation du 802.1x sur les ports • Redirection vers l’Authentication Server • Règle de sécurité sur le port ou la borne • L’Authentication Server • Création des profils • Mise en place des règles de sécurités sur les profils • Liens externes (LDAP, DHCP)
Radius – 1 • Remote Access Dial In User Service • Rôle : authentification des utilisateurs par des moyens divers (fichiers texte, abses de données , annuaires LDAP, ...)
Radius – 2 • encore appelé AAA • Authentication : établissement de l'identité (mots de passe, certificats, ...) • Autorisation : affectation de droits et privilèges à un utilisateur • Accounting : gestion des ressources pour statistiques, facturation, ...
Les serveurs RADIUS • IAS (Internet Authentication System) Microsoft • Cisco ACS • FreeRadius (Linux)
Le serveur FreeRadius • Serveur Radius Open-source de référence. • Utilisé dans des configurations de plus de 10 millions d'utilisateurs • Utilisable avec Mysql, PostgreSQL, Active Directory, des fichiers plats, OpenLdap, Oracle • Utilisé pour les connections commutées (PAP) ou EAP
Le serveur FreeRadius • Gère les serveurs virtuels (~Apache)
FreeRadius – Configuration • radiusd.conf — configuration du serveur • clients.conf— les clients Radius (NAS : switches et points d'accès, contient les adresses IP et le secret partagé) • users — définit les utilisateurs • proxy.conf— les fichiers Radius amont • snmp.conf — liens avec Net-SNMP
FreeRadius - • 3 sections : • Authenticate • Autorize • Accounting
Section Authenticate • Freeradius peut authentifier des utilisateurs avec les méthodes • PAP, CHAP, MS-CHAP, MS-CHAPv2, • Et les méthodes EAP • EAP-TLS, EAP-TTLS, EAP-PEAP • Peut utiliser LDAP, PAM, Unix (/etc/passwd), Kerberos, Active Directory, ou des proxy RADIUS
Section Authenticate – 2 • Les mots de passe peuvent être stockés en clair ou cryptés (MD4, LM, MD5, SHA1) • Gère tous les client classiques (Wwindows XP, Vista, Linux, Mac OS)
Section Authorize • Permet d'utiliser des stratégies de pré-authentification • Ou de post-authentification (heures, bloc d'adresse, ...)
Section Accounting • Permet de stocker des information de comptabilisation dans des fichiers plats ou des bases de données
Les proxys • Freeradius peut utiliser ou être utilisé comme proxy Radius • Il est également possible d'utiliser des pools de serveurs Freeradius pour faire de l'équilibrage de charge.
VMPS • VLAN Management Policy Server (VMPS - Cisco) permet d'affecter des machines dans des VLAN selon leur adresse MAC. • Depuis FreeRADIUS 2.0 • Les configurations VMPS peuvent être stockées dans des fichiers plats ou dans des bases de données.