[EYROLLES] Authentification Réseau Avec Radius

Auth

enti

fica

tion

Rad

ius

9782212

120073

Cod

e d

iteur

:G

12

00

7IS

BN

:2

-21

2-1

20

07

-9

ISBN

13 :

978-2

-212-1

2007-3

Le rseau informatique de lentreprise est le premier maillon rencontr par lutilisateur lorsquil souhaiteaccder aux services qui lui sont proposs en ligne, localement comme distance ; cest le protocole Radiusqui permet den centraliser le contrle daccs, pour tous les supports, filaires aussi bien que Wi-Fi.

Contrler laccs au rseau de lentreprise avec RadiusPour mettre en place un contrle daccs au rseau de lentreprise, le responsable du rseau doit rsoudre une sortede quadrature du cercle : simplicit pour lutilisateur, fiabilit des mcanismes, interoprabilit, niveau de scurit lev.Il dispose pour cela dune palette de protocoles dauthentification, au cur de laquelle se trouve le protocole Radius,complt par dautres qui visent graduer le niveau de scurit en fonction de lenvironnement. Mais comment lesimbriquer et les faire interagir ? Comment matriser la complexit interne des solutions dauthentification rseau ?

Au sommairePourquoi une authentification sur rseau local ? Matriels ncessaires quipements rseau et serveur dau-thentification Postes clients Critres dauthentification Authentifier quoi et comment ? Principes desprotocoles Radius et 802.1X Radius-MAC 802.1X (EAP) Description du protocole Radius Format gnraldes paquets Les attributs vendor Dictionnaires dattributs Les diffrents types de paquets Extensionsdu protocole Radius Les rseaux virtuels (VLAN) Le support de IEEE 802.1X et EAP Identit externe Ngociation de protocole Protocole transport Gestion des cls de chiffrement Les protocoles EAP/TLSet EAP/PEAP et EAP/TTLS Spcificits Wi-Fi La gestion des cls de chiffrement et WPA TKIP et CCMP FreeRadius Installation et dmarrage Soumission dune requte Recherche dans la base de donnes Constitution de la liste des autorisations Authentification Config-items Les principaux fichiers de configu-ration Clients.conf La base users Radiusd.conf Le fichier eap.conf Dictionnaires Proxy.conf Huntgroups Les variables Syntaxe Syntaxe conditionnelle Excution de programmes externes FreeRadius sur rseau sans fil et filaire Radius-MAC et 802.1X Mise en uvre des bornes Configurationdu serveur FreeRadius Configuration des postes clients Configuration dun commutateur HP 2626 Configuration dun commutateur Cisco 2960 Mise en uvre des certificats Format des certificats Autoritsde certification et listes de rvocation Cration dune IGC (PKI) Configuration des clients 802.1X ClientsWindows Installation des certificats Authentification TLS Authentification PEAP 90 Authentification audmarrage Clients Linux/Unix Installation de NDISWRAPPER Installation de wpa_supplicant Installationde Xsupplicant Configuration de wpa_supplicant pour rseau sans fil Configuration de Xsupplicant pourrseau filaire Mise en uvre des bases de donnes externes Domaine Windows Configuration de Samba Intgration dans un domaine Windows Configuration dans radiusd.conf Base LDAP Rappels sur LDAP Schma Radius Mcanismes dinterrogation de la base LDAP Configurer LDAP dans radiusd.conf Exemplepour Radius-MAC, pour TLS, pour PEAP, avec TTLS Prise en compte des check-items Outils danalyse Analyse sur le serveur FreeRadius Utilisation de tcpdump Mode debug Analyse sur une borne Cisco Aironet1200 Analyse sur le poste de travail Annexe : rfrences.

qui sadresse cet ouvrage ? tous les administrateurs rseau qui doivent mettre en place un contrle daccs

centralis aux rseaux de lentreprise (filaires et sans fil).

Serge BordresIngnieur systmes etrseaux au CNRS depuis1984, Serge Bordres acommenc sa carriredans un grand centre decalcul, puis a rejoint lcolePolytechnique en tant queresponsable de lquiperseau et systmescentraux. Depuis lan2000, il travaille au Centredtudes Nuclaires deBordeaux-Gradignan,laboratoire de lIN2P3(Institut National dePhysique Nuclaire et dePhysique des Particules).Il y est responsable durseau du site et dploiedes solutions decommunication,dauthentification et descurit bases sur lesystme Linux.

S.

Bor

dr

es

Conc

eptio

n:

Nor

d Co

mpo

35

S e r g e B o r d r e s

O u v r a g e d i r i g p a r N a t M a k a r v i t c h

AuthentificationrseauRadius802.1x EAP FreeRadius

Authentificationrseau avec Radius

avec

12007_Authentification_XP 7/11/06 8:23 Page 1A

uth

enti

fica

tion

Rad

ius

9782212

120073

Cod

e d

iteur

:G

12

00

7IS

BN

:2

-21

2-1

20

07

-9

ISBN

13 :

978-2

-212-1

2007-3







S.

Bor

dr

es

Conc

eptio

n:

Nor

d Co

mpo

35





avec

12007_Authentification_XP 7/11/06 8:23 Page 1

Auth

enti

fica

tion

Rad

ius

9782212

120073

Cod

e d

iteur

:G

12

00

7IS

BN

:2

-21

2-1

20

07

-9

ISBN

13 :

978-2

-212-1

2007-3







S.

Bor

dr

es

Conc

eptio

n:

Nor

d Co

mpo

35





avec

12007_Authentification_XP 7/11/06 8:23 Page 1

AuthentificationrseauRadiusavec

Titre_Authentification_XP 31/10/06 13:44 Page 1

CHEZ LE MME DITEUR

T. LimonceLLi, adapt par S. BLondeeL. Adminsys. Grer son temps N11957, 2006, 274 pages.L. BLoch, c. WoLfhugeL. Scurit informatique. Principes et mthode pour ladministrateur systme. N12021, 2007, 350 pages.C. LLorens, L. Levier, D. vaLois. Tableaux de bord de la scurit rseau. N11973, 2006, 560 pages.J. sTeinberg, T. Speed, adapt par B. SonnTag. SSL VPN. Accs web et extranets scuriss. N11933, 2006, 220 pages.

G. pujolle. Scurit Wi-Fi. N11528, 2004, 238 pages.

M. KraffT, adapt par R. HerTzog, R. MaS, dir. N. MaKarviTcH. Debian. Administration et configuration avances. N11904, 2006, 674 pages.

R. HerTzog, C. Le BarS, R. MaS. Cahier de ladmin Debian, 2e dition.

N11639, 2005, 310 pages

B. BouTherin, B. deLaunay. Scuriser un rseau Linux, 3e dition. N11960, 2007, 280 pages.i. hurBain, avec la contribution dE. dreyfus. Mmento Unix/Linux. N11954, 2006, 14 pages.m. Bck et al., adapt par P. Tonnerre Monter son serveur de mails sous Linux. N11931, 2006, 360 pages.a. haBerT et c. Bravo. Scripting Windows. N11692, 2005, 340 pages.c. BLaess. Programmation systme en C sous Linux. N11601, 2e dition 2005, 964 pages.J BaTTeLLe, trad. D. rueff, avec la contribution de S. BLondeeL La rvolution Google. N11903, 2006, 280 pages.L. dricoT, avec la contribution de R. mas. Ubuntu efficace. N12003, 2e dition 2006, 360 pages avec CD-Roms. gauTier, c. hardy, f. LaBBe, m. Pinquier. OpenOffice.org 2 efficace. N11638, 2006, 420 pages avec CD-Rom.Dans la collection Connectez-moi !

s. BLondeeL. Wikipdia. Comprendre et participer. N11941, 2006, 168 pages.f. Le fessanT. Le peer-to-peer. N11731, 2006, 168 pages.f. dumesniL. Les podcasts. couter, sabonner et crer. N11724, 2006, 168 pages.c. BcheT. Crer son blog en 5 minutes. N11730, 2006, 132 pages.



Ouv r age d i r i g pa r Na t Maka r v i t c h

avec

Titre_Authentification_XP 31/10/06 13:44 Page 2

DITIONS EYROLLES61, bd Saint-Germain75240 Paris Cedex 05

www.editions-eyrolles.com

Le code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la photocopie usage collectif sans autorisation des ayants droit. Or, cette pratique sest gnralise notamment dans les tablissements denseignement, provoquant une baisse brutale des achats de livres, au point que la possibilit mme pour les auteurs de crer des uvres nouvelles et de les faire diter correctement est aujourdhui menace.En application de la loi du 11 mars 1957, il est interdit de reproduire intgralement ou partiellement le

prsent ouvrage, sur quelque support que ce soit, sans autorisation de lditeur ou du Centre Franais dExploitation du Droit de Copie, 20, rue des Grands-Augustins, 75006 Paris. Groupe Eyrolles, 2007, ISBN : 2-212-12007-9, ISBN 13 : 978-2-212-12007-2

Remerciements lISOC (Martin Kupres)pour lannexe B RFC 2865 : 2000, The Internet Society. Tous droits rservs.

Remerciements Benjamin Sonntag.

Dpt lgal : novembre 2006N dditeur : 7349Imprim en France

Le rseau informatique de tout tablissement ou de toute entreprise est le premiermaillon dune grande chane quun utilisateur rencontre ds quil veut bnficier desservices en ligne qui lui sont proposs localement ou distance dans les mandresdInternet. Laccs un rseau est un service qui peut tre convoit dans un but mal-veillant. Un pirate qui obtient la cl dun rseau peut chercher sy introduire, com-promettre des machines et sen servir pour rebondir vers dautres rseaux avec toutesles consquences dsagrables que cela implique.

Du point de vue de lutilisateur, le fait de se connecter physiquement au rseau doittre une opration trs simple, parce que cest la premire tape quil doit franchir,avant bien dautres, pour accder aux ressources dont il a besoin. Il convient donc dene pas lui compliquer les procdures outrance.

De son ct, le responsable du rseau a le souci de mettre en place des moyens decontrle des accs, et pour cela, il doit rsoudre une sorte de quadrature du cercle :simplicit pour lutilisateur, fiabilit des mcanismes, niveau de scurit lev, le touten utilisant le plus possible les standards disponibles.

Pour tendre vers cet objectif, il a sa disposition toute une palette de protocolesdauthentification quil doit associer selon une formule optimale. Au cur de celle-cion trouve comme principal ingrdient le protocole Radius. Il est paul par unepanoplie dautres protocoles qui lui apportent les fonctions supplmentaires permet-tant daugmenter et de graduer le niveau de scurit en fonction des conditions lies lenvironnement local.

Limbrication et linteraction de ces protocoles sont lorigine de la complexitinterne des solutions dauthentification rseau. Comprendre ces environnements estune tape importante dans la matrise dun tel dispositif. Cest lobjectif de ce livre.

Avant-propos

Authentification rseau avec RadiusVI

qui est destin ce livre ?Ce livre est destin tous les administrateurs de rseau qui sintressent aux solutionsdauthentification autour des serveurs Radius, et plus particulirement dans lesrseaux locaux, filaires ou sans fil. Ils y trouveront la documentation ncessaire, quilsaient dj commenc dployer une solution ou sils sapprtent le faire. Il leur seraprsent des explications thoriques dans lesquelles les mcanismes dauthentifica-tion seront dcortiqus, ainsi que des exemples pratiques sur tous les aspects de lamise en uvre, depuis le serveur Radius jusquau poste de travail, en passant par lesquipements rseau.

Structure du livreLes chapitres 1 6 constituent une premire partie de description des principes fon-damentaux.

La seconde partie, partir du chapitre 7, correspond la mise en uvre des mca-nismes tudis dans la premire partie.

Le chapitre 1 pose les problmes lis lauthentification sur rseau local et dfinit leprimtre du contenu de ce livre.

Le chapitre 2 passe en revue les divers matriels (au sens large) qui seront ncessairespour mener bien une authentification rseau.

Le chapitre 3 sintresse aux critres que peut prsenter un utilisateur ou un poste detravail pour tre authentifi.

Le chapitre 4 explique les principes gnraux des protocoles Radius et 802.1X quiseront analyss dans les chapitres suivants.

Le chapitre 5 dtaille le protocole Radius.

Dans le chapitre 6 nous verrons comment Radius a t tendu pour sinterfacer avecdautres protocoles complmentaires (802.1X par exemple) et nous les dtaillerons leur tour.

Le chapitre 7 est une introduction FreeRadius, qui dtaille les mcanismes quilmet en jeu pour implmenter le protocole Radius.

Dans le chapitre 8, nous verrons, au travers dexemples concrets, comment un ser-veur FreeRadius doit tre mis en uvre et comment les autres participants (quipe-ments rseaux, postes de travail) de la chane dauthentification doivent tre param-trs.

Avant-propos VII

Le chapitre 9 est une continuation du prcdent. Il y est dcrit comment les postesde travail doivent tre configurs pour utiliser le protocole 802.1X.

Le chapitre 10 explique comment un serveur FreeRadius peut sinterfacer avec undomaine Windows ou LDAP pour stocker les informations dont il a besoin.

Le chapitre 11 dcrit quelques moyens danalyse du trafic rseau lors de ltablisse-ment dune authentification.

Une liste de documents de spcifications (Request For Comments) lis aux protocolestudis pourra tre trouve dans lannexe A.

Dans lannexe B, on trouvera le texte de la RFC 2865, la principale rfrence du pro-tocole Radius.

RemerciementsMes premiers remerciements chaleureux vont Stella Manning, ma compagne, quima soutenu dans ce projet et qui, bien que profane en la matire, a patiemment relutout le livre afin de me conseiller pour en amliorer le style et la syntaxe.

Philas, qui a bien voulu rester sage dans le ventre de sa mre (prcdemment cite)et qui a certainement dj pu apprcier le monde numrique dans lequel il natra peu prs en mme temps que cet ouvrage.

Roland Dirlewanger, directeur des systmes dinformation la dlgation rgionaleAquitaine-Limousin du CNRS, qui a apport son avis dexpert en matire de rseauxet de scurit informatique.

Anne Facq, responsable du service informatique du Centre de Recherche PaulPascal, et Laurent Facq, directeur technique de REAUMUR (REseau Aquitain desUtilisateurs en Milieu Universitaire et de Recherche) qui ont, en famille, dcortiquce livre et apport une critique constructive et prcieuse.

Rgis Devreese, responsable du service informatique du Laboratoire dtude delIntgration des Composants et Systmes lectroniques pour les questions pointuesquil ma souvent poses et qui mont incit approfondir mes connaissances dans ledomaine de lauthentification.

Je remercie galement Muriel Shan Sei Fan et Nat Makarevitch des ditions Eyrollesqui mont permis de publier ce livre et qui mont aid le composer.

Table des matires

CHAPITRE 1Pourquoi une authentification sur rseau local ? ...................... 1

Lvolution des architectures de rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Nouveau paramtre pour la scurit des rseaux sans fil . . . . . . . . . . . . . . . . . . . . . 2Les nouvelles solutions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Radius, le chef dorchestre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Lunification des mthodes dauthentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Les protocoles tudis dans cet ouvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4En rsum... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

CHAPITRE 2Matriel ncessaire ....................................................................... 7

Les quipements rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Rappels sur les VLAN et IEEE 802.1Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Le serveur dauthentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Les postes clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

CHAPITRE 3Critres dauthentification ......................................................... 15

Authentifier : quoi ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Authentifier : avec quoi ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

CHAPITRE 4Principes des protocoles Radius et 802.1X ................................ 19

Principe de lauthentification Radius-MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Principe de lauthentification 802.1X (EAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

CHAPITRE 5Description du protocole Radius................................................ 25

Origines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Format gnral des paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Authentification rseau avec RadiusX

Les attributs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Les attributs vendor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Dictionnaires dattributs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Les diffrents types de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

CHAPITRE 6Les extensions du protocole Radius........................................... 33

Les rseaux virtuels (VLAN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Le support de IEEE 802.1X et EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Les couches EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35tape Identit externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36tape Ngociation de protocole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38tape Protocole transport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39tape Gestion des cls de chiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Le protocole EAP/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Le protocole EAP/PEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Le protocole EAP/TTLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Spcificits Wi-Fi : la gestion des cls de chiffrement et WPA . . . . . . . . . . . . . . 50

Historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Transition entre lauthentification et le chiffrement de donnes . . . . . . . . . . . . 51TKIP et CCMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

En rsum... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

CHAPITRE 7FreeRadius.................................................................................... 55

Installation et dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Principes gnraux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Soumission dune requte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Recherche dans la base de donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Constitution de la liste des autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Config-items . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Les principaux fichiers de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Clients.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61La base users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Les oprateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62DEFAULT et Fall-Through . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Radiusd.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Paramtres du service Radiusd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Table des matires XI

Dclaration des modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Section Instantiate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Section Authorize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Section Authenticate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Les autres sections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Le fichier eap.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Configuration du module tls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Configuration du module peap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Configuration du module ttls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Dictionnaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Les autres fichiers de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Proxy.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Domaine en prfixe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Domaine en suffixe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Huntgroups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Les variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Syntaxe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Syntaxe conditionnelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Excution de programmes externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

CHAPITRE 8Mise en uvre de FreeRadius .................................................... 83

Authentification Radius-MAC sur rseau sans fil . . . . . . . . . . . . . . . . . . . . . . . . 84Mise en uvre des bornes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Connexion de la borne sur un commutateur HP 2626 . . . . . . . . . . . . . . . . . . 85Connexion de la borne sur un commutateur Cisco 2960 . . . . . . . . . . . . . . . . 85Configuration dune borne HP 420 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Configuration dune borne Cisco Aironet 1200 . . . . . . . . . . . . . . . . . . . . . . 89

Configuration du serveur FreeRadius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Dclaration des bornes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Configuration de radiusd.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Configuration du fichier users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Configuration des postes client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Authentification 802.1X sur rseau sans fil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Configuration des bornes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Connexion des bornes sur des commutateurs HP et CISCO . . . . . . . . . . . . . . 95Configuration dune borne HP 420 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Configuration dune borne Cisco Aironet . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Configuration du serveur FreeRadius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Dclaration des bornes dans clients.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Configuration de radiusd.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Authentification rseau avec RadiusXII

Configuration de eap.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Configuration de users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Authentification Radius-MAC sur rseau filaire . . . . . . . . . . . . . . . . . . . . . . . . 101Mise en uvre des commutateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Configuration dun commutateur HP 2626 . . . . . . . . . . . . . . . . . . . . . . . . 101Configuration dun commutateur Cisco 2960 . . . . . . . . . . . . . . . . . . . . . . . 102

Configuration du serveur FreeRadius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Configuration des postes client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Authentification 802.1X sur rseau filaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Configuration dun commutateur HP 2626 . . . . . . . . . . . . . . . . . . . . . . . . . . 103Configuration dun commutateur Cisco 2960 . . . . . . . . . . . . . . . . . . . . . . . . 103Mise en uvre des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Format des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Plusieurs autorits de certification et listes de rvocation . . . . . . . . . . . . . . . . 105Cration dune IGC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Cration du certificat de lautorit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Cration dun certificat utilisateur ou machine . . . . . . . . . . . . . . . . . . . . . . 108

CHAPITRE 9Configuration des clients 802.1X ............................................. 111

Clients Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Installation des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Accder la configuration du supplicant . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Authentification TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Authentification PEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Authentification au dmarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Mise en uvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Installation dun certificat machine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Clients Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Installation de NDISWRAPPER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Installation de wpa_supplicant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Installation de Xsupplicant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Configuration de wpa_supplicant pour rseau sans fil . . . . . . . . . . . . . . . . . . 125

Configuration pour TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Configuration pour PEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Configuration TTLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Configuration de Xsupplicant pour rseau filaire . . . . . . . . . . . . . . . . . . . . . . 129Configuration pour TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Configuration pour PEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Configuration pour TTLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Table des matires XIII

CHAPITRE 10Mise en uvre des bases de donnes externes...................... 133

Domaine Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Configuration de Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Intgration dans un domaine Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Configuration dans radiusd.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Base LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136Rappels sur LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Schma Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138Mcanismes dinterrogation de la base LDAP . . . . . . . . . . . . . . . . . . . . . . . . 139Configurer LDAP dans radiusd.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Exemple pour Radius-MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142Exemple pour TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Exemple pour PEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Exemple avec TTLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

TTLS avec MS-CHAPv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146TTLS avec CHAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Prise en compte des check-items . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

CHAPITRE 11Outils danalyse ......................................................................... 151

Analyse sur le serveur FreeRadius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Utilisation de tcpdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Mode debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Analyse sur une borne Cisco Aironet 1200 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160Analyse sur le poste de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

CHAPITRE ARfrences.................................................................................. 165

CHAPITRE BLa RFC 2865 RADIUS................................................................ 167

Index........................................................................................... 207

Ce dbut de XXIe sicle est marqu par lexplosion des rseaux sans fil qui consti-tuent, de plus en plus, une composante part entire des rseaux locaux. Cette tech-nologie sans fil tait considre lorigine comme un instrument dappoint. Mais sonvolution rapide, celles des mentalits et des habitudes conduisent les administra-teurs rseaux repenser les relations entre rseaux sans fil et filaires.

En effet, si le sans-fil se dveloppe, il nen reste pas moins que le rseau filaire esttoujours bien l et indispensable. On remarquera galement quun poste de travailqui dispose de la double connectique sans fil et filaire a la possibilit dtre connect,simultanment, dans les deux environnements.

Lvolution des architectures de rseauLes rseaux locaux filaires ont aussi beaucoup volu ces dernires annes, passantdune architecture peu structure une sgmentation en sous-rseaux souvent motivepar la volont de mieux matriser les flux entre diffrents utilisateurs ou types dacti-vits, notamment grce lutilisation de filtres. Cette volution est facilite par lintro-duction de rseaux virtuels (VLAN) dont la multiplication ne cote rien.

1Pourquoi une authentification

sur rseau local ?

Authentification rseau avec Radius2

On peut alors tre tent de placer les postes sans fil dans un sous-rseau ddi et lespostes filaires sur un autre. Mais est-ce une bonne ide ? Pourquoi un poste donnserait-il trait diffremment suivant la mthode daccs au rseau ? Nest-ce pas lemme poste, le mme utilisateur ? La logique ne voudrait-elle pas quun mme postesoit toujours peru de la mme manire sur le rseau, quel que soit son mode daccs ?Autrement dit, un poste ne doit-il pas tre plac sur le mme sous-rseau, quil se con-necte par le biais du rseau sans fil ou par le biais du rseau filaire ? Cette banalisationdu traitement constitue une intgration logique des deux moyens physiques.

ces questions, on pourrait rpondre que la scurit des rseaux sans fil nest pasassez pousse et quil vaut mieux ne pas mlanger les torchons avec les serviettes.Pourtant cet argument est contraire la scurit car, si un poste dispose de la doublecapacit sans fil/filaire, il a alors la possibilit de faire un pont entre les deux environ-nements et de se jouer des filtrages tablis entre les rseaux virtuels qui ne serventalors plus rien.

Nouveau paramtre pour la scurit des rseaux sans filSi on sait parfaitement o commence et o finit un rseau filaire, et quil faut se con-necter sur une prise physique pour avoir une chance de lcouter, la difficult avec lesrseaux sans fil rside dans le fait que leur enveloppe est floue. Il ny a pas de limitesimposables et contrlables. Une borne Wi-Fi met dans toutes les directions et aussiloin que porte son signal. Bien souvent, ses limites dpassent les btiments de lta-blissement et parfois plusieurs rseaux se recouvrent. Donc, partout dans le volumecouvert par une borne, des espions peuvent sinstaller et intercepter les communi-cations ou sintroduire dans le rseau et lutiliser leur profit.

Cette situation fut trs problmatique pour les premires installations Wi-Fi causede labsence de mthode dauthentification fiable des postes de travail et de mca-nismes de chiffrement fort des communications. Cela nincitait pas mlanger lespostes filaires et sans fil.

La premire notion de scurit fut introduite par les cls WEP (de langlais WiredEquivalent Privacy), utilises la fois comme droit daccs au rseau et pour chiffrerles communications. Cependant, il ne pouvait sagir dune mthode dauthentifica-tion srieuse puisque la seule connaissance de la cl partage entre tous les utilisa-teurs et les bornes donnait accs au rseau. Quant au chiffrement, les pirates ont trsvite eu raison de lalgorithme utilis, qui ne rsiste pas une simple coute du traficsuivie dune analyse. Des logiciels spcifiques ont t dvelopps, tels que Aircrackou Airsnort, qui permettent dautomatiser ce type dattaques.

Pourquoi une authentification sur rseau local ?CHAPITRE 1

3

Les nouvelles solutions de scuritMais depuis, la situation a bien volu grce larrive des protocoles WPA puisWPA2 (Wi-Fi Protected Access) et par l mme des capacits dauthentification plusrobustes. Il est dsormais possible dtablir une authentification forte et denchanersur un chiffrement solide des communications de donnes. partir de l, on peutatteindre un niveau de scurit satisfaisant et intgrer plus sereinement rseau sans filet rseau filaire.

Plusieurs coles saffrontent au sujet de la scurit des communications Wi-Fi. Onpeut considrer que le chiffrement est une tche qui peut tre laisse aux applicationsde lutilisateur (SSH, HTTPS). On peut aussi chiffrer grce un serveur VPN(Virtual Private Network). Dans ce dernier cas, un logiciel client doit tre install etconfigur sur chaque poste de travail. Il a pour rle dtablir une communicationchiffre entre lui et un serveur VPN, qui assure un rle de passerelle avec le rseaufilaire. Cela revient donc ajouter une couche logicielle supplmentaire sur le postede travail. Pourtant, est-ce bien ncessaire ? En effet, aujourdhui, tous les systmesdexploitation possdent dj une couche quivalente qui porte le nom de supplicantet qui est compltement intgre au code logiciel des fonctions rseau. De plus, cesupplicant est compatible avec WPA, ce qui lui procure la fois des fonctions dechiffrement et dauthentification. Afin de rpondre aux requtes des supplicants, ilfaut installer, comme chef dorchestre, un serveur dauthentification qui implmen-tera le protocole Radius (Remote Authentication Dial In User Service).

Radius, le chef dorchestreLa premire tche de ce serveur est dauthentifier les requtes qui lui parviennentdun poste client, cest--dire dengager des changes avec lui pour obtenir la preuvequil est bien qui il prtend tre. On peut distinguer deux types gnraux de preuves :par mot de passe ou bien via un certificat lectronique.

Lauthentification peut tre suffisante en elle-mme dans une structure de rseau plat , cest--dire sans segmentation, et o tous les postes de travail sont considrsde faon quivalente. Cependant, lorsque le rseau est segment, cela ne suffit pas.Que faire dun poste authentifi ? O le placer sur le rseau ? Dans quel VLAN ?Cest la deuxime tche du serveur Radius, qui a aussi pour rle de dlivrer des auto-risations. Ce terme dautorisation, li au protocole Radius, doit tre pris dans un senstrs large. Il correspond en fait des attributs envoys lquipement rseau (borne,commutateur) sur lequel est connect le poste de travail. Sur un rseau local, lenumro du VLAN est un de ces attributs qui permet de placer le poste au bon


endroit du rseau en fonction de son identit, et ce automatiquement. En quelquesorte, le serveur Radius va dire lquipement rseau : Jai authentifi le poste quiest connect sur ton interface i et je te demande de louvrir en lui affectant le VLANv . Sur un commutateur, cest ce moment l que la diode (verte en gnral), corres-pondant cette interface, doit sallumer. Cette allocation dynamique du VLANgarantit une finesse dexploitation bien plus intressante quune sparation desrseaux sans fil et filaires en plusieurs VLAN distincts.

Lappellation protocole dauthentification pour Radius est donc un abus de lan-gage. Il sagit, en ralit, dun protocole dauthentification, dautorisation et decomptabilit (accounting). Cette dernire composante permet denregistrer un certainnombre dindicateurs lis chaque connexion (heure, adresse de la carte Ethernet duclient, VLAN...) des fins de traitement ultrieur.

Pour les rseaux sans fil, le serveur Radius possde une troisime mission : amorcerles algorithmes de chiffrement de donnes, cest--dire des communications que leposte de travail tablira aprs la phase dauthentification.

Lunification des mthodes dauthentificationCes techniques dauthentification ne sont pas spcifiques aux rseaux sans fil.Dailleurs, certains des protocoles sous-jacents WPA (IEEE 802.1X et EAP) ontt initialement dvelopps pour des rseaux filaires. La diffrence principale avec lesans-fil, cest que les communications de donnes ne seront pas chiffres.

Pour le reste, il est intressant de tirer parti de lexistence dun serveur Radius pourbnficier de ses services sur le rseau filaire. Notamment, lallocation dynamique desVLAN qui permettra, en plus, de savoir qui est connect sur quelle prise.

Ladministrateur du rseau a alors la possibilit dunifier la gestion des accs. Unmme serveur Radius authentifie les clients quelle que soit leur origine, tout en tantcapable de diffrencier les mthodes (mot de passe, certificat...). Le poste de travailest banalis et sa place dans le rseau dpend uniquement de son identit.

Les protocoles tudis dans cet ouvrageLa mise en uvre dune telle authentification, si elle devient de plus en plus incontour-nable, est rendue assez dlicate par lempilement des technologies et des protocoles.Cet ouvrage a pour but, dans un premier temps (chapitre 1 6), de dtailler les mca-nismes et les interactions entre ces protocoles au travers de deux grandes familles :

Pourquoi une authentification sur rseau local ?CHAPITRE 1

5

Radius-MAC, qui est une mthode basique qui ne met pas en jeu 802.1X et quiconsiste authentifier un poste par ladresse de sa carte rseau (adresse MAC). Cemoyen est plutt destin aux rseaux filaires.

802.1X avec EAP, mthode plus sophistique qui permet des authentificationspar mots de passe ou certificats lectroniques, et qui, pour le sans-fil, permet luti-lisation de WPA.

Dans un deuxime temps (chapitre 7 11), nous tudierons les configurations nces-saires sur le serveur Radius, sur les quipements rseau (bornes Wi-Fi, commuta-teurs) et sur les postes de travail, pour tous les cas expliqus dans la premire partie.

Les technologies qui sous-tendent ces protocoles sont extrmement riches et il existede nombreux cas envisageables impliquant autant de possibilits de paramtrage.Afin de rester le plus clair et le plus pdagogique possible, les cas les plus reprsenta-tifs seront dvelopps. Les principes fondamentaux qui les gouvernent pourrontensuite tre appliqus dautres options de mise en uvre propres un site.

En rsum...Limplantation dune solution dauthentification sur un rseau local filaire produitdes bnfices importants. Lintroduction des rseaux sans fil exacerbe les questions descurit et pousse au dploiement de ces technologies dauthentification.

Elles permettent lutilisateur dutiliser sa convenance sa connexion filaire ou sansfil sans aucune diffrence fonctionnelle, et la gestion du rseau en sera, de surcrot,optimise et scurise. Lvolution des protocoles dauthentification, allis des algo-rithmes de chiffrement performants, permettent dsormais de tirer parti du meilleurdes deux mondes, filaire et sans fil.

DFINITION RFC

Rgulirement dans ce livre il sera fait rfrence des RFC (Request For Comments). Il sagit de docu-ments, enregistrs par lIETF (Internet Engineering Task Force), dcrivant des technologies utilises surles rseaux Internet. Avant dtre lev au stade de RFC, un document est considr comme un brouillon(draft). Une fois que le statut de RFC est atteint, il peut devenir un standard (Internet Standard).Lannexe propose la liste des principales RFC qui dcrivent les protocoles qui seront tudis dans ce livre.

Toute la difficult de la mise en uvre dune solution dauthentification rside dansle fait quil sagit dun fonctionnement tripartite : lquipement rseau, le poste utili-sateur et le serveur dauthentification. Ce chapitre fait linventaire des moyens dont ilfaut disposer.

Les quipements rseauLlment pivot de tout le dispositif est lquipement rseau, cest--dire le commu-tateur ou la borne sans fil. Dans la terminologie Radius, ces quipements sontappels NAS (de langlais Network Access Server). Ils sont aussi nomms clientsRadius puisque ce sont eux qui soumettent des requtes au serveur. Avec 802.1X, ilssont appels authenticators.

Ils doivent imprativement supporter au moins les standards suivants : le protocole Radius ; les protocoles IEEE 802.1X et EAP.

De plus, si lutilisation des rseaux virtuels est souhaite, les NAS devront tre com-patibles avec le protocole IEEE 802.1Q qui dfinit les critres dutilisation desrseaux virtuels, appels VLAN (Virtual Local Area Network).

2Matriel ncessaire


Avant de rentrer dans le dtail des protocoles dauthentification, il est important derappeler comment fonctionne le protocole 802.1Q.

Rappels sur les VLAN et IEEE 802.1QSur un commutateur, chaque port peut tre associ un VLAN. Celui-ci est associ un rseau (adresse IP et Netmask). Les postes connects sur des ports de mme VLANpeuvent communiquer entre eux. Pour communiquer dun VLAN lautre, il faut dis-poser dune fonction de routage sur le commutateur lui-mme (qui dans ce cas est uncommutateur-routeur) ou bien sur un routeur sur lequel est connect le commutateur.

Les commutateurs sont relis entre eux par une liaison Ethernet de port port. Si cesports sont affects un VLAN prcis, alors seules les communications concernant ceVLAN pourront transiter. Pour que tous les VLAN dun commutateur puissentcommuniquer avec tous les VLAN quivalents dun autre commutateur, il faut quilssoient relis par un lien 802.1Q.

Ce protocole est matrialis par lajout dune balise de quatre octets aux tramesEthernet lorsquelles passent dun commutateur lautre. Ainsi, lorsquune trame partdun commutateur, celui-ci peut y ajouter le numro de VLAN auquel elle est destine.Le commutateur qui reoit peut ainsi savoir sur quel VLAN il doit placer la trame,aprs lui avoir retir les quatre octets. Les constructeurs donnent des noms diffrents ce type de configuration. Par exemple, chez Cisco les liens 802.1Q sont appels lienstrunk alors que chez Helwett Packard ils sont appels liens taggus .

La figure 2-1 montre un schma basique dune architecture utilisant 802.1Q. Lespostes sur un mme VLAN et un mme commutateur communiquent directement,alors que les communications des postes placs sur des VLAN diffrents doiventremonter jusquau routeur pour changer de rseau, mme sils sont connects sur lemme commutateur. Le routeur est lui-mme connect grce des liens 802.1Q versles commutateurs.

DFINITION Netmask

Le masque de sous-rseau (netmask) est une suite de 32 bits qui permet de diviser une adresse IP en uneadresse de sous-rseau et une adresse dordinateur. Une suite conscutive de 1 partir du dbut du mas-que dfinit ladresse du rseau. Le reste (positionn 0) correspond ladresse de lordinateur dans cerseau. Une adresse IP na de sens que si on connat le netmask associ.Par exemple, si une machine a pour adresse IP 10.20.3.2 avec le netmask 255.255.0.0, cela signifiequelle appartient au rseau 10.20.0.0 et quelle a pour adresse 3.2.Un VLAN est toujours caractris par un couple adresse de rseau/masque de rseau.

Matriel ncessaireCHAPITRE 2

9

NORME IEEE 802.1Q

Une trame Ethernet est compose de cinq champs : ladresse Ethernet de destination,ladresse Ethernet source, le type de protocole ou la longueur des donnes, les don-nes et un champ de contrle derreur.Le protocole 802.1Q est port par une balise de quatre octets qui vient sintercalerdans cette trame aprs le champ de ladresse source. Cette balise est elle-mme com-pose de quatre champs : TPID ou Tag Protocol Identifier : form de deux octets, on y trouve un code pour identi-

fier le protocole utilis. Par exemple, pour 802.1Q on trouvera : 0x8100. Priorit : ce champ permet dattacher une priorit un VLAN pour le favoriser ou,

au contraire, le pnaliser par rapport aux autres VLAN. Il est compos de trois bitspermettant de dfinir huit niveaux de priorit.

CFI ou Canonical Format Identifier : il sagit dun seul bit permettant dassurer la compa-tibilit entre les adresses MAC de rseau Ethernet et Token Ring. Ce bit vaut zropour Ethernet.

VID ou VLAN ID : les douze bits de ce champ permettent dinscrire le numro duVLAN. Il est donc possible de grer 4 094 VLAN.

Figure 21Exemple darchitecture utilisant 802.1Q


La vision physique du schma prcdent peut tre transforme en une vision logique(figure 2-2) dans laquelle les postes sont reprsents sur les sous-rseaux auxquels ilsappartiennent. La technique des rseaux virtuels permet de placer sur des mmessous-rseaux des postes loigns physiquement (dans des btiments diffrents parexemple) ou utilisant des liaisons diffrentes (filaire ou sans fil).

Les ports des commutateurs peuvent tre configurs soit de manire statique soit demanire dynamique.

La premire mthode consiste figer le port dans un VLAN quel que soit le postequi sy connecte. La deuxime mthode consiste attendre que le serveur dauthenti-fication communique au commutateur le numro de VLAN affecter chaque porten fonction du poste qui sy connecte. Cest bien sr ce cas qui nous intresse ici.

Pour le sans-fil, malgr les apparences, la technique est la mme. Bien sr, dans unecommunication entre une borne et un client, il ny a pas de port physique. Mais cettecommunication stablit bien au travers dun port virtuel maintenu par la borne.Comme en filaire, ce port pourra tre ouvert dynamiquement sur tel ou tel VLAN.

La borne se comporte donc comme un commutateur. Elle sera elle-mme relie aurseau filaire par le biais dun lien 802.1Q (figure 2-1).

Ainsi, le poste PC4 qui se connecte par le rseau sans fil, sil est authentifi et auto-ris sur le VLAN2 (figure 2-2), sera effectivement plac sur le mme sous-rseau quele poste PC1 qui, lui, sest connect par le rseau filaire et peut se trouver physique-ment nimporte o sur le site.

Figure 22Schma logique dune architecture 802.1Q


11

Le serveur dauthentificationMalgr la mise en uvre de plusieurs protocoles, un seul serveur dauthentificationsera ncessaire. Nous le verrons plus loin, 802.1X et EAP constituent deux aspectsdun mme protocole qui est lui mme transport par Radius. Le serveur dauthenti-fication sera donc un serveur Radius.

Il faudra faire deux choix : le systme dexploitation et limplmentation de Radius.

Il existe plusieurs solutions sur le march, certaines commerciales, dautres libres.Citons par exemple : ACS (Access Control Server de Cisco sous Windows) ; Aegis (de MeetingHouse sous Linux) ; IAS (Internet Authentication Service de Microsoft sous Windows) ; OpenRadius (libre sous Linux) ; FreeRadius (libre sous Linux, BSD, Solaris et Windows).

Cest cette dernire implmentation que nous utiliserons et que nous dtaillerons partir du chapitre 7. Elle prsente lavantage dtre trs stable, de bnficier dunecommunaut trs active au travers dun site web et de listes de diffusion. Il sagitdune solution trs largement rpandue sur divers systmes dexploitation et apte sintgrer dans des environnements trs varis grce sa compatibilit avec les stan-dards les plus courants. De plus, elle est gratuite.

PRCAUTION Mise jour du matriel

Il conviendra donc, avant toute chose, de bien vrifier si son matriel, ou celui quonsouhaite acqurir, possde bien les fonctionnalits dcrites ci-dessus. Il faudra aussibien faire attention ce que le support de ces protocoles soit complet. En effet, onpeut trouver des matriels supportant Radius avec EAP mais pas lauthentificationpar adresse MAC (Radius-MAC).Pour les bornes Wi-Fi, il faudra aussi vrifier quelles grent bien WPA ou WPA2 afinde permettre, aprs lauthentification, le chiffrement des communications bases surun change de cls dynamiques. Nous reviendrons sur cette aspect au chapitre 6 auparagraphe Spcificits Wi-Fi : la gestion des cls de chiffrement et WPA .Compte tenu du nombre de protocoles mis en jeu, et donc des multiples problmespouvant tre lis leur interoprabilit, il est important de mettre jour le micro-code (firmware) du matriel afin de disposer de sa dernire version. Cela permettra desaffranchir de problmes dj connus et rsolus. Les fichiers images sont disponiblessur les sites des constructeurs. La mise jour consiste en gnral faire un tlchar-gement TFTP ou bien HTTP si une interface web est disponible.


Le serveur Radius a besoin dune base de donnes quil pourra interroger pourobtenir les informations dont il a besoin pour authentifier (mot de passe parexemple) ou pour dlivrer des autorisations (numro de VLAN). Il peut sagir dunebase intrinsque limplmentation Radius ou dune base externe (Oracle, domaineWindows, LDAP, etc.). Cette base peut-tre spare en deux entits : une base pourauthentifier et une autre pour autoriser.

Le serveur Radius doit pouvoir interroger ces bases mais il nest pas de sa responsabi-lit de les grer ou de les renseigner. Le chapitre 10 est consacr la mise en uvrede deux types de bases externes : un domaine Windows et une base LDAP.

Les postes clientsLauthentification par adresse MAC (Radius-MAC) ne dpend pas de la machine oudu systme dexploitation du poste de travail. Il suffit de le brancher et lquipementrseau le dtecte et enclenche le protocole Radius.

Dans le cas du sans-fil, ce branchement correspond la phase dassociation duposte sur la borne.

Pour lauthentification 802.1X, il faudra que le poste client dispose dun logicielappel supplicant . Aujourdhui, les versions les plus rcentes de Windows etMac OS disposent de ce logiciel en standard. Sous Linux, la situation dpend de ladistribution qui inclut ou non un supplicant. Dans tous les cas, il est possible dins-taller Xsupplicant ou wpa_supplicant. Ces deux utilitaires sont galement disponi-bles dans le monde BSD.

DANS LA VRAI VIE Redondance de serveurs

Un seul serveur suffit mais comme il sera trs vite un maillon vital de larchitecture, il faudra prvoir de ledoubler par une machine secondaire apte prendre le relais en cas de panne du serveur principal. Les conditions de basculement de lun lautre seront paramtres dans lquipement rseau.

DFINITION Association et SSID

Avant de commencer un quelconque processus dauthentification, le poste de travaildoit sassocier la borne. Par analogie avec les rseaux filaires, cette opration revient brancher un cble virtuel entre la borne et le poste. Celui-ci met des requtes desondage (probe request) exprimant ainsi son souhait de se connecter sur le rseau Wi-Fiet, plus prcisment sur un SSID (Service Set ID), qui est le nom du rseau. Lorsque laborne qui gre ce rseau capte le signal, elle peut rpondre et ainsi sassocier au poste.


13

Pour un poste sans fil, il faudra vrifier que la carte Wi-Fi est bien compatible avecWPA. Il faudra faire attention et vrifier quil sagit bien de WPA-Enterprise et passeulement de WPA-PSK, parfois appel WPA-Home, qui peut tre considrcomme une version simplifie nutilisant pas de serveur Radius.

Avec Linux, la situation est parfois plus complique. Il faudra vrifier si le pilote de lacarte sans fil est disponible. Dans le cas contraire, il sera, par exemple, possible dins-taller le logiciel NDISWRAPPER qui permet dutiliser des pilotes Windows sousLinux. Cependant, cette solution nest pas infaillible et peut poser des problmesavec certaines cartes ou versions du noyau Linux.

Aprs avoir pass en revue les acteurs, nous allons ici nous poser deux questionsimportantes : que veut-on authentifier et comment le faire ? Les rponses ces deuxquestions permettront de mettre en place une architecture sadaptant lenvironne-ment existant, ou bien de faire voluer ce dernier afin dobtenir une solutiondauthentification plus complte et plus robuste.

Authentifier : quoi ?Authentifier cest bien, mais que veut-on authentifier au juste ? Des utilisateurs oudes machines ?

Cette question mrite dtre pose car selon la rponse, les choix de mise en uvreseront diffrents.

Si on authentifie des utilisateurs, cela signifie que lauthentification et lautorisation,donc le VLAN offert, seront dpendantes de lutilisateur qui exploite la machine.Une mme machine sera connecte tel ou tel VLAN suivant son utilisateur.

Par exemple, lorsque Dupont se connecte sur la machine PC1, elle est place sur leVLAN 2 et lorsque Durand se connecte sur cette mme machine, elle est place surle VLAN 3.

3Critres dauthentification


Cela signifie donc que soit lauthentification (et donc ltablissement de la liaisonrseau) se fait au moment o chaque utilisateur se connecte dans sa session, soit cestlidentit dun seul utilisateur qui est considre au moment o la machine dmarre.

Si on authentifie des machines, cela signifie que quels que soient leurs utilisateurs, lesmachines seront toujours places sur le mme VLAN. La machine dispose alorsdune identit propre et unique qui peut tre utilise pour lauthentifier au momentdu dmarrage, ou au moment de la connexion dun utilisateur.

Authentifier : avec quoi ?De quels lments dispose-t-on pour authentifier un utilisateur ou une machine ?Dans cet ouvrage, nous traiterons de trois cas parmi les plus communment rpanduset les plus faciles dployer : Authentification avec ladresse Ethernet (adresse MAC)

Ladresse MAC de la carte Ethernet du poste de travail identifie ce dernier. Cetteadresse MAC nest pas une preuve absolue didentit puisquil est relativementfacile de la modifier et dusurper lidentit dun autre poste de travail. Nanmoins, sur un rseau filaire, cette adresse peut tre suffisante puisque, pourtromper le systme dauthentification, il faudra tout de mme pntrer sur le site,connatre une adresse MAC valide et russir sen servir. Mme si on peut imagi-ner quune personne dcide peut y arriver, cette solution est suffisante si on consi-dre quil sagit l dune premire barrire. En revanche, si on souhaite une authen-tification trs forte il faudra utiliser une autre mthode, savoir 802.1X et EAP.Dans le cas du sans-fil, lauthentification par adresse MAC fonctionne galementmais elle est fortement dconseille comme unique moyen. En effet, mme si onmet en place un chiffrement fort des communications, ladresse MAC circule tou-jours en clair. Or, le problme du sans-fil est que le primtre du rseau est flou etincontrlable. Par consquent, nimporte qui, coutant ce rseau, mme sans accsphysique, peut capter des adresses MAC et sen servir trs facilement ensuite poursauthentifier. Cet inconvnient est moindre en filaire car le primtre est compl-tement dtermin et une prsence physique dans les locaux est ncessaire.Ce type dauthentification est appel Radius-MAC ou encore MAC-based.

Authentification par identifiant et mot de passeCe type dauthentification correspond plutt une authentification par utilisateuret suppose quil existe quelque part une base de donnes qui puisse tre interrogepar le serveur. Plusieurs protocoles peuvent tre mis en uvre pour assurer une authentificationpar identifiant et mot de passe. Cependant, il convient dliminer ceux pour lesquels

Critres dauthentificationCHAPITRE 3

17

le mot de passe circule en clair sur le rseau ou bien est stock en clair dans la basede donnes. Le protocole 802.1X nous permettra de mettre en uvre des solutions(EAP/PEAP ou EAP/TTLS) qui permettront de rsoudre ces problmes.Comme les utilisateurs sont dj confronts la ncessit de possder de multiplesmots de passe pour de multiples applications, il sera intressant de rutiliser unebase existante comme un domaine Windows ou une base LDAP.

Authentification par certificat lectronique X509

DFINITION Les adresses MAC ou adresses Ethernet

Ladresse MAC (de langlais Media Access Control) est une chane hexadcimale de sixoctets qui identifie une carte Ethernet. Cette adresse doit tre unique au niveaumondial. Cest lIEEE (Institut of Electrical and Electronics Engineers) qui gre ces adresses etqui en distribue des plages chaque constructeur. Bien que physiquement stockesdans les cartes Ethernet, il reste possible de modifier ces adresses dans les coucheslogicielles des protocoles de communication. Pour cette raison, ladresse MAC nestpas une preuve absolue de lidentit dune machine.

RAPPEL Les certificats

Un certificat lectronique est une carte didentit lectronique dlivre par uneautorit de certification et conforme la norme X509. Il contient : les informations didentit du propritaire ; une cl publique ; une empreinte calcule par une technique dite de hachage et chiffre avec la cl pri-

ve de lautorit de certification. Elle est utilise pour prouver la validit du certificat.Ces trois donnes sont compltement publiques. En revanche, le propritaire du cer-tificat possde galement une cl prive associe quil doit garder secrte.Le chiffrement avec ces cls est dit asymtrique. Tout ce qui est chiffr avec une cl publique ne peut tre dchiffr quavec la cl

prive associe. Tout ce qui est chiffr avec une cl prive ne peut tre dchiffr quavec la cl

publique associe.Un certificat peut tre utilis pour signer des documents de manire lectronique(courrier), pour sauthentifier auprs dun service ou pour chiffrer des communications.Il existe plusieurs formats de fichiers pour stocker un certificat. Citons ceux qui serontutiliss dans les chapitres suivants : PKCS12 (Public Key Cryptographic Standards) qui permet de stocker la fois le certificat

et sa cl prive. Ce fichier est protg par un mot de passe quil faut fournir pourpouvoir louvrir.

PEM (Privacy Enhanced Mail) qui permet de stocker soit des certificats, soit des clspubliques, soit des cls prives. La protection des cls prives est optionnelle.Lorsquelles ne sont pas protges, les cls prives doivent tre places en lieu sr.


Ce type dauthentification consiste faire prsenter par le client un certificat lec-tronique dont la validit pourra tre vrifie par le serveur.Il peut sagir dun certificat appartenant un utilisateur. Dans ce cas on parleradauthentification par utilisateur. Mais il peut galement sagir dun certificatmachine qui sera alors li la machine.Lusage des certificats implique lexistence dune IGC (Infrastructure de gestionde cls, ou PKI en anglais, pour Public Key Infrastructure). Nous verrons auchapitre 7 les caractristiques de ces certificats.

Dans ce chapitre, nous allons prsenter le rle des diffrents acteurs (poste de travail,quipement rseau, serveur) et examiner quelles relations stablissent entre eux etpar quels mcanismes dans deux types de cas : Avec une authentification grce ladresse MAC du poste de travail (Radius-

MAC). Avec les protocoles IEEE 802.1X et EAP (de langlais Extensible Authentication

Protocol) qui permettront de pousser plus loin les possibilits et la scurit desmthodes dauthentification.

Principe de lauthentification Radius-MACLauthentification par adresse MAC, appele Radius-MAC (ou MAC-based), est laplus simple mettre en uvre parmi les solutions que nous allons tudier. Enrevanche, cest la moins sre.

La figure 4-1 reprsente un rseau sur lequel est connect un serveur Radius et unposte de travail par lintermdiaire dun commutateur. Les tapes du protocole sont :1 Le poste de travail se branche sur un des ports du commutateur.

4Principes des protocoles

Radius et 802.1X


2 Le commutateur dtecte cette connexion et envoie une requte dauthentification(Access-Request) au serveur Radius. Dans cette requte, ladresse MAC du postede travail fait office didentifiant.

3 Le serveur reoit ce paquet et utilise ladresse MAC comme point dentre danssa base de donnes do il rcupre, si ladresse MAC est connue, le VLANauquel sera connect ce poste de travail.

4 Le serveur envoie sa rponse au commutateur. Si elle est ngative (Access-Reject),le port du commutateur reste ferm et le poste nest pas connect au rseau. Si larponse est positive (Access-Accept), elle contient le numro de VLAN autoris. Lecommutateur ouvre alors le port sur ce VLAN et le poste peut commencer tra-vailler.

Donc, dans ce type dauthentification, il ny a pas de communication entre le postede travail et le serveur Radius. Tous les changes interviennent entre le commutateuret le serveur.

Dans le cas des rseaux sans fil, le schma est exactement le mme. Certes, il ny apas de port physique, mais lopration dassociation est quivalente au branchement dun poste sur la borne. Celle-ci cre alors un port virtuel et tout sepasse ensuite comme en filaire. Le serveur dialogue avec la borne exactement commeavec un commutateur.

Il faut galement noter que le poste de travail na besoin daucune configuration par-ticulire. Des quipements peu intelligents (comme une imprimante) peuvent treainsi authentifis.

Figure 41Principe de lauthentification Radius-MAC

Principes des protocoles Radius et 802.1XCHAPITRE 4

21

Principe de lauthentification 802.1X (EAP)Si le schma gnral de lauthentification 802.1X ressemble celui de Radius-MAC,les deux mthodes sont, en ralit, trs diffrentes. Lauthentification 802.1X est pluscomplique et dlicate mettre en uvre.

Tout dabord, la diffrence la plus importante est que, cette fois, un logiciel particuliersera indispensable sur le poste de travail. Ce logiciel est appel supplicant. Suivant leschma de la figure 4-2, cest lui qui va envoyer (1) vers le serveur Radius les lmentsdauthentification (certificat, identifiant, mot de passe). Cependant, il ne commu-nique pas directement avec le serveur et dailleurs, il ne le connat pas. Cest le com-mutateur qui va servir dintermdiaire (2), car il connat ladresse du serveur.

Pour interroger sa base de donnes (3), le serveur Radius a besoin dun identifiantquil utilise comme point dentre. Bien sr, dans ce cas, il ne sagira pas de ladresseMAC. Lidentifiant sera configur et envoy par le supplicant.

Comme prcdemment, le serveur accepte ou refuse lauthentification et renvoie sarponse au commutateur (4). Et celui-ci ouvre le port sur le VLAN command par leserveur. Mais lopration est compltement diffrente du cas prcdent.

Avec Radius-MAC, lauthentification est ralise sans aucune communication entrele poste de travail et le serveur. En 802.1X, dans la mesure o cest le supplicant quienvoie les lments dauthentification, il y a bien une communication. Or, comment

Figure 42Principes de lauthentification 802.1X


peut-il y avoir une communication, et donc un trafic rseau, puisque le port du com-mutateur nest pas ouvert et quil ne le sera que lorsque le poste aura t authentifi ?

Cest justement l que tient tout le protocole 802.1X. Les ports du commutateurseront configurs dune faon particulire. Avant dtre compltement ouverts, ils nelaisseront passer quun seul type de protocole : EAP. Dailleurs, lautre nom de802.1X est Port-Based Network Access Control qui, traduit littralement, signifie Accs au rseau bas sur le contrle de port .

Tout se passe comme si chaque port tait coup en deux. Une moiti est appele portcontrl et, au dpart, elle est maintenue ferme par le commutateur. Lautre moitiest appele port non contrl. Par cette voie, le commutateur naccepte que le proto-cole EAP.

Comme lindique la figure 4-3, le supplicant du poste de travail envoie (1) ses infor-mations vers le commutateur dans des paquets EAP. Celui-ci les reoit par le port noncontrl et les retransmet (2) encapsuls dans des paquets Radius vers le serveur.

Aprs interrogation de sa base et, ventuellement aprs plusieurs changes avec lecommutateur, le serveur lui renvoie (3) lordre douvrir compltement le port et surun VLAN donn. Cest ce que fait le commutateur (4) : le poste peut alors utiliserpleinement le rseau.

Il faut bien noter que les communications entre le poste de travail et le commutateurne sont pas des communications IP, mais Ethernet de bas niveau. Le commutateursert alors dintermdiaire entre les deux parties et encapsule les paquets EAP venantdu supplicant dans les paquets du protocole Radius. Et cest avec ce protocole quilcommunique avec le serveur, cette fois en utilisant la couche UDP.

Entre le poste de travail et lquipement rseau, le protocole est appel EAP over LAN(EAPOL) pour les rseaux filaires ou EAP over WAN (EAPOW) pour les rseauxsans fil. Entre le commutateur et le serveur Radius, il est appel EAP over Radius.

802.1X est la norme qui dfinit le fonctionnement port contrl/port noncontrl . EAP est quant lui le protocole ddi au port non contrl.

EAP nest pas un protocole dauthentification mais un protocole de transport de pro-tocoles dauthentification. Il dfinit des mcanismes dchanges entre quipements,mais pas les principes mmes de lauthentification. Ceux-ci constitueront la chargeutile des paquets EAP.

Lintrt de ce mcanisme est de rendre indpendants le transport et la mthodedauthentification. Lapparition dun nouveau protocole dauthentification neremettra en cause ni la couche transport ni mme lquipement rseau puisque cedernier ne connat mme pas la signification de ce quil transporte. Il na besoin deconnatre que le protocole Radius.

Principes des protocoles Radius et 802.1XCHAPITRE 4

23

En fait, seuls le supplicant et le serveur ont connaissance du protocole dauthentifica-tion transport. Chacun deux doit donc tre compatible avec celui quon dsire uti-liser. Dans la suite de louvrage nous nous intresserons deux types de protocolesqui seront dtaills au chapitre 6.

Nous examinerons, dune part, un protocole base dauthentification par certificatslectroniques : TLS (Transport Layer Security) successeur de SSL (Secure SocketLayer), qui nest autre que le protocole de scurisation des changes sur le Web, celuiqui est mis en uvre quand on utilise le mot-cl https dans une URL. Dans notrecas, nous parlerons de EAP/TLS pour bien prciser que le protocole TLS sutilisedans lenvironnement EAP.

EAP/TLS est une mthode dauthentification mutuelle, par certificat, du serveur etdu client. Le serveur demandera le certificat du client pour lauthentifier et, de sonct, le client recevra le certificat du serveur et pourra ainsi valider quil parle bien auserveur dauthentification de son rseau. Cette dernire notion est importante, nonseulement pour interdire lusurpation didentit de machine, mais aussi dans le cas oplusieurs rseaux Wi-Fi se superposent. Cela permet dviter quun poste tente desauthentifier sur un rseau qui nest pas le sien.

Figure 43Principe des ports contrls et non contrls


Dautre part, nous tudierons deux protocoles base dauthentification par identi-fiant/mot de passe : PEAP (Protected Extensible Authentication Protocol) et TTLS(Tunneled Transport Layer Security) qui ont pour but de scuriser des protocolesdchange de mots de passe. Nous parlerons donc dEAP/PEAP et EAP/TTLS.

Le Protected et le Tunneled de PEAP et TTLS expriment en fait que leschanges de mot de passe seront protgs dans un tunnel chiffr. Et ce tunnel seratabli grce TLS.

Nous avons dcrit jusqu prsent les mcanismes gnraux qui sont mis en uvredans toute la squence qui conduit lauthentification. Nous allons maintenant ren-trer dans le dtail des protocoles qui ont t voqus prcdemment. La connaissancede certains de ces dtails permettra de mieux comprendre la raison dtre des para-mtres que nous utiliserons dans les fichiers de configuration. Le premier de ces pro-tocoles est bien sr Radius lui-mme, cest--dire le protocole tel quil fut dfini lorigine, avant de stendre pour intgrer la compatibilit avec les VLAN et EAP.

OriginesRadius avait tout dabord pour objet de rpondre aux problmes dauthentificationpour des accs distants, par liaison tlphonique, vers les rseaux des fournisseursdaccs ou des entreprises. Cest de l quil tient son nom qui signifie Remote AccessDial In User Service. Au fil du temps, il a t enrichi et on peut envisager aujourdhuide lutiliser pour authentifier les postes de travail sur les rseaux locaux, quils soientfilaires ou sans fil.

5Description

du protocole Radius

RFC Protocole Radius

Le protocole Radius est dcrit dans la RFC 2865 de lIETF.


Radius est un protocole qui rpond au modle AAA. Ces initiales rsument les troisfonctions du protocole : A = Authentication : authentifier lidentit du client ; A = Authorization : accorder des droits au client ; A = Accounting : enregistrer les donnes de comptabilit de lusage du rseau par

le client.

Le protocole tablit une couche applicative au-dessus de la couche de transportUDP. Les ports utiliss seront : 1812 pour recevoir les requtes dauthentification et dautorisation ; 1813 pour recevoir les requtes de comptabilit.

Le protocole est bas sur des changes requtes/rponses avec les clients Radius,cest--dire les NAS. Il ny a jamais de communication directe entre le poste de tra-vail et le serveur.

Format gnral des paquetsRadius utilise quatre types de paquets pour assurer les transactions dauthentifica-tion. Il existe aussi trois autres types de paquets (Accounting-Request, Accounting-Response, Accounting-Status) pour la comptabilit que nous ntudierons pas ici.

Tous les paquets ont le format gnral indiqu par la figure 5-1 :

HISTORIQUE Ports obsoltes

lorigine, les ports utiliss taient 1645 et 1646. Comme ces ports taient en conflit avec dautres servi-ces IP, ils ont ensuite t remplacs par 1812 et 1813. On peut encore trouver des implmentations deserveurs Radius ou dquipements rseau qui proposent toujours les anciens ports comme configurationpar dfaut.

Figure 51Format des paquets Radius

Description du protocole RadiusCHAPITRE 5

27

Code

Ce champ dun seul octet contient une valeur qui identifie le type du paquet. La RFC3575 (IANA considerations for Radius) dfinit 255 types de paquets. Par chance, quatredentre eux seront suffisants pour les problmes qui nous proccupent ici. Il sagit de : Access-Request (code=1) ; Access-Accept (code=2) ; Access-Reject (code=3) ; Access-Challenge (code=11).

ID

Ce champ, dun seul octet, contient une valeur permettant au client Radius dassocierles requtes et les rponses.

Longueur

Champ de seize octets contenant la longueur totale du paquet.

Authentificateur

Ce champ de seize octets a pour but de vrifier lintgrit des paquets.

On distingue lauthentificateur de requte et lauthentificateur de rponse. Le pre-mier est inclus dans les paquets de type Access-Request ou Accounting-Requestenvoys par les NAS. Sa valeur est calcule de faon alatoire.

Lauthentificateur de rponse est prsent dans les paquets de rponse de type Access-Accept, Access-Challenge ou Access-Reject. Sa valeur est calcule par le serveur partir dune formule de hachage MD5 sur une chane de caractres compose de laconcatnation des champs code, ID, longueur, authentificateur de requte et attri-buts ainsi que dun secret partag. Il sagit dun mot de passe connu la fois par leserveur et le NAS. Ce dernier peut alors excuter le mme calcul que le serveur surcette chane pour sassurer quil obtient bien la valeur de lauthentificateur derponse. Si cest bien le cas, il peut considrer que la rponse lui vient bien du serveurauquel il a soumis la requte et quelle na pas t modifie pendant la transmission.

DFINITION Hachage MD5

La technique du hachage consiste convertir une suite doctets (un mot de passe parexemple) en une empreinte rpute unique. Elle peut servir pour valider lintgritdun fichier (somme de contrle) ou bien pour que deux parties (un serveur et unclient) puissent se prouver mutuellement la possession dun secret partag sans quecelui-ci ne circule sur le rseau. Lalgorithme MD5 (Message Digest) nest plus considrcomme sr car il existe des cas o lempreinte obtenue est identique pour des chanesde dpart diffrentes. SHA-1 (Secure Hash Algorithm) est un autre algorithme, plus sr,utilis pour le calcul des empreintes des certificats.


Attributs et valeurs

Ce champ du paquet est de longueur variable et contient la charge utile du protocole,cest--dire les attributs et leur valeur qui seront envoys soit par le NAS en requte,soit par le serveur en rponse.

Les attributsLes attributs constituent le principe le plus important du protocole Radius, aussibien dans sa version initiale que pour ses extensions que nous verrons par la suite (cf.chapitre 6). Les champs attributs sont le fondement du protocole. Par consquent, labonne comprhension de leur signification et de leur rle est indispensable pour tirerle meilleur parti de Radius.

Chaque attribut possde un numro dattribut, auquel est associ un nom.

La valeur dun attribut peut correspondre lun des types suivants : adresse IP (4 octets) ; date (4 octets) ; chane de caractres (jusqu 255 octets) ; entier (4 octets) ; valeur binaire (1 bit) ; valeur parmi une liste de valeurs (4 octets).

Dans la terminologie Radius, ces attributs et leur valeur sont appels AttributesValue-Pair (AVP).

Le champ Attributs et valeurs peut contenir plusieurs couples attribut-valeur suivantle format de la figure 5-2 :

Le nom de lattribut nest jamais prsent dans les paquets. Seul son numro apparat. Lacorrespondance entre un numro dattribut et son nom sera faite grce un dictionnaire.

Figure 52Format du champ Attributs et valeurs (AVP)

Description du protocole RadiusCHAPITRE 5

29

Il existe un grand nombre dattributs dans le protocole Radius, mais peu dentre euxsont utiles dans le cas qui nous proccupe ici, cest--dire pour lauthentification surrseau local.

Par exemple, il existe un attribut Callback-Number. Sa valeur est un numro de tl-phone rappeler ! Il est utilisable dans le cas dune connexion par modem. Lutilisa-teur appelle son fournisseur, il est authentifi par le serveur qui demande lquipe-ment rseau (un concentrateur de modem) de couper la communication et derappeller automatiquement le client sur le numro stock dans lattribut Callback-Number. Ainsi, cest le fournisseur daccs qui paye la communication. videmment,dans le cas dune authentification sur un rseau local en IP, cela na pas de sens.

La liste complte des attributs peut tre trouve ladresse http://www.freeradius.org/rfc/attributes.html. Parmi eux, les plus intressants sont :

User-NameCet attribut est envoy par le NAS et contient lidentifiant qui va servir de pointdentre dans la base du serveur dauthentification. Dans le cas dune authentifica-tion Radius-MAC, User-Name a pour valeur ladresse MAC du poste de travail qui seconnecte au rseau.

User-PasswordIl sagit du mot de passe associ User-Name, transmis par le NAS. Le serveurdauthentification valide ce mot de passe en fonction de la valeur enregistre dans sabase de donnes. Avec Radius-MAC, User-Password est toujours ladresse MACelle-mme.

Nas-IP-AddressIl sagit de ladresse IP du NAS qui communique avec le serveur. Cet attribut esttransmis par le NAS lui-mme. Son utilisation permettra dauthentifier un poste detravail la condition quil soit connect sur un NAS qui possde cette adresse IP.

Nas-portIl sagit du numro de port du NAS sur lequel est connect le poste de travail. Cetattribut est transmis par le NAS. Son utilisation permettra dauthentifier un poste detravail la condition quil soit connect sur ce numro de port. Dans le cas dun com-mutateur, il sagit du port physique sur lequel est connect le poste de travail. Dans lecas du Wi-Fi, Nas-Port na pas de sens puisque le port est virtuel et gnr par laborne pendant la phase dassociation du poste de travail cette dernire

Called-Station-IdIl sagit de ladresse MAC du NAS. Cet attribut est transmis par le NAS et permetdauthentifier un poste en fonction de lquipement sur lequel il est connect. Par


exemple, il sera possible dauthentifier un poste uniquement sil se connecte parlintermdiaire de la borne Wi-Fi spcifie.

Calling-Station-IdIl sagit de ladresse MAC du poste de travail qui se connecte au rseau. Cet attribut seralun des plus utiles. Il permettra dauthentifier un poste par une des mthodes (Radius-MAC ou bien EAP) et, en plus, de vrifier (et mme dimposer) que cette authentifica-tion seffectue depuis un poste qui a pour adresse MAC la valeur de cet attribut.

Les attributs vendor Comme nous venons de le voir, il existe une multitude dattributs dfinis par le stan-dard Radius. Ces attributs sont renseigns soit par un commutateur ou une bornesans fil, soit par le serveur dauthentification lorsquil rpond aux requtes. Un bonquipement NAS doit au moins disposer des fonctions standards. Nanmoins, cer-tains constructeurs ont dvelopp des matriels capables de fonctionnalits suppl-mentaires qui ne sont pas comprises dans le standard Radius.

Afin de permettre aux administrateurs rseau

Documents

[EYROLLES] Authentification Réseau Avec Radius