Authentification avec 802.1x

Pierre­Emmanuel PérillonMastère 2 Systèmes d'Informations & Réseaux

UFR Informatique, Université Claude Bernard Lyon 1

  

Plan de la présentation Introduction: 

Authentification pour quoi faire? 802.1x

Description du protocole EAP Radius

Conclusion

  

Introduction Authentification vs Identification

Identité + preuve Méthode d'authentification

password, certificat, biométrie, signatures ... Usage de l'authentification

IPSec, SSL, EAP, 802.1x

  

802.1x :: présentation Standard IEEE, année 2001 (rev 2004) Port­Based Network Access Control 3 rôles définis

Supplicant,  Authentificateur (Authenticator, Network Acces 

Server, Port Acces Entity),   Serveur d'Authentification (Authenticator Server).

  

802.1x :: 3 entités

  

802.1x :: Contrôle de port 

  

802.1x :: Supplicant

  

802.1x :: Authenticator

  

802.1x :: EAP

  

802.1x :: EAP Method LEAP ( Lightweight EAP )

mot de passe, développé par Cisco, EAP­TLS ( Transport Layer Security )

Authentification symétrique par certificat, PEAP ( Protected EAP )

Authentification asymétrique (serveur: certificat, supplicant: mot de passe).

  

802.1x :: Authentication Server Valide l'authentification, octroit ou non l'accès, Serveur d'Authentification

en local dans l'authenticator, TACAC, TACAC+, RADIUS (le plus utilisé), DIAMETER (successeur de RADIUS),

utiliser LDAP

  

Radius :: Présentation Remote Authentication Dial In User Service Norme IETF RFC 2865 premiere version: 1997 (RFC 2058) ports réservés

UDP 1812: Authentification et Authorisation UDP 1813: comptabilité 

  

Radius :: Paquet 4 types

Access­Request Access­Challenge Access­Success Access­Reject

Sémantique augmentée par les attributs optionnels

  

802.1x :: Scénario

  

Et le Wifi ? WPA2 = 802.1x + AES + TKIP

AES (Advenced Encryption Standard) pour la confidentialité,

TKIP (Temporal Key Integrity Protocol) pour le renouvellement des clefs de cryptages,

802.1x pour l'authentification.

  

802.1x :: Conclusion protection de la couche de liaison de données compatibilité avec 802.1Q (VLAN) protocole mature:

protocole déployé protocole réutilisé protocole maintenu.

  

Merci pour votre attention !

  

Références➢Remote Authentication Dial In User Service (RADIUS),  RFC 2865, IETF,  http://tools.ietf.org/html/rfc2865  (vu le 11/11/2007)➢ IANA Considerations for RADIUS,  RFC 3575, IETF, http://tools.ietf.org/html/rfc3575 (vu le 11/11/2007)➢Authentification Réseau avec Radius, Serges Bordères, éditions Eyrolles, 209 p, ISBN 2­212­12007­9➢Faiblesses du protocole d'authentification Radius, Cert­IST,  http://www.cert­ist.com/fra/ressources/Publications_ArticlesBulletins/Environnementreseau/ Faiblesses_Radius/ (vu le 11/11/2007)➢Radius, Wikipedia  http://en.wikipedia.org/wiki/RADIUS (vu le 11/11/2007)➢Radius_(informatique), Wikipedia http://fr.wikipedia.org/wiki/Radius_(informatique)   (vu le 11/11/2007)➢Éditeur d'un serveur radius, http://www.freeradius.org/ (vu le 11/11/2007)➢IEEE 802.1X,  Wikipedia, http://en.wikipedia.org/wiki/IEEE_802.1X (vu le 11/11/2007)

  

Références➢Wifi Déploiement et Sécurité 2e édition, Aurélien Géron, édition Dunod, 396 p, ISBN 2­10­050064­3➢Port­Based Network Access Control,  IEEE 802.1x, http://standards.ieee.org/getieee802/download/802.1X­2004.pdf  (vu le 11/11/2007)➢802.1X Port­Based Authentication HOWTO, Lars Strand, 18­08­2007,  http://tldp.org/HOWTO/html_single/8021X­HOWTO/#what8021x  (vu le 11/11/2007)➢802.1X et la sécurisation de l’accès au réseau local, Luc Saccavini, 15/10/2003, 6 p, http://2003.jres.org/actes/paper.111.pdf  (vu le 11/11/2007) ➢Using 802.1x Port Authentication To Control Who Can Connect To Your Network,  Colin Weaver, 11p,  http://www.itdojo.com/synner/pdf/synner2.pdf , version html (vu le 11/11/2007)➢ An initial security analysis of the 802.1x standard , Mishra, A. & Arbaugh, W. (2002), 12p,  http://www.cs.umd.edu/~waa/1x.pdf (vu le 11/11/2007)➢ Extensible Authentification Protocol, Wikipedia,  http://fr.wikipedia.org/wiki/Extensible_Authentication_Protocol (vu le 11/11/2007).