Consultez le lien suivant pour savoir ce qu’est l’authentification basée sur le port IEEE 802.1X (dot1x), le demandeur, l’authentificateur et le serveur d’authentification si vous n’êtes pas familiarisé avec l’authentification basée sur le port IEEE 802.1X (dot1x).

IEEE 802.1X (dot1x) utilise le protocole EAP (Extensible Authentication Protocol) pour échanger des messages pendant le processus d’authentification. Dans un réseau local Ethernet câblé, le protocole EAPoL (protocole d’authentification extensible (EAP) sur réseau local) est utilisé pour transporter des paquets EAP entre le demandeur et un authentificateur via un réseau local (LAN). Avant l’authentification, l’identité du système d’extrémité est inconnue et tout le trafic est bloqué, à l’exception de EAPoL. Une fois que les informations d’identification de l’utilisateur ont été vérifiées, le trafic des autres utilisateurs est autorisé.

Les trames EAPoL ont le type Ether 0x888e.

Dans IEEE 802.1X (dot1x), le protocole EAP (Extensible Authentication Protocol) permet au supplicant et à l’authentificateur de négocier une méthode d’authentification EAP. La méthode EAP est utilisée pour définir le type d’informations d’identification et la manière dont les informations d’identification sont soumises par le demandeur au serveur d’authentification.

Le protocole EAP (Extensible Authentication Protocol) est « extensible » en ajoutant de nouvelles méthodes EAP. Différentes méthodes EAP sont disponibles pour une utilisation avec IEEE 802.1X (dot1x). Les méthodes EAP courantes utilisées dans 802.1X (dot1x) sont EAP-TLS (sécurité de la couche de transport EAP) et PEAP-MSCHAPv2 (protocole d’authentification protégé EAP-Microsoft Challenge Handshake version 2).

Le protocole utilisé pour la communication entre le demandeur et l’authentificateur est EAPoL. Le protocole utilisé pour la communication entre Authenticator et Authentication Server est RADIUS.

Processus d’authentification IEEE 802.1X (dot1x)


Étape 01: La première étape du processus d’authentification IEEE 802.1X (dot1x) est un message de démarrage EAPoL. Lorsque le suppliant se connecte pour la première fois au réseau local, il envoie un message EAPoL-Start à un groupe de multidiffusion (adresse MAC de multidiffusion de destination spéciale 01: 80: c2: 00: 00: 03) pour identifier l’authentificateur.

Le message de démarrage EAPoL est présenté ci-dessous.

Étape 02: Athenticator renverra le message d’identité de demande EAP (en réponse au message EAPOL-Start), qui est utilisé pour demander une identité au suppliant, par exemple, le nom d’utilisateur. Authenticator envoie périodiquement une identité de demande EAP, même avant de recevoir un message de démarrage EAPoL.

Le message d’identité de demande EAP de capture Wirehark est présenté ci-dessous.

Étape 03: En réponse au message d’identité de demande EAP, le suppliant fournit son identité (exemple de nom d’utilisateur) dans un message de réponse EAP à l’authentificateur (dans ce cas, le commutateur).

Le message de réponse EAP Wireshark est présenté ci-dessous.

Étape 04: L’authentificateur transfère les informations reçues du demandeur au serveur d’authentification (serveur RADIUS, dans ce cas). Le protocole utilisé pour la communication entre le demandeur et Authenticator est le protocole EAPOL, et le protocole utilisé pour la communication entre Authenticator et Authentication Server est le protocole RADIUS.

Notez que RADIUS utilise UDP comme protocole de couche de transport et utilise les numéros de port 1812 pour l’authentification et 1813 pour la comptabilité (le port UDP numéro 1645 est également utilisé pour l’authentification et 1646 pour la comptabilité).

L’authentificateur (commutateur de réseau) crée un message de demande d’accès RADIUS et le transmet au serveur d’authentification.

Le message RADIUS Access-Request capturé est indiqué ci-dessous.

Étape 05: une fois que le serveur d’authentification (serveur RADIUS) a reçu le message RADIUS de demande d’accès, le serveur d’authentification (serveur RADIUS) renvoie un message RADIUS Access-Challenge à l’authentificateur (commutateur de réseau). Le message Access-Challenge du serveur contient non seulement le défi, mais également la méthode d’authentification à utiliser pour les communications ultérieures. Le suppliant peut rejeter la méthode d’authentification et en demander une autre qu’il prend en charge.

Le message RADIUS Access-Challenge capture la capture Wirehark est présenté ci-dessous.

Étape 06: L’authentificateur reçoit le message Access-Challenge du serveur d’authentification. L’authentificateur (commutateur de réseau) prépare maintenant un message de demande EAP (appelé en tant qu’autorité de demande EAP) et le transmet au demandeur. Le but de ce message de demande EAP est de vérifier que le demandeur peut prendre en charge la méthode EAP suggérée par le serveur d’authentification (serveur RADIUS). Dans ce cas, la méthode EAP suggérée est EAP-TLS, que vous pouvez voir à la capture d’écran ci-dessus.

Le message de demande EAP Wireshark capture est présenté ci-dessous.

Étape 07: Si le logiciel Supplicant n’est pas configuré pour prendre en charge la méthode EAP suggérée (dans ce cas, EAP-TLS), le supplicant peut rejeter la méthode d’authentification EAP et demander une autre méthode EAP. Le suppliant peut demander une autre méthode EAP en envoyant un message EAP-Response Auth NAK qui spécifie également la méthode d’authentification EAP que le suppliant veut utiliser.

La capture wirehark du message EAP-Response NAK est présentée ci-dessous.

Étape 08: Authenticator transmettra le message EAPoL NAK et la méthode d’authentification souhaitée du supplicant au serveur d’authentification (serveur RADIUS) sous forme de message RADIUS Access-Request. Le serveur d’authentification (serveur RADIUS) peut maintenant démarrer le processus d’authentification en fonction de la méthode d’authentification souhaitée.

Le message RADIUS Access-Request capturé est indiqué ci-dessous.

Étape 09: Le serveur d’authentification va maintenant renvoyer un nouveau message Access-Challenge, basé sur la méthode d’authentification EAP prise en charge par le supplicant. Une fois que la méthode d’authentification EAP a été approuvée par le demandeur et le serveur d’authentification, quelques messages supplémentaires sont échangés, qui sont liés à la méthode d’authentification EAP convenue. Ces messages sont omis ici dans cette leçon.

Le message RADIUS Access-Challenge capture la capture Wirehark est présenté ci-dessous.

Étape 10: lorsque les informations d’identification de l’utilisateur sont vérifiées avec succès par le serveur d’authentification après le processus d’authentification PEAP, le serveur d’authentification envoie un message RADIUS Access-Accept à l’authentificateur (commutateur de réseau).

Si les informations d’identification sont incorrectes, le serveur d’authentification envoie un message RADIUS Access-Reject à l’authentificateur (commutateur de réseau).

Le message RADIUS Access-Accept indique que la demande de l’utilisateur est valide et le message RADIUS Access-Reject indique que cette demande de l’utilisateur n’est pas valide.

Le message RADIUS Access-Accept (saisie du message d’acceptation) Wireshark est présenté ci-dessous.

Étape 11: une fois que l’authentificateur reçoit RADIUS Access-Accept du serveur d’authentification, l’authentificateur renverra un message de réussite EAP au demandeur, comme indiqué ci-dessous. Le port du commutateur sera ouvert pour le client pour la communication réseau.

La capture d’écran de capture de message de réussite EAP est copiée ci-dessous.

En cas de problème lors de l’évaluation des informations d’identification de l’utilisateur, l’authentificateur renverra un message d’échec EAP au demandeur, comme indiqué ci-dessous.

Show CommentsClose Comments

Leave a comment