Dans un environnement réseau étendu comprenant un grand nombre d’ordinateurs répartis sur plusieurs bâtiments (par exemple, un campus universitaire), il est difficile de contrôler tous les points d’extrémité du réseau. Un attaquant du réseau peut attacher son ordinateur portable chargé avec différents outils de piratage à un port réseau activé situé au coin d’un bâtiment et commencer à attaquer le réseau.

L’authentification basée sur le port IEEE 802.1X (dot1x) peut être utilisée pour empêcher des périphériques non autorisés d’accéder au réseau. L’authentification basée sur le port IEEE 802.1X (dot1x) peut autoriser l’accès réseau d’un périphérique connecté à un port réseau si le processus d’authentification aboutit et empêcher l’accès à ce port en cas d’échec du processus d’authentification. Les normes IEEE 802.1X (dot1x) peuvent fournir des services d’authentification et d’autorisation au niveau du port réseau. Les principaux composants de l’authentification basée sur le port IEEE 802.1X (dot1x) sont répertoriés ci-dessous.

Supplicant, Authenticator et Authentication Server

1) Supplicant: Le supplicant est un périphérique réseau qui collecte les informations d’authentification de l’utilisateur final et les transmet pour le processus d’authentification. Exemple: Une application logicielle s’exécutant sur un ordinateur portable connecté à un port réseau ou un processus associé au système d’exploitation exécuté sur cet ordinateur portable.

2) Authenticator: Authenticator est un dispositif d’accès réseau qui collecte les informations d’authentification du demandeur et les transmet au serveur d’authentification aux fins de vérification. (Switch ou AP sans fil).

3) Serveur d’authentification: Le serveur d’authentification est un serveur de réseau qui valide les informations d’identification envoyées par le demandeur en fonction des informations stockées dans sa base de données et détermine s’il convient d’autoriser l’accès réseau ou d’empêcher l’accès réseau au demandeur. Le serveur d’authentification peut être n’importe quel serveur RADIUS.

Exemple: Cisco Secure ACS (serveur de contrôle d’accès) ou Cisco ISE (moteur de services d’identité).

Protocoles d’authentification IEEE 802.1X (dot1x) – EAPoL (protocole d’authentification extensible sur réseau local) et RADIUS

Le protocole utilisé pour la communication entre le demandeur et l’authentificateur est EAPoL. Le protocole utilisé pour la communication entre Authenticator et Authentication Server est RADIUS.

1) Protocole EAP (Extensible Authentication Protocol): dans un réseau Ethernet câblé, IEEE 802.1X (dot1x) utilise le protocole EAPoL (Extensible Authentication Protocol on LAN) pour échanger des messages pendant le processus d’authentification. EAPoL (protocole d’authentification extensible sur réseau local) est utilisé pour transporter des paquets EAP entre le demandeur et un authentificateur sur un réseau local (LAN). Il existe différentes méthodes d’authentification EAP (Extensible Authentication Protocol) disponibles. Les méthodes d’authentification EAP (Extensible Authentication Protocol) sont utilisées dans le processus d’authentification EAP (Extensible Authentication Protocol). Les méthodes d’authentification EAP courantes utilisées dans IEEE 802.1X (dot1x) sont la version EAP-TLS (sécurité de couche de transport EAP) et PEAP-MSCHAPv2 (version protégée du protocole d’authentification EAP-Microsoft Challenge Handshake

2) RADIUS (service d’utilisateur à distance avec authentification à distance): le protocole utilisé pour la communication entre Authenticator et Authentication Server est RADIUS. RADIUS (service d’utilisateur avec authentification à distance) est le protocole AAA pris en charge par tous les fournisseurs. RADIUS a été développé pour la première fois par Livingston Enterprises Inc en 1991, qui a ensuite fusionné avec Alcatel Lucent. RADIUS est ensuite devenu une norme IETF (Internet Engineering Task Force). Certaines implémentations de serveur RADIUS utilisent le port UDP 1812 pour l’authentification RADIUS et le port UDP 1813 pour la comptabilisation RADIUS. Certaines autres implémentations utilisent le port UDP 1645 pour les messages d’authentification RADIUS et le port UDP 1646 pour la comptabilisation RADIUS.

Show CommentsClose Comments

Leave a comment