Introduction

Fonctionnement du protocole Radius

Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Architectures et Protocoles des Rseaux

Chaptre 8 - Le protocole RADIUS
Anne 2007-2008

Claude Duvallet
Universit du Havre
UFR des Sciences et Techniques
Courriel : Claude.Duvallet@gmail.com

Claude Duvallet 1/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Objectifs du cours

Prsenter le principe du serveur RADIUS.

Prsenter WPA
Prsenter 802.1x
Prsenter EAP

Claude Duvallet 2/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Plan de la prsentation

Introduction

Fonctionnement du protocole Radius

Le protocole WPA

Le protocole 802.1x

Le protocole EAP

Conclusion
Claude Duvallet 3/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Rfrences bibliographiques
Principes gnraux des serveurs Radius

Rfrences bibliographiques

Serge Bordres. Authentification rseau avec Radius : 802.1x,

EAP, FreeRadius. Eyrolles. 2006.
Jonathan Hassell. Radius. OReilly. 2002.

Claude Duvallet 4/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Rfrences bibliographiques
Principes gnraux des serveurs Radius

Principes gnraux de Radius

Protocole standard dauthentification, initialement mis au point
par Livingston.
Dfini au sein des RFC 2865 et 2866.
Fonctionnement bas sur un systme client/serveur charg de
dfinir les accs dutilisateurs distants un rseau.
Protocole de prdilection des fournisseurs daccs internet :
relativement standard,
propose des fonctionnalits de comptabilit permettant aux FAI de
facturer prcisment leurs clients.

Le protocole RADIUS permet de faire la liaison entre des besoins

didentification et une base dutilisateurs en assurant le transport
des donnes dauthentification de faon normalise.
Claude Duvallet 5/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Principe de fonctionnement de Radius

Scnario de fonctionnement
Limitations

Principe de fonctionnement de Radius

RADIUS repose principalement :
sur un serveur (le serveur RADIUS),reli une base
didentification (base de donnes, annuaire LDAP, etc.),
sur un client RADIUS, appel NAS (Network Access Server),
faisant office dintermdiaire entre lutilisateur final et le serveur.

Lensemble des transactions entre le client RADIUS et le serveur

RADIUS est chiffr.
Le serveur RADIUS peut faire office de proxy, cest--dire
transmettre les requtes du client dautres serveurs RADIUS.
Le serveur traite les demandes dauthetification en accdant si
ncessaire une base externe : base de donnes SQL, annuaire
LDAP, comptes dutilisateur de machine ou de domaine.
un serveur RADIUS dispose pour cela dun certain nombre
dinterfaces ou de mthodes.
Claude Duvallet 6/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Principe de fonctionnement de Radius

Scnario de fonctionnement
Limitations

Scnario de fonctionnement (1/2)

Un utilisateur envoie une requte au NAS afin dautoriser une
connexion distance.
Le NAS achemine la demande au serveur RADIUS.
Le serveur RADIUS consulte la base de donnes didentification
afin de connatre le type de scnario didentification demand
pour lutilisateur.
Soit le scnario actuel convient, soit une autre mthodes
didentification est demande lutilisateur. Le serveur RADIUS
retourne ainsi une des quatre rponses suivantes :
ACCEPT : lidentification a russi.
REJECT : lidentification a chou.
CHALLENGE : le serveur RADIUS souhaite des informations
supplmentaires de la part de lutilisateur et propose un dfi .
Claude Duvallet 7/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Principe de fonctionnement de Radius

Scnario de fonctionnement
Limitations

Scnario de fonctionnement (2/2)

Une autre rponse est possible : CHANGE PASSWORD o le

serveur RADIUS demande lutilisateur un nouveau mot de
passe.
Change-password est un attribut VSA (Vendor-Specific
Attributes), cest--dire quil est spcifique un fournisseur.
Suite cette phase dit dauthentification, dbute une phase
dautorisation o le serveur retourne les autorisations de
lutilisateur.

Claude Duvallet 8/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Principe de fonctionnement de Radius

Scnario de fonctionnement
Limitations

Schma de fonctionnement du protocole RADIUS

NAS
(Client RADIUS)
Primergy

Services
Rseau

Client (Utilisateur)

Serveur
RADIUS

Claude Duvallet 9/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Principe de fonctionnement de Radius

Scnario de fonctionnement
Limitations

Protocoles de mot de passe

RADIUS connat nativement deux protocoles de mot de passe :
PAP (change en clair du nom et du mot de passe),
CHAP (change bas sur un hachage de part et dautre avec
change seulement du challenge).

Le protocole prvoit deux attributs spars : User-Password et

CHAP-Password.
Depuis, se sont greffes les variations Microsoft : MS-CHAP et
MS-CHAP-V2.
Leur similarit avec CHAP permet de les transporter en RADIUS
de la mme faon, linitiative du serveur et sous rserve bien
entendu de possibilit de transport de bout en bout du supplicant
au client Radius, du client au serveur Radius et enfin du serveur
Radius la base de donnes didentification.
Claude Duvallet 10/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Principe de fonctionnement de Radius

Scnario de fonctionnement
Limitations

Limitations du protocole RADIUS (1/3)

RADIUS a t conu pour des identifications par modem, sur des
liaisons lentes et peu sres :
cest la raison du choix du protocole UDP.
ce choix technique dun protocole non agressif conduit des
changes laborieux bass sur des temporisations de rmission,
des changes daccuss de rception.
Diameter (qui devrait remplacer RADIUS) utilise TCP ou STCP.

RADIUS base son identification sur le seul principe du couple

nom/mot de passe :
parfaitement adapt lpoque (1996),
cette notion a d tre adapte
Exemple : pour lidentification des terminaux mobiles par leur
numro IMEI ou par leur numro dappel (Calling-Station-ID en
Radius) sans mot de passe (alors que la RFC interdit le mot de
passe vide !).
Claude Duvallet 11/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Principe de fonctionnement de Radius

Scnario de fonctionnement
Limitations

Limitations du protocole RADIUS (2/3)

RADIUS assure un transport en clair, seul le mot de passe est
chiffr par hachage :
la scurit toute relative du protocole repose sur le seul shared
secret et impose la scurisation des changes entre le client et le
serveur par scurit physique ou VPN,
Diameter peut utiliser IPSec ou TLS.

RADIUS limite les attributs :

grs sous forme de chane "Pascal" avec un octet en tte
donnant la longueur, 255 octets, cohrents avec la notion de
nom/mot de passe,
mais inadapt toute tentative dintroduction de biomtrie (fond
dil, empreinte digitale) de cryptographie (certificat),
Diameter utilise des attributs sur 32 bits au lieu de 8 (dj
prsents dans certaines extensions EAP de RADIUS, notamment
TTLS).
Claude Duvallet 12/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Principe de fonctionnement de Radius

Scnario de fonctionnement
Limitations

Limitations du protocole RADIUS (3/3)

RADIUS est strictement client-serveur :

do des discussions et bagarres de protocoles propritaires
quand un serveur doit lgitimement tuer une session pirate sur un
client,
Diameter a des mcanismes dappel du client par le serveur.

RADIUS nassure pas de mcanisme didentification du serveur :

se faire passer pour un serveur est un excellent moyen de rcolter
des noms et mots de passe,
EAP assure une identification mutuelle du client et du serveur.

Claude Duvallet 13/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Le protocole WPA (1/2)

Objectif : combler les lacunes du protocole WEP
Utilisation dalgorithmes peu dvelopps et facilement craquables.
Impossibilit dauthentifier un ordinateur ou un utilisateur qui se
connecterait au rseau.

Dfinition de deux nouvelles mthodes de chiffrement et de

contrle dintgrit :
TKIP (Temporal Key Integrity Protocol) :
sadapte au mieux au matriel existant,
utilise RC4 comme algorithme de chiffrement,
ajoute un contrle dintgrit MIC,
introduit un mcanisme de gestion de cls (cration de cls
dynamiques intervalle de temps rgulier).

CCMP (Counter Mode with Cipher Block Chaining Message

Authentification Code Protocol) :
plus puissant que TKIP,
utilise AES comme algorithme de chiffrement,
totallement incompatible avec le matriel actuel solution long
terme.
Claude Duvallet 14/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Le protocole WPA (2/2)

WPA utilise le protocole 802.1X.
Autre nom : EAP Over LAN (EAPOL).
Permet dauthentifier les machines ou les utilisateurs connects
au rseau.
Permet de transfrer des paquets dauthentification vers
diffrents lments du rseau.
Offre un mcanisme pour changer des cls qui seront utilises
pour chiffrer les communications et en contrler lintgrit.
WPA-PSK (Pre Shared Key) permet aux particuliers de bnficier
de WPA sans disposer de serveur dauthentification :
au dbut : dtermination dune cl statique ou dune "paraphrase"
(comme pour le WEP),
mais utilisation de TKIP,
ensuite : changement automatique des cls intervalle de temps
rgulier.
Claude Duvallet 15/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Prsentation
Acteurs
Authentification
Point daccs au rseau

Le protocole 802.1x

IEEE 802.1X est un standard de lIEEE pour le contrle daccs

au rseau bas sur les ports.
Cest une partie du groupe de protocoles IEEE 802 (802.1).
Ce standard fournit une authentification aux quipements
connects un port Ethernet.
Il est aussi utilis pour certains points daccs WiFi, et il est bas
sur EAP.
802.1X est une fonctionnalit disponible sur certains
commutateurs rseau.

Claude Duvallet 16/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Prsentation
Acteurs
Authentification
Point daccs au rseau

Les acteurs du 802.1x

Supplicant : il sagit du systme authentifier (le client).
Port Access Entity (PAE) : il sagit du point daccs au rseau.
Authenticator System : il sagit du systme authentificateur. Il
contrle les ressources disponibles via le PAE.
Systme
authentifier

Systme serveur
dauthentification

Systme authentificateur
(Relais)

PAE

LAN (support physique)

802.1X

Claude Duvallet 17/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Prsentation
Acteurs
Authentification
Point daccs au rseau

Lauthentification
Le systme authentificateur se comporte comme un mandataire
entre le systme authentififier et serveur dauthentification.
si lauthentification russit, le systme authentificateur donne
laccs la ressource quil contrle.
Le serveur dauthentification gre lauthentification en dialoguant
avec le systme authentifier en fonction du protocole
dauthentification utilis.
Dans la plupart des implmentation du protocole 802.1X, le
systme authentificateur est un quipement rseau
(commutateur Ethernet, borne daccs sans fil, ou
commutateur/routeur IP).
Le systme authentifier est un poste de travail ou un serveur.
Le serveur dauthentification est typiquement un serveur Radius
ou tout autre quipement capable de faire de lauthentification.
Claude Duvallet 18/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Prsentation
Acteurs
Authentification
Point daccs au rseau

Le point daccs au rseau (PAE)

La principale innovation de 802.1X consiste scinder le port
daccs physique au rseau en deux ports logiques qui sont
connects en parallle sur le port physique.
Le premier port logique est dit contrl et peut prendre deux
tats : ouvert ou ferm .
Le deuxime port logique est toujours accessible mais il ne gre
que les trames spcifique au protocole 802.1X.
Ce modle ne fait pas intervenir la nature physique de la
connexion. Il peut sagir :
dune prise RJ45 (cas du support de transmission cuivre (rien ne
vaut une bonne paire de fils de cuivre)).
de connecteurs SC ou MT-RJ (cas de la fibre optique).
dun accrochage logique au rseau (cas des supports de
transmission hertzien en 802.11{a,b,g}).
Claude Duvallet 19/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

EAP-MD5
LEAP
EAP-TTLS
PEAP
EAP-TLS

Le protocole EAP
EAP (Extensible Authentication Protocol) est un protocole conu
pour tendre les fonctions du protocole Radius des types
didentification plus complexes.
Il est indpendant du matriel du client Radius et ngoci
directement avec le supplicant (poste client, terminal daccs).
Cest ce qui a permis de le mettre en place rapidement sur un
maximum dappareils rseau :
puisquil nutilise que deux attributs Radius servant de protocole
de transport,
a conduit une explosion de types EAP : EAP-MD5, EAP-TLS,
EAP-TTLS, EAP-PEAP, EAP-MS-CHAP-V2, EAP-AKA,
EAP-LEAP et EAP-FAST (Cisco), EAP-SIM, etc.

Claude Duvallet 20/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

EAP-MD5
LEAP
EAP-TTLS
PEAP
EAP-TLS

Le protocole EAP-MD5
Cest le plus simple.
Le client est authentifi par le serveur en utilisant un mcanisme
de dfi rponse :
Le serveur envoie une valeur alatoire (le dfi).
Le client concatne ce dfi le mot de passe et en calcul, en
utilisant lalgotithme MD5, une valeur encrypte quil envoie au
serveur.
Le serveur qui connat le mot de passe calcule son propre
cryptogramme, compare les deux et en fonction du rsultat valide
ou non lauthentification.

Une coute du trafic rseau peut dans le cas dun mot de passe
trop simple permettre de le retrouver au moyen dune attaque par
force brute base ou par dictionnaire.
Claude Duvallet 21/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

EAP-MD5
LEAP
EAP-TTLS
PEAP
EAP-TLS

Le protocole LEAP

Mthode propre CISCO.

Repose sur lutilisation de secret partags pour authentifier
mutuellement le serveur et le client.
Elle nutilise aucun certificat.
Elle est base sur lchange de dfis et de rponses.

Claude Duvallet 22/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

EAP-MD5
LEAP
EAP-TTLS
PEAP
EAP-TLS

Le protocole EAP-TTLS

EAP-TTLS (tunneled Transport Secure Layer).

Il utilise TLS comme tunnel pour changer des couples attribut
valeur servant lauthentification.
Pratiquement nimporte quelle mthode dauthentification peut
tre utilise.

Claude Duvallet 23/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

EAP-MD5
LEAP
EAP-TTLS
PEAP
EAP-TLS

Le protocole PEAP (Protected EAP)

Cest une mthode trs semblable dans ses objectifs et voisine

dans la ralisation EAP-TTLS.
Elle est dveloppe par Microsoft.
Elle se sert dun tunnel TLS pour faire circuler de lEAP.
On peut alors utiliser toutes les mthodes dauthentification
supportes par EAP.

Claude Duvallet 24/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

EAP-MD5
LEAP
EAP-TTLS
PEAP
EAP-TLS

Le protocole EAP-TLS
EAP-TLS : Extensible Authentication Protocol-Transport Layer
Security
Cest la plus sre.
Le serveur et le client possdent chacun leur certificat qui va
servir les authentifier mutuellement.
Cela reste relativement contraignant du fait de la ncessit de
dployer une infrastructure de gestion de cls.
TLS, la version normalise de SSL (Secure Socket Layer), est un
transport scuris (chiffrement, authentification mutuelle, contrle
dintgrit).
Cest lui qui est utilis de faon sous-jacente par HTTPS, la
version scurise de HTTP et pour scuriser le Web.
Claude Duvallet 25/26

Architectures et Protocoles des Rseaux

Introduction
Fonctionnement du protocole Radius
Le protocole WPA
Le protocole 802.1x
Le protocole EAP
Conclusion

Webliographie

Webliographie
http://www.commentcamarche.net/
authentification/radius.php3
http://2003.jres.org/actes/paper.143.pdf
http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf
http://www.ysn.ru/docs/lucent/radius.pdf
http://wifi.geeek.org/docs/ebook_sept2003.pdf
http://fr.wikipedia.org/wiki/Infrastructure_
%C3%A0_cl%C3%A9s_publiques
http:
//fr.wikipedia.org/wiki/Radius_(informatique)
http://www.wifiradis.net/
http://fr.wikipedia.org/wiki/802.1x
Claude Duvallet 26/26

Architectures et Protocoles des Rseaux