Académique Documents
Professionnel Documents
Culture Documents
Authentification-802 1x-V1 0 PDF
Authentification-802 1x-V1 0 PDF
Description du thme
Proprits Description
Activits
A3.2.1 Installation et configuration dlments dinfrastructure
A3.1.3 Prise en compte du niveau de scurit ncessaire une
infrastructure
Savoir-faire
Configurer les lments d'interconnexion permettant dtablir des
Notions
primtres de scurit.
Scuriser un service
Savoir
Normes, technologies et techniques associes la scurit des
infrastructures rseaux
Prambule
Si les rseaux Wifi utiliss dans les entreprises voient dsormais leurs accs
relativement scuriss (par du chiffrement WPA2 par exemple) et si les accs depuis
l'Internet font l'objet de technologies scuritaires bien tablies (DMZ, pare-feux, UTM
...), les prises murales sur lesquelles sont connects les postes fixes des espaces de
travail sont, dans la majorit des entreprises, "ouvertes tous les vents" et toute
personne circulant dans l'entreprise peut s'y connecter et s'introduire sur tout ou
partie du rseau.
L'objectif final vis par la mise en place du couple de technologies 802.1x / RADIUS
va au del de la simple scurisation des accs par une authentification "forte" de la
personne qui cherche se connecter sur un port rseau. Cet objectif pourra aller
jusqu' la banalisation de toutes les prises rseau filaires de l'entreprise. Une prise
rseau quelconque ne sera plus affecte tel ou tel VLAN. C'est partir de
l'authentification de la personne qui cherche se connecter au rseau que l'on va
dduire le primtre de scurit dans lequel la placer :
Sommaire
Authentification rseau ................................................................................................ 1
Description du thme ............................................................................................... 1
Prambule ................................................................................................................ 2
I.
Principes gnraux de l'authentification 802.1x ................................................... 4
I.1
Vocabulaire ..................................................................................................... 4
I.2
Le protocole 802.1x ........................................................................................ 5
I.3
RADIUS .......................................................................................................... 5
I.4
Le client RADIUS ............................................................................................ 7
I.5
Le client final (ou supplicant) .......................................................................... 7
I.6
Les protocoles d'authentification .................................................................... 9
I.7
Les diffrentes phases (simplifies) d'une connexion 802.1x ...................... 10
I.8
Et que faire des priphriques non 802.1x ? ................................................ 12
II.
Fonctionnement dtaill ..................................................................................... 13
III.
Un exemple d'infrastructure 802.1x ................................................................. 15
III.1
Mise en place du 802.1x dans un commutateur Cisco SF-300 .................... 16
III.1.1
Cartographie des VLAN ......................................................................... 16
III.1.2
Paramtrage et commentaires ............................................................... 17
III.1.3
Vrification des paramtrages ............................................................... 18
III.2
Authentification 802.1x dans un commutateur Cisco 2960 .......................... 20
III.2.1
Mise en place de lauthentification 802.1x sur le commutateur ............. 20
III.2.2
Configuration des ports .......................................................................... 20
III.2.3
Relancer lauthentification sur un port particulier ................................... 20
III.2.4
Afficher des informations sur lauthentification 802.1x ........................... 20
III.2
Mise en place du serveur RADIUS NPS ...................................................... 21
IV. Pistes d'extensions de la ressource : ................................................................... 22
LEXIQUE ................................................................................................................ 23
I.1 Vocabulaire
Si l'identification russit, l'accord est transmis au client RADIUS qui "ouvrira" alors le
port de connexion.
L'autre nom de 802.1x est "Port-based Network Access Control" ou "User Based
Access Control".
802.1x ncessite donc la prsence d'un serveur d'authentification qui peut tre un
serveur RADIUS : un serveur Microsoft, Cisco (...) ou un produit libre comme
FreeRADIUS) ou encore un serveur TACACS dans le monde ferm des
quipements Cisco.
Un port d'un commutateur rgl en mode 802.1x peut se trouver dans deux tats
distincts :
I.3 RADIUS
A l'origine, RADIUS tait surtout utilis pour l'identification des clients des FAI, ses
capacits de comptabilisation des accs (accounting) permettant notamment la
journalisation des accs et leur facturation. RADIUS a t utilis par la suite en
entreprise pour l'identification des clients finals WIFI et pour l'identification des clients
finals cbls.
En premier lieu, RADIUS doit authentifier les requtes qui sont issues des clients
finals, via les clients RADIUS. Cette authentification se basera soit sur un couple
identifiant/mot de passe, soit sur un certificat. Cela dpendra du protocole
d'authentification ngoci avec le client final.
En deuxime lieu, RADIUS a pour mission de dcider quoi faire du client authentifi,
et donc de lui dlivrer une autorisation, un "laissez-passer". Pour ce faire, RADIUS
envoie des informations (on parle "d'attributs") aux clients RADIUS. Un exemple
typique d'attribut est un numro du VLAN dans lequel placer le client authentifi et
autoris.
NPS (Network Policy Server) est le nom du service RADIUS des systmes Microsoft
Windows 2008 Server, en remplacement du "Service d'Authentification Internet" de
Windows 2003 Server. D'autres solutions propritaires existent, comme CISCO ACS
(Access Control Server). Diffrentes versions libres de RADIUS existent galement,
comme FreeRADIUS (sous Linux ou Windows) ou OpenRADIUS (sous Linux).
RADIUS peut aussi servir centraliser les accs scuriss aux pages ou aux
terminaux de paramtrage de tous les quipements rseau : commutateurs,
routeurs, bornes wifi, contrleurs wifi, etc.
Dans le schma gnral d'une connexion 802.1x, l'lment central est l'quipement
de rseau (commutateur, borne wifi, ...) dsign comme client RADIUS. Cet
quipement doit donc tre en capacit de grer le protocole 802.1x et le protocole
d'authentification EAP.
Dans Windows, pour activer cette couche logicielle, il faut lancer le service de
configuration automatique de rseau cbl.
"Le service Wired AutoConfig (DOT3SVC) est responsable de lexcution de lauthentification IEEE
802.1X sur les interfaces Ethernet. Si votre dploiement de rseau cbl actuel applique
lauthentification 802.1X, le service DOT3SVC doit tre configur de faon sexcuter pour
ltablissement de la connectivit de Couche 2 et/ou fournir laccs aux ressources rseau. Les
rseaux cbls qui nappliquent pas lauthentification 802.1X ne sont pas concerns par le service
DOT3SVC."
On coche cette option si on veut que, dans le cas o le systme du client final
ne rpondrait plus aux rgles (de pare-feu, de mises jour systme,
d'antivirus), sa connexion soit coupe. Ces rgles d'acceptation font partie des
exigences que l'on peut paramtrer dans le service RADIUS Microsoft NPS.
Les deux interlocuteurs, qui disposent donc de la mme chane de caractre secrte,
s'authentifient sans change du mot de passe par une technique de "challenge" (ou
"dfi") base sur une fonction de hachage sens unique du secret partag, telle que
MD5. Cette mthode tait disponible avec le couple XP/Windows-2003-Server, mais
ne l'est plus en gnration Seven/2008.
A. Le serveur envoie au client une chane compose d'un identifiant de session et une chane
alatoire xxxxx.
B. Le client renvoie son nom d'utilisateur et le rsultat d'un hachage de la chane alatoire xxxxx
+ l'identifiant de session + le mot-de-passe, et une seconde chane alatoire yyyyy.
C. Le serveur vrifie le rsultat (succs/chec) et retourne celui-ci, avec un hachage de la chane
yyyyy et du mot de passe utilisateur.
D. Le client vrifie enfin la correspondance entre les chanes.
E. La connexion est tablie.
PEAP
Avant authentification
EAP
only
Aprs authentification
ALL
Le port laisse passer tous les types de trames.
L'objectif de contrler toutes les prises rseau d'une entreprise en y imposant une
authentification peut se heurter au fait que certains priphriques qui y sont
connects (comme des imprimantes, des vidoprojecteurs ...) n'implmentent pas
802.1x. Il faut donc trouver d'autres solutions pour protger ces prises : un VLAN
spcifique par exemple runissant les imprimantes, avec un serveur d'impression
situ dans un autre VLAN joignable au travers d'un routeur filtrant, une protection des
ports par adresse MAC, ou encore une connexion sans-fil des vidoprojecteurs dans
une technologie de cryptage comme WPA2.
1.1 L'quipement demande au client final de dcliner son identit (trame EAP-
Request-Identity),
1.2 Le client rpond par une trame EAP contenant son nom d'utilisateur (trame
EAP-Response-Identity). Ca tombe bien, les trames EAP sont les seules autorises
entrer dans l'quipement.
Le client final rpond dans une trame [EAP-response] transmis de la mme manire
- indirecte par encapsulation - au serveur RADIUS.
Le client final rpond par un message [client hello] avec la liste des algorithmes de
chiffrement qu'il connait.
Le serveur envoie son choix d'algorithme, ainsi que son certificat et sa cl publique
au client final.
Rappel : le client final n'a pas de certificat (PEAP). Attention, bien qu'on utilise TLS,
on nest pas dans "EAP-TLS", mthode utilisant des certificats serveur et client.
Les changes lis au protocole de validation du mot de passe vont tre effectus
dans le tunnel TLS. Avec MSCHAP-V2, il s'agit des changes vus au point I.7.
Le serveur RADIUS est connect dans le VLAN 1 du commutateur, sur le port FA1
par exemple. Il hberge la fois AD, un service de certificats et le service NPS-
RADIUS.
Le client final "A" est connect au port n7 "contrl" par 802.1x du commutateur.
Son VLAN dpendra de l'authentification de l'utilisateur.
Un second client final "B" pourra tre connect sur un port non contrl du VLAN 2
ou du VLAN 3 pour vrifier la connectivit intra VLAN 2 ou 3.
Dans un premier temps, on peut effectuer nos tests avec des IP fixes sur les postes
clients. Pour mettre les clients en DHCP, il faudrait disposer d'un service DHCP dans
chaque VLAN. Ceci pourrait tre fait en connectant un routeur sur un port 802.1q du
commutateur. Ce routeur servirait des plages DHCP dans chaque VLAN de travail et
mme dans le VLAN "guest".
MonCommutateur(config)#vlan database
MonCommutateur(config-vlan)#vlan 2
MonCommutateur(config-vlan)#vlan 3
MonCommutateur(config-vlan)#vlan 99
MonCommutateur(config)#interface vlan 99
MonCommutateur(config-vlan)#dot1x guest-vlan
MonCommutateur(config-vlan)#exit
MonCommutateur(config)#exit
MonCommutateur(config)#interface fa7
MonCommutateur(config_if)#dot1x host-mode multi-sessions
MonCommutateur(config_if)#dot1x RADIUS-attributes vlan
MonCommutateur(config_if)#dot1x port-control auto
MonCommutateur(config_if)#dot1x guest-vlan enable
MonCommutateur(config_if)#switchport mode access
Commentaires
Le
port
contrl
est
plac
en
mode
"multi-sessions"
(ncessaire
pour
l'affectation
dynamique
du
VLAN
par
RADIUS)
;
Son
ouverture
sera
lie
l'authentification
du
client
final
(port-control
"auto")
;
Le
port
est
dclar
comme
devant
recevoir
des
attributs
de
VLAN
depuis
le
serveur
RADIUS
;
Le
port
est
dot
de
l'affectation
en
VLAN
"guest"
des
clients
non
authentifis
;
Note
:
attention,
l'ordre
des
commandes
a
de
l'importance.
MonCommutateur(config)#interface fa2
MonCommutateur(config_if)#switchport mode access
MonCommutateur(config_if)#switchport access vlan 2
MonCommutateur(config_if)#exit
MonCommutateur(config)#interface fa3
MonCommutateur(config_if)#switchport mode access
MonCommutateur(config_if)#switchport access vlan 3
MonCommutateur#show dot1x
802.1x is enabled
Admin Oper Reauth Reauth Username
Port Mode Mode Control Period
-------- ------------------ ------------- -------- ---------- ----------------
fa1 Force Authorized Authorized Disabled 3600 n/a
fa2 Force Authorized Authorized* Disabled 3600 n/a
fa3 Force Authorized Authorized* Disabled 3600 n/a
(...)
fa6 Force Authorized Authorized* Disabled 3600 n/a
fa7 Auto Unauthorized* Disabled 3600 n/a
fa8 Force Authorized Authorized* Disabled 3600 n/a
MonCommutateur#show dot1x
802.1x is enabled
Admin Oper Reauth Reauth Username
Port Mode Mode Control Period
-------- ------------------ ------------- -------- ---------- ----------------
fa1 Force Authorized Authorized Disabled 3600 n/a
fa2 Force Authorized Authorized* Disabled 3600 n/a
fa3 Force Authorized Authorized* Disabled 3600 n/a
(...)
fa7 Auto Authorized Disabled 3600 valerie@mars.local
Le port contrl Fa7 est dans en "oper mode" Autoris, avec l'utilisatrice "valerie" authentifie.
MonCommutateur#show vlan
Vlan Name Ports Type Authorization
---- ----------------- --------------------------- ------------ -------------
1 1 fa1,fa3-6,fa8-24,gi1-4, Default Required
2 2 fa2,fa7 permanent Required
3 3 permanent Required
99 99 fa7 permanent Guest
Le port Fa7 a t plac dans le VLAN 2.
Guest VLAN: 99
Guest VLAN timeout:
Unauthenticated VLANs:
Guest MAC VLAN
Interface Multiple Hosts VLAN Authentication Assignment
----------- -------------- -------- -------------- ----------
fa1 Enabled Disabled Disabled Disabled
(...)
fa7 Authenticate Enabled Disabled Enable
Exemple: (config)# RADIUS-server host 172.16.0.1 auth-port 1812 acct-port 1813 key toto
Exemple:
(config-if)#authentication event no-response action authorize vlan 99
La mise en place du service RADIUS NPS sur un serveur Windows 2008-R2 se fait
en plusieurs phases. Le serveur est un contrleur de domaine. Il dispose donc du
service Active Directory et de plusieurs utilisateurs et groupes d'utilisateurs.
Notre objectif va tre d'accepter les connexions 802.1x des utilisateurs qui font partie
d'un certain groupe AD et de les placer dans le VLAN 2. Une autre stratgie pourra
tre de placer les utilisateurs authentifis d'un autre groupe dans le VLAN 3, etc.
Les attributs qui vont tre dlivrs par le serveur RADIUS en cas d'authentification
sont les suivants :
La mise en uvre de cette partie est dcrite dans le document joint "installation-et-
configuration-nps".
NPS permet galement de mettre en place des rgles d'accs rseau portant
galement sur la "propret" des clients finals, en termes de mises jour systmes,
de pare-feux, d'tat de l'antivirus, etc.
Ceci permet de n'accepter sur le rseau que les postes qui prsenteraient des
garanties de non pollution du reste du rseau.
Annexe