COMPÉTENCE B3.

5 – SISR
SÉQUENCE 5 – AUTHENTIFIER LES ACCÈS AU RÉSEAU PHYSIQUE

SYNTHÈSE 

Contenu
1. Rappels théoriques............................................................................................................................... 1
2. Applications pratiques.......................................................................................................................... 5
3. Conseils................................................................................................................................................. 5

1. Rappels théoriques
Le protocole RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur
qui permet de centraliser des données d’authentification afin de contrôler les accès physiques des
utilisateurs au réseau de l'entreprise.
Quels sont les besoins ?
— authentifier une machine lorsqu'elle se branche sur le réseau afin de lui autoriser ou refuser
l'usage du réseau ;
— sécuriser un réseau filaire ou sans-fil ;
— interdire l'accès aux postes inconnus ;
— placer les postes connus à des endroits spécifiques du réseau (vlan) de façon dynamique ;
— protéger l'accès physique au réseau : contrôler qui connecte sa machine au réseau ;
— mobilité : offrir le même niveau d'accès à un utilisateur quel que soit l'endroit physique où il se
connecte.

CNED – BTS SIO – BLOC 3 – SISR – B3.5 – SÉQUENCE 5 – Synthèse 1

1A. Éléments techniques nécessaires
Ce mode d’authentification repose sur 4 éléments techniques :

Élément technique Explication Exemple

Supplicant appareil qui cherche à s'authentifier Élément d'infrastructure "non
géré" : STA utilisateur, téléphone IP,
point d'accès Wi-Fi…
Authenticator contrôle l'accès physique au réseau en Élément d'infrastructure géré :
fonction de l'état d'authentification du switch, routeur, point d'accès
client. Il agit comme un intermédiaire Wi-Fi…
entre le supplicant et le serveur
d'authentification, en demandant les
informations d'identité au supplicant,
en demandant la vérification de
ces informations par le serveur
d'authentification et en relayant la
réponse au supplicant.
Authentication server valide l'identité du supplicant et notifie Serveur NPS Windows,
le authenticator si oui ou non il est FreeRadius…
autorisé à accéder au réseau local.
Identity store base de données des identités. Annuaire LDAP (OpenLDAP, Active
management Directory), base de données, fichier
texte…

CNED – BTS SIO – BLOC 3 – SISR – B3.5 – SÉQUENCE 5 – Synthèse 2

1B. Protocoles mis en œuvre
Ce mode d’authentification repose sur 3 protocoles :
— 802.1x ;
— RADIUS ;
— EAP.

Définissons ces termes :

802.1x
La norme 802.1x est un standard IEEE de niveau OSI 2 qui assure le dialogue entre le supplicant et le
authenticator au moment où le supplicant demande l'accès au réseau.

RADIUS
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur qui assure le
dialogue entre le authenticator et authentication server. Il fournit une interface normalisée quelle que
soit la technologie utilisée pour stocker les identités.

EAP
Extensible Authentication Protocol (EAP) est un protocole d'identification universel qui définit un format
d'échange de paquets réseau. Il est extensible car la méthode d'authentification peut varier.

Détails d'un échange EAP

CNED – BTS SIO – BLOC 3 – SISR – B3.5 – SÉQUENCE 5 – Synthèse 3

 EXEMPLE

WPA2 Enterprise, utilisé en Wi-Fi, supporte 5 méthodes d’authentification dans EAP :

— EAP-TLS ;
— EAP-TTLS/MSCHAPv2 ;
— PEAPv0/EAP-MS-CHAPv2 (XP) ;
— PEAPv1/EAP-GTC ;
— EAP-SIM.

1C. Comment ça marche ?

Fonctionnement filaire/sans-fil :

Par défaut, le authenticator bloque l'accès.

(1) Dès qu'un supplicant tente de se connecter, le authenticator active le port en ne laissant passer que
les trames 802.1x. Il demande au supplicant de s'authentifier ou d'authentifier l'utilisateur.
(2) Si le supplicant comprend la demande, le authenticator met en relation le serveur RADIUS et le
supplicant.
(3) Le authenticator relaie l'information d'authentification du supplicant au serveur RADIUS qui s'adresse
à l'annuaire LDAP pour vérification. La communication est chiffrée.
(4) Si l'annuaire LDAP confirme l'authentification, le serveur RADIUS demande au authenticator de
mettre le port dans un VLAN particulier et d'activer le port.
(5) Le supplicant a accès au réseau. Il peut alors demander une adresse IP par DHCP si nécessaire. Il n'y
a plus de chiffrement entre l'ordinateur et le réseau.

Radius est considéré comme un serveur de type AAA.

— Authentification : Qui me demande un accès ?
— Authorization : Quelle autorisation je lui accorde ?
— Accounting : Que fait-il ?
RADIUS est donc un serveur d'authentification, d'autorisation et de « comptabilité » : il est possible de
savoir quelle machine est connectée et où elle est connectée.

CNED – BTS SIO – BLOC 3 – SISR – B3.5 – SÉQUENCE 5 – Synthèse 4

2. Applications pratiques
2A. En sans-fil
Des configurations sont à réaliser à plusieurs niveaux : un serveur RADIUS (NPS dans l’environnement
Microsoft) doit être installé. Il faudra lui indiquer où se trouve la base de données des identités. Sous
Windows Server, ce sera nécessairement un AD. On configurera aussi des règles pour reconnaître les
utilisateurs et les paramètres optionnels à retourner si la connexion est autorisée. Ensuite, on choisit le
mode WPA2 entreprise sur le point d’accès et sur le terminal sans-fil.
Sur le point d’accès, on configurera en particulier l’adresse IP du serveur RADIUS et un mot de passe
partagé avec le serveur RADIUS pour garantir que seuls les appareils reconnus peuvent dialoguer avec
lui.

2B. En filaire
Sur l’ordinateur, on active le protocole IEEE802.1x (sous Windows, il s’agit d’un service à activer et à
démarrer). Sur le switch, des configurations similaires au point d’accès sans-fil sont à réaliser.

3. Conseils
Différents protocoles sont mis en œuvre, il est important de bien comprendre leur articulation et de bien
repérer le rôle de chaque appareil. Le schéma qui présente les éléments techniques résume bien cette
complexité.
Une mise en œuvre pratique lors du stage est particulièrement recommandée pour bien comprendre les
mécanismes mis en jeu.

CNED – BTS SIO – BLOC 3 – SISR – B3.5 – SÉQUENCE 5 – Synthèse 5

Les cours du CNED sont strictement réservés à l’usage privé de leurs destinataires et ne sont pas destinés à une utilisation collective.
Les personnes qui s’en serviraient pour d’autres usages, qui en feraient une reproduction intégrale ou partielle, une traduction sans
le consentement du CNED, s’exposeraient à des poursuites judiciaires et aux sanctions pénales prévues par le Code de la propriété
intellectuelle. Les reproductions par reprographie de livres et de périodiques protégés contenues dans cet ouvrage sont effectuées
par le CNED avec l’autorisation du Centre français d’exploitation du droit de copie (20, rue des Grands-Augustins, 75006 Paris).
CNED, BP 60200, 86980 Futuroscope Chasseneuil Cedex, France
© CNED 2021 87R32FSWB5521