Vous êtes sur la page 1sur 27

802.

1x

Audric PODMILSAK
13 janvier 2009

Plan de la prsentation

1. Quest ce que 802.1x ?


2. Le protocole EAP
3. Le protocole RADIUS
4. Les failles de 802.1x
5. Conclusion

Podmilsak
Audric

802.1x

2/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

802.1x ?

Podmilsak
Audric

802.1x

3/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Mis au point par lIEEE en 2001, aussi appel Port-Based


Network Access Control.

Assure lauthentification des utilisateurs sur un rseau filaire ou


non-filaire.

Repose sur le protocole EAP, et la mise en place dun serveur


dauthentification (RADIUS) et dun controlleur daccs
(Commutateur, Access Point).

Podmilsak
Audric

802.1x

4/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Fonctionnement gnral :

Podmilsak
Audric

802.1x

5/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Authentification base sur le contrle des ports.

Authentifi
Authentification

Podmilsak
Audric

802.1x

6/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Client

Podmilsak
Audric

Contrleur daccs

802.1x

RADIUS

7/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Extensible Authentication Protocol

Podmilsak
Audric

802.1x

8/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Protocole de transport des donnes ncessaire


lauthentification.

Protocole extensible, on peut dfinir de nouvelles mthodes


dauthentifications, il est indpendant.

De nombreux choix pour la mthode dauthentification.

Podmilsak
Audric

802.1x

9/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

EAP-MD5 : Authentification avec un mot de passe.

EAP-TLS : Authentification avec un certificat lctronique.

EAP-TTLS : Authentification avec nimporte quelle mthode


dauthentification, au sein dun tunnel TLS.

EAP-PEAP : Authentification avec nimporte quelle mthode


dauthentification EAP, au sein dun tunnel TLS.

Podmilsak
Audric

802.1x

10/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les types de paquets existants :

EAP Request : Envoy par le contrleur daccs au client.

EAP Response : Rponse du client au contrleur daccs.

EAP Success : Paquet envoy au client en fin


dauthentification si elle est russie.

EAP Failure : Paquet envoy au client en fin


dauthentification si elle est rate.

Podmilsak
Audric

802.1x

11/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les types de paquets ajouts par la norme 802.1x :

EAPoL-Start : qui permet au client dalerter le contrleur


daccs quil souhaite se connecter.

EAPoL-Packet : Paquet qui encapsule les paquets EAP.

EAPoL-Key : Paquet qui permet lchange de cl de


cryptage.

EAPoL-Logoff : permet damorcer la fermeture de session.

Podmilsak
Audric

802.1x

12/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Remote Authentication Dial In User Service

Podmilsak
Audric

802.1x

13/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Protocole qui permet de centraliser les donnes


dauthentification.

Radius rpond au modle AAA:

Authentication

Authorization

Accounting

Au dessus de la couche de transport UDP.

Podmilsak
Audric

802.1x

14/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Pour lauthentification il y a quatre type de paquets :

Access-Request : envoy par le contrleur daccs, contenant les


informations sur le client(login/mot de passe, ...).

Access-Accept : envoy par le serveur dans le cas o


lauthentification est un succs.

Access-Reject : envoy par le serveur dans le cas o


lauthentification est un chec, ou si il souhaite fermer la connection

Access-Challenge : envoy par le serveur pour demander des


informations complmentaires, et donc la remission dun paquet
Access-Request.

Podmilsak
Audric

802.1x

15/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les attributs des paquets RADIUS sont sous la forme de paire


attributs-valeurs.

Le champs attributs du paquet peut en contenir plusieurs.

Les attributs utiles dans le cadre de lauthentification sont :

Podmilsak
Audric

User-Name, User-Password, NAS-IP-Address, NAS-Port, Called-Station-Id


et Calling-Station-Id

802.1x

16/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les failles de 802.1x

Podmilsak
Audric

802.1x

17/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Le protocole possdent quelques failles, qui sont nanmoins bien


identifies et vitables :

Attaque de la mthode dauthentification.

Attaque de la session, une fois lauthentification tablie.

Attaque du Man in the middle, entre le point daccs et le


client.

Podmilsak
Audric

802.1x

18/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les attaques sur les mthodes dauthentification :

Une attaque par dictionnaire hors-ligne : contre EAP MD5.

La solution : utiliser une mthode plus efficace (TLS, PEAP)

Une attaque par dictionnaire en ligne : contre EAP PEAP/TTLS.

La solution : configurer le serveur pour bloquer les adresses IP


aprs plusieurs tentatives en chec conscutives.

Podmilsak
Audric

802.1x

19/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Lattaque sur la session :

EAP seul ne protge pas la session.

Le contrleur daccs se contente de vrifier ladresse MAC.

Dans le cas dune communication wifi : mettre en place un


tunnel, laide de WPA ou WPA2 par exemple.

Podmilsak
Audric

802.1x

20/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Lattaque du Man in the middle :

Attaque facile raliser dans le cas dune communication wifi.

Contrable en mettant en place un tunnel, WPA WPA2.

Problme pour EAP-PEAP et EAP-TTLS.

Il faut sassurer que les clients vrifient bien les certificats.

Podmilsak
Audric

802.1x

21/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Pour pallier toutes ces failles on peut effectuer les actions


suivantes :

Utiliser en priorit EAP-TLS, EAP-PEAP ou EAP-TTLS.

Mettre en place un tunnel chiffr entre le point daccs et le


client (WPA ou WPA2) dans le cas du wifi.

Avertir les utilisateurs pour la vrification des certificats.

Podmilsak
Audric

802.1x

22/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Conclusion

Podmilsak
Audric

802.1x

23/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Assure lauthentification sur un rseau filaire ou sans-fil.

Un peu lourd mettre en place.

Quelques prcautions prendre du point de vue de la scurit.

Podmilsak
Audric

802.1x

24/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Type dEAP

Mthode
dauthentification

Caractristiques

EAP-MD5

Login/password

Facile implmenter
Support par la plupart des serveurs
Attaquable par dictionnaire hors-ligne
Pas dauthentification mutuelle

EAP-TLS

Certificat

Utilisation de certificats par le client et le serveur, de ce


fait cration dun tunnel sur.
Authentification mutuelle entre le client et serveur
Lourd mettre en place cause des certificats cot
client.

EAP-PEAP
EAP-TTLS

Login/password
Et certificat

Cration dun tunnel TLS


Moins lourd que EAP-TLS, car pas de certificat du cot
client.
Moins sur que EAP-TLS, car pas de certificat du ct
client.

Podmilsak
Audric

802.1x

25/27

Source

Authentification rseau avec Radius 802.1x EAP FreeRadius

de Serge Bordres

WiFi Dploiement et scurit, 2me dition


de Aurlien Gron

Wikipdia

Podmilsak
Audric

802.1x

26/27

Merci de votre attention

Podmilsak
Audric

802.1x

27/27