EXPOSE SUR LA

TECHNOLOGIE
D’AUTHENTIFICATION 802.1X
PRÉSENTÉ PAR SERGE LOÏC S. B. ZOUMENOU
MASTER 2 OPTION INGÉNIERIE DES SYSTÈME ET RÉSEAUX INFORMATIQUES MIT DAKAR
 SOMMAIRE
 Introduction
 La technologie 802.1x
 Fonctionnement
 Avantages
 Limites
Démonstration avec Packet Tracer
 Conclusion
 Glossaires et Bibliographies 1
  INTRODUCTION

Les réseaux Wifi utilisés dans les entreprises ont leurs accès
relativement sécurisés; de même les accès depuis l'Internet ont des
technologies sécuritaires bien élaborés.
La technologie 802.1X, a comme objectif de réaliser une
authentification de l'accès au réseau au moment de la connexion
physique à ce dernier.
Cette authentification intervient avant tout mécanisme
d'autoconfiguration (ex. DHCP...).
Cet exposé vise à faire découvrir les notions et techniques liées
à la sécurisation des accès réseau par l'utilisation de la
technologie 802.1x suivis d’une démonstration avec packet tracer.

2
  LA TECHNOLOGIE 802.1X
Mise au point par l’IEEE en 2001, la technologie 802.1X est un
standard qui a été créé dans le but de sécuriser les réseaux
locaux filaires ou sans-fil.
Le 802.1X est un contrôle d’accès réseau basé sur le port.
L’objectif de 802.1X est de donner, ou non, un droit d’accès au
réseau, sans se soucier du support physique utilisé.
En effet, 802.1X travaille au niveau de la couche 2 du modèle
OSI.
En général, l’accord du droit d’accès permet ensuite d’utiliser
le protocole Ethernet et de permettre également l’accès à divers
mécanismes d’autoconfiguration, que ce soit un démarrage depuis
le réseau ou une configuration IP attribuée automatiquement.
3
  LA TECHNOLOGIE 802.1X
Trois éléments indispensables doivent être présents pour
permettre le bon fonctionnement de ce processus :
 Un client réseau/une machine appelée système à
authentifier .
 Le système authentificateur, qui va s’occuper de
transmettre la demande d’autorisation à l’élément
suivant.
 Le serveur d’authentification. Celui-ci applique les
règles d’accès définies nécessaires à une décision
d’autorisation puis renvoie une réponse (acceptation ou
rejet).

4
Figure 1: Les acteurs
  LA TECHNOLOGIE 802.1X
Le système authentificateur surveille l’état d’un port
physique dans l’attente d’un client à authentifier qui
souhaite disposer des ressources du réseau. Une fois la
demande reçue, il fait le relais avec le serveur
d’authentification sans s’immiscer dans le dialogue
client/serveur, il ne fait qu’attendre la décision du
serveur qui lui est destinée.
En plus d’un accès refusé ou accepté au port Ethernet,
ce standard permet aussi l’attribution d’autorisations
supplémentaires en cas d’accès accordé.

5
  FONCTIONNEMENT
En pratique, le contrôle d’accès 802.1X fonctionne sur un port
physique qui autorise ou non l’accès au niveau de la couche 2 du
modèle OSI à un périphérique branché sur ce port. Mais lorsque
l’accès n’est pas encore accordé, le système à authentifier et
l’authentificateur doivent tout de même communiquer ensemble.
Comment est-ce possible ?
Concrètement, le port physique est divisé en deux ports
virtuels:
 Un sera dédié à l’accès réseau standard, tel que le port physique
l’assure normalement. Ce port est contrôlé, il peut être « fermé
» ou « ouvert » à la communication.
 Le deuxième port virtuel se dédie uniquement aux trames 802.1X et
il garantit la communication avec le serveur d’authentification.

6
  FONCTIONNEMENT

Figure 2: Authentification refusée

7
  FONCTIONNEMENT

Figure 3: Authentification reussie 8

  FONCTIONNEMENT

Ce modèle est valable qu’importe le support physique tel que la

fibre, le wifi, le câble, etc…
La technologie 802.1X encapsule par-dessus d’autres mécanismes
d’authentification qui existaient déjà avant son apparition.
Les messages 802.1X sont donc transportés par le biais de
trames Ethernet EAPOL qui sont seules autorisées à transiter sur
un port en mode fermé.
Dans ces trames se trouvent des échanges EAP, celles-ci seront
réencapsulées depuis le système authentificateur (sans
modification) dans un format que le serveur d’authentification
peut comprendre (RADIUS ou TACACS+).
C’est le système authentificateur qui est le switch, qui place
le client dans le VLAN précisé par le serveur d’authentification.

9
 FONCTIONNEMENT

Figure 4: Trames échangées

10
  FONCTIONNEMENT
C’est le seul message qui est important pour lui, le reste de la
communication se déroule uniquement entre le client et le serveur
d’authentification.
le switch ne sert qu’à relayer et à dé-encapsuler/réencapsuler
les messages jusqu’à la décision du serveur.
Le schéma sur le début de la page suivante illustre les messages
échangés entre les trois parties qui prennent part au mécanisme
d’authentification, en montrant également l’utilisation d’attributs RADIUS
attribuant un VLAN au client, tel que démontré dans la suite de ce travail.

11
  FONCTIONNEMENT

Figure 5: Fonctionnement 802.1X 12

  AVANTAGES
 Niveau Protection
 Etant donné qu'il assure une validation de l’accès au médium,
il s'occupe ainsi en amont des intrusions sur le réseau.
Ceci est très important de nos jours, notamment dans le cadre
des réseaux sans fils, qui sont de véritables portes ouvertes. De
plus, les technologies de sécurité employées par défaut (filtrage
d'adresse MAC, mise en place de clé WEP) sont très vulnérables.
 A l’inverse des protections WEP par exemple, la 802.1x par
l’adoption de clés de cryptage dynamiques par utilisateur et par
session n’interdit pas les attaques de force brute mais les rend
pratiquement impossible.
Pour rappel :
En 802.1x les clés de session sont dynamique par utilisateur et
par session. Lorsque l’utilisateur se déplace, une nouvelle session
est rejouée, et la clé change, même si elle est complètement
transparente pour l’utilisateur.
13
  AVANTAGES
 La technologie 802.1x réduit aussi les attaques du type Man in
the middle.

 Niveau Gestion
 La 802.1x en permettant une base de comptes unique, simplifie
le travail des administrateurs.
 Il permet à l’utilisateur d’utiliser les mêmes identifiants de
connexion pour tous les accès avec ou sans fil au réseau sans
modification de configuration.
 Il permet aussi de gérer les comptes utilisateurs à partir de
bases existantes comme les bases LDAP par exemple.
 Le standard 802.1x apporte mobilité et transparence (selon le
type d'authentification choisi). En effet, le supplicant peut se
brancher à n'importe quel port.
 Il permet aussi l’attribution de Vlan dynamique ce qui renforce
encore la flexibilité du système.
 Et réduit les coûts de déplacement en supprimant la réattribution
manuelle de port. 14
  LIMITES

 Une des plus grandes faiblesses de la technologie 802.1X

vient du fait que rien n’empêche un utilisateur de mettre un hub
équipement transparent à 802.1x et de faire bénéficier d’autres
utilisateurs de son ouverture de session.
 Les limites de la technologie 802.1x peuvent aussi provenir
de l’EAP.
 Le client qui ne supporte pas la 802.1x, ne peux pas accéder
au réseau.
 La mise en place du 802.1x sur le réseau, impose d’avoir du
matériel neuf.

15
 DEMONSTRATION
PACKET TRACER

Topologie

16
  CONCLUSION
Il faut avoir à l’esprit que l’usage de la 802.1X est
simplement de contrôler l’accès physique à un réseau local.
Comparée à un contrôle d’accès basé sur l’adresse
MAC/Ethernet, son activation est un réel progrès.
Vu de la présence quasi-systématique de serveurs Radius
sur un site, on peut considérer que l’implémentation de la
802.1X ne rajoute pas de complexité dans l’administration
réseau.
L’une des modifications importantes du protocole est la
notion d’authentification mutuelle.
Je ne suis pas certain d’avoir abordé tous les aspects de
la technologie 802.1X mais espère que vous avez pu tirer un
brin de notion de cette présentation.
17
 GLOSSAIRE ET REFERENCES BIBLIOGRAPHIQUES
• IEEE : Institute of Electrical and Electronics Engineers
• OSI : Open Systems Interconnection
• EAP: Extensible Authentication Protocol
• EAPOL: AEP Over Lan
• RADIUS: Remote Authentication Dial-In User Service
• TACACS: Terminal Access Controller Access-Control System
• VLAN: Virtual Local Access Network
http://www.cisco.com/global/FR/solutions/ent/pub_sector/newsl
etter/numero2/avis_expert.shtml
http://www.urec.cnrs.fr/securite/CNRS/vCARS2003/DOCUMENTS/sac
cavini.pdf 18
QUESTIONS ET RECOMMANDATIONS

19