RADIUS : Remote Authentication Dial-In User Service
Le protocol 802.1x
Présentation
Le protocol 802.1X a été mis au point par l’IEEE en juin 2001. Il a pour but d’authentifier un client (en filaire ou en WiFi) afin de lui autoriser l’accès à un réseau.
On utilise le protocol EAP(Extensible Authentication Protocol) et un serveur d’authentification qui est généralement un serveur RADIUS.
Le serveur RADIUS va authentifier chaque client qui se connecte au réseau sur un port.
Port non contrôlé
Au début de la connexion, le port est dans l’état non contrôlé.
Seuls les paquets 802.1X permettant d’authentifier le client sont autorisés.
Port contrôlé
Une fois l’authentification effectuée, le port passe dans l’état contrôlé.
Alors, tous les flux du client sont acceptés et le client peut accéder aux ressources partagées.
Principaux types d'EAP
EAP-TLS (Transport Layer Security)
Authentification par certificat du client et du serveur
EAP-TTLS (Tunneled Transport Layer Security)
Authentification par certificat et mot de passe grâce à la génération d’un tunnel sécurisé
EAP-MD5
Authentification avec mot de passe
PEAP (Protected EAP)
Authentification avec mot de passe via une encapsulation sécurisée
LEAP (protocole Cisco)
Authentification avec mot de passe via une encapsulation sécurisée
Etapes d’authentification 802.1X
Les Faiblesses du 802.1X
Le protocol 802.1X a été prévu pour établir une connexion physique. Donc l’insertion d’un hub permet de faire bénéficier dautres personnes de l’ouverture du port Ethernet, tout en restant transparent pour le 802.1X.
Il est possible de configurer les équipements réseaux de façon à bloquer le port Ethernet si l’adresse MAC à changé.
Il est également possible de faire des attaques par écoute, rejeu et vol de session.