RADIUS : Remote Authentication Dial-In User Service

Le protocol 802.1x

Présentation

Le protocol 802.1X a été mis au point par l’IEEE en juin 2001. Il a pour but d’authentifier un client (en filaire ou en WiFi) afin de lui autoriser l’accès à un réseau.
On utilise le protocol EAP(Extensible Authentication Protocol) et un serveur d’authentification qui est généralement un serveur RADIUS.
Le serveur RADIUS va authentifier chaque client qui se connecte au réseau sur un port.

Port non contrôlé

Au début de la connexion, le port est dans l’état non contrôlé.
Seuls les paquets 802.1X permettant d’authentifier le client sont autorisés.

Port contrôlé

Une fois l’authentification effectuée, le port passe dans l’état contrôlé.
Alors, tous les flux du client sont acceptés et le client peut accéder aux ressources partagées.

Principaux types d'EAP

EAP-TLS (Transport Layer Security)
Authentification par certificat du client et du serveur

EAP-TTLS (Tunneled Transport Layer Security)
Authentification par certificat et mot de passe grâce à la génération d’un tunnel sécurisé

EAP-MD5
Authentification avec mot de passe

PEAP (Protected EAP)
Authentification avec mot de passe via une encapsulation sécurisée

LEAP (protocole Cisco)
Authentification avec mot de passe via une encapsulation sécurisée

Etapes d’authentification 802.1X

Les Faiblesses du 802.1X

Le protocol 802.1X a été prévu pour établir une connexion physique. Donc l’insertion d’un hub permet de faire bénéficier d’autres personnes de l’ouverture du port Ethernet, tout en restant transparent pour le 802.1X.
Il est possible de configurer les équipements réseaux de façon à bloquer le port Ethernet si l’adresse MAC à changé.
Il est également possible de faire des attaques par écoute, rejeu et vol de session.