Professional Documents
Culture Documents
Description du thme
Proprits
Description
Intitul long
Formation
concerne
Matire
SISR2 - SISR5
Prsentation
Notions
Savoir-faire
Configurer les lments d'interconnexion permettant dtablir des
primtres de scurit.
Scuriser un service
Savoir
Normes, technologies et techniques associes la scurit des
infrastructures rseaux
Pr-requis
Outils
Mots-cls
Auteur(es)
Version
v 1.0
Date de
publication
Mars 2014
Page 1/24
L'authentification au
sein d'un rseau cbl
Protocole 802.1x
Serveur RADIUS
Montrons Patte Blanche !
Prambule
Ce document vise la dcouverte des principes et techniques associs
l'authentification des connexions dans les rseaux cbls Ethernet. En particulier, il
traitera du protocole 802.1x et des serveurs d'authentification RADIUS associs.
Si les rseaux Wifi utiliss dans les entreprises voient dsormais leurs accs
relativement scuriss (par du chiffrement WPA2 par exemple) et si les accs depuis
l'Internet font l'objet de technologies scuritaires bien tablies (DMZ, pare-feux, UTM
...), les prises murales sur lesquelles sont connects les postes fixes des espaces de
travail sont, dans la majorit des entreprises, "ouvertes tous les vents" et toute
personne circulant dans l'entreprise peut s'y connecter et s'introduire sur tout ou
partie du rseau.
L'objectif final vis par la mise en place du couple de technologies 802.1x / RADIUS
va au del de la simple scurisation des accs par une authentification "forte" de la
personne qui cherche se connecter sur un port rseau. Cet objectif pourra aller
jusqu' la banalisation de toutes les prises rseau filaires de l'entreprise. Une prise
rseau quelconque ne sera plus affecte tel ou tel VLAN. C'est partir de
l'authentification de la personne qui cherche se connecter au rseau que l'on va
dduire le primtre de scurit dans lequel la placer :
Page 2/24
Il existe des technologies de filtrage sur les adresses MAC : soit circonscrites un
commutateur (dot pour chacun de ses ports, d'une liste d'adresses MAC autorises)
ou mme centralises dans un serveur RADIUS. On sait maintenant que l'adresse
MAC n'est plus un lment d'authentification fiable. Pour cette raison et pour le ct
malais de la manipulation, et surtout de la rcupration des adresses MAC
(particulirement quand il s'agit de postes appartenant des personnes extrieures
l'entreprise), on laissera ces technologies de ct dans ce document.
Sommaire
Authentification rseau ................................................................................................ 1
Description du thme ............................................................................................... 1
Prambule ................................................................................................................ 2
I.
Vocabulaire ..................................................................................................... 4
I.2
I.3
RADIUS .......................................................................................................... 5
I.4
I.5
I.6
I.7
I.8
Page 3/24
I.
I.1
Vocabulaire
Page 4/24
I.2
Le protocole 802.1x
I.3
RADIUS
Page 5/24
Page 6/24
I.4
Le client RADIUS
Dans le schma gnral d'une connexion 802.1x, l'lment central est l'quipement
de rseau (commutateur, borne wifi, ...) dsign comme client RADIUS. Cet
quipement doit donc tre en capacit de grer le protocole 802.1x et le protocole
d'authentification EAP.
I.5
Page 7/24
Page 8/24
Note : c'est par le bouton [Configurer] de l'cran ci-dessus qu'on indique si on veut
utiliser - ou non - le nom et le mot de passe d'ouverture de session Windows dans le
dialogue 802.1x.
Dans les phases de test, on peut relancer le mcanisme d'authentification en
dsactivant/ractivant la carte rseau, mais tout le dialogue ne serait pas visible
dans un analyseur de trames. Il vaut mieux dcocher/cocher "Activer
l'authentification 802.1X" pour observer tout ce qui se passe.
I.6
Page 9/24
Microsoft a dvelopp une variante de CHAP appele MS-CHAP qui ajoute une
authentification mutuelle, MSCHAP-V1, puis MSCHAP-V2.
Dialogue client-serveur avec MSCHAP-V2.
A. Le serveur envoie au client une chane compose d'un identifiant de session et une chane
alatoire xxxxx.
B. Le client renvoie son nom d'utilisateur et le rsultat d'un hachage de la chane alatoire xxxxx
+ l'identifiant de session + le mot-de-passe, et une seconde chane alatoire yyyyy.
C. Le serveur vrifie le rsultat (succs/chec) et retourne celui-ci, avec un hachage de la chane
yyyyy et du mot de passe utilisateur.
D. Le client vrifie enfin la correspondance entre les chanes.
E. La connexion est tablie.
PEAP
PEAP est un protocole de transfert scuris (P comme "Protected") d'informations
d'authentification. Il a t mis au point par Microsoft, Cisco et RSA. Il ne ncessite
pas de certificat sur les postes clients, contrairement EAP/TLS. MS-CHAP s'appuie
sur PEAP.
I.7
Page 10/24
Le client final peut donc envoyer son identit dans un paquet EAP au commutateur.
Celui-ci le retransmet, encapsul dans un paquet au format RADIUS, au premier
serveur RADIUS de sa liste (s'il en connat plusieurs) (Phase ).
Le serveur RADIUS reoit le paquet et interroge sa base de donnes (Phase ).
Il renvoie le rsultat de cette interrogation au commutateur (Phase ), sous forme
d'un commandement d'ouverture du port, ventuellement assorti d'un numro de
VLAN dans lequel placer le client final. A partir de ce moment seulement, il peut y
avoir d'autres trames changes entre le client final et le reste du rseau, comme
une trame de requte DHCP par exemple.
Avant authentification
EAP
only
Le port ne laisse passer que des trames EAP.
Aprs authentification
ALL
Le port laisse passer tous les types de trames.
Page 11/24
I.8
L'objectif de contrler toutes les prises rseau d'une entreprise en y imposant une
authentification peut se heurter au fait que certains priphriques qui y sont
connects (comme des imprimantes, des vidoprojecteurs ...) n'implmentent pas
802.1x. Il faut donc trouver d'autres solutions pour protger ces prises : un VLAN
spcifique par exemple runissant les imprimantes, avec un serveur d'impression
situ dans un autre VLAN joignable au travers d'un routeur filtrant, une protection des
ports par adresse MAC, ou encore une connexion sans-fil des vidoprojecteurs dans
une technologie de cryptage comme WPA2.
Page 12/24
II.
Fonctionnement dtaill
Page 13/24
Page 14/24
III.
Le serveur RADIUS est connect dans le VLAN 1 du commutateur, sur le port FA1
par exemple. Il hberge la fois AD, un service de certificats et le service NPSRADIUS.
Le client final "A" est connect au port n7 "contrl" par 802.1x du commutateur.
Son VLAN dpendra de l'authentification de l'utilisateur.
Un second client final "B" pourra tre connect sur un port non contrl du VLAN 2
ou du VLAN 3 pour vrifier la connectivit intra VLAN 2 ou 3.
Dans un premier temps, on peut effectuer nos tests avec des IP fixes sur les postes
clients. Pour mettre les clients en DHCP, il faudrait disposer d'un service DHCP dans
chaque VLAN. Ceci pourrait tre fait en connectant un routeur sur un port 802.1q du
commutateur. Ce routeur servirait des plages DHCP dans chaque VLAN de travail et
mme dans le VLAN "guest".
Page 15/24
III.1
Page 16/24
Commentaires
Le
port
contrl
est
plac
en
mode
"multi-sessions"
(ncessaire
pour
l'affectation
dynamique
du
VLAN
par
RADIUS)
;
Son
ouverture
sera
lie
l'authentification
du
client
final
(port-control
"auto")
;
Le
port
est
dclar
comme
devant
recevoir
des
attributs
de
VLAN
depuis
le
serveur
RADIUS
;
Le
port
est
dot
de
l'affectation
en
VLAN
"guest"
des
clients
non
authentifis
;
Note
:
attention,
l'ordre
des
commandes
a
de
l'importance.
Page 17/24
Name
----------------1
2
3
99
Ports
--------------------------fa1,fa3-6,fa8-24,gi1-4,
fa2
fa7
Type
-----------Default
permanent
permanent
permanent
Authorization
------------Required
Required
Required
Guest
Force Authorized
Auto
Force Authorized
Oper
Mode
------------Authorized
Authorized*
Authorized*
Reauth
Control
-------Disabled
Disabled
Disabled
(...)
Authorized*
Disabled
Unauthorized* Disabled
Authorized*
Disabled
Reauth
Period
---------3600
3600
3600
Username
3600
3600
3600
n/a
n/a
n/a
---------------n/a
n/a
n/a
Colonne
Admin
Mode
:
un
port
peut
tre
en
"autorisation
force",
en
"interdiction
force"
ou
en
auto
(accs
dpendant
de
l'authentification
802.1x).
Colonne
Oper
mode
:
tat
actuel
du
port
il
n'est
pas
autoris.
Colonne
"Reauth
Control"
:
un
"enabled"
ncessiterait
une
rauthentification
priodique
du
client
final,
la
priode
(en
secondes)
tant
donne
dans
la
colonne
"Reauth
period".
Colonne
Username
:
contiendra
le
nom
de
l'utilisateur
connect.
Page 18/24
Oper
Mode
------------Authorized
Authorized*
Authorized*
fa7
Authorized
Auto
Reauth
Control
-------Disabled
Disabled
Disabled
(...)
Disabled
Reauth Username
Period
------------------------3600
n/a
3600
n/a
3600
n/a
3600
valerie@mars.local
Le port contrl Fa7 est dans en "oper mode" Autoris, avec l'utilisatrice "valerie" authentifie.
MonCommutateur#show vlan
Vlan
---1
2
3
99
Name
----------------1
2
3
99
Ports
--------------------------fa1,fa3-6,fa8-24,gi1-4,
fa2,fa7
fa7
Type
-----------Default
permanent
permanent
permanent
Authorization
------------Required
Required
Required
Guest
Multiple Hosts
-------------Enabled
Guest
VLAN
-------Disabled
fa7
Authenticate
Enabled
MAC
Authentication
-------------Disabled
VLAN
Assignment
---------Disabled
Disabled
Enable
(...)
Page 19/24
III.2
Exemple: (config)# RADIUS-server host 172.16.0.1 auth-port 1812 acct-port 1813 key toto
III.2.2 Configuration des ports
A - Dfinir lauthentification 802.1x sur un port (mode configuration dinterface)
(config-if)#switchport mode access
(config-if)#authentication port-control auto
(config-if)#dot1x pae authenticator
Exemple:
(config-if)#authentication event no-response action authorize vlan 99
C - ventuellement, affecter le port un VLAN xx si lauthentification 802.1x a
chou
(config-if)#authentication event fail action authorize vlan xx
Page 20/24
III.2
La mise en place du service RADIUS NPS sur un serveur Windows 2008-R2 se fait
en plusieurs phases. Le serveur est un contrleur de domaine. Il dispose donc du
service Active Directory et de plusieurs utilisateurs et groupes d'utilisateurs.
Notre objectif va tre d'accepter les connexions 802.1x des utilisateurs qui font partie
d'un certain groupe AD et de les placer dans le VLAN 2. Une autre stratgie pourra
tre de placer les utilisateurs authentifis d'un autre groupe dans le VLAN 3, etc.
Les attributs qui vont tre dlivrs par le serveur RADIUS en cas d'authentification
sont les suivants :
La mise en uvre de cette partie est dcrite dans le document joint "installation-etconfiguration-nps".
Page 21/24
Annexe
Droul de l'installation de NPS RADIUS et sa configuration dans fichier joint :
installation-et-configuration-NPS.
Page 22/24
LEXIQUE
AAA (Authentication Authorisation Accounting)
Label attribu aux protocoles de scurit comportant les trois fonctions
d'authentification, d'autorisation et de comptabilit.
RADIUS (Remote Authentication Dial-In User Service)
Protocole client-serveur d'authentification centralise de terminaux ou de personnes.
TACACS (Terminal Access Controller Access-Control System)
Famille de protocoles d'authentification, d'autorisation et de comptabilit apparue
dans le monde Unix. TACACS+ est la dernire version du protocole mis au point par
la socit CISCO.
EAP (Extensible Authentication Protocol
Protocole de base de 802.1x permettant de faire passer des informations entre le
client final et le client radius non encore authentifi et connect un port accs
contrl par 802.1x d'un quipement de rseau.
Page 23/24
Page 24/24