Chapitre 2:

Scurit daccs interne rseau

Dr. M. Jarraya, ,Cours Rseaux

Partie 1:

contrle daccs aux rseaux avec les ACL

Dr. M. Jarraya, ,Cours Rseaux

Les listes de contrle d'accs

Sont des listes d'instructions applicables une interface du routeur pour

indiquer le type de paquets accepter et le type refuser

L'acceptation et le refus peuvent tre fonds sur certaines caractristiques :

Adresse Source et Adresse de Destination Port Source et Port de destination Protocole Applicatif

filtrent le trafic rseau en commandant aux interfaces d'un routeur d'acheminer ou de bloquer des paquets routs

Un routeur examine chaque paquet afin de dterminer s'il doit l'acheminer ou l'abandonner
3

Les listes de contrle d'accs

Les listes de contrle d'accs

Sont configures au niveau du

routeur en vue de contrler l'accs un rseau ou un sousrseau pour :

Limiter le trafic rseau et accrotre les performances Contrler le flux de trafic

Fournir un niveau de scurit

d'accs rseau de base Dterminer le type de trafic qui sera achemin ou bloqu au niveau des interfaces du routeur
5

Vrification des paquets

L'ordre des instructions ACL

(Access Control List) est important Ds que la plateforme IOSCISCO dcouvre une correspondance, elle cesse de vrifier les instructions de

condition

Si une instruction de condition autorisant l'accs tout le

trafic est cre, aucune

instruction cre par la suite ne sera vrifie
6

Fonctionnement des listes de contrle d'accs

Une liste de contrle d'accs est

un groupe d'instructions prcisant divers facteurs relatifs aux paquets :

Comment les paquets entrent-ils par les interfaces d'arrive ? Comment sont-ils relays par le

routeur ?

Comment sortent-ils par les interfaces de dpart du routeur ?

Si aucune des instructions ne correspond au paquet, une instruction implicite " deny any " interdisant l'accs est impose
7

Fonctionnement des listes de contrle d'accs

Configuration de listes de contrle daccs

Crer des listes de contrle d'accs en mode de configuration globale.

Spcifier un numro de liste de contrle d'accs entre 1 et 99 : ACL standards. Spcifier un numro de liste de contrle d'accs entre 100 et 199 : ACL tendues. Slectionner avec soin et classer logiquement les lments de la liste de contrle d'accs. Prciser les protocoles IP autoriss, tous les autres protocoles seront refuss. Slectionner les protocoles IP vrifier, les autres protocoles ne seront pas vrifis. Plus tard dans la procdure, il sera galement

possible d'indiquer un port de destination en option pour plus de

prcision.
9

Configuration de listes de contrle daccs

La plupart des protocoles ncessitent deux tapes de base pour

effectuer le filtrage :

la premire tape est la cration d'une dfinition de liste de contrle d'accs

la seconde, l'application de cette liste une interface.

Il convient d'identifier chaque liste de protocole en lui attribuant un numro unique Router{config}#access-list numro-liste-accs {permit|deny} {conditions-de-test) Router(config-if) # {protocole} access-group numro-liste-daccs 10

Les bits de masque gnrique

Un masque gnrique est une quantit de 32 bits diviss en quatre

octets contenant chacun 8 bits:

Un bit 0 de masque gnrique signifie " vrifier la valeur du bit correspondant " un bit 1 signifie " ne pas vrifier (ignorer) la valeur du bit correspondant "

11

Les bits de masque gnrique

les masques gnriques et les

masques de sous-rseaux IP fonctionnent diffremment :

les 0 et les 1 du masque de sousrseau dterminent les portions rseau, sous-rseau et hte de l'adresse IP correspondante

Les 0 et les 1 du masque gnrique

dterminent si les bits correspondants de l'adresse IP doivent tre vrifis ou ignors

des fins de contrle d'accs

12

La commande any

Travailler avec des reprsentations dcimales de bits de masque

gnrique peut se rvler fastidieux : Pour les usages les plus courants de masquage gnrique, vous pouvez recourir des abrviations pour indiquer :

n'importe quelle adresse IP, tapez 0.0.0.0, puis pour indiquer que la vrification doit ignorer (c.--d. autoriser sans vrifier) toute valeur, tapez les bits de masque gnrique correspondants pour cette adresse, qui seraient tous des 1 (c.--d. 255.255.255.255).

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 vous pouvez utiliser ceci : Router(config)# access-list 1 permit any
13

La commande host

permet galement d'utiliser une abrviation dans le masque gnrique

de liste de contrle d'accs lorsque vous souhaitez faire correspondre tous les bits d'une adresse d'hte IP complte :

Exemple : vous souhaitiez prciser qu'une adresse hte IP sera refuse par une vrification de liste de contrle d'accs :

Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

vous pouvez utiliser ceci : Router(config)# access-list 1 permit host 172.30.16.29

14

Les listes de contrle d'accs standard

Vous pouvez utiliser les listes de contrle d'accs standard pour

refuser l'accs un rseau tout le trafic, autoriser tout le trafic issu d'un rseau particulier ou refuser des ensembles de protocoles :

Router(config)# access-list numro-liste-d'accs {deny | permit} source [masque-gnrique-source ] [log]

15

Vrification des listes de contrle d'accs

la commande EXEC show access-list permet dafficher le contenu de

toutes les listes de contrle d'accs :

Exemple :

access-list 1 permit 192.5.34.0 0.0.0.255

access-list 1 permit 128.88.0.0 0.0.255.255 access-list 1 permit 36.0.0.0 0.255.255.255

!(Remarque : tous les autres accs sont implicitement refuss.)

La commande ip access-group associe une liste de contrle d'accs existante une interface Router(config-if)#ip access-group numro-liste-d'accs {in | out}
16

Exemple 1 de configuration

la liste de contrle d'accs permet uniquement l'acheminement du

trafic du rseau d'origine 172.16.0.0

17

Exemple 2 de configuration

bloquer le trafic d'une adresse particulire, 172.16.4.13, et permettre

l'acheminement du trafic de toutes les autres adresses

18

Exemple 3 de configuration

liste de contrle d'accs est conue pour bloquer le trafic d'un sousrseau particulier, 172.16.4.0, et permettre l'acheminement de tout autre trafic

19

Les listes de contrle d'accs tendues

les listes de contrle d'accs tendues fournissent une plus grande

gamme de contrles que les listes d'accs standard

Exemple : vous pouvez utiliser une liste de contrle d'accs tendue

pour autoriser le trafic Web, mais refuser le trafic FTP ou Telnet en

provenance de rseaux externes

Les listes de contrle d'accs tendues vrifient les adresses

d'origine et de destination d'un paquet.

Elles peuvent galement vrifier des protocoles et des numros de port particuliers, ainsi que d'autres paramtres

20

Les listes de contrle d'accs tendues

21

Les listes de contrle d'accs tendues

La forme complte de la commande access-list

est :

Router(config)# access-list numro-liste-d'accs {permit | deny} protocol source [source-mask] destination [destination-mask] operator

operand] [established]

La commande ip access-group lie une liste de contrle d'accs tendue existante une interface.

une seule liste de contrle d'accs est permise par interface, par direction et par protocole. Le format de cette commande est le suivant :
Router(config-if)# ip access-group numro-liste-d'accs {in | out}
22

Les listes de contrle d'accs tendues

23

Exemple 1 de configuration

un exemple de liste de contrle d'accs tendue bloquant le trafic FTP

24

Exemple 2 de configuration

Empche que le trafic

Telnet (eq 23) dont l'adresse d'origine est

172.16.4.0. soit achemin

par l'interface E0. Tout le trafic transmis depuis un

autre point vers une autre

destination peut tre achemin par cette

interface
25

Emplacement des listes de contrle d'accs

La rgle est de placer les

listes de contrle d'accs tendues le plus prs possible de la source du trafic refus tant donn que les listes de contrle d'accs standard ne prcisent pas les adresses de destination, vous devez les placer le plus prs possible de la destination
refuser le trafic Telnet ou FTP achemin par le routeur A vers le LAN Ethernet commut connect au port E1 du routeur D et autoriser le reste de trafic en utilisation une liste de contrle d'accs tendue et la placez la liste de contrle d'accs tendue dans le routeur A
26

Emplacement des listes de contrle d'accs

Les listes de contrle d'accs doivent tre utilises dans les routeurs
pare-feu, lesquels sont souvent placs entre le rseau interne et un rseau externe, tel qu'Internet Le routeur pare-feu fournit un point d'isolation qui protge l'ensemble de la structure du rseau interne Vous pouvez galement utiliser les listes de contrle d'accs sur un routeur situ entre deux sections du rseau pour contrler le trafic entrant ou sortant d'une section particulire du rseau interne Pour tirer parti des avantages des listes de contrle d'accs en matire de scurit, vous devez au moins configurer des listes de contrle d'accs sur les routeurs priphriques situs aux frontires du rseau
27

Partie 2:

contrle daccs avec les VLAN

28

Introduction

De nos jours, les concepteurs de rseaux tendent dlaisser les ponts

et les concentrateurs au profit des commutateurs et des routeurs Ethernet est l'architecture LAN la plus rpandue utilise pour transporter des donnes entre les units d'un rseau Le mdia Ethernet utilise un mode de broadcast de trames de donnes pour transmettre et recevoir des donnes entre tous les nuds du mdia partag

29

Quest-ce quun VLAN ?

Un commutateur Ethernet segmente physiquement un LAN en domaines de

collision individuels

Toutefois, tous les segments font toujours partie d'un mme domaine de

broadcast

tous les nuds de tous les segments peuvent voir un broadcast d'un nud situ sur un segment

Un rseau local virtuel (ou VLAN) est un groupe d'units rseau ou

d'utilisateurs qui ne sont pas limits un segment de commutation physique

Les units ou les utilisateurs d'un VLAN peuvent tre regroups par fonction,

service, application, etc., et ce, quel que soit le segment physique o ils se
trouvent
30

Quest-ce quun VLAN ?

Un VLAN cre un domaine de

broadcast unique qui n'est pas limit un segment physique

et qui est trait comme un

sous-rseau

La configuration d'un VLAN

est effectue, par logiciel,

dans le commutateur

Les VLAN ont t uniformiss conformment la spcification IEEE 802.1Q

31

VLAN et frontires physiques

32

VLAN et frontires physiques

Les configurations de LAN virtuels regroupent les utilisateurs par

association logique plutt que par emplacement physique

33

VLAN et frontires physiques

Les LAN virtuels fonctionnent au niveau des couches 2 et 3 du modle

de rfrence OSI.

La communication entre les LAN virtuels est assure par le routage de

couche 3.

Les LAN virtuels fournissent une mthode de contrle des broadcasts de rseau.

L'administrateur rseau affecte les utilisateurs un LAN virtuel. Les LAN virtuels peuvent amliorer la scurit des rseaux en

dfinissant quels nuds de rseau peuvent communiquer entre eux.

34

Le transport des LAN virtuels (VLAN) dans les backbones

La circulation des informations VLAN entre des commutateurs et des

routeurs interconnects rsidant sur le backbone d'une entreprise est trs importante pour toute architecture VLAN.

Cette fonction de transport prsente les avantages suivants :

elle limine les frontires physiques entre les utilisateurs ;

elle amliore la flexibilit de configuration d'une solution VLAN lorsque

des utilisateurs dmnagent ;

elle fournit des mcanismes permettant l'interoprabilit entre les composants du systme backbone.
35

Le transport des LAN virtuels (VLAN) dans les backbones

Le backbone sert
habituellement de point de convergence pour les volumes

de trafic importants

Il transporte galement les informations VLAN et l'identification de l'utilisateur final entre les commutateurs, les routeurs et les serveurs directement connects
36

L'utilisation des trames dans les LAN virtuels (VLAN)

Les commutateurs sont un des lments de base des communications

VLAN

Chaque commutateur est en mesure de prendre les dcisions relatives au filtrage et l'acheminement par trame, en fonction des paramtres VLAN dfinis par les administrateurs rseau.

Le commutateur peut aussi communiquer ces informations d'autres commutateurs et routeurs du rseau.

Les mthodes les plus utilises pour regrouper logiquement des utilisateurs en LAN virtuels distincts sont le filtrage de trames et l'identification de trames (tiquetage de trames).
37

L'utilisation des trames dans les LAN virtuels (VLAN)

Ces deux techniques examinent la trame au moment de sa rception ou

de son acheminement par le commutateur

Selon l'ensemble de rgles dfinies par l'administrateur, ces techniques dterminent l'endroit o la trame doit tre envoye, filtre ou diffuse

Le filtrage de trames consiste examiner les informations

particulires chaque trame

Une table de filtrage est labore pour chaque commutateur

38

L'utilisation des trames dans les LAN virtuels (VLAN)

39

L'utilisation des trames dans les LAN virtuels (VLAN)

L'tiquetage de trames est le mcanisme de liaison standard utilis

pour le filtrage de trames

Il fournit une solution plus volutive pour le dploiement de LAN virtuels l'chelle d'un campus

Cette mthode place un identificateur unique dans l'en-tte de chaque

trame au moment o celle-ci est achemine dans le backbone du rseau

L'identificateur est interprt et examin par chaque commutateur avant tout broadcast ou transmission d'autres commutateurs, routeurs ou quipements de station d'extrmit
40

L'utilisation des trames dans les LAN virtuels (VLAN)

Lorsque la trame quitte le

backbone du rseau, le commutateur retire

l'identificateur avant de
transmettre la trame la station d'extrmit cible

L'identification des trames est

effectue au niveau de la couche 2 ; elle ncessite des temps de

traitement ou d'administration
peu levs
41

La relation entre les ports, les LAN virtuels et les broadcasts

Chaque port de commutateur peut tre attribu un LAN virtuel

Les ports affects au mme LAN virtuel partagent les broadcasts Trois mthodes de mise en uvre de LAN virtuels qui peuvent tre utilises pour affecter un port de commutateur un LAN virtuel :

Les LAN virtuels axs sur le port Les LAN virtuels statiques Les LAN virtuels dynamiques

42

VLAN axs sur les ports

les utilisateurs sont

affects en fonction de chaque port,

les LAN virtuels sont faciles administrer,

la scurit entre les LAN

virtuels est accrue,

les paquets ne passent pas dans d'autres domaines.

43

VLAN statiques

les ports d'un commutateur

que sont affects de manire statique un LAN virtuel

Ces ports conservent les

configurations VLAN
attribues jusqu' ce que vous les changiez

44

VLAN dynamiques

Lorsqu'une station est

connecte pour la premire fois un port de

commutateur non affect,

le commutateur appropri vrifie l'adresse MAC dans la base de donnes de gestion VLAN et configure dynamiquement le port selon la configuration VLAN correspondante
45

La contribution des LAN virtuels au contrle de l'activit de broadcast

Les LAN virtuels constituent un mcanisme efficace pour tendre les

pare-feu des routeurs la matrice de commutation et protger le rseau contre des problmes de broadcast potentiellement dangereux

Ce type de configuration rduit substantiellement l'ensemble du trafic

de broadcasts, libre de la bande passante pour le vritable trafic utilisateur et rduit la vulnrabilit globale du rseau aux temptes de broadcast

Plus le groupe VLAN est rduit, plus le nombre d'utilisateurs touchs par le trafic de broadcasts l'intrieur du groupe est petit
46

L'amlioration de la scurit des rseaux grce aux LAN virtuels

Cette technique offre l'administrateur les avantages suivants :

elle restreint le nombre d'utilisateurs dans un groupe VLAN, elle configure tous les ports non utiliss et les affecte un LAN virtuel faible niveau de service par dfaut. Elle limite laccs du trafic quau VLAN correspondant la source du trafic
47

Mise en pratique des VLAN

Dans la cas habituel les switchs agissent dune faon indpendante

En utilisant les Vlans un certain niveau dinterdpendence doit exister entre les switchs :

Chaque Vlan logique est considr comme un pont physique spar VLANs peuvent recouvrir plusieurs switchs Les liaisons dagrgation de type trunk portent le trafic pour plusieurs VLANS.
Switch A Fast Ethernet Trunk Switch B

Vlan Rouge

Vlan Bleu

Vlan vert

Vlan Rouge

Vlan Bleu

Vlan vert

48

Configuration des VLAN statiques

Les VLAN statiques correspondent l'affectation manuelle des ports

dun commutateur un VLAN via une application de gestion de VLAN ou directement en travaillant sur le commutateur.

La cration dun VLAN sur un commutateur est une tche trs simple
et directe : Switch#vlan database Switch(vlan)#vlan numro_vlan name nom_vlan Switch(vlan)#exit

49

Configuration des VLAN statiques

Ltape suivante consiste affecter le VLAN une ou plusieurs

interfaces: Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan numro_vlan Il est fortement recommand de vrifier la configuration VLAN

laide des commandes show vlan

Pour enlever un VLAN entirement d'un commutateur, entrez les commandes:

Switch#vlan database
Switch(vlan)#no vlan 300
50

Configuration des VLAN statiques

Les VLANs sont implments au niveau de la couche liaison de

donne (niveau 2) dans la topologie de commutation du rseau.
Pour mettre un port donn dans un VLAN :

vous devez crer un VLAN sur le commutateur assigner ensuite cette adhsion de port sur le commutateur

Dans le IOS de Cisco, un port niveau 2 est dfinie comme switchport Un switchport peut tre membre dun seul VLAN ou configur comme une agrgation ( trunk ) pour porter le trafic sur plusieurs VLANS. ISL (propritaire de Cisco) et IEEE 802.1Q sont deux mthodes diffrentes pour mettre en uvre un identificateur VLAN dans une trame communique entre plusieurs switch en mode trunk.
51

Configuration des VLAN statiques

Un ID du VLAN Ajout par le Port dentre

La liaison d'inter-switch porte lID vlan

LID VLAN Supprim par le Port de sortie

52

La norme IEEE802.1Q

Un switch Cisco supporte la norme IEEE 802.1Q pour les interfaces

rseaux FastEthernet et GigabitEthernet. Une liaison 802.1Q fournit une identification VLAN en ajoutant une tiquette de 4 octets une trame sortant dun port en mode trunk

53

La norme IEEE802.1Q

Le Tag protocol ID est gal la valeur 8100 (hexa) pour spcifier le

protocole 802.1Q Les trois premiers bits du TCI (Tag control Information) indiquent la priorit de la trame utilise comme paramtre de qualit de service Le bit suivant indiquent le CFI (canonical Format Identifier) qui est gal 0 pour les trames Ethernets Le reste reprsente lidentificateur du VLAN Le protrocole ISL propritaire de Cisco utilise un autre format du

tag et ne peut tre appliqu quentre les switch cisco

54

Protocole VTP (VLAN Trunking protocol)

Pour assurer qu'un VLAN existe entre chaque paire de ports en

modeTrunk, un administrateur doit crer manuellement tout le VLANS ncessaires sur chacun des commutateurs. Un VLAN Cisco fournit une mthode plus facile pour maintenir la configuration VLAN cohrente entre les switchs en utilisant le protocole VTP (Vlan Trunking Protocol) .
VTP est un protocole permettant de distribuer et synchroniser des informations sur les VLANS configurs partout les switchs appartenant au mme domaine VTP Les configurations faites par un serveur VTP seul sont propages, travers des liaisons en mode trunk, tous les switchs clients connects dans le rseau
55

Protocole VTP (VLAN Trunking protocol)

Trois modes VTPdisponibles pour les switch cisco :

Serveur : ceux qui sont configurs manuellement et propagent linformation aux autres switch (synchronisation). Client : ceux qui reoivent et r-envoient les nouvelles configs Vlan du switch serveur et affectent leurs valeurs Transparent : reoivent et r-envoient les nouvelles configs Vlan du switch serveur et naffectent pas leurs valeurs

56

Configuration dune agrgation Trunk

Pour crer ou configurer une agrgation de VLAN sur un

commutateur base de commandes Cisco IOS, configurez d'abord le port en mode d'agrgation de VLAN :

Switch(config-if)#switchport mode trunk

spcifiez ensuite lencapsulation dagrgation Switch(config-if)# switchport trunk encapsulation {dot.1q|isl}

Dot.1q : le protocole 802.1Q

isl: le protocole ISL

57

Mise en uvre de VTP

Pour crer un domaine de gestion, utilisez la commande suivante:

Switch(vlan)#vtp domain cisco Pour dfinir le mode appropri du commutateur base de commandes Cisco IOS, utilisez la commande suivante: Switch(vlan)#vtp { [mode {server | transparent | client}] [domain
domain-name] [password password] [pruning {enable | disable}]}

La configuration par dfaut de VTP VTP domain name: None VTP mode: Server VTP password: None VTP pruning: Disabled VTP trap: Disabled
58

Partie 3:

contrle daccs avec les serveurs dauthentification

59

Qu'est-ce que l'authentification rseau ?

Il s'agit d'authentifier une machine lorsqu'elle se branche sur le

rseau afin de lui autoriser ou refuser l'usage du rseau.

On authentifie pour dlivrer des autorisations

Cette authentification est indpendante d'autres authentifications vers des systmes d'exploitation ou applications

60

Pourquoi faire de lauthentification rseau ?

Il s'agit d'authentifier une machine lorsqu'elle se branche sur le

rseau afin de lui autoriser ou refuser l'usage du rseau.

Scuriser un rseau filaire ou sans-fil Pour interdire les postes inconnus Pour placer les postes connus a des endroits spcifiques du rseau (vlan) de faon dynamique.

Pour savoir quelle machine est connecte et o elle est connecte

61

Intrts de lauthentification rseau

Intrt pour un rseau filaire

Savoir qui se connecte sur quelle prise Eviter une utilisation illicite du rseau par des inconnus Affecter les machines sur des rseaux virtuels (cloisonnement)

Intrt pour un rseau sans-fil

Obligatoire pour intgrer le rseau filaire cest--dire que les machines sans-fil travaillent comme les machines filaires

Affecter une machine sur le mme vlan que lorsquelle se connecte sur le rseau filaire. Authentification + cryptage Ncessit de grer un primtre arien, flou, incontrlable.
62

Elments pour authentifier

Ladresse MAC de la carte Ethernet Et/ou

Une base de login/mot de passe (windows, LDAP)

Et/ou

De certificats (utilisateurs ou machines)

Obligatoire : ne pas rajouter de contraintes sur lutilisateur

63

Autoriser quoi ?

On autorise une machine utiliser tout ou partie dun rseau.

Dans un rseau plat (sans sous-rseau) on autorise tout le rseau obligatoirement

Dans un rseau segment on autorise la connexion sur un sousrseau (Vlan)

64

Rappel sur les VLANs

65

Protocoles dauthentification ?

Protocoles propritaires => Exemple: VMPS de Cisco.

Authentification sur adresse MAC uniquement Rseau filaire

Protocoles ouverts => Radius et 802.1x

Authentification sur adresse MAC, Login/password, Certificats, cartes puce .

Rseau filaire et sans-fil

66

Protocoles dauthentification : Radius et 802.1x

67

Protocoles dauthentification : Radius et 802.1x

68

Protocoles dauthentification : Radius et 802.1x

802.1x met en uvre le protocole EAP pour les communications du

client vers le serveur d'authentification.

EAP (Extensible Authentication Protocol) est un protocole de transport de protocole d'authentification.

L'intrt de l'architecture de EAP est de pouvoir utiliser divers mcanismes d'authentification sans que l'quipement rseau (NAS) aient besoin de les connatre.

Par exemple: Mot de passe, certificats, carte puce .

69

Protocoles dauthentification : EAP

Principales mthodes d'authentification EAP:

EAP/TLS :

Authentification mutuelle entre le serveur et le client par certificat.

EAP/PEAP ou EAP/TTLS :

le client est authentifi par un login/mot de passe. Le serveur peut tre authentifi par son certificat.

70

Protocoles dauthentification

71

Protocole Radius

Radius est un serveur de type AAA

Authentification : Qui me parle ? Authorization :Quelle autorisation je lui accorde ? Accounting : Que fait-il ?
72

Protocole Radius : les types de paquets

Le protocole utilise 4 types de paquets suffisants pour assurer

toutes les transactions: (hors accounting)

Access-Request Access-Accept Access-Reject Access-Challenge

73

Protocole Radius : Format des paquets

74

Protocole Radius : Format des paquets

Authentificateur

Lorsque le client NAS envoi un paquet access-request il inclut un authentificateur appel request-authenticator qui est une squence alatoire. Le serveur rpond par un paquet access-accept ou accept-reject ou accept-challenge avec un response-authenticator compos avec les informations contenues dans le paquet access-request, le request authenticator et un secret partag avec le NAS et le tout crypt MD5. Le NAS est alors en mesure de vrifier que le serveur qui rpond est biencelui qu'il a contact.
75

Protocole Radius : les attributs

Les transactions RADIUS ont pour but de vhiculer des attributs et leur
valeur entre le client NAS et le serveur. Ces attributs et leur valeur sont appels paires attribut-valeur (AVP= attribut-value pair) Ces attributs permettent au client de communiquer des informations au serveur (password, MAC adresse) et au serveur de communiquer les paramtres des autorisations qu'il dlivre (vlan) ou bien demander des

informations complmentaires.

76

Les extensions du protocole Radius: support EAP (802.1x)

Authentification avec certificat (TLS)

77

support EAP (802.1x) : Authentification avec certificat (TLS)

1- Le NAS envoi au client une requte EAP lui demandant son identit
2- Le client rpond avec le CN (certificat Name) comme identit 3- Le serveur dmarre la squence TLS par lenvoi du message TLS_start 4- Le client rpond par un message client_hello :

La version de TLS Un challenge (nombre alatoire) Un identifiant de session La liste des algorithmes de chiffrement supports par le client

5- Le serveur rpond par un message server_hello :

Son certificat et sa cl publique Demande au client denvoyer son certificat Un challenge Un identifiant de session calcul partir de celui du client. Choisit un algorithme de chiffrement en fonction de ceux connus par le client
78

support EAP (802.1x) : Authentification avec certificat (TLS)

6- Le client vrifie le certificat du serveur et envoi le sien et sa cl publique
7- Le client et le serveur calculent une cl de chiffrement pour la session principale ( partir des challenges changs) 8- Le client renvoi une rponse EAP vide et le serveur rpond par un message EAP_success avec une cl de session pour la borne wifi. 9- A partir de cette cl de session la borne calcule une cl WEP ou WPA et lenvoi au client. Dans le cas dauthentification EAP/TLS la cl de session principale nest pas utilise. Seul lchange de validation mutuelle des certificats est utile
79