Upload
moise-guilavogui
View
24
Download
0
Embed Size (px)
Citation preview
Dr. M. Jarraya, ,Cours Réseaux 1
Chapitre 2:
Sécurité d’accès interne à réseau
Dr. M. Jarraya, ,Cours Réseaux 2
Partie 1:
contrôle d’accès aux réseaux avec les ACL
3
Les listes de contrôle d'accès
Sont des listes d'instructions applicables à une interface du routeur pour
indiquer le type de paquets à accepter et le type à refuser
L'acceptation et le refus peuvent être fondés sur certaines
caractéristiques :
Adresse Source et Adresse de Destination
Port Source et Port de destination
Protocole Applicatif
filtrent le trafic réseau en commandant aux interfaces d'un
routeur d'acheminer ou de bloquer des paquets routés
Un routeur examine chaque paquet afin de déterminer s'il doit
l'acheminer ou l'abandonner
4
Les listes de contrôle d'accès
5
Les listes de contrôle d'accès
Sont configurées au niveau du
routeur en vue de contrôler
l'accès à un réseau ou à un
sous-réseau pour :
Limiter le trafic réseau et
accroître les performances
Contrôler le flux de trafic
Fournir un niveau de sécurité
d'accès réseau de base
Déterminer le type de trafic
qui sera acheminé ou bloqué
au niveau des interfaces du
routeur
6
Vérification des paquets
L'ordre des instructions ACL
(Access Control List) est
important
Dès que la plateforme IOS-
CISCO découvre une
correspondance, elle cesse
de vérifier les instructions de
condition
Si une instruction de
condition autorisant l'accès à
tout le trafic est créée,
aucune instruction créée par
la suite ne sera vérifiée
7
Fonctionnement des listes de contrôle d'accès
Une liste de contrôle d'accès
est un groupe d'instructions
précisant divers facteurs
relatifs aux paquets :
Comment les paquets entrent-
ils par les interfaces d'arrivée ?
Comment sont-ils relayés par
le routeur ?
Comment sortent-ils par les
interfaces de départ du routeur
? Si aucune des instructions ne correspond au paquet, une
instruction implicite " deny any " interdisant l'accès est imposée
8
Fonctionnement des listes de contrôle d'accès
9
Configuration de listes de contrôle d’accès
Créer des listes de contrôle d'accès en mode de configuration
globale.
Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 :
ACL standards.
Spécifier un numéro de liste de contrôle d'accès entre 100 et 199
: ACL étendues.
Sélectionner avec soin et classer logiquement les éléments de la
liste de contrôle d'accès. Préciser les protocoles IP autorisés,
tous les autres protocoles seront refusés.
Sélectionner les protocoles IP à vérifier, les autres protocoles ne
seront pas vérifiés. Plus tard dans la procédure, il sera
également possible d'indiquer un port de destination en option
pour plus de précision.
10
Configuration de listes de contrôle d’accès
La plupart des protocoles nécessitent deux étapes de base pour
effectuer le filtrage :
la première étape est la création d'une définition de liste de contrôle
d'accès
la seconde, l'application de cette liste à une interface.
Il convient d'identifier chaque liste de protocole en lui attribuant
un numéro unique
Router{config}#access-list numéro-liste-accés {permit|deny}
{conditions-de-test)
Router(config-if) # {protocole} access-group numéro-liste-
d’accès
11
Les bits de masque générique
Un masque générique est une quantité de 32 bits divisés en
quatre octets contenant chacun 8 bits:
Un bit 0 de masque générique signifie " vérifier la valeur du bit
correspondant "
un bit 1 signifie " ne pas vérifier (ignorer) la valeur du bit
correspondant "
12
Les bits de masque générique
les masques génériques et les
masques de sous-réseaux IP
fonctionnent différemment :
les 0 et les 1 du masque de sous-
réseau déterminent les portions
réseau, sous-réseau et hôte de
l'adresse IP correspondante
Les 0 et les 1 du masque
générique déterminent si les bits
correspondants de l'adresse IP
doivent être vérifiés ou ignorés à
des fins de contrôle d'accès
13
La commande any
Travailler avec des représentations décimales de bits de masque
générique peut se révéler fastidieux :
Pour les usages les plus courants de masquage générique, vous
pouvez recourir à des abréviations pour indiquer :
n'importe quelle adresse IP, tapez 0.0.0.0,
puis pour indiquer que la vérification doit ignorer (c.-à-d. autoriser
sans vérifier) toute valeur, tapez les bits de masque générique
correspondants pour cette adresse, qui seraient tous des 1 (c.-à-d.
255.255.255.255).
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
vous pouvez utiliser ceci :
Router(config)# access-list 1 permit any
14
La commande host
permet également d'utiliser une abréviation dans le masque
générique de liste de contrôle d'accès lorsque vous souhaitez
faire correspondre tous les bits d'une adresse d'hôte IP complète
:
Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera
refusée par une vérification de liste de contrôle d'accès :
Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0
vous pouvez utiliser ceci :
Router(config)# access-list 1 permit host 172.30.16.29
15
Les listes de contrôle d'accès standard
Vous pouvez utiliser les listes de contrôle d'accès standard pour
refuser l'accès à un réseau à tout le trafic, autoriser tout le trafic
issu d'un réseau particulier ou refuser des ensembles de
protocoles :
Router(config)# access-list numéro-liste-d'accès {deny |
permit} source [masque-générique-source ] [log]
16
Vérification des listes de contrôle d'accès
la commande EXEC show access-list permet d’afficher le
contenu de toutes les listes de contrôle d'accès :
Exemple :
access-list 1 permit 192.5.34.0 0.0.0.255
access-list 1 permit 128.88.0.0 0.0.255.255
access-list 1 permit 36.0.0.0 0.255.255.255
!(Remarque : tous les autres accès sont implicitement refusés.)
La commande ip access-group associe une liste de contrôle
d'accès existante à une interface
Router(config-if)#ip access-group numéro-liste-d'accès {in |
out}
17
Exemple 1 de configuration
la liste de contrôle d'accès permet uniquement l'acheminement
du trafic du réseau d'origine 172.16.0.0
18
Exemple 2 de configuration
bloquer le trafic d'une adresse particulière, 172.16.4.13, et
permettre l'acheminement du trafic de toutes les autres
adresses
19
Exemple 3 de configuration
liste de contrôle d'accès est conçue pour bloquer le trafic d'un
sous-réseau particulier, 172.16.4.0, et permettre l'acheminement
de tout autre trafic
20
Les listes de contrôle d'accès étendues
les listes de contrôle d'accès étendues fournissent une plus
grande gamme de contrôles que les listes d'accès standard
Exemple : vous pouvez utiliser une liste de contrôle d'accès
étendue pour autoriser le trafic Web, mais refuser le trafic FTP ou
Telnet en provenance de réseaux externes
Les listes de contrôle d'accès étendues vérifient les adresses
d'origine et de destination d'un paquet.
Elles peuvent également vérifier des protocoles et des numéros
de port particuliers, ainsi que d'autres paramètres
21
Les listes de contrôle d'accès étendues
22
Les listes de contrôle d'accès étendues
La forme complète de la commande access-list est :
Router(config)# access-list numéro-liste-d'accès {permit | deny}
protocol source [source-mask] destination [destination-mask]
operator operand] [established]
La commande ip access-group lie une liste de contrôle d'accès
étendue existante à une interface.
une seule liste de contrôle d'accès est permise par interface, par
direction et par protocole. Le format de cette commande est le
suivant :
Router(config-if)# ip access-group numéro-liste-d'accès {in | out}
23
Les listes de contrôle d'accès étendues
24
Exemple 1 de configuration
un exemple de liste de contrôle d'accès étendue bloquant le
trafic FTP
25
Exemple 2 de configuration
Empêche que le trafic
Telnet (eq 23) dont
l'adresse d'origine est
172.16.4.0. soit
acheminé par l'interface
E0. Tout le trafic
transmis depuis un
autre point vers une
autre destination peut
être acheminé par cette
interface
26
Emplacement des listes de contrôle d'accès
La règle est de placer
les listes de contrôle
d'accès étendues le plus
près possible de la
source du trafic refusé
Étant donné que les
listes de contrôle
d'accès standard ne
précisent pas les
adresses de destination,
vous devez les placer le
plus près possible de la
destination
refuser le trafic Telnet ou FTP acheminé par
le routeur A vers le LAN Ethernet commuté
connecté au port E1 du routeur D et autoriser
le reste de trafic en utilisation une liste de contrôle
d'accès étendue et la placez la liste de contrôle
d'accès étendue dans le routeur A
27
Emplacement des listes de contrôle d'accès
Les listes de contrôle d'accès doivent être utilisées dans les
routeurs pare-feu, lesquels sont souvent placés entre le réseau
interne et un réseau externe, tel qu'Internet
Le routeur pare-feu fournit un point d'isolation qui protège
l'ensemble de la structure du réseau interne
Vous pouvez également utiliser les listes de contrôle d'accès sur
un routeur situé entre deux sections du réseau pour contrôler le
trafic entrant ou sortant d'une section particulière du réseau
interne
Pour tirer parti des avantages des listes de contrôle d'accès en
matière de sécurité, vous devez au moins configurer des listes
de contrôle d'accès sur les routeurs périphériques situés aux
frontières du réseau
28
Partie 2:
contrôle d’accès avec les VLAN
29
Introduction
De nos jours, les concepteurs de réseaux tendent à délaisser les
ponts et les concentrateurs au profit des commutateurs et des
routeurs
Ethernet est l'architecture LAN la plus répandue utilisée pour
transporter des données entre les unités d'un réseau
Le média Ethernet utilise un mode de broadcast de trames de
données pour transmettre et recevoir des données entre tous les
nœuds du média partagé
30
Qu’est-ce qu’un VLAN ?
Un commutateur Ethernet segmente physiquement un LAN en domaines
de collision individuels
Toutefois, tous les segments font toujours partie d'un même domaine de
broadcast
tous les nœuds de tous les segments peuvent voir un broadcast d'un
nœud situé sur un segment
Un réseau local virtuel (ou VLAN) est un groupe d'unités réseau ou
d'utilisateurs qui ne sont pas limités à un segment de commutation
physique
Les unités ou les utilisateurs d'un VLAN peuvent être regroupés par
fonction, service, application, etc., et ce, quel que soit le segment
physique où ils se trouvent
31
Qu’est-ce qu’un VLAN ?
Un VLAN crée un domaine
de broadcast unique qui
n'est pas limité à un
segment physique et qui est
traité comme un sous-
réseau
La configuration d'un VLAN
est effectuée, par logiciel,
dans le commutateur
Les VLAN ont été
uniformisés conformément
à la spécification IEEE
802.1Q
32
VLAN et frontières physiques
33
VLAN et frontières physiques
Les configurations de LAN virtuels regroupent les utilisateurs par
association logique plutôt que par emplacement physique
34
VLAN et frontières physiques
Les LAN virtuels fonctionnent au niveau des couches 2 et 3 du
modèle de référence OSI.
La communication entre les LAN virtuels est assurée par le
routage de couche 3.
Les LAN virtuels fournissent une méthode de contrôle des
broadcasts de réseau.
L'administrateur réseau affecte les utilisateurs à un LAN virtuel.
Les LAN virtuels peuvent améliorer la sécurité des réseaux en
définissant quels nœuds de réseau peuvent communiquer entre
eux.
35
Le transport des LAN virtuels (VLAN) dans les backbones
La circulation des informations VLAN entre des commutateurs et
des routeurs interconnectés résidant sur le backbone d'une
entreprise est très importante pour toute architecture VLAN.
Cette fonction de transport présente les avantages suivants :
elle élimine les frontières physiques entre les utilisateurs ;
elle améliore la flexibilité de configuration d'une solution VLAN
lorsque des utilisateurs déménagent ;
elle fournit des mécanismes permettant l'interopérabilité entre les
composants du système backbone.
36
Le transport des LAN virtuels (VLAN) dans les backbones
Le backbone sert
habituellement de point de
convergence pour les
volumes de trafic
importants
Il transporte également les
informations VLAN et
l'identification de
l'utilisateur final entre les
commutateurs, les routeurs
et les serveurs directement
connectés
37
L'utilisation des trames dans les LAN virtuels (VLAN)
Les commutateurs sont un des éléments de base des
communications VLAN
Chaque commutateur est en mesure de prendre les décisions
relatives au filtrage et à l'acheminement par trame, en fonction
des paramètres VLAN définis par les administrateurs réseau.
Le commutateur peut aussi communiquer ces informations à
d'autres commutateurs et routeurs du réseau.
Les méthodes les plus utilisées pour regrouper logiquement des
utilisateurs en LAN virtuels distincts sont le filtrage de trames et
l'identification de trames (étiquetage de trames).
38
L'utilisation des trames dans les LAN virtuels (VLAN)
Ces deux techniques examinent la trame au moment de sa
réception ou de son acheminement par le commutateur
Selon l'ensemble de règles définies par l'administrateur, ces
techniques déterminent l'endroit où la trame doit être envoyée,
filtrée ou diffusée
Le filtrage de trames consiste à examiner les informations
particulières à chaque trame
Une table de filtrage est élaborée pour chaque commutateur
39
L'utilisation des trames dans les LAN virtuels (VLAN)
40
L'utilisation des trames dans les LAN virtuels (VLAN)
L'étiquetage de trames est le mécanisme de liaison standard
utilisé pour le filtrage de trames
Il fournit une solution plus évolutive pour le déploiement de LAN
virtuels à l'échelle d'un campus
Cette méthode place un identificateur unique dans l'en-tête de
chaque trame au moment où celle-ci est acheminée dans le
backbone du réseau
L'identificateur est interprété et examiné par chaque
commutateur avant tout broadcast ou transmission à d'autres
commutateurs, routeurs ou équipements de station d'extrémité
41
L'utilisation des trames dans les LAN virtuels (VLAN)
Lorsque la trame quitte le
backbone du réseau, le
commutateur retire
l'identificateur avant de
transmettre la trame à la
station d'extrémité cible
L'identification des trames est
effectuée au niveau de la
couche 2 ; elle nécessite des
temps de traitement ou
d'administration peu élevés
42
La relation entre les ports, les LAN virtuels et les broadcasts
Chaque port de commutateur peut être attribué à un LAN virtuel
Les ports affectés au même LAN virtuel partagent les broadcasts
Trois méthodes de mise en œuvre de LAN virtuels qui peuvent
être utilisées pour affecter un port de commutateur à un LAN
virtuel :
Les LAN virtuels axés sur le port
Les LAN virtuels statiques
Les LAN virtuels dynamiques
43
VLAN axés sur les ports
les utilisateurs sont
affectés en fonction de
chaque port,
les LAN virtuels sont
faciles à administrer,
la sécurité entre les LAN
virtuels est accrue,
les paquets ne passent
pas dans d'autres
domaines.
44
VLAN statiques
les ports d'un
commutateur que sont
affectés de manière
statique à un LAN virtuel
Ces ports conservent les
configurations VLAN
attribuées jusqu'à ce que
vous les changiez
45
VLAN dynamiques
Lorsqu'une station est
connectée pour la
première fois à un port
de commutateur non
affecté, le commutateur
approprié vérifie
l'adresse MAC dans la
base de données de
gestion VLAN et
configure
dynamiquement le port
selon la configuration
VLAN correspondante
46
La contribution des LAN virtuels au contrôle de l'activité de broadcast
Les LAN virtuels constituent un mécanisme efficace pour étendre
les pare-feu des routeurs à la matrice de commutation et
protéger le réseau contre des problèmes de broadcast
potentiellement dangereux
Ce type de configuration réduit substantiellement l'ensemble du
trafic de broadcasts, libère de la bande passante pour le
véritable trafic utilisateur et réduit la vulnérabilité globale du
réseau aux tempêtes de broadcast
Plus le groupe VLAN est réduit, plus le nombre d'utilisateurs
touchés par le trafic de broadcasts à l'intérieur du groupe est
petit
47
L'amélioration de la sécurité des réseaux grâce aux LAN virtuels
Cette technique offre à l'administrateur les avantages suivants : elle restreint le nombre
d'utilisateurs dans un groupe VLAN,
elle configure tous les ports non utilisés et les affecte à un LAN virtuel à faible niveau de service par défaut.
Elle limite l’accès du trafic qu’au VLAN correspondant à la source du trafic
48
Mise en pratique des VLAN Dans la cas habituel les switchs agissent d’une façon
indépendante En utilisant les Vlans un certain niveau d’interdépendence doit
exister entre les switchs : Chaque Vlan logique est considéré comme un pont
physique séparé VLANs peuvent recouvrir plusieurs switchs Les liaisons d’agrégation de type « trunk » portent le trafic
pour plusieurs VLANS.
VlanRouge
VlanBleu
Vlanvert
VlanRouge
VlanBleu
Vlanvert
Fast Ethernet
Trunk
Switch A Switch B
49
Configuration des VLAN statiques
Les VLAN statiques correspondent à l'affectation manuelle des
ports d’un commutateur à un VLAN via une application de
gestion de VLAN ou directement en travaillant sur le
commutateur.
La création d’un VLAN sur un commutateur est une tâche très
simple et directe :
Switch#vlan database
Switch(vlan)#vlan numéro_vlan name nom_vlan
Switch(vlan)#exit
50
Configuration des VLAN statiques
L’étape suivante consiste à affecter le VLAN à une ou à plusieurs
interfaces:
Switch(config)#interface fastethernet 0/9
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan numéro_vlan
Il est fortement recommandé de vérifier la configuration VLAN à
l’aide des commandes show vlan
Pour enlever un VLAN entièrement d'un commutateur, entrez les
commandes:
Switch#vlan database
Switch(vlan)#no vlan 300
Configuration des VLAN statiques
Les VLANs sont implémentés au niveau de la couche liaison de
donnée (niveau 2) dans la topologie de commutation du
réseau.
Pour mettre un port donné dans un VLAN :
vous devez créer un VLAN sur le commutateur
assigner ensuite cette adhésion de port sur le commutateur
Dans le IOS de Cisco, un port niveau 2 est définie comme switchport
Un switchport peut être membre d’un seul VLAN ou configuré comme
une agrégation ( trunk ) pour porter le trafic sur plusieurs VLANS.
ISL (propriétaire de Cisco) et IEEE 802.1Q sont deux méthodes
différentes pour mettre en œuvre un identificateur VLAN dans une
trame communiquée entre plusieurs switch en mode trunk. 51
Configuration des VLAN statiques
Un ID du VLANAjouté par lePort d’entrée
La liaison d'inter-switch porte l‘ID vlan
L’ID VLANSupprimé par lePort de sortie
52
La norme IEEE802.1Q
Un switch Cisco supporte la norme IEEE 802.1Q pour les
interfaces réseaux FastEthernet et GigabitEthernet.
Une liaison 802.1Q fournit une identification VLAN en ajoutant
une étiquette de 4 octets à une trame sortant d’un port en
mode trunk
53
La norme IEEE802.1Q
Le Tag protocol ID est égal à la valeur 8100 (hexa) pour
spécifier le protocole 802.1Q
Les trois premiers bits du TCI (Tag control Information)
indiquent la priorité de la trame utilisée comme paramètre de
qualité de service
Le bit suivant indiquent le CFI (canonical Format Identifier) qui
est égal à 0 pour les trames Ethernets
Le reste représente l’identificateur du VLAN
Le protrocole ISL propriétaire de Cisco utilise un autre format
du tag et ne peut être appliqué qu’entre les switch cisco
54
¨Protocole VTP (VLAN Trunking protocol)
Pour assurer qu'un VLAN existe entre chaque paire de ports
en modeTrunk, un administrateur doit créer manuellement
tout le VLANS nécessaires sur chacun des commutateurs.
Un VLAN Cisco fournit une méthode plus facile pour maintenir
la configuration VLAN cohérente entre les switchs en utilisant
le protocole VTP (Vlan Trunking Protocol) .
VTP est un protocole permettant de distribuer et synchroniser des
informations sur les VLANS configurés partout les switchs
appartenant au même domaine VTP
Les configurations faites par un serveur VTP seul sont propagées, à
travers des liaisons en mode trunk, à tous les switchs clients
connectés dans le réseau55
Protocole VTP (VLAN Trunking protocol)
Trois modes VTP¨disponibles pour les switch cisco :
Serveur : ceux qui sont configurés manuellement et propagent
l’information aux autres switch (synchronisation).
Client : ceux qui reçoivent et ré-envoient les nouvelles configs
Vlan du switch serveur et affectent leurs valeurs
Transparent : reçoivent et ré-envoient les nouvelles configs Vlan
du switch serveur et n’affectent pas leurs valeurs
56
Configuration d’une agrégation « Trunk »
Pour créer ou configurer une agrégation de VLAN sur un
commutateur à base de commandes Cisco IOS, configurez
d'abord le port en mode d'agrégation de VLAN :
Switch(config-if)#switchport mode trunk
spécifiez ensuite l’encapsulation d’agrégation
Switch(config-if)# switchport trunk encapsulation
{dot.1q|isl}
Dot.1q : le protocole 802.1Q
isl: le protocole ISL57
Mise en œuvre de VTP
Pour créer un domaine de gestion, utilisez la commande
suivante:
Switch(vlan)#vtp domain cisco
Pour définir le mode approprié du commutateur à base de
commandes Cisco IOS, utilisez la commande suivante:
Switch(vlan)#vtp { [mode {server | transparent | client}]
[domain domain-name] [password password] [pruning
{enable | disable}]}
La configuration par défaut de VTP
VTP domain name: None
VTP mode: Server
VTP password: None
VTP pruning: Disabled
VTP trap: Disabled
58
59
Partie 3:
contrôle d’accès avec les serveurs
d’authentification
Qu'est-ce que l'authentification réseau ?
Il s'agit d'authentifier une machine lorsqu'elle se branche sur
le réseau afin de lui autoriser ou refuser l'usage du réseau.
On authentifie pour délivrer des autorisations
Cette authentification est indépendante d'autres
authentifications vers des systèmes d'exploitation ou
applications
60
Pourquoi faire de l’authentification réseau ?
Il s'agit d'authentifier une machine lorsqu'elle se branche sur
le réseau afin de lui autoriser ou refuser l'usage du réseau.
Sécuriser un réseau filaire ou sans-fil
Pour interdire les postes inconnus
Pour placer les postes connus a des endroits spécifiques du
réseau (vlan) de façon dynamique.
Pour savoir quelle machine est connectée et où elle est
connectée
61
Intérêts de l’authentification réseau
Intérêt pour un réseau filaire
Savoir qui se connecte sur quelle prise
Eviter une utilisation illicite du réseau par des « inconnus »
Affecter les machines sur des réseaux virtuels (cloisonnement)
Intérêt pour un réseau sans-fil
Obligatoire pour intégrer le réseau filaire c’est-à-dire que les machines sans-fil travaillent comme les machines filaires
Affecter une machine sur le même vlan que lorsqu’elle se connecte sur le réseau filaire.
Authentification + cryptage
Nécessité de gérer un périmètre aérien, flou, incontrôlable.62
Eléments pour authentifier
L’adresse MAC de la carte Ethernet
Et/ou
Une base de login/mot de passe (windows, LDAP…)
Et/ou
De certificats (utilisateurs ou machines)
Obligatoire : ne pas rajouter de contraintes sur
l’utilisateur63
Autoriser quoi ?
On autorise une machine à utiliser tout ou partie d’un réseau.
Dans un réseau plat (sans sous-réseau) on autorise tout le
réseau obligatoirement
Dans un réseau segmenté on autorise la connexion sur un
sous-réseau (Vlan)
64
Rappel sur les VLANs
65
Protocoles d’authentification ?
Protocoles propriétaires => Exemple: VMPS de Cisco.
Authentification sur adresse MAC uniquement
Réseau filaire
Protocoles ouverts => Radius et 802.1x
Authentification sur adresse MAC, Login/password, Certificats,
cartes à puce ….
Réseau filaire et sans-fil
66
Protocoles d’authentification : Radius et 802.1x
67
Protocoles d’authentification : Radius et 802.1x
68
Protocoles d’authentification : Radius et 802.1x
802.1x met en œuvre le protocole EAP pour les
communications du client vers le serveur d'authentification.
EAP (Extensible Authentication Protocol) est un protocole de
transport de protocole d'authentification.
L'intérêt de l'architecture de EAP est de pouvoir utiliser divers
mécanismes d'authentification sans que l'équipement réseau
(NAS) aient besoin de les connaître.
Par exemple: Mot de passe, certificats, carte à puce ….
69
Protocoles d’authentification : EAP
Principales méthodes d'authentification EAP:
EAP/TLS :
Authentification mutuelle entre le serveur et le client par
certificat.
EAP/PEAP ou EAP/TTLS :
le client est authentifié par un login/mot de passe. Le
serveur peut être authentifié par son certificat.
70
Protocoles d’authentification
71
Protocole Radius
Radius est un serveur de type AAA
Authentification : Qui me parle ?
Authorization :Quelle autorisation je lui accorde ?
Accounting : Que fait-il ?
72
Protocole Radius : les types de paquets
Le protocole utilise 4 types de paquets suffisants pour assurer
toutes les transactions: (hors accounting)
Access-Request
Access-Accept
Access-Reject
Access-Challenge
73
Protocole Radius : Format des paquets
74
Protocole Radius : Format des paquets
75
Authentificateur Lorsque le client NAS envoi un paquet access-request il inclut un
authentificateur appelé request-authenticator qui est une séquence aléatoire.
Le serveur répond par un paquet access-accept ou accept-reject ou accept-challenge avec un response-authenticator composé avec les informations contenues dans le paquet « access-request, le request authenticator et un secret partagé » avec le NAS et le tout crypté MD5.
Le NAS est alors en mesure de vérifier que le serveur qui répond est biencelui qu'il a contacté.
Protocole Radius : les attributs
76
Les transactions RADIUS ont pour but de véhiculer des attributs et
leur valeur entre le client NAS et le serveur.
Ces attributs et leur valeur sont appelés paires attribut-valeur (AVP=
attribut-value pair)
Ces attributs permettent au client de communiquer des informations
au serveur (password, MAC adresse…) et au serveur de communiquer
les paramètres des autorisations qu'il délivre (vlan…) ou bien
demander des informations complémentaires.
Les extensions du protocole Radius: support EAP (802.1x)
77
Authentification avec certificat (TLS)
support EAP (802.1x) : Authentification avec certificat (TLS)
78
1- Le NAS envoi au client une requète EAP lui demandant son identité
2- Le client répond avec le CN (certificat Name) comme identité
3- Le serveur démarre la séquence TLS par l’envoi du message TLS_start
4- Le client répond par un message client_hello :La version de TLS Un challenge (nombre aléatoire) Un identifiant de session La liste des algorithmes de chiffrement supportés par le client
5- Le serveur répond par un message server_hello :Son certificat et sa clé publique Demande au client d’envoyer son certificat Un challengeUn identifiant de session calculé à partir de celui du client.Choisit un algorithme de chiffrement en fonction de ceux connus par le client
support EAP (802.1x) : Authentification avec certificat (TLS)
79
6- Le client vérifie le certificat du serveur et envoi le sien et sa clé
publique
7- Le client et le serveur calculent une clé de chiffrement pour la session
principale (à partir des challenges échangés)
8- Le client renvoi une réponse EAP vide et le serveur répond par un
message EAP_success avec une clé de session pour la borne wifi.
9- A partir de cette clé de session la borne calcule une clé WEP ou WPA
et l’envoi au client.
Dans le cas d’authentification EAP/TLS la clé de session principale n’est
pas utilisée.
Seul l’échange de validation mutuelle des certificats est utile