Embed Size (px)
Citation preview
PROTOCOLE 802.1XSERVEUR RADIUS
JOCSAN AURELIA / VINGLASSALOM GREGORY
L’authentification au sein d’un réseau câblé
INTRODUCTION
• Introduction
• Son Vécu
• Utilisation du client Radius
• Le protocole radius
• Le protocole 802.1X
• Le Serveur Radius
• Conclusion
QU’EST-CE-QUE RADIUS ?
RADIUS signifie : Remote Authentification Dial In User Service
Radius est un protocole client-serveur permettant de centraliser des données d’authentification.. Son but d’origine était de permettre aux fournisseurs d’accès à internet d’authentifier les utilisateurs distants utilisant les connexions par modem RTC sur plusieurs serveurs mais basées sur un seul utilisateur.
• En générale RADIUS sert à :
• - L’authentification (authentification) : protocole d’authentification à distance, centralisation des données d’authentification, gestion des connexions utilisateurs à des serveurs distants
• - Comptabilisation (accounting) : Utile pour faire la journalisation et la facturation
• - Autorisation (authorization) : définit les modules qui vont intervenir pour autoriser l’utilisateur à utiliser la connexion.
SON VÉCU• Le protocole RADIUS a été inventé et développé en 1991 par
la société Livingston, qui fabriquait des serveurs d'accès au réseau pour des matériels uniquement équipés d'interfaces série.
• Janvier 1997 : première version de RADIUS RFC 2058 (authentification) et 2059 (accounting).
• Avril 1997 : Deuxième version de RADIUS RFC 2138 (authentification) et 2139 (accounting).
• Juin 2000 : La dernière version de RADIUS RFC 2865 (authentification) et 2866 (accounting).
UTILISATION DU CLIENT RADIUS• L’utilisateur envoie une requête au commutateur (client Radius)
exemple un NAS, pour établir une connexion au site distant
• Le commutateur achemine la demande au serveur RADIUS,
pour définir un client Radius c’est un commutateur appelé NAS (Network Access Server), fait office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé.
• Le serveur RADIUS consulte la base de données d’identification afin de connaître le type de scénario d’identification demandé pour l’utilisateur, soit il est bon, ou bien une autre méthode d’identification est demandée au client.
Accept : l’identification est réussi
Reject : l’identification a échoué
Challenge : le serveur RADIUS demande des informations supplémentaires à l’utilisateur.
Change password : le serveur RADIUS demandera a l’utilisateur un nouveau mot de passe.
Supplicant Authenticator ou NAS (Network Access Serveur)
Authentication Serveur
LE PROTOCOLE RADIUS
Le protocole RADIUS permet de faire la liaison entre des besoins d’identification et une base d’utilisateurs en assurant le transport des données d’authentification de façon normalisée.
Protocole normalisé décrit dans la RFC 2865, il permet de fournir des services d'authentification, d'autorisation et de gestion de comptes. Un client RADIUS envoie des informations d'identification d'utilisateur et des informations sur les paramètres de connexion sous la forme d'un message RADIUS à un serveur RADIUS.
PROTOCOLE 802.1X
Le protocole 802.1x est une solution standard de sécurisation de réseaux mise au point par l’IEEE qui permet d’authentifier un utilisateur souhaitant accéder à un réseau (câblé ou WIFI) grâce a un serveur central d’authentification.
Principe : En s'appuyant sur le protocole EAP pour le transport des informations d'identification en mode client/serveur, et sur un serveur d'identification (tel que RADIUS) le déploiement de l'IEEE 802.1X fournit une couche de sécurité pour l'utilisation des réseaux câblés et sans fil. Si un équipement réseau actif, tel qu'un commutateur réseau ou une borne Wi-Fi est compatible avec la norme IEEE 802.1X, il est possible de contrôler l'accès à chacun de ses ports. Indépendamment du type de connexion, chaque port se comporte alors comme une bascule à deux états : un état contrôlé en cas de succès d'identification et un état non contrôlé.
LE PROTOCOLE EAP
• EAP (extensible authentification protocol) n’est pas un protocole d’authentification, c’est un protocole de transport de protocole d’authentification (TLS,PEAP,TTLS…). Les paquets du protocole d’authentification sont encapsulés dans les paquets EAP
EAP dispose de quatre types de paquets :
- request
- response
- success
- failure
L’équipement réseau connait le protocole EAP donc il transmet les paquets au serveur grâce au protocole radius.
LE SERVEUR RADIUS
Le serveur RADIUS authentifie et autorise la demande du client RADIUS, puis renvoie un message de réponse RADIUS. Les clients RADIUS envoient également des messages de gestion de comptes RADIUS aux serveurs RADIUS. De plus, les normes RADIUS prennent en charge l'utilisation de proxy RADIUS. Un proxy RADIUS est un ordinateur qui transfère des messages RADIUS entre des ordinateurs compatibles avec le protocole RADIUS. Les messages RADIUS sont envoyés sous la forme de messages UDP. Le port UDP 1812 est utilisé pour les messages d'authentification RADIUS et le port UDP 1813 pour les messages de gestion de comptes RADIUS. Certains serveurs d'accès réseau peuvent utiliser le port UDP 1645 pour les messages d'authentification RADIUS et le port UDP 1646 pour les messages de gestion de comptes RADIUS.
• RADIUS connaît nativement deux protocoles de mots de passe :
- PAP (échange en clair du nom et du mot de passe),
- CHAP (échange basé sur un hachage de part et d’autre avec échange seulement du ’challenge’).
MERCI DE NOUS AVOIR ÉCOUTÉ
