Professional Documents
Culture Documents
Claude Duvallet
Universit du Havre UFR des Sciences et Techniques Courriel : Claude.Duvallet@gmail.com
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Objectifs du cours
Prsenter le principe du serveur RADIUS. Prsenter WPA Prsenter 802.1x Prsenter EAP
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Plan de la prsentation
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Claude Duvallet 3/26 Architectures et Protocoles des Rseaux
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Rfrences bibliographiques
Serge Bordres. Authentication rseau avec Radius : 802.1x, EAP, FreeRadius. Eyrolles. 2006. Jonathan Hassell. Radius. OReilly. 2002.
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Le protocole RADIUS permet de faire la liaison entre des besoins didentication et une base dutilisateurs en assurant le transport des donnes dauthentication de faon normalise.
Claude Duvallet 5/26 Architectures et Protocoles des Rseaux
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Lensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffr. Le serveur RADIUS peut faire ofce de proxy, cest--dire transmettre les requtes du client dautres serveurs RADIUS. Le serveur traite les demandes dauthetication en accdant si ncessaire une base externe : base de donnes SQL, annuaire LDAP, comptes dutilisateur de machine ou de domaine.
un serveur RADIUS dispose pour cela dun certain nombre dinterfaces ou de mthodes.
Claude Duvallet 6/26 Architectures et Protocoles des Rseaux
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Une autre rponse est possible : CHANGE PASSWORD o le serveur RADIUS demande lutilisateur un nouveau mot de passe. Change-password est un attribut VSA (Vendor-Specic Attributes), cest--dire quil est spcique un fournisseur. Suite cette phase dit dauthentication, dbute une phase dautorisation o le serveur retourne les autorisations de lutilisateur.
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Client (Utilisateur)
Services Rseau
Serveur RADIUS
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Le protocole prvoit deux attributs spars : User-Password et CHAP-Password. Depuis, se sont greffes les variations Microsoft : MS-CHAP et MS-CHAP-V2. Leur similarit avec CHAP permet de les transporter en RADIUS de la mme faon, linitiative du serveur et sous rserve bien entendu de possibilit de transport de bout en bout du supplicant au client Radius, du client au serveur Radius et enn du serveur Radius la base de donnes didentication.
Claude Duvallet 10/26 Architectures et Protocoles des Rseaux
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
RADIUS base son identication sur le seul principe du couple nom/mot de passe :
parfaitement adapt lpoque (1996), cette notion a d tre adapte Exemple : pour lidentication des terminaux mobiles par leur numro IMEI ou par leur numro dappel (Calling-Station-ID en Radius) sans mot de passe (alors que la RFC interdit le mot de passe vide !).
Claude Duvallet 11/26 Architectures et Protocoles des Rseaux
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) :
plus puissant que TKIP, utilise AES comme algorithme de chiffrement, totallement incompatible avec le matriel actuel solution long terme.
Claude Duvallet 14/26 Architectures et Protocoles des Rseaux
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Le protocole 802.1x
IEEE 802.1X est un standard de lIEEE pour le contrle daccs au rseau bas sur les ports. Cest une partie du groupe de protocoles IEEE 802 (802.1). Ce standard fournit une authentication aux quipements connects un port Ethernet. Il est aussi utilis pour certains points daccs WiFi, et il est bas sur EAP. 802.1X est une fonctionnalit disponible sur certains commutateurs rseau.
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
PAE
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Lauthentication
Le systme authenticateur se comporte comme un mandataire entre le systme authentier et serveur dauthentication. si lauthentication russit, le systme authenticateur donne laccs la ressource quil contrle. Le serveur dauthentication gre lauthentication en dialoguant avec le systme authentier en fonction du protocole dauthentication utilis. Dans la plupart des implmentation du protocole 802.1X, le systme authenticateur est un quipement rseau (commutateur Ethernet, borne daccs sans l, ou commutateur/routeur IP). Le systme authentier est un poste de travail ou un serveur. Le serveur dauthentication est typiquement un serveur Radius ou tout autre quipement capable de faire de lauthentication.
Claude Duvallet 18/26 Architectures et Protocoles des Rseaux
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Le protocole EAP
EAP (Extensible Authentication Protocol) est un protocole conu pour tendre les fonctions du protocole Radius des types didentication plus complexes. Il est indpendant du matriel du client Radius et ngoci directement avec le supplicant (poste client, terminal daccs). Cest ce qui a permis de le mettre en place rapidement sur un maximum dappareils rseau :
puisquil nutilise que deux attributs Radius servant de protocole de transport, a conduit une explosion de types EAP : EAP-MD5, EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-MS-CHAP-V2, EAP-AKA, EAP-LEAP et EAP-FAST (Cisco), EAP-SIM, etc.
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Le protocole EAP-MD5
Cest le plus simple. Le client est authenti par le serveur en utilisant un mcanisme de d rponse :
Le serveur envoie une valeur alatoire (le d). Le client concatne ce d le mot de passe et en calcul, en utilisant lalgotithme MD5, une valeur encrypte quil envoie au serveur. Le serveur qui connat le mot de passe calcule son propre cryptogramme, compare les deux et en fonction du rsultat valide ou non lauthentication.
Une coute du trac rseau peut dans le cas dun mot de passe trop simple permettre de le retrouver au moyen dune attaque par force brute base ou par dictionnaire.
Claude Duvallet 21/26 Architectures et Protocoles des Rseaux
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Le protocole LEAP
Mthode propre CISCO. Repose sur lutilisation de secret partags pour authentier mutuellement le serveur et le client. Elle nutilise aucun certicat. Elle est base sur lchange de ds et de rponses.
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Le protocole EAP-TTLS
EAP-TTLS (tunneled Transport Secure Layer). Il utilise TLS comme tunnel pour changer des couples attribut valeur servant lauthentication. Pratiquement nimporte quelle mthode dauthentication peut tre utilise.
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Cest une mthode trs semblable dans ses objectifs et voisine dans la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentication supportes par EAP.
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Le protocole EAP-TLS
EAP-TLS : Extensible Authentication Protocol-Transport Layer Security Cest la plus sre. Le serveur et le client possdent chacun leur certicat qui va servir les authentier mutuellement. Cela reste relativement contraignant du fait de la ncessit de dployer une infrastructure de gestion de cls. TLS, la version normalise de SSL (Secure Socket Layer), est un transport scuris (chiffrement, authentication mutuelle, contrle dintgrit). Cest lui qui est utilis de faon sous-jacente par HTTPS, la version scurise de HTTP et pour scuriser le Web.
Claude Duvallet 25/26 Architectures et Protocoles des Rseaux
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Webliographie
Webliographie
http://www.commentcamarche.net/ authentification/radius.php3 http://2003.jres.org/actes/paper.143.pdf http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf http://www.ysn.ru/docs/lucent/radius.pdf http://wifi.geeek.org/docs/ebook_sept2003.pdf http://fr.wikipedia.org/wiki/Infrastructure_ %C3%A0_cl%C3%A9s_publiques http: //fr.wikipedia.org/wiki/Radius_(informatique) http://www.wifiradis.net/ http://fr.wikipedia.org/wiki/802.1x
Claude Duvallet 26/26 Architectures et Protocoles des Rseaux