MI Cours Reseau Cours8

Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.
1x Le protocole EAP Conclusion
Architectures et Protocoles des Rseaux

Chaptre 8 - Le protocole RADIUS Anne 2007-2008
Claude Duvallet
Universit du Havre UFR des Sciences et Techniques Courriel : Claude.Duvallet@gmail.com
Claude Duvallet 1/26
Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.1x Le protocole EAP Conclusion
Objectifs du cours
Prsenter le principe du serveur RADIUS. Prsenter WPA Prsenter 802.1x Prsenter EAP
Plan de la prsentation
Claude Duvallet 3/26 Architectures et Protocoles des Rseaux
Rfrences bibliographiques Principes gnraux des serveurs Radius
Rfrences bibliographiques
Serge Bordres. Authentication rseau avec Radius : 802.1x, EAP, FreeRadius. Eyrolles. 2006. Jonathan Hassell. Radius. OReilly. 2002.
Rfrences bibliographiques Principes gnraux des serveurs Radius
Principes gnraux de Radius

Protocole standard dauthentication, initialement mis au point par Livingston. Dni au sein des RFC 2865 et 2866. Fonctionnement bas sur un systme client/serveur charg de dnir les accs dutilisateurs distants un rseau. Protocole de prdilection des fournisseurs daccs internet :
relativement standard, propose des fonctionnalits de comptabilit permettant aux FAI de facturer prcisment leurs clients.
Le protocole RADIUS permet de faire la liaison entre des besoins didentication et une base dutilisateurs en assurant le transport des donnes dauthentication de faon normalise.
Principe de fonctionnement de Radius Scnario de fonctionnement Limitations
Principe de fonctionnement de Radius

RADIUS repose principalement :
sur un serveur (le serveur RADIUS),reli une base didentication (base de donnes, annuaire LDAP, etc.), sur un client RADIUS, appel NAS (Network Access Server), faisant ofce dintermdiaire entre lutilisateur nal et le serveur.
Lensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffr. Le serveur RADIUS peut faire ofce de proxy, cest--dire transmettre les requtes du client dautres serveurs RADIUS. Le serveur traite les demandes dauthetication en accdant si ncessaire une base externe : base de donnes SQL, annuaire LDAP, comptes dutilisateur de machine ou de domaine.
un serveur RADIUS dispose pour cela dun certain nombre dinterfaces ou de mthodes.
Scnario de fonctionnement (1/2)

Un utilisateur envoie une requte au NAS an dautoriser une connexion distance. Le NAS achemine la demande au serveur RADIUS. Le serveur RADIUS consulte la base de donnes didentication an de connatre le type de scnario didentication demand pour lutilisateur. Soit le scnario actuel convient, soit une autre mthodes didentication est demande lutilisateur. Le serveur RADIUS retourne ainsi une des quatre rponses suivantes :
ACCEPT : lidentication a russi. REJECT : lidentication a chou. CHALLENGE : le serveur RADIUS souhaite des informations supplmentaires de la part de lutilisateur et propose un d .
Scnario de fonctionnement (2/2)
Une autre rponse est possible : CHANGE PASSWORD o le serveur RADIUS demande lutilisateur un nouveau mot de passe. Change-password est un attribut VSA (Vendor-Specic Attributes), cest--dire quil est spcique un fournisseur. Suite cette phase dit dauthentication, dbute une phase dautorisation o le serveur retourne les autorisations de lutilisateur.
Schma de fonctionnement du protocole RADIUS
NAS (Client RADIUS)

Primergy
Client (Utilisateur)
Services Rseau
Serveur RADIUS
Protocoles de mot de passe

RADIUS connat nativement deux protocoles de mot de passe :
PAP (change en clair du nom et du mot de passe), CHAP (change bas sur un hachage de part et dautre avec change seulement du challenge).
Le protocole prvoit deux attributs spars : User-Password et CHAP-Password. Depuis, se sont greffes les variations Microsoft : MS-CHAP et MS-CHAP-V2. Leur similarit avec CHAP permet de les transporter en RADIUS de la mme faon, linitiative du serveur et sous rserve bien entendu de possibilit de transport de bout en bout du supplicant au client Radius, du client au serveur Radius et enn du serveur Radius la base de donnes didentication.
Limitations du protocole RADIUS (1/3)

RADIUS a t conu pour des identications par modem, sur des liaisons lentes et peu sres :
cest la raison du choix du protocole UDP. ce choix technique dun protocole non agressif conduit des changes laborieux bass sur des temporisations de rmission, des changes daccuss de rception. Diameter (qui devrait remplacer RADIUS) utilise TCP ou STCP.
RADIUS base son identication sur le seul principe du couple nom/mot de passe :
parfaitement adapt lpoque (1996), cette notion a d tre adapte Exemple : pour lidentication des terminaux mobiles par leur numro IMEI ou par leur numro dappel (Calling-Station-ID en Radius) sans mot de passe (alors que la RFC interdit le mot de passe vide !).

RADIUS assure un transport en clair, seul le mot de passe est chiffr par hachage :
la scurit toute relative du protocole repose sur le seul shared secret et impose la scurisation des changes entre le client et le serveur par scurit physique ou VPN, Diameter peut utiliser IPSec ou TLS.
RADIUS limite les attributs :

grs sous forme de chane "Pascal" avec un octet en tte donnant la longueur, 255 octets, cohrents avec la notion de nom/mot de passe, mais inadapt toute tentative dintroduction de biomtrie (fond dil, empreinte digitale) de cryptographie (certicat), Diameter utilise des attributs sur 32 bits au lieu de 8 (dj prsents dans certaines extensions EAP de RADIUS, notamment TTLS).
RADIUS est strictement client-serveur :

do des discussions et bagarres de protocoles propritaires quand un serveur doit lgitimement tuer une session pirate sur un client, Diameter a des mcanismes dappel du client par le serveur.
RADIUS nassure pas de mcanisme didentication du serveur :

se faire passer pour un serveur est un excellent moyen de rcolter des noms et mots de passe, EAP assure une identication mutuelle du client et du serveur.
Le protocole WPA (1/2)

Objectif : combler les lacunes du protocole WEP
Utilisation dalgorithmes peu dvelopps et facilement craquables. Impossibilit dauthentier un ordinateur ou un utilisateur qui se connecterait au rseau.
Dnition de deux nouvelles mthodes de chiffrement et de contrle dintgrit :

TKIP (Temporal Key Integrity Protocol) :
sadapte au mieux au matriel existant, utilise RC4 comme algorithme de chiffrement, ajoute un contrle dintgrit MIC, introduit un mcanisme de gestion de cls (cration de cls dynamiques intervalle de temps rgulier).
CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) :
plus puissant que TKIP, utilise AES comme algorithme de chiffrement, totallement incompatible avec le matriel actuel solution long terme.
Le protocole WPA (2/2)

WPA utilise le protocole 802.1X. Autre nom : EAP Over LAN (EAPOL). Permet dauthentier les machines ou les utilisateurs connects au rseau. Permet de transfrer des paquets dauthentication vers diffrents lments du rseau. Offre un mcanisme pour changer des cls qui seront utilises pour chiffrer les communications et en contrler lintgrit. WPA-PSK (Pre Shared Key) permet aux particuliers de bncier de WPA sans disposer de serveur dauthentication :
au dbut : dtermination dune cl statique ou dune "paraphrase" (comme pour le WEP), mais utilisation de TKIP, ensuite : changement automatique des cls intervalle de temps rgulier.
Prsentation Acteurs Authentication Point daccs au rseau
Le protocole 802.1x
IEEE 802.1X est un standard de lIEEE pour le contrle daccs au rseau bas sur les ports. Cest une partie du groupe de protocoles IEEE 802 (802.1). Ce standard fournit une authentication aux quipements connects un port Ethernet. Il est aussi utilis pour certains points daccs WiFi, et il est bas sur EAP. 802.1X est une fonctionnalit disponible sur certains commutateurs rseau.
Les acteurs du 802.1x

Supplicant : il sagit du systme authentier (le client). Port Access Entity (PAE) : il sagit du point daccs au rseau. Authenticator System : il sagit du systme authenticateur. Il contrle les ressources disponibles via le PAE.
Systme authentifier Systme authentificateur (Relais) Systme serveur dauthentification
LAN (support physique) 802.1X
PAE
Lauthentication
Le systme authenticateur se comporte comme un mandataire entre le systme authentier et serveur dauthentication. si lauthentication russit, le systme authenticateur donne laccs la ressource quil contrle. Le serveur dauthentication gre lauthentication en dialoguant avec le systme authentier en fonction du protocole dauthentication utilis. Dans la plupart des implmentation du protocole 802.1X, le systme authenticateur est un quipement rseau (commutateur Ethernet, borne daccs sans l, ou commutateur/routeur IP). Le systme authentier est un poste de travail ou un serveur. Le serveur dauthentication est typiquement un serveur Radius ou tout autre quipement capable de faire de lauthentication.
Le point daccs au rseau (PAE)

La principale innovation de 802.1X consiste scinder le port daccs physique au rseau en deux ports logiques qui sont connects en parallle sur le port physique. Le premier port logique est dit contrl et peut prendre deux tats : ouvert ou ferm . Le deuxime port logique est toujours accessible mais il ne gre que les trames spcique au protocole 802.1X. Ce modle ne fait pas intervenir la nature physique de la connexion. Il peut sagir :
dune prise RJ45 (cas du support de transmission cuivre (rien ne vaut une bonne paire de ls de cuivre)). de connecteurs SC ou MT-RJ (cas de la bre optique). dun accrochage logique au rseau (cas des supports de transmission hertzien en 802.11{a,b,g}).
EAP-MD5 LEAP EAP-TTLS PEAP EAP-TLS
Le protocole EAP
EAP (Extensible Authentication Protocol) est un protocole conu pour tendre les fonctions du protocole Radius des types didentication plus complexes. Il est indpendant du matriel du client Radius et ngoci directement avec le supplicant (poste client, terminal daccs). Cest ce qui a permis de le mettre en place rapidement sur un maximum dappareils rseau :
puisquil nutilise que deux attributs Radius servant de protocole de transport, a conduit une explosion de types EAP : EAP-MD5, EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-MS-CHAP-V2, EAP-AKA, EAP-LEAP et EAP-FAST (Cisco), EAP-SIM, etc.
Le protocole EAP-MD5
Cest le plus simple. Le client est authenti par le serveur en utilisant un mcanisme de d rponse :
Le serveur envoie une valeur alatoire (le d). Le client concatne ce d le mot de passe et en calcul, en utilisant lalgotithme MD5, une valeur encrypte quil envoie au serveur. Le serveur qui connat le mot de passe calcule son propre cryptogramme, compare les deux et en fonction du rsultat valide ou non lauthentication.
Une coute du trac rseau peut dans le cas dun mot de passe trop simple permettre de le retrouver au moyen dune attaque par force brute base ou par dictionnaire.
Le protocole LEAP
Mthode propre CISCO. Repose sur lutilisation de secret partags pour authentier mutuellement le serveur et le client. Elle nutilise aucun certicat. Elle est base sur lchange de ds et de rponses.
Le protocole EAP-TTLS
EAP-TTLS (tunneled Transport Secure Layer). Il utilise TLS comme tunnel pour changer des couples attribut valeur servant lauthentication. Pratiquement nimporte quelle mthode dauthentication peut tre utilise.
Le protocole PEAP (Protected EAP)
Cest une mthode trs semblable dans ses objectifs et voisine dans la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentication supportes par EAP.
Le protocole EAP-TLS
EAP-TLS : Extensible Authentication Protocol-Transport Layer Security Cest la plus sre. Le serveur et le client possdent chacun leur certicat qui va servir les authentier mutuellement. Cela reste relativement contraignant du fait de la ncessit de dployer une infrastructure de gestion de cls. TLS, la version normalise de SSL (Secure Socket Layer), est un transport scuris (chiffrement, authentication mutuelle, contrle dintgrit). Cest lui qui est utilis de faon sous-jacente par HTTPS, la version scurise de HTTP et pour scuriser le Web.
Webliographie
Webliographie
http://www.commentcamarche.net/ authentification/radius.php3 http://2003.jres.org/actes/paper.143.pdf http://raisin.u-bordeaux.fr/IMG/pdf/radius.pdf http://www.ysn.ru/docs/lucent/radius.pdf http://wifi.geeek.org/docs/ebook_sept2003.pdf http://fr.wikipedia.org/wiki/Infrastructure_ %C3%A0_cl%C3%A9s_publiques http: //fr.wikipedia.org/wiki/Radius_(informatique) http://www.wifiradis.net/ http://fr.wikipedia.org/wiki/802.1x

MI Cours Reseau Cours8

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MI Cours Reseau Cours8

Uploaded by

Copyright:

Available Formats

Introduction Fonctionnement du protocole Radius Le protocole WPA Le protocole 802.

1x Le protocole EAP Conclusion

Architectures et Protocoles des Rseaux

Claude Duvallet 1/26

Architectures et Protocoles des Rseaux

Claude Duvallet 2/26

Architectures et Protocoles des Rseaux

Rfrences bibliographiques Principes gnraux des serveurs Radius

Claude Duvallet 4/26

Architectures et Protocoles des Rseaux

Rfrences bibliographiques Principes gnraux des serveurs Radius

Principes gnraux de Radius

Principe de fonctionnement de Radius Scnario de fonctionnement Limitations

Principe de fonctionnement de Radius

Principe de fonctionnement de Radius Scnario de fonctionnement Limitations

Scnario de fonctionnement (1/2)

Principe de fonctionnement de Radius Scnario de fonctionnement Limitations

Scnario de fonctionnement (2/2)

Claude Duvallet 8/26

Architectures et Protocoles des Rseaux

Principe de fonctionnement de Radius Scnario de fonctionnement Limitations

Schma de fonctionnement du protocole RADIUS

NAS (Client RADIUS)

Claude Duvallet 9/26

Architectures et Protocoles des Rseaux

Principe de fonctionnement de Radius Scnario de fonctionnement Limitations

Protocoles de mot de passe

Principe de fonctionnement de Radius Scnario de fonctionnement Limitations

Limitations du protocole RADIUS (1/3)

Principe de fonctionnement de Radius Scnario de fonctionnement Limitations

Limitations du protocole RADIUS (2/3)

RADIUS limite les attributs :

Principe de fonctionnement de Radius Scnario de fonctionnement Limitations

Limitations du protocole RADIUS (3/3)

RADIUS est strictement client-serveur :

RADIUS nassure pas de mcanisme didentication du serveur :

Claude Duvallet 13/26

Architectures et Protocoles des Rseaux

Le protocole WPA (1/2)

Dnition de deux nouvelles mthodes de chiffrement et de contrle dintgrit :

Le protocole WPA (2/2)

Prsentation Acteurs Authentication Point daccs au rseau

Claude Duvallet 16/26

Architectures et Protocoles des Rseaux

Prsentation Acteurs Authentication Point daccs au rseau

Les acteurs du 802.1x

LAN (support physique) 802.1X

Claude Duvallet 17/26

Architectures et Protocoles des Rseaux

Prsentation Acteurs Authentication Point daccs au rseau

Prsentation Acteurs Authentication Point daccs au rseau

Le point daccs au rseau (PAE)

EAP-MD5 LEAP EAP-TTLS PEAP EAP-TLS

Claude Duvallet 20/26

Architectures et Protocoles des Rseaux

EAP-MD5 LEAP EAP-TTLS PEAP EAP-TLS

EAP-MD5 LEAP EAP-TTLS PEAP EAP-TLS

Claude Duvallet 22/26

Architectures et Protocoles des Rseaux

EAP-MD5 LEAP EAP-TTLS PEAP EAP-TLS

Claude Duvallet 23/26

Architectures et Protocoles des Rseaux

EAP-MD5 LEAP EAP-TTLS PEAP EAP-TLS

Le protocole PEAP (Protected EAP)