Audric PODMILSAK 13 janvier 2009 802.1x
Audric PODMILSAK
13 janvier 2009
802.1x
Plan de la présentationPlan de la présentation
1. Qu’est ce que 802.1x ?
2. Le protocole EAP
3. Le protocole RADIUS
4. Les failles de 802.1x
5. Conclusion
Podmilsak 802.1x 2/27Audric
802.1x ?
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Podmilsak 802.1x 3/27Audric
• Mis au point par l’IEEE en 2001, aussi appelé “Port-Based Network Access Control”.
• Assure l’authentification des utilisateurs sur un réseau filaire ou non-filaire.
• Repose sur le protocole EAP, et la mise en place d’un serveur d’authentification (RADIUS) et d’un controlleur d’accès (Commutateur, Access Point).
Podmilsak 802.1x 4/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
• Fonctionnement général :
Podmilsak 802.1x 5/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
• Authentification basée sur le contrôle des ports.
Podmilsak 802.1x 6/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
AuthentificationAuthentifié
Podmilsak 802.1x 7/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Client Contrôleur d’accès RADIUS
Extensible Authentication Protocol
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Podmilsak 802.1x 8/27Audric
• Protocole de transport des données nécessaire à l’authentification.
• Protocole extensible, on peut définir de nouvelles méthodes d’authentifications, il est indépendant.
• De nombreux choix pour la méthode d’authentification.
Podmilsak 802.1x 9/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
• EAP-MD5 : Authentification avec un mot de passe.
• EAP-TLS : Authentification avec un certificat éléctronique.
• EAP-TTLS : Authentification avec n’importe quelle méthode d’authentification, au sein d’un tunnel TLS.
• EAP-PEAP : Authentification avec n’importe quelle méthode d’authentification EAP, au sein d’un tunnel TLS.
Podmilsak 802.1x 10/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
• Les types de paquets existants :
• EAP Request : Envoyé par le contrôleur d’accès au client.
• EAP Response : Réponse du client au contrôleur d’accès.
• EAP Success : Paquet envoyé au client en fin d’authentification si elle est réussie.
• EAP Failure : Paquet envoyé au client en fin d’authentification si elle est ratée.
Podmilsak 802.1x 11/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
• Les types de paquets ajoutés par la norme 802.1x :
• EAPoL-Start : qui permet au client d’alerter le contrôleur d’accès qu’il souhaite se connecter.
• EAPoL-Packet : Paquet qui encapsule les paquets EAP.
• EAPoL-Key : Paquet qui permet l’échange de clé de cryptage.
• EAPoL-Logoff : permet d’amorcer la fermeture de session.
Podmilsak 802.1x 12/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Remote Authentication Dial In User Service
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Podmilsak 802.1x 13/27Audric
• Protocole qui permet de centraliser les données d’authentification.
• Radius répond au modèle AAA:
• Authentication
• Authorization
• Accounting
• Au dessus de la couche de transport UDP.
Podmilsak 802.1x 14/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
• Pour l’authentification il y a quatre type de paquets :
• Access-Request : envoyé par le contrôleur d’accès, contenant les informations sur le client(login/mot de passe, ...).
• Access-Accept : envoyé par le serveur dans le cas où l’authentification est un succès.
• Access-Reject : envoyé par le serveur dans le cas où l’authentification est un échec, ou si il souhaite fermer la connection
• Access-Challenge : envoyé par le serveur pour demander des informations complémentaires, et donc la réemission d’un paquet Access-Request.
Podmilsak 802.1x 15/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
• Les attributs des paquets RADIUS sont sous la forme de paire attributs-valeurs.
• Le champs attributs du paquet peut en contenir plusieurs.
• Les attributs utiles dans le cadre de l’authentification sont :
• User-Name, User-Password, NAS-IP-Address, NAS-Port, Called-Station-Id et Calling-Station-Id
Podmilsak 802.1x 16/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Les failles de 802.1x
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Podmilsak 802.1x 17/27Audric
Le protocole possèdent quelques failles, qui sont néanmoins bien identifiées et évitables :
• Attaque de la méthode d’authentification.
• Attaque de la session, une fois l’authentification établie.
• Attaque du “Man in the middle”, entre le point d’accès et le client.
Podmilsak 802.1x 18/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Podmilsak 802.1x 19/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Les attaques sur les méthodes d’authentification :
• Une attaque par dictionnaire hors-ligne : contre EAP MD5.
• La solution : utiliser une méthode plus efficace (TLS, PEAP)
• Une attaque par dictionnaire en ligne : contre EAP PEAP/TTLS.
• La solution : configurer le serveur pour bloquer les adresses IP après plusieurs tentatives en échec consécutives.
Podmilsak 802.1x 20/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
L’attaque sur la session :
• EAP seul ne protège pas la session.
• Le contrôleur d’accès se contente de vérifier l’adresse MAC.
• Dans le cas d’une communication wifi : mettre en place un tunnel, à l’aide de WPA ou WPA2 par exemple.
Podmilsak 802.1x 21/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
L’attaque du “Man in the middle” :
• Attaque facile à réaliser dans le cas d’une communication wifi.
• Contrable en mettant en place un tunnel, WPA WPA2.
• Problème pour EAP-PEAP et EAP-TTLS.
• Il faut s’assurer que les clients vérifient bien les certificats.
Podmilsak 802.1x 22/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Pour pallier à toutes ces failles on peut effectuer les actions suivantes :
• Utiliser en priorité EAP-TLS, EAP-PEAP ou EAP-TTLS.
• Mettre en place un tunnel chiffré entre le point d’accès et le client (WPA ou WPA2) dans le cas du wifi.
• Avertir les utilisateurs pour la vérification des certificats.
Conclusion
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Podmilsak 802.1x 23/27Audric
• Assure l’authentification sur un réseau filaire ou sans-fil.
• Un peu lourd à mettre en place.
• Quelques précautions à prendre du point de vue de la sécurité.
Podmilsak 802.1x 24/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Podmilsak 802.1x 25/27Audric
1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion
Type d’EAP Méthode d’authentification
Caractéristiques
EAP-MD5 Login/password •Facile à implémenter•Supporté par la plupart des serveurs•Attaquable par dictionnaire hors-ligne•Pas d’authentification mutuelle
EAP-TLS Certificat •Utilisation de certificats par le client et le serveur, de ce fait création d’un tunnel sur.•Authentification mutuelle entre le client et serveur•Lourd à mettre en place à cause des certificats coté client.
EAP-PEAP EAP-TTLS
Login/passwordEt certificat
•Création d’un tunnel TLS •Moins lourd que EAP-TLS, car pas de certificat du coté client.•Moins sur que EAP-TLS, car pas de certificat du côté client.
SourceSource
• Authentification réseau avec Radius – 802.1x EAP FreeRadius
de Serge Bordères
• WiFi Déploiement et sécurité, 2ème édition de Aurélien Géron
• Wikipédia
Podmilsak 802.1x 26/27Audric
Merci de votre attention
Podmilsak 802.1x 27/27Audric