Audric PODMILSAK 13 janvier 2009

Audric PODMILSAK

13 janvier 2009

802.1x

Plan de la présentationPlan de la présentation

1. Qu’est ce que 802.1x ?

2. Le protocole EAP

3. Le protocole RADIUS

4. Les failles de 802.1x

5. Conclusion

Podmilsak 802.1x 2/27Audric

802.1x ?

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion


• Mis au point par l’IEEE en 2001, aussi appelé “Port-Based Network Access Control”.

• Assure l’authentification des utilisateurs sur un réseau filaire ou non-filaire.

• Repose sur le protocole EAP, et la mise en place d’un serveur d’authentification (RADIUS) et d’un controlleur d’accès (Commutateur, Access Point).



• Fonctionnement général :



• Authentification basée sur le contrôle des ports.



AuthentificationAuthentifié



Client Contrôleur d’accès RADIUS

Extensible Authentication Protocol



• Protocole de transport des données nécessaire à l’authentification.

• Protocole extensible, on peut définir de nouvelles méthodes d’authentifications, il est indépendant.

• De nombreux choix pour la méthode d’authentification.



• EAP-MD5 : Authentification avec un mot de passe.

• EAP-TLS : Authentification avec un certificat éléctronique.

• EAP-TTLS : Authentification avec n’importe quelle méthode d’authentification, au sein d’un tunnel TLS.

• EAP-PEAP : Authentification avec n’importe quelle méthode d’authentification EAP, au sein d’un tunnel TLS.



• Les types de paquets existants :

• EAP Request : Envoyé par le contrôleur d’accès au client.

• EAP Response : Réponse du client au contrôleur d’accès.

• EAP Success : Paquet envoyé au client en fin d’authentification si elle est réussie.

• EAP Failure : Paquet envoyé au client en fin d’authentification si elle est ratée.



• Les types de paquets ajoutés par la norme 802.1x :

• EAPoL-Start : qui permet au client d’alerter le contrôleur d’accès qu’il souhaite se connecter.

• EAPoL-Packet : Paquet qui encapsule les paquets EAP.

• EAPoL-Key : Paquet qui permet l’échange de clé de cryptage.

• EAPoL-Logoff : permet d’amorcer la fermeture de session.



Remote Authentication Dial In User Service



• Protocole qui permet de centraliser les données d’authentification.

• Radius répond au modèle AAA:

• Authentication

• Authorization

• Accounting

• Au dessus de la couche de transport UDP.



• Pour l’authentification il y a quatre type de paquets :

• Access-Request : envoyé par le contrôleur d’accès, contenant les informations sur le client(login/mot de passe, ...).

• Access-Accept : envoyé par le serveur dans le cas où l’authentification est un succès.

• Access-Reject : envoyé par le serveur dans le cas où l’authentification est un échec, ou si il souhaite fermer la connection

• Access-Challenge : envoyé par le serveur pour demander des informations complémentaires, et donc la réemission d’un paquet Access-Request.



• Les attributs des paquets RADIUS sont sous la forme de paire attributs-valeurs.

• Le champs attributs du paquet peut en contenir plusieurs.

• Les attributs utiles dans le cadre de l’authentification sont :

• User-Name, User-Password, NAS-IP-Address, NAS-Port, Called-Station-Id et Calling-Station-Id



Les failles de 802.1x



Le protocole possèdent quelques failles, qui sont néanmoins bien identifiées et évitables :

• Attaque de la méthode d’authentification.

• Attaque de la session, une fois l’authentification établie.

• Attaque du “Man in the middle”, entre le point d’accès et le client.





Les attaques sur les méthodes d’authentification :

• Une attaque par dictionnaire hors-ligne : contre EAP MD5.

• La solution : utiliser une méthode plus efficace (TLS, PEAP)

• Une attaque par dictionnaire en ligne : contre EAP PEAP/TTLS.

• La solution : configurer le serveur pour bloquer les adresses IP après plusieurs tentatives en échec consécutives.



L’attaque sur la session :

• EAP seul ne protège pas la session.

• Le contrôleur d’accès se contente de vérifier l’adresse MAC.

• Dans le cas d’une communication wifi : mettre en place un tunnel, à l’aide de WPA ou WPA2 par exemple.



L’attaque du “Man in the middle” :

• Attaque facile à réaliser dans le cas d’une communication wifi.

• Contrable en mettant en place un tunnel, WPA WPA2.

• Problème pour EAP-PEAP et EAP-TTLS.

• Il faut s’assurer que les clients vérifient bien les certificats.



Pour pallier à toutes ces failles on peut effectuer les actions suivantes :

• Utiliser en priorité EAP-TLS, EAP-PEAP ou EAP-TTLS.

• Mettre en place un tunnel chiffré entre le point d’accès et le client (WPA ou WPA2) dans le cas du wifi.

• Avertir les utilisateurs pour la vérification des certificats.

Conclusion



• Assure l’authentification sur un réseau filaire ou sans-fil.

• Un peu lourd à mettre en place.

• Quelques précautions à prendre du point de vue de la sécurité.





Type d’EAP Méthode d’authentification

Caractéristiques

EAP-MD5 Login/password •Facile à implémenter•Supporté par la plupart des serveurs•Attaquable par dictionnaire hors-ligne•Pas d’authentification mutuelle

EAP-TLS Certificat •Utilisation de certificats par le client et le serveur, de ce fait création d’un tunnel sur.•Authentification mutuelle entre le client et serveur•Lourd à mettre en place à cause des certificats coté client.

EAP-PEAP EAP-TTLS

Login/passwordEt certificat

•Création d’un tunnel TLS •Moins lourd que EAP-TLS, car pas de certificat du coté client.•Moins sur que EAP-TLS, car pas de certificat du côté client.

SourceSource

• Authentification réseau avec Radius – 802.1x EAP FreeRadius

de Serge Bordères

• WiFi Déploiement et sécurité, 2ème édition de Aurélien Géron

• Wikipédia


Merci de votre attention


Audric PODMILSAK 13 janvier 2009

Documents