Conclusion
En résumé, un poste sur lequel le protocole
PPPoE a été implanté, désireux de communiquer avec
un serveur d'accès distants (Broadband Remote Access Server,
BRAS), suit le principe de communication ci-après :
1. l'établissement d'une connexion PPPoE avec obtention
d'un identifiant de session;
2. l'identification du client via le protocole de gestion et de
maintenance d'une connexion PPP (LCP);
3. l'obtention des paramètres de connexion IP par ce
même protocole LCP;
4. le transport des datagrammes IP par PPP, lui-même
transporté par Ethernet.
A contrario du protocole PPP qui établit une liaison
point à point, le protocole PPPoE établit quant à lui une
relation client-serveur, via une phase d'apprentissage, où un hôte
peut choisir entre plusieurs BRAS pour l'établissement de la session.
Une fois que la phase d'apprentissage est terminée,
l'hôte et le BRAS possèdent les éléments
nécessaires pour créer une connexion point à point
au-dessus d'Ethernet.
2.4.4 L'authentification via le protocole PPPoE
L'authentification via le protocole PPPoE, illustrée en
la figure 2.7, se fait, d'une part sur la liaison utilisateur/NAS, notamment,
au travers des protocoles d'authentification PAP (Password Authentification
Protocol) ou CHAP (Challenge Handshake Authentification
Protocol), qui sont chargés de transférer les
paramètres de connexion (login et password) au serveur d'accès
distant; et d'autre part, sur la liaison NAS/ Serveur RADIUS, où le NAS,
dès réception des paramètres de connexion, les fait suivre
au client RADIUS, lequel demande au serveur RADIUS d'effectuer un
contrôle d'identité sur ces derniers.
FIGURE 2.7 Processus d'authentification du protocole PPPoE au
protocole RADIUS
Source: (Langlois, Polycopié sur
ADSL)
Il est à noter que dans le processus
d'authentification, ci-dessus illustré, le serveur Radius client est un
équipement réseau qui joue à la fois les rôles de
serveur et de client Radius. D'autres configurations sont possibles, notamment,
celle où le NAS joue à la fois le rôle de serveur
d'accès distant PPPoE et celui de client RADIUS, tandis que le serveur
d'authentification, ne joue que le rôle de serveur RADIUS. Dans les
lignes qui suivent, l'on
n'aborde que les protocoles d'authentification PPP sur la
liaison utilisateur/NAS. Pour ce qui est de la communication client et serveur
RADIUS (bien vouloir vous référer à l'annexe E).
2.4.4.1 Le protocole d'authentification PAP
Le protocole PAP qui est un protocole de contrôle de
lien PPP, fournit une méthode de contrôle de l'identité des
utilisateurs sur une liaison point à point et ce, uniquement lors de la
phase d'établissement de la session PPP. En effet, après
l'établissement du lien de connexion PPPoE, le couple login et mot de
passe est envoyé à plusieurs reprises par l'utilisateur au
serveur d'authentification jusqu'à ce qu'il soit authentifié ou
que la connexion soit rompue.
Le protocole PAP, n'est pas une méthode
d'authentification forte. Les mots de passe sont envoyés en clair dans
le tunnel PPPoE, et il n'existe aucune méthode de protection contre les
attaques passives ou le << rejeu >>. Cette méthode
d'authentification est particulièrement appropriée dans les cas
où un mot de passe en texte claire doit être disponible pour
simuler une connexion à un hôte distant.
|