Mise en place sur le point d'accès d'un réseau wifi

. . LE RADIUS

. . . Généralités sur le protocole RADIUS

L'authentification est l'opération par laquelle le destinataire et/ou l'émetteur d'un message s'assure de l'identité de son interlocuteur. L'authentification est une phase cruciale pour la sécurisation de la communication. Les utilisateurs doivent pouvoir prouver leur identité à leurs partenaires de communication et doivent également pouvoir vérifier l'identité des autres utilisateurs. L'authentification de l'identité sur un réseau est une opération complexe, car les parties qui communiquent ne se rencontrent pas

physiquement lors de la communication. Un utilisateur malveillant peut ainsi intercepter des messages ou emprunter l'identité d'une autre personne ou entité. ¹⁷

Le protocole RADIUS (Remote Authentication Dial-In User Service) en français « service d'authentification distante des utilisateurs d'accès à distance », mis au point initialement par la société Livingston, est un protocole d'authentification standard, défini par les RFC 2865 (pour l'authentification) et 2866 (pour la comptabilité).

. . . Fonctionnement de RADIUS

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813. Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé.

Le scénario du principe de fonctionnement est le suivant :

Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;

Le NAS achemine la demande au serveur RADIUS ;

Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

ACCEPT : l'identification a réussi ;

REJECT : l'identification a échoué ;

CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ;

CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau mot de passe.

¹⁷ Serge Bordères, Authentification réseau avec Radius 802.1x - EAP - Free Radius, Édition : Eyrolles, Collection : Blanche.

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-àdire transmettre les requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5 champs:

Code : Définit le type de trame (acceptation, rejet, challenges, requête) Identifier : Associe les réponses reçues aux requêtes envoyées.

Length : Champ longueur.

Authentificator : Champ d'authentification comprenant les éléments nécessaires.

Attributes : Ensemble de couples (attribut, valeur).