CHAPITRE : ETUDE DE MISE EN SECURITE AU POINT D'ACCES
DANS UN SERVEUR RADIUS AU RESEAU WIFI

. Le Méthode d'authentification

Le RFC prévoit deux méthodes d'authentification des utilisateurs nommées PAP (Password Authentication Protocol) et CHAP (Challenge-Handshake Authentication Protocol). Ces méthodes ne sont pas les seules, d'autres peuvent être employées : c'est notamment le cas d'EAP (voir le point 3.3 à ce sujet)¹⁸.

. . . PAP

L'utilisation de PAP est suggérée au serveur RADIUS lorsque l'attribut User-Password est trouvé dans un paquet Access-Request. Dans ce cas, le mot de passe est alors transmis en clair du client au NAS (en principe sur une liaison point à point). Le NAS transmet ce mot de passe au serveur RADIUS par l'intermédiaire de l'attribut User-Password après l'avoir dûment chiffré (voir les points 3.2.4 et 3.4.2 à ce sujet).

~ .2. CHAP

L'utilisation de CHAP est suggérée au serveur RADIUS lorsque l'attribut CHAP-Password est trouvé dans un paquet Access-Request. CHAP est basé sur l'idée de transmettre une preuve de la connaissance du mot de passe mais pas ce dernier à proprement parler.

Le NAS génère un flux de bytes aléatoire de 16 octets et le transmet au client. Le client utilise ce nombre dans une fonction de hachage MD5 avec son mot de passe comme clé. Le client retourne le login, le haché (CHAP Response) et un identifiant de transaction (CHAP ID) au NAS. Ce dernier transfère alors :

le login via l'attribut User-Name,

le CHAP ID suivit de CHAP Response via l'attribut CHAP-Password et

le challenge original (l'aléatoire de 16 octets) via l'attribut CHAP-Challenge.

Le serveur effectue la même opération que le client et compare le résultat obtenu à CHAP Réponse.

Si CHAP a l'avantage de ne pas faire transiter le mot de passe sur le réseau, il implique la lecture de celui-ci côté serveur, ce qui n'est pas toujours une situation enviable.

18 Jonathan Hassell, RADIUS - Securing Public Access to Private Ressources