4.2. Rappels sur 802.1X
Le protocole 802.1X est un standard mis au point par l'IEEE. Son
but est d'autoriser l'accès physique à un réseau local
après authentification depuis un réseau filaire ou sans fil.
Trois acteurs principaux interviennent dans ce mécanisme
:
· Le système à authentifier (supplicant ou
client)
· Le point d'accès au réseau local
(commutateur, borne wifi etc.)
· Le serveur d'authentification
Tant qu'il n'est pas authentifié, le client ne peut pas
avoir accès au réseau, seuls les échanges liés au
processus d'authentification sont relayés vers le serveur
d'authentification par le point d'accès (ici Ubiquiti). Une fois
authentifié, le point d'accès laisse passer le trafic lié
au client (figure 9).
Figure 9: Architecture d'authentification
802.1X
57
4.2.1. Les méthodes d'authentification de
802.1X
4.2.1.1. EAP : Extensible Authentication Protocol
Le protocole 802.1X définit l'utilisation d'EAP
(Extensible Authentication Protocol, RFC 2284, mécanisme
décrivant la méthode utilisée pour réaliser
l'authentification. On distingue deux types de trafic EAP (figure 2):
· entre le système à authentifier et le
point d'accès (support : 802.11a, b, g ou 802.3) : EAP over LAN
(EAPOL)
· entre le point d'accès et le serveur
d'authentification (de type RADIUS) : EAP over Radius
Figure 10: Types EAP
Les messages EAP se décomposent en 4 classes :
· requêtes (du serveur vers le client)
· réponses (du client vers le serveur)
· succès
· erreur ou échec
58
Comme le montre la figure 11, la première étape
est bien sûr l'association physique avec le point d'accès
(équivalent au branchement d'un câble reliant le port d'un
commutateur à l'équipement à authentifier) qui doit
être réalisée préalablement à la phase
d'authentification 802.1X.
Le processus d'authentification est ensuite initié par
l'envoi d'une requête provenant du point d'accès vers le client
(EAPOL). Le client répond à la requête en y joignant un
premier identifiant (nom de la machine, login, etc). Cette réponse est
retransmise au serveur Radius (EAP over Radius).
À partir de ce moment, les échanges
dépendent de la méthode d'authentification choisie (EAP-TLS,
LEAP, etc.).
Au terme de ces échanges, le client est soit
authentifié, auquel cas le point d'accès autorise le trafic du
client sur le réseau, soit non-authentifié, et l'accès au
réseau reste alors interdit.
Figure 11: Echanges EAP
59
4.2.1.2. Les méthodes associées à
EAP
Le protocole 802.1X ne propose pas une seule méthode
d'authentification mais un canevas sur lequel sont basés plusieurs types
d'authentification. Ainsi, une méthode d'authentification EAP utilise
différents éléments pour identifier un client :
· login / mot de passe ;
· certificat électronique ;
· biométrie ;
· puce (SIM).
Certaines méthodes combinent plusieurs critères
(certificats et login/mot de passe etc.)
En plus de l'authentification, EAP gère la distribution
dynamique des clés de chiffrement (WEP). Le reste de cet article
décrit plus en profondeur les méthodes suivantes :
· EAP-TLS [2] : authentification
mutuelle entre le client et le serveur Radius par le biais de certificats
(côté client et côté serveur) ;
· EAP-TTLS [3] et EAP-PEAP
[4] : authentification mutuelle du client et du serveur Radius par le
biais d'un certificat côté serveur, le client peut utiliser un
couple login/mot de passe ;
· EAP-MD5 : pas d'authentification
mutuelle entre client et le serveur Radius, le client s'authentifie par mot de
passe ;
· EAP-LEAP : cas particulier,
méthode propriétaire de Cisco.
60
| 
