WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Mise en place d’une politique d’accès à un réseau sans fil avec l’authentification basée sur la norme 802.1x


par Marcel MUSWILA
Université Notre-Dame du Kasayi - Licence 2019
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

2.2.2.2. L'EAP et le 802.1x26

Le protocole EAP ne se soucie pas de savoir comment les paquets sont acheminés entre le client, le contrôleur d'accès et le serveur d'authentification, de sorte qu'il est possible d'utiliser EAP à l'intérieur d'un lien PPP, sur TCP/IP, UDP/IP, ou encore directement dans des paquets WiFi. La seule présupposition est qu'il existe un lien de communication entre le client et le contrôleur d'accès et un lien sécurisé (peu importe comment) entre le contrôleur d'accès et le serveur d'authentification.

Puisque dans le cadre du WiFi le contrôleur d'accès est un AP, le lien entre le client et l'AP est bien sûr un lien WiFi. Les paquets EAP sont donc encapsulés dans des paquets WiFi. Plus précisément, une version légèrement améliorée d'EAP est utilisée : EAP over LAN (EAP sur LAN), notée EAPoL. Ce protocole a été défini par le standard 802.1x pour permettre l'utilisation d'EAP dans un contexte où le client et le contrôleur d'accès communiquent via un

26 Aurélien Géron, Op.cit., p. 251.

Page | 32

réseau local (LAN). C'est bien le cas en WiFi. En outre, le 802.1x définit quelques nouveaux types de messages :

? EAPoL-Start : permet au client de prévenir le contrôleur d'accès qu'il souhaite se connecter ;

? EAPoL-Packet : ce sont ces paquets qui encapsulent les paquets EAP ;

? EAPoL-Key : permet l'échange de clés de cryptage ;

? EAPoL-Logoff : permet au client de demander la fermeture de sa session ;

? EAPoL-Encapsulated-ASF-Alert : permet aux clients dont l'authentification a échoué de pouvoir tout de même être supervisés à distance (par exemple, par SNMP). Ceci peut poser des problèmes de sécurité, donc le WPA et le WPA2 n'utilisent pas ce type de messages EAPoL.

Pour résumer : le 802.1x définit le protocole EAPoL qui permet de transporter les paquets EAP sur un LAN. Il définit en outre quelques autres types de paquets bien utiles. Nous verrons en particulier que les paquets EAPoL-Key sont essentiels pour le WPA Enterprise et leWPA2 Enterprise.

2.2.2.3. La sécurité d'EAP ? Les failles

Le protocole EAP possède quelques failles bien identifiées. En faisant attention, il est heureusement possible de toutes les éviter. Voici les trois failles principales :

V' Un pirate peut essayer d'attaquer la méthode d'authentification EAP choisie (EAP/MD5 par exemple) elle a ses propres failles ;

V' Un pirate peut attendre que la session soit établie et ensuite attaquer cette session : en effet, le protocole EAP ne dit rien sur la façon de protéger la connexion au réseau, une fois qu'elle est établie ;

V' Un pirate peut s'intercaler entre le client et le contrôleur d'accès (attaque de type MiM) et être ainsi authentifié à la place du client.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"Il faut répondre au mal par la rectitude, au bien par le bien."   Confucius