IEEE 802.1X

Le protocole 802.1X permet de contrôler l'accès aux équipements d'infrastructures réseau. 

802.1X fournit une couche de sécurité pour l'utilisation des réseaux câblés et sans fil. Cette sécurité se traduit, en règle générale, par une authentification préalable à l'accès au réseau. 

Afin de pourvoir mettre en oeuvre cette sécurité supplémentaire, il est necessaire de comprendre les différents protocoles et leurs interactions.

 

EAP :

Le procotole EAP rentre en jeu dans le transport des informations d'identification en mode client/serveur. C'est lui qui assure le transport des protocoles d'authentification tels que  MSCHAP v2. EAP est un protocole de niveau 2, il n'intervient que dans la liaison de données et permet l'accès de niveau 3 (IP) si un message "Success" est renvoyé.

 

PEAP :

PEAP est l'un des protocole les plus utilisés pour authentifier les utilisateurs sur un réseau (filaire ou sans fil)
Il est utilisé pour l'encapsulation  de données, PEAP est notamment utilisé avec MS-CHAP-V2. 

 

NAC :

(Network Access Server) équipement permettant de receuillir les informations clients et de les retransmettre au serveur Radius. 

Il s'agit en règle générale des switchs ou bornes Wi-Fi qui intègrent une gestion du protocole 802.1X. 

 

Supplicant : 

Ce sont les postes clients (ordinateurs, tablettes, téléphones portables, imprimante, téléphones, …) qui disposent du protocole 802.1X et peuvent ainsi assurer la transmission des informations vers le NAC. 
 

RADIUS :

Radius centralise les informations concernant les utilisateurs, la principale fonctionnalité de RADIUS est d'authentifier les utilisateurs sur un réseau.
Fonctionnant en UDP, il permet aussi l'accounting (compabilisation) afin de journaliser les accès et la facturation ( Exemple : Facturation des accès Wi-Fi, activation ou coupure de la connexion). 

Pour résumé, afin d'implémenter du 802.1X avec le logiciel pfSense® ou OPNSense®, nous avons besoin : 

  • du protocole 802.1X pour le controle d'accès 
  • d'un NAC (Network Access Server, géneralement un switch compatiblie 802.1X)
  • d'un Serveur RADIUS pour stocker nos utilisateurs et avoir un point d'accès pour les NAC 
  • d'EAP ou PEAP ( le tunnel entre le client et le serveur RADIUS )
  • d'une méthode d'authentification MS-CHAP-V2 Ou TLS (avec utilisation de certificat)
  • d'un supplicant 802.1X ( Un client 802.1X pour permettre la connexion )