1254851770chap2-s_curit_accesinterner_seaux.ppt

Dr. M. Jarraya, ,Cours Réseaux 1

Chapitre 2:

Sécurité d’accès interne à réseau

Dr. M. Jarraya, ,Cours Réseaux 2

Partie 1:

contrôle d’accès aux réseaux avec les ACL

3

Les listes de contrôle d'accès

Sont des listes d'instructions applicables à une interface du routeur pour

indiquer le type de paquets à accepter et le type à refuser

L'acceptation et le refus peuvent être fondés sur certaines

caractéristiques :

Adresse Source et Adresse de Destination

Port Source et Port de destination

Protocole Applicatif

filtrent le trafic réseau en commandant aux interfaces d'un

routeur d'acheminer ou de bloquer des paquets routés

Un routeur examine chaque paquet afin de déterminer s'il doit

l'acheminer ou l'abandonner

4


5


Sont configurées au niveau du

routeur en vue de contrôler

l'accès à un réseau ou à un

sous-réseau pour :

Limiter le trafic réseau et

accroître les performances

Contrôler le flux de trafic

Fournir un niveau de sécurité

d'accès réseau de base

Déterminer le type de trafic

qui sera acheminé ou bloqué

au niveau des interfaces du

routeur

6

Vérification des paquets

L'ordre des instructions ACL

(Access Control List) est

important

Dès que la plateforme IOS-

CISCO découvre une

correspondance, elle cesse

de vérifier les instructions de

condition

Si une instruction de

condition autorisant l'accès à

tout le trafic est créée,

aucune instruction créée par

la suite ne sera vérifiée

7

Fonctionnement des listes de contrôle d'accès

Une liste de contrôle d'accès

est un groupe d'instructions

précisant divers facteurs

relatifs aux paquets :

Comment les paquets entrent-

ils par les interfaces d'arrivée ?

Comment sont-ils relayés par

le routeur ?

Comment sortent-ils par les

interfaces de départ du routeur

? Si aucune des instructions ne correspond au paquet, une

instruction implicite " deny any " interdisant l'accès est imposée

8

Fonctionnement des listes de contrôle d'accès

9

Configuration de listes de contrôle d’accès

Créer des listes de contrôle d'accès en mode de configuration

globale.

Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 :

ACL standards.

Spécifier un numéro de liste de contrôle d'accès entre 100 et 199

: ACL étendues.

Sélectionner avec soin et classer logiquement les éléments de la

liste de contrôle d'accès. Préciser les protocoles IP autorisés,

tous les autres protocoles seront refusés.

Sélectionner les protocoles IP à vérifier, les autres protocoles ne

seront pas vérifiés. Plus tard dans la procédure, il sera

également possible d'indiquer un port de destination en option

pour plus de précision.

10

Configuration de listes de contrôle d’accès

La plupart des protocoles nécessitent deux étapes de base pour

effectuer le filtrage :

la première étape est la création d'une définition de liste de contrôle

d'accès

la seconde, l'application de cette liste à une interface.

Il convient d'identifier chaque liste de protocole en lui attribuant

un numéro unique

Router{config}#access-list numéro-liste-accés {permit|deny}

{conditions-de-test)

Router(config-if) # {protocole} access-group numéro-liste-

d’accès

11

Les bits de masque générique

Un masque générique est une quantité de 32 bits divisés en

quatre octets contenant chacun 8 bits:

Un bit 0 de masque générique signifie " vérifier la valeur du bit

correspondant "

un bit 1 signifie " ne pas vérifier (ignorer) la valeur du bit

correspondant "

12

Les bits de masque générique

les masques génériques et les

masques de sous-réseaux IP

fonctionnent différemment :

les 0 et les 1 du masque de sous-

réseau déterminent les portions

réseau, sous-réseau et hôte de

l'adresse IP correspondante

Les 0 et les 1 du masque

générique déterminent si les bits

correspondants de l'adresse IP

doivent être vérifiés ou ignorés à

des fins de contrôle d'accès

13

La commande any

Travailler avec des représentations décimales de bits de masque

générique peut se révéler fastidieux :

Pour les usages les plus courants de masquage générique, vous

pouvez recourir à des abréviations pour indiquer :

n'importe quelle adresse IP, tapez 0.0.0.0,

puis pour indiquer que la vérification doit ignorer (c.-à-d. autoriser

sans vérifier) toute valeur, tapez les bits de masque générique

correspondants pour cette adresse, qui seraient tous des 1 (c.-à-d.

255.255.255.255).

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit any

14

La commande host

permet également d'utiliser une abréviation dans le masque

générique de liste de contrôle d'accès lorsque vous souhaitez

faire correspondre tous les bits d'une adresse d'hôte IP complète

:

Exemple : vous souhaitiez préciser qu'une adresse hôte IP sera

refusée par une vérification de liste de contrôle d'accès :

Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

vous pouvez utiliser ceci :

Router(config)# access-list 1 permit host 172.30.16.29

15

Les listes de contrôle d'accès standard

Vous pouvez utiliser les listes de contrôle d'accès standard pour

refuser l'accès à un réseau à tout le trafic, autoriser tout le trafic

issu d'un réseau particulier ou refuser des ensembles de

protocoles :

Router(config)# access-list numéro-liste-d'accès {deny |

permit} source [masque-générique-source ] [log]

16

Vérification des listes de contrôle d'accès

la commande EXEC show access-list permet d’afficher le

contenu de toutes les listes de contrôle d'accès :

Exemple :

access-list 1 permit 192.5.34.0 0.0.0.255



!(Remarque : tous les autres accès sont implicitement refusés.)

La commande ip access-group associe une liste de contrôle

d'accès existante à une interface

Router(config-if)#ip access-group numéro-liste-d'accès {in |

out}

17

Exemple 1 de configuration

la liste de contrôle d'accès permet uniquement l'acheminement

du trafic du réseau d'origine 172.16.0.0

18


bloquer le trafic d'une adresse particulière, 172.16.4.13, et

permettre l'acheminement du trafic de toutes les autres

adresses

19


liste de contrôle d'accès est conçue pour bloquer le trafic d'un

sous-réseau particulier, 172.16.4.0, et permettre l'acheminement

de tout autre trafic

20

Les listes de contrôle d'accès étendues

les listes de contrôle d'accès étendues fournissent une plus

grande gamme de contrôles que les listes d'accès standard

Exemple : vous pouvez utiliser une liste de contrôle d'accès

étendue pour autoriser le trafic Web, mais refuser le trafic FTP ou

Telnet en provenance de réseaux externes

Les listes de contrôle d'accès étendues vérifient les adresses

d'origine et de destination d'un paquet.

Elles peuvent également vérifier des protocoles et des numéros

de port particuliers, ainsi que d'autres paramètres

21


22


La forme complète de la commande access-list est :

Router(config)# access-list numéro-liste-d'accès {permit | deny}

protocol source [source-mask] destination [destination-mask]

operator operand] [established]

La commande ip access-group lie une liste de contrôle d'accès

étendue existante à une interface.

une seule liste de contrôle d'accès est permise par interface, par

direction et par protocole. Le format de cette commande est le

suivant :

Router(config-if)# ip access-group numéro-liste-d'accès {in | out}

23


24


un exemple de liste de contrôle d'accès étendue bloquant le

trafic FTP

25


Empêche que le trafic

Telnet (eq 23) dont

l'adresse d'origine est

172.16.4.0. soit

acheminé par l'interface

E0. Tout le trafic

transmis depuis un

autre point vers une

autre destination peut

être acheminé par cette

interface

26

Emplacement des listes de contrôle d'accès

La règle est de placer

les listes de contrôle

d'accès étendues le plus

près possible de la

source du trafic refusé

Étant donné que les

listes de contrôle

d'accès standard ne

précisent pas les

adresses de destination,

vous devez les placer le

plus près possible de la

destination

refuser le trafic Telnet ou FTP acheminé par

le routeur A vers le LAN Ethernet commuté

connecté au port E1 du routeur D et autoriser

le reste de trafic en utilisation une liste de contrôle

d'accès étendue et la placez la liste de contrôle

d'accès étendue dans le routeur A

27

Emplacement des listes de contrôle d'accès

Les listes de contrôle d'accès doivent être utilisées dans les

routeurs pare-feu, lesquels sont souvent placés entre le réseau

interne et un réseau externe, tel qu'Internet

Le routeur pare-feu fournit un point d'isolation qui protège

l'ensemble de la structure du réseau interne

Vous pouvez également utiliser les listes de contrôle d'accès sur

un routeur situé entre deux sections du réseau pour contrôler le

trafic entrant ou sortant d'une section particulière du réseau

interne

Pour tirer parti des avantages des listes de contrôle d'accès en

matière de sécurité, vous devez au moins configurer des listes

de contrôle d'accès sur les routeurs périphériques situés aux

frontières du réseau

28

Partie 2:

contrôle d’accès avec les VLAN

29

Introduction

De nos jours, les concepteurs de réseaux tendent à délaisser les

ponts et les concentrateurs au profit des commutateurs et des

routeurs

Ethernet est l'architecture LAN la plus répandue utilisée pour

transporter des données entre les unités d'un réseau

Le média Ethernet utilise un mode de broadcast de trames de

données pour transmettre et recevoir des données entre tous les

nœuds du média partagé

30

Qu’est-ce qu’un VLAN ?

Un commutateur Ethernet segmente physiquement un LAN en domaines

de collision individuels

Toutefois, tous les segments font toujours partie d'un même domaine de

broadcast

tous les nœuds de tous les segments peuvent voir un broadcast d'un

nœud situé sur un segment

Un réseau local virtuel (ou VLAN) est un groupe d'unités réseau ou

d'utilisateurs qui ne sont pas limités à un segment de commutation

physique

Les unités ou les utilisateurs d'un VLAN peuvent être regroupés par

fonction, service, application, etc., et ce, quel que soit le segment

physique où ils se trouvent

31

Qu’est-ce qu’un VLAN ?

Un VLAN crée un domaine

de broadcast unique qui

n'est pas limité à un

segment physique et qui est

traité comme un sous-

réseau

La configuration d'un VLAN

est effectuée, par logiciel,

dans le commutateur

Les VLAN ont été

uniformisés conformément

à la spécification IEEE

802.1Q

32

VLAN et frontières physiques

33


Les configurations de LAN virtuels regroupent les utilisateurs par

association logique plutôt que par emplacement physique

34


Les LAN virtuels fonctionnent au niveau des couches 2 et 3 du

modèle de référence OSI.

La communication entre les LAN virtuels est assurée par le

routage de couche 3.

Les LAN virtuels fournissent une méthode de contrôle des

broadcasts de réseau.

L'administrateur réseau affecte les utilisateurs à un LAN virtuel.

Les LAN virtuels peuvent améliorer la sécurité des réseaux en

définissant quels nœuds de réseau peuvent communiquer entre

eux.

35

Le transport des LAN virtuels (VLAN) dans les backbones

La circulation des informations VLAN entre des commutateurs et

des routeurs interconnectés résidant sur le backbone d'une

entreprise est très importante pour toute architecture VLAN.

Cette fonction de transport présente les avantages suivants :

elle élimine les frontières physiques entre les utilisateurs ;

elle améliore la flexibilité de configuration d'une solution VLAN

lorsque des utilisateurs déménagent ;

elle fournit des mécanismes permettant l'interopérabilité entre les

composants du système backbone.

36

Le transport des LAN virtuels (VLAN) dans les backbones

Le backbone sert

habituellement de point de

convergence pour les

volumes de trafic

importants

Il transporte également les

informations VLAN et

l'identification de

l'utilisateur final entre les

commutateurs, les routeurs

et les serveurs directement

connectés

37

L'utilisation des trames dans les LAN virtuels (VLAN)

Les commutateurs sont un des éléments de base des

communications VLAN

Chaque commutateur est en mesure de prendre les décisions

relatives au filtrage et à l'acheminement par trame, en fonction

des paramètres VLAN définis par les administrateurs réseau.

Le commutateur peut aussi communiquer ces informations à

d'autres commutateurs et routeurs du réseau.

Les méthodes les plus utilisées pour regrouper logiquement des

utilisateurs en LAN virtuels distincts sont le filtrage de trames et

l'identification de trames (étiquetage de trames).

38


Ces deux techniques examinent la trame au moment de sa

réception ou de son acheminement par le commutateur

Selon l'ensemble de règles définies par l'administrateur, ces

techniques déterminent l'endroit où la trame doit être envoyée,

filtrée ou diffusée

Le filtrage de trames consiste à examiner les informations

particulières à chaque trame

Une table de filtrage est élaborée pour chaque commutateur

39


40


L'étiquetage de trames est le mécanisme de liaison standard

utilisé pour le filtrage de trames

Il fournit une solution plus évolutive pour le déploiement de LAN

virtuels à l'échelle d'un campus

Cette méthode place un identificateur unique dans l'en-tête de

chaque trame au moment où celle-ci est acheminée dans le

backbone du réseau

L'identificateur est interprété et examiné par chaque

commutateur avant tout broadcast ou transmission à d'autres

commutateurs, routeurs ou équipements de station d'extrémité

41


Lorsque la trame quitte le

backbone du réseau, le

commutateur retire

l'identificateur avant de

transmettre la trame à la

station d'extrémité cible

L'identification des trames est

effectuée au niveau de la

couche 2 ; elle nécessite des

temps de traitement ou

d'administration peu élevés

42

La relation entre les ports, les LAN virtuels et les broadcasts

Chaque port de commutateur peut être attribué à un LAN virtuel

Les ports affectés au même LAN virtuel partagent les broadcasts

Trois méthodes de mise en œuvre de LAN virtuels qui peuvent

être utilisées pour affecter un port de commutateur à un LAN

virtuel :

Les LAN virtuels axés sur le port

Les LAN virtuels statiques

Les LAN virtuels dynamiques

43

VLAN axés sur les ports

les utilisateurs sont

affectés en fonction de

chaque port,

les LAN virtuels sont

faciles à administrer,

la sécurité entre les LAN

virtuels est accrue,

les paquets ne passent

pas dans d'autres

domaines.

44

VLAN statiques

les ports d'un

commutateur que sont

affectés de manière

statique à un LAN virtuel

Ces ports conservent les

configurations VLAN

attribuées jusqu'à ce que

vous les changiez

45

VLAN dynamiques

Lorsqu'une station est

connectée pour la

première fois à un port

de commutateur non

affecté, le commutateur

approprié vérifie

l'adresse MAC dans la

base de données de

gestion VLAN et

configure

dynamiquement le port

selon la configuration

VLAN correspondante

46

La contribution des LAN virtuels au contrôle de l'activité de broadcast

Les LAN virtuels constituent un mécanisme efficace pour étendre

les pare-feu des routeurs à la matrice de commutation et

protéger le réseau contre des problèmes de broadcast

potentiellement dangereux

Ce type de configuration réduit substantiellement l'ensemble du

trafic de broadcasts, libère de la bande passante pour le

véritable trafic utilisateur et réduit la vulnérabilité globale du

réseau aux tempêtes de broadcast

Plus le groupe VLAN est réduit, plus le nombre d'utilisateurs

touchés par le trafic de broadcasts à l'intérieur du groupe est

petit

47

L'amélioration de la sécurité des réseaux grâce aux LAN virtuels

Cette technique offre à l'administrateur les avantages suivants : elle restreint le nombre

d'utilisateurs dans un groupe VLAN,

elle configure tous les ports non utilisés et les affecte à un LAN virtuel à faible niveau de service par défaut.

Elle limite l’accès du trafic qu’au VLAN correspondant à la source du trafic

48

Mise en pratique des VLAN Dans la cas habituel les switchs agissent d’une façon

indépendante En utilisant les Vlans un certain niveau d’interdépendence doit

exister entre les switchs : Chaque Vlan logique est considéré comme un pont

physique séparé VLANs peuvent recouvrir plusieurs switchs Les liaisons d’agrégation de type « trunk » portent le trafic

pour plusieurs VLANS.

VlanRouge

VlanBleu

Vlanvert

VlanRouge

VlanBleu

Vlanvert

Fast Ethernet

Trunk

Switch A Switch B

49

Configuration des VLAN statiques

Les VLAN statiques correspondent à l'affectation manuelle des

ports d’un commutateur à un VLAN via une application de

gestion de VLAN ou directement en travaillant sur le

commutateur.

La création d’un VLAN sur un commutateur est une tâche très

simple et directe :

Switch#vlan database

Switch(vlan)#vlan numéro_vlan name nom_vlan

Switch(vlan)#exit

50


L’étape suivante consiste à affecter le VLAN à une ou à plusieurs

interfaces:

Switch(config)#interface fastethernet 0/9

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan numéro_vlan

Il est fortement recommandé de vérifier la configuration VLAN à

l’aide des commandes show vlan

Pour enlever un VLAN entièrement d'un commutateur, entrez les

commandes:

Switch#vlan database

Switch(vlan)#no vlan 300


Les VLANs sont implémentés au niveau de la couche liaison de

donnée (niveau 2) dans la topologie de commutation du

réseau.

Pour mettre un port donné dans un VLAN :

vous devez créer un VLAN sur le commutateur

assigner ensuite cette adhésion de port sur le commutateur

Dans le IOS de Cisco, un port niveau 2 est définie comme switchport

Un switchport peut être membre d’un seul VLAN ou configuré comme

une agrégation ( trunk ) pour porter le trafic sur plusieurs VLANS.

ISL (propriétaire de Cisco) et IEEE 802.1Q sont deux méthodes

différentes pour mettre en œuvre un identificateur VLAN dans une

trame communiquée entre plusieurs switch en mode trunk. 51


Un ID du VLANAjouté par lePort d’entrée

La liaison d'inter-switch porte l‘ID vlan

L’ID VLANSupprimé par lePort de sortie

52

La norme IEEE802.1Q

Un switch Cisco supporte la norme IEEE 802.1Q pour les

interfaces réseaux FastEthernet et GigabitEthernet.

Une liaison 802.1Q fournit une identification VLAN en ajoutant

une étiquette de 4 octets à une trame sortant d’un port en

mode trunk

53

La norme IEEE802.1Q

Le Tag protocol ID est égal à la valeur 8100 (hexa) pour

spécifier le protocole 802.1Q

Les trois premiers bits du TCI (Tag control Information)

indiquent la priorité de la trame utilisée comme paramètre de

qualité de service

Le bit suivant indiquent le CFI (canonical Format Identifier) qui

est égal à 0 pour les trames Ethernets

Le reste représente l’identificateur du VLAN

Le protrocole ISL propriétaire de Cisco utilise un autre format

du tag et ne peut être appliqué qu’entre les switch cisco

54

¨Protocole VTP (VLAN Trunking protocol)

Pour assurer qu'un VLAN existe entre chaque paire de ports

en modeTrunk, un administrateur doit créer manuellement

tout le VLANS nécessaires sur chacun des commutateurs.

Un VLAN Cisco fournit une méthode plus facile pour maintenir

la configuration VLAN cohérente entre les switchs en utilisant

le protocole VTP (Vlan Trunking Protocol) .

VTP est un protocole permettant de distribuer et synchroniser des

informations sur les VLANS configurés partout les switchs

appartenant au même domaine VTP

Les configurations faites par un serveur VTP seul sont propagées, à

travers des liaisons en mode trunk, à tous les switchs clients

connectés dans le réseau55

Protocole VTP (VLAN Trunking protocol)

Trois modes VTP¨disponibles pour les switch cisco :

Serveur : ceux qui sont configurés manuellement et propagent

l’information aux autres switch (synchronisation).

Client : ceux qui reçoivent et ré-envoient les nouvelles configs

Vlan du switch serveur et affectent leurs valeurs

Transparent : reçoivent et ré-envoient les nouvelles configs Vlan

du switch serveur et n’affectent pas leurs valeurs

56

Configuration d’une agrégation « Trunk »

Pour créer ou configurer une agrégation de VLAN sur un

commutateur à base de commandes Cisco IOS, configurez

d'abord le port en mode d'agrégation de VLAN :

Switch(config-if)#switchport mode trunk

spécifiez ensuite l’encapsulation d’agrégation

Switch(config-if)# switchport trunk encapsulation

{dot.1q|isl}

Dot.1q : le protocole 802.1Q

isl: le protocole ISL57

Mise en œuvre de VTP

Pour créer un domaine de gestion, utilisez la commande

suivante:

Switch(vlan)#vtp domain cisco

Pour définir le mode approprié du commutateur à base de

commandes Cisco IOS, utilisez la commande suivante:

Switch(vlan)#vtp { [mode {server | transparent | client}]

[domain domain-name] [password password] [pruning

{enable | disable}]}

La configuration par défaut de VTP

VTP domain name: None

VTP mode: Server

VTP password: None

VTP pruning: Disabled

VTP trap: Disabled

58

59

Partie 3:

contrôle d’accès avec les serveurs

d’authentification

Qu'est-ce que l'authentification réseau ?

Il s'agit d'authentifier une machine lorsqu'elle se branche sur

le réseau afin de lui autoriser ou refuser l'usage du réseau.

On authentifie pour délivrer des autorisations

Cette authentification est indépendante d'autres

authentifications vers des systèmes d'exploitation ou

applications

60

Pourquoi faire de l’authentification réseau ?

Il s'agit d'authentifier une machine lorsqu'elle se branche sur

le réseau afin de lui autoriser ou refuser l'usage du réseau.

Sécuriser un réseau filaire ou sans-fil

Pour interdire les postes inconnus

Pour placer les postes connus a des endroits spécifiques du

réseau (vlan) de façon dynamique.

Pour savoir quelle machine est connectée et où elle est

connectée

61

Intérêts de l’authentification réseau

Intérêt pour un réseau filaire

Savoir qui se connecte sur quelle prise

Eviter une utilisation illicite du réseau par des « inconnus »

Affecter les machines sur des réseaux virtuels (cloisonnement)

Intérêt pour un réseau sans-fil

Obligatoire pour intégrer le réseau filaire c’est-à-dire que les machines sans-fil travaillent comme les machines filaires

Affecter une machine sur le même vlan que lorsqu’elle se connecte sur le réseau filaire.

Authentification + cryptage

Nécessité de gérer un périmètre aérien, flou, incontrôlable.62

Eléments pour authentifier

L’adresse MAC de la carte Ethernet

Et/ou

Une base de login/mot de passe (windows, LDAP…)

Et/ou

De certificats (utilisateurs ou machines)

Obligatoire : ne pas rajouter de contraintes sur

l’utilisateur63

Autoriser quoi ?

On autorise une machine à utiliser tout ou partie d’un réseau.

Dans un réseau plat (sans sous-réseau) on autorise tout le

réseau obligatoirement

Dans un réseau segmenté on autorise la connexion sur un

sous-réseau (Vlan)

64

Rappel sur les VLANs

65

Protocoles d’authentification ?

Protocoles propriétaires => Exemple: VMPS de Cisco.

Authentification sur adresse MAC uniquement

Réseau filaire

Protocoles ouverts => Radius et 802.1x

Authentification sur adresse MAC, Login/password, Certificats,

cartes à puce ….

Réseau filaire et sans-fil

66

Protocoles d’authentification : Radius et 802.1x

67


68


802.1x met en œuvre le protocole EAP pour les

communications du client vers le serveur d'authentification.

EAP (Extensible Authentication Protocol) est un protocole de

transport de protocole d'authentification.

L'intérêt de l'architecture de EAP est de pouvoir utiliser divers

mécanismes d'authentification sans que l'équipement réseau

(NAS) aient besoin de les connaître.

Par exemple: Mot de passe, certificats, carte à puce ….

69

Protocoles d’authentification : EAP

Principales méthodes d'authentification EAP:

EAP/TLS :

Authentification mutuelle entre le serveur et le client par

certificat.

EAP/PEAP ou EAP/TTLS :

le client est authentifié par un login/mot de passe. Le

serveur peut être authentifié par son certificat.

70

Protocoles d’authentification

71

Protocole Radius

Radius est un serveur de type AAA

Authentification : Qui me parle ?

Authorization :Quelle autorisation je lui accorde ?

Accounting : Que fait-il ?

72

Protocole Radius : les types de paquets

Le protocole utilise 4 types de paquets suffisants pour assurer

toutes les transactions: (hors accounting)

Access-Request

Access-Accept

Access-Reject

Access-Challenge

73

Protocole Radius : Format des paquets

74

Protocole Radius : Format des paquets

75

Authentificateur Lorsque le client NAS envoi un paquet access-request il inclut un

authentificateur appelé request-authenticator qui est une séquence aléatoire.

Le serveur répond par un paquet access-accept ou accept-reject ou accept-challenge avec un response-authenticator composé avec les informations contenues dans le paquet « access-request, le request authenticator et un secret partagé » avec le NAS et le tout crypté MD5.

Le NAS est alors en mesure de vérifier que le serveur qui répond est biencelui qu'il a contacté.

Protocole Radius : les attributs

76

Les transactions RADIUS ont pour but de véhiculer des attributs et

leur valeur entre le client NAS et le serveur.

Ces attributs et leur valeur sont appelés paires attribut-valeur (AVP=

attribut-value pair)

Ces attributs permettent au client de communiquer des informations

au serveur (password, MAC adresse…) et au serveur de communiquer

les paramètres des autorisations qu'il délivre (vlan…) ou bien

demander des informations complémentaires.

Les extensions du protocole Radius: support EAP (802.1x)

77

Authentification avec certificat (TLS)

support EAP (802.1x) : Authentification avec certificat (TLS)

78

1- Le NAS envoi au client une requète EAP lui demandant son identité

2- Le client répond avec le CN (certificat Name) comme identité

3- Le serveur démarre la séquence TLS par l’envoi du message TLS_start

4- Le client répond par un message client_hello :La version de TLS Un challenge (nombre aléatoire) Un identifiant de session La liste des algorithmes de chiffrement supportés par le client

5- Le serveur répond par un message server_hello :Son certificat et sa clé publique Demande au client d’envoyer son certificat Un challengeUn identifiant de session calculé à partir de celui du client.Choisit un algorithme de chiffrement en fonction de ceux connus par le client

support EAP (802.1x) : Authentification avec certificat (TLS)

79

6- Le client vérifie le certificat du serveur et envoi le sien et sa clé

publique

7- Le client et le serveur calculent une clé de chiffrement pour la session

principale (à partir des challenges échangés)

8- Le client renvoi une réponse EAP vide et le serveur répond par un

message EAP_success avec une clé de session pour la borne wifi.

9- A partir de cette clé de session la borne calcule une clé WEP ou WPA

et l’envoi au client.

Dans le cas d’authentification EAP/TLS la clé de session principale n’est

pas utilisée.

Seul l’échange de validation mutuelle des certificats est utile

1254851770chap2-s_curit_accesinterner_seaux.ppt

Documents