802.1x par Audric PODMILSAK
Remote Authentication Dial In User Service
Le protocole
Le protocole RADIUS permet de centraliser les données d’authentification.
Il répond au modèle AAA:
- Authentication : authentifier l’identité du client.
- Authorization : accorder des droits au client.
- EAP-TTLS : enregistrer les données de comptabilité de l’usage du réseau par le client.
Ce protocole se situe au dessus de la couche de transport UDP, sur les ports 1812 et 1813.
Les différents types de paquets
Pour l’authentification il y a quatre type de paquets :
- Access-Request : envoyé par le contrôleur d’accès, contenant les informations sur le client(login/mot de passe, ...).
- Access-Accept : envoyé par le serveur dans le cas où l’authentification est un succès.
- Access-Reject : envoyé par le serveur dans le cas où l’authentification est un échec, ou si il souhaite fermer la connection
- Access-Challenge : envoyé par le serveur pour demander des informations complémentaires, et donc la réemission d’un paquet Access-Request.
Les attributs des paquets RADIUS
Les attributs des paquets RADIUS sont sous la forme de paire attributs-valeurs, le champ attribut du paquet peut en contenir plusieurs.
Les attributs utiles dans le cadre de l’authentification sont :
- User-Name : Envoyé par le NAS, il contient l'identifiant du client : le point d’entrée dans la base de données du serveur RADIUS
- User-Password : Le mot de passe associé a l'identifiant "user-name"
- NAS-IP-Address : l'adresse IP du contrôleur d'accès communiquant avec le client
- NAS-Port : port du contrôleur d'accès.
On peut distinguer deux cas :- Commutateur : port du commutateur sur lequel est branché client
- AccessPoint : ce champ n'a pas de sens car le port est virtuel (généré par l AccessPoint pendant l'association avec le client)
- Called-Station-Id : l'adresse MAC du contrôleur d'accès. Cela permet l'authentification d'un poste en fonction de l'equipement sur lequel il est connecté
- Calling-Station-Id : l'adresse MAC du client
| Les failles du 802.1x >> |