Authentification 802.1x

802.1x. Pour employer 802.1x, NAC requiert que vos commutateurs Ethernet supportent ce protocole de couche 2, qui interagit avec une composante 802.1x correspondante dans la pile TCP du client, pour conduire une conversation d’authentification. Bien sûr, le point d’extrémité doit posséder 802.1x. La figure 1 illustre cela dans Windows XP.

Le standard 802.1x accepte plusieurs références d’authentification, appelées facteurs. En autres, un ID et mot de passe utilisateur entrés manuellement, un jeton tel qu’une Smart Card, un lecteur biométrique, un certificat numérique ou toute combinaison de ces dispositifs (figure 2). On combine souvent deux de ces facteurs, pour obtenir alors une authentification à deux facteurs, pour prévenir l’abus de références qui pourraient être stockées dans une unité du genre PDA ou ordinateur portable. Tous les systèmes d’exploitation ne reconnaissent pas tous les facteurs : certaines unités d’authentification propriétaires (comme les lecteurs d’empreintes digitales) pourraient exiger des plug-ins tiers.

Sous le capot, 802.1x emploie le EAP (Extensible Authentication Protocol) dans les communications intervenant entre le supplicant et PDP. EAP lui-même est crypté de manière à déjouer les attaques d’intermédiaires. En revanche, la communication entre le PDP et son PEP en amont pourrait ne pas être cryptée, et il est donc essentiel de maintenir le contrôle physique sur ce canal de communication PDP/PEP. Ainsi, on ne veut sûrement pas que la conversation PDP/PEP se déroule sur Internet.

Pendant tout le processus EAP, le commutateur Ethernet maintient le port Ethernet bloqué, empêchant ainsi tout trafic de supplicant d’atteindre votre LAN. Tant qu’il n’est pas authentifié par 802.1x, le supplicant ne peut même pas avoir une adresse IP émise par le réseau. Dès lors qu’un supplicant est identifié, le commutateur débloque le port et le trafic normal du réseau s’écoule. Généralement cela commence par une demande DHCP pour obtenir une adresse IP, une passerelle, et des paramètres DNS, après quoi le point d’extrémité a une communication restreinte avec le LAN. Pour une communication complète, il faut attendre que NAC ait couvert la seconde étape : le contrôle d’intégrité.