> Tech > Authentification 802.1x

Authentification 802.1x

Tech - Par iTPro - Publié le 24 juin 2010
email

L’étape d’authentification de NAC vise tout simplement à évincer les utilisateurs qui n’ont rien à faire sur votre réseau. Il n’existe pas de méthode standard pour cela, mais il est une technique que beaucoup de fournisseurs NAC ont adoptée : le contrôle du port Ethernet au moyen du protocole IEEE

802.1x. Pour employer 802.1x, NAC requiert que vos commutateurs Ethernet supportent ce protocole de couche 2, qui interagit avec une composante 802.1x correspondante dans la pile TCP du client, pour conduire une conversation d’authentification. Bien sûr, le point d’extrémité doit posséder 802.1x. La figure 1 illustre cela dans Windows XP.

Le standard 802.1x accepte plusieurs références d’authentification, appelées facteurs. En autres, un ID et mot de passe utilisateur entrés manuellement, un jeton tel qu’une Smart Card, un lecteur biométrique, un certificat numérique ou toute combinaison de ces dispositifs (figure 2). On combine souvent deux de ces facteurs, pour obtenir alors une authentification à deux facteurs, pour prévenir l’abus de références qui pourraient être stockées dans une unité du genre PDA ou ordinateur portable. Tous les systèmes d’exploitation ne reconnaissent pas tous les facteurs : certaines unités d’authentification propriétaires (comme les lecteurs d’empreintes digitales) pourraient exiger des plug-ins tiers.

Sous le capot, 802.1x emploie le EAP (Extensible Authentication Protocol) dans les communications intervenant entre le supplicant et PDP. EAP lui-même est crypté de manière à déjouer les attaques d’intermédiaires. En revanche, la communication entre le PDP et son PEP en amont pourrait ne pas être cryptée, et il est donc essentiel de maintenir le contrôle physique sur ce canal de communication PDP/PEP. Ainsi, on ne veut sûrement pas que la conversation PDP/PEP se déroule sur Internet.

Pendant tout le processus EAP, le commutateur Ethernet maintient le port Ethernet bloqué, empêchant ainsi tout trafic de supplicant d’atteindre votre LAN. Tant qu’il n’est pas authentifié par 802.1x, le supplicant ne peut même pas avoir une adresse IP émise par le réseau. Dès lors qu’un supplicant est identifié, le commutateur débloque le port et le trafic normal du réseau s’écoule. Généralement cela commence par une demande DHCP pour obtenir une adresse IP, une passerelle, et des paramètres DNS, après quoi le point d’extrémité a une communication restreinte avec le LAN. Pour une communication complète, il faut attendre que NAC ait couvert la seconde étape : le contrôle d’intégrité.

Téléchargez gratuitement cette ressource

Comment cerner la maturité digitale de votre entreprise ?

Comment cerner la maturité digitale de votre entreprise ?

Conçu pour les directions IT et Métiers, ce guide vous permettra d'évaluer précisément vos processus de communication client, d'identifier vos lacunes et points d'inflexion pour établir un plan d’actions capable de soutenir durablement votre évolution. Bénéficiez maintenant d'une feuille de route complète.

Tech - Par iTPro - Publié le 24 juin 2010