L’étape d’authentification de NAC vise tout simplement à évincer les utilisateurs qui n’ont rien à faire sur votre réseau. Il n’existe pas de méthode standard pour cela, mais il est une technique que beaucoup de fournisseurs NAC ont adoptée : le contrôle du port Ethernet au moyen du protocole IEEE
Authentification 802.1x
802.1x. Pour employer 802.1x, NAC requiert que vos commutateurs Ethernet supportent ce protocole de couche 2, qui interagit avec une composante 802.1x correspondante dans la pile TCP du client, pour conduire une conversation d’authentification. Bien sûr, le point d’extrémité doit posséder 802.1x. La figure 1 illustre cela dans Windows XP.
Le standard 802.1x accepte plusieurs références d’authentification, appelées facteurs. En autres, un ID et mot de passe utilisateur entrés manuellement, un jeton tel qu’une Smart Card, un lecteur biométrique, un certificat numérique ou toute combinaison de ces dispositifs (figure 2). On combine souvent deux de ces facteurs, pour obtenir alors une authentification à deux facteurs, pour prévenir l’abus de références qui pourraient être stockées dans une unité du genre PDA ou ordinateur portable. Tous les systèmes d’exploitation ne reconnaissent pas tous les facteurs : certaines unités d’authentification propriétaires (comme les lecteurs d’empreintes digitales) pourraient exiger des plug-ins tiers.
Sous le capot, 802.1x emploie le EAP (Extensible Authentication Protocol) dans les communications intervenant entre le supplicant et PDP. EAP lui-même est crypté de manière à déjouer les attaques d’intermédiaires. En revanche, la communication entre le PDP et son PEP en amont pourrait ne pas être cryptée, et il est donc essentiel de maintenir le contrôle physique sur ce canal de communication PDP/PEP. Ainsi, on ne veut sûrement pas que la conversation PDP/PEP se déroule sur Internet.
Pendant tout le processus EAP, le commutateur Ethernet maintient le port Ethernet bloqué, empêchant ainsi tout trafic de supplicant d’atteindre votre LAN. Tant qu’il n’est pas authentifié par 802.1x, le supplicant ne peut même pas avoir une adresse IP émise par le réseau. Dès lors qu’un supplicant est identifié, le commutateur débloque le port et le trafic normal du réseau s’écoule. Généralement cela commence par une demande DHCP pour obtenir une adresse IP, une passerelle, et des paramètres DNS, après quoi le point d’extrémité a une communication restreinte avec le LAN. Pour une communication complète, il faut attendre que NAC ait couvert la seconde étape : le contrôle d’intégrité.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
