1 / 27

Audric PODMILSAK 13 janvier 2009

802.1x. Audric PODMILSAK 13 janvier 2009. Plan de la présentation. Qu’est ce que 802.1x ? Le protocole EAP Le protocole RADIUS Les failles de 802.1x Conclusion. 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion. 802.1x ?.

habib
Download Presentation

Audric PODMILSAK 13 janvier 2009

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 802.1x Audric PODMILSAK 13 janvier 2009

  2. Podmilsak 802.1x 2/27 Audric Plan de la présentation Qu’est ce que 802.1x ? Le protocole EAP Le protocole RADIUS Les failles de 802.1x Conclusion

  3. Podmilsak 802.1x 3/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion 802.1x ?

  4. Podmilsak 802.1x 4/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Mis au point par l’IEEE en 2001, aussi appelé “Port-Based Network Access Control”. • Assure l’authentification des utilisateurs sur un réseau filaire ou non-filaire. • Repose sur le protocole EAP, et la mise en place d’un serveur d’authentification (RADIUS) et d’un controlleur d’accès (Commutateur, Access Point).

  5. Podmilsak 802.1x 5/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Fonctionnement général :

  6. Podmilsak 802.1x 6/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Authentification basée sur le contrôle des ports. Authentification Authentifié

  7. Podmilsak 802.1x 7/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Client Contrôleur d’accès RADIUS

  8. Podmilsak 802.1x 8/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Extensible Authentication Protocol

  9. Podmilsak 802.1x 9/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Protocole de transport des données nécessaire à l’authentification. • Protocole extensible, on peut définir de nouvelles méthodes d’authentifications, il est indépendant. • De nombreux choix pour la méthode d’authentification.

  10. Podmilsak 802.1x 10/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • EAP-MD5 : Authentification avec un mot de passe. • EAP-TLS : Authentification avec un certificat éléctronique. • EAP-TTLS : Authentification avec n’importe quelle méthode d’authentification, au sein d’un tunnel TLS. • EAP-PEAP : Authentification avec n’importe quelle méthode d’authentification EAP, au sein d’un tunnel TLS.

  11. Podmilsak 802.1x 11/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Les types de paquets existants : • EAP Request : Envoyé par le contrôleur d’accès au client. • EAP Response : Réponse du client au contrôleur d’accès. • EAP Success : Paquet envoyé au client en fin d’authentification si elle est réussie. • EAP Failure : Paquet envoyé au client en fin d’authentification si elle est ratée.

  12. Podmilsak 802.1x 12/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Les types de paquets ajoutés par la norme 802.1x : • EAPoL-Start : qui permet au client d’alerter le contrôleur d’accès qu’il souhaite se connecter. • EAPoL-Packet : Paquet qui encapsule les paquets EAP. • EAPoL-Key : Paquet qui permet l’échange de clé de cryptage. • EAPoL-Logoff : permet d’amorcer la fermeture de session.

  13. Podmilsak 802.1x 13/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Remote Authentication Dial In User Service

  14. Podmilsak 802.1x 14/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Protocole qui permet de centraliser les données d’authentification. • Radius répond au modèle AAA: • Authentication • Authorization • Accounting • Au dessus de la couche de transport UDP.

  15. Podmilsak 802.1x 15/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Pour l’authentification il y a quatre type de paquets : • Access-Request : envoyé par le contrôleur d’accès, contenant les informations sur le client(login/mot de passe, ...). • Access-Accept : envoyé par le serveur dans le cas où l’authentification est un succès. • Access-Reject : envoyé par le serveur dans le cas où l’authentification est un échec, ou si il souhaite fermer la connection • Access-Challenge : envoyé par le serveur pour demander des informations complémentaires, et donc la réemission d’un paquet Access-Request.

  16. Podmilsak 802.1x 16/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Les attributs des paquets RADIUS sont sous la forme de paire attributs-valeurs. • Le champs attributs du paquet peut en contenir plusieurs. • Les attributs utiles dans le cadre de l’authentification sont : • User-Name, User-Password, NAS-IP-Address, NAS-Port, Called-Station-Id et Calling-Station-Id

  17. Podmilsak 802.1x 17/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Les failles de 802.1x

  18. Podmilsak 802.1x 18/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Le protocole possèdent quelques failles, qui sont néanmoins bien identifiées et évitables : • Attaque de la méthode d’authentification. • Attaque de la session, une fois l’authentification établie. • Attaque du “Man in the middle”, entre le point d’accès et le client.

  19. Podmilsak 802.1x 19/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Les attaques sur les méthodes d’authentification : • Une attaque par dictionnaire hors-ligne : contre EAP MD5. • La solution : utiliser une méthode plus efficace (TLS, PEAP) • Une attaque par dictionnaire en ligne : contre EAP PEAP/TTLS. • La solution : configurer le serveur pour bloquer les adresses IP après plusieurs tentatives en échec consécutives.

  20. Podmilsak 802.1x 20/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • L’attaque sur la session : • EAP seul ne protège pas la session. • Le contrôleur d’accès se contente de vérifier l’adresse MAC. • Dans le cas d’une communication wifi : mettre en place un tunnel, à l’aide de WPA ou WPA2 par exemple.

  21. Podmilsak 802.1x 21/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • L’attaque du “Man in the middle” : • Attaque facile à réaliser dans le cas d’une communication wifi. • Contrable en mettant en place un tunnel, WPA WPA2. • Problème pour EAP-PEAP et EAP-TTLS. • Il faut s’assurer que les clients vérifient bien les certificats.

  22. Podmilsak 802.1x 22/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Pour pallier à toutes ces failles on peut effectuer les actions suivantes : • Utiliser en priorité EAP-TLS, EAP-PEAP ou EAP-TTLS. • Mettre en place un tunnel chiffré entre le point d’accès et le client (WPA ou WPA2) dans le cas du wifi. • Avertir les utilisateurs pour la vérification des certificats.

  23. Podmilsak 802.1x 23/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS4. Les failles 5. Conclusion Conclusion

  24. Podmilsak 802.1x 24/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion • Assure l’authentification sur un réseau filaire ou sans-fil. • Un peu lourd à mettre en place. • Quelques précautions à prendre du point de vue de la sécurité.

  25. Podmilsak 802.1x 25/27 Audric 1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

  26. Podmilsak 802.1x 26/27 Audric Source • Authentification réseau avec Radius – 802.1x EAP FreeRadius de Serge Bordères • WiFi Déploiement et sécurité, 2ème édition de Aurélien Géron • Wikipédia

  27. Podmilsak 802.1x 27/27 Audric Merci de votre attention

More Related