Présentation de 802.1X et des types d’EAP

Documentation

Information et documentation de produit

000006999

28/10/2021

NoteCes données ne sont pas destinées aux utilisateurs domestiques ou de petit bureau qui n’utilisent généralement pas les fonctionnalités de sécurité avancées telles que celles décrites dans cette page. Toutefois, il est possible que ces utilisateurs trouvent les sujets intéressants à des fins d’information.

 

Présentation de 802.1X

802.1X est un protocole d’accès au port permettant de protéger les réseaux par le biais d’une authentification. En conséquence, ce type de méthode d’authentification est extrêmement utile dans l’environnement Wi-Fi en raison de la nature du milieu. Si l’accès au réseau d’un utilisateur Wi-Fi est authentifié via la norme 802.1X, un port virtuel est ouvert sur le point d’accès permettant la communication. Si l’autorisation n’est pas accordée, aucun port virtuel n’est rendu disponible et les communications sont bloquées.

L’authentification 802.1X comporte trois éléments de base :

  1. Demandeur Un client logiciel exécuté sur le poste de travail Wi-Fi.
  2. Authentificateur Le point d’accès Wi-Fi.
  3. Serveur d’authentification Une base de données d’authentification, généralement un serveur de rayon comme Cisco ACS*, Funk Steel-Belted RADIUS* ou Microsoft IAS*.

Le protocole d’authentification extensible (EAP) est utilisé pour transmettre les informations d’authentification entre le demandeur (le poste de travail Wi-Fi) et le serveur d’authentification (Microsoft IAS ou autre). Le type EAP gère et définit l’authentification. Le point d’accès agissant comme authentificateur n’est qu’un proxy permettant au demandeur et au serveur d’authentification de communiquer.

Quel est le produit à utiliser ?

Le type d’EAP à mettre en œuvre, ou l’application du tout 802.1X, dépend du niveau de sécurité dont l’organisation a besoin, des frais généraux administratifs et des fonctionnalités souhaitées. Nous espérons que les descriptions et le tableau comparatif suivants vous permettront de comprendre plus facilement les différents types d’EAP disponibles.

Types d’authentification du protocole d’authentification extensible (EAP, Extensible Authentication Protocol)

Étant donné que la sécurité du réseau WLAN (Wi-Fi Local Area Network) est essentielle et que les types d’authentification EAP offrent un meilleur moyen de sécuriser la connexion du réseau WLAN, les fournisseurs développent et ajoutent rapidement des types d’authentification EAP à leurs points d’accès WLAN. Certains des types d’authentification EAP les plus couramment déployés comprennent EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast et Cisco LEAP.

  • Le défi EAP-MD-5 (Message Digest) est un type d’authentification EAP qui fournit une prise en charge EAP au niveau de base. Le protocole EAP-MD-5 n’est généralement pas recommandé dans les implémentations de réseau Wi-Fi, car il est possible que le mot de passe de l’utilisateur soit dérivé. Il ne fournit qu’une authentification à sens unique : il n’existe pas d’authentification mutuelle du client Wi-Fi et du réseau. Et, ce qui est très important, il ne fournit pas de moyen d’obtenir des clés WEP (Wired Equivalent Privacy) dynamiques par session.
  • L’authentification EAP-TLS (Transport Layer Security) prévoit une authentification mutuelle et basée sur un certificat du client et du réseau. Il s’appuie sur des certificats côté client et côté serveur pour effectuer l’authentification et peut être utilisé pour générer dynamiquement des clés WEP basées sur l’utilisateur et basées sur les sessions afin de sécuriser les communications ultérieures entre le client WLAN et le point d’accès. Un inconvénient de l’EAP-TLS est que les certificats doivent être gérés à la fois du côté du client et du serveur. Pour une installation de réseau WLAN de grande taille, cela peut être une tâche très lourde.
  • Le protocole EAP-TTLS (Tunneled Transport Layer Security) a été développé par Funk Software* et Certicom*, dans le cadre d’une extension de l’EAP-TLS. Cette méthode de sécurité prévoit une authentification mutuelle du client et du réseau basée sur un certificat via un canal crypté (ou tunnel), ainsi qu’un moyen d’utiliser des clés WEP dynamiques, par utilisateur et par session. Contrairement à l’EAP-TLS, le type EAP-TTLS ne nécessite que des certificats côté serveur.
  • EAP-FAST (Flexible Authentication via Secure Tunneling) a été développé par Cisco*. Au lieu d’utiliser un certificat pour obtenir une authentification mutuelle, EAP-FAST authentifie au moyen d’un PAC (Protected Access Credential) qui peut être géré dynamiquement par le serveur d’authentification. Le PAC peut être approvisionné (distribué une fois) au client manuellement ou automatiquement. L’approvisionnement manuel est la livraison au client par disque ou une méthode de distribution réseau sécurisée. L’approvisionnement automatique est une distribution en bande, sans fil.
  • La méthode d’authentification du protocole extensible pour l’identité d’abonné GSM (EAP-SIM) est un mécanisme d’authentification et de distribution des clés de session. Elle utilise le module SIM (Subscriber Identity Module) du système de communication GSM (Global System for Mobile Communications). EAP-SIM utilise une clé WEP dynamique de session, dérivée de la carte client et du serveur RADIUS, pour chiffrer les données. EAP-SIM requiert la saisie d’un code de vérification utilisateur, ou PIN, pour communiquer avec la carte SIM (Subscriber Identity Module). Une carte SIM est une carte à puce spéciale utilisée par les réseaux cellulaires numériques basés sur la technologie GSM (Système global de communications mobiles).
  • La méthode d’authentification EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) est un mécanisme EAP pour l’authentification et la distribution des clés de session, utilisant le module d’identification d’abonné USIM de Universal Mobile Telecommunications System (UMTS). La carte USIM est une carte à puce spéciale utilisée avec les réseaux cellulaires pour valider un utilisateur donné avec le réseau.
  • Le protocole LEAP (Lightweight Extensible Authentication Protocol), est un type d’authentification EAP utilisé principalement dans les WLAN Cisco Aironet*. Il chiffre les transmissions de données à l’aide de clés WEP générées dynamiquement et prend en charge l’authentification mutuelle. Cisco a accordé des licences pour l’adéquation de la technologie LEAP à une variété d’autres fabricants dans le cadre de son programme Cisco Compatible Extensions.
  • Le protocole PEAP (Protected Extensible Authentication Protocol) fournit une méthode permettant de transporter en toute sécurité les données d’authentification, y compris les protocoles anciens basés sur mot de passe, sur les réseaux Wi-Fi 802.11. Le protocole PEAP y parvient en utilisant un tunnel entre les clients PEAP et un serveur d’authentification. À l’instar de la norme concurrente Tunneled Transport Layer Security (TTLS), le protocole PEAP authentifie les clients de réseaux Wi-Fi en utilisant uniquement des certificats côté serveur, simplifiant ainsi la mise en œuvre et l’administration d’un réseau Wi-Fi sécurisé. Microsoft, Cisco et RSA Security ont développé le protocole PEAP.

Types EAP 802.1X

Fonctionnalités /avantages

MD5
---
Digest des messages 5
TLS
---
Sécurité au niveau du transport
TTLS
---
Sécurité au niveau du transport tunnelé
PEAP
---
Sécurité au niveau du transport protégé

RAPIDE
---
Authentification flexible via tunnel sécurisé

SAUT
---
Protocole d’authentification extensible léger
Certificat côté client requisnonOuinonnonnon
(PAC)
non
Certificat côté serveur requisnonOuiOuiOuinon
(PAC)
non
Gestion des clés WEPnonOuiOuiOuiOuiOui
Détection des points d’accès non autorisésnonnonnonnonOuiOui
FournisseurMSMSFunkMSCiscoCisco
Attributs d’authentificationÀ sens uniqueMutuelleMutuelleMutuelleMutuelleMutuelle
Difficultés de déploiementFacileDifficile (en raison du déploiement du certificat client)ModéréeModéréeModéréeModérée
Sécurité Wi-FiPauvresTrès élevéHauteHauteHauteÉlevée lorsque des mots de passe forts sont utilisés.

 

Un examen des discussions et du tableau ci-dessus fournit généralement les conclusions suivantes :

  • Le type MD5 n’est généralement pas utilisé car il ne réalise qu’une authentification à sens unique et, ce qui est probablement encore plus important, il ne prend pas en charge la distribution automatique et la rotation des clés WEP et ne fait donc rien pour soulager la charge administrative de maintenance manuelle des clés WEP.
  • Le TLS, bien que très sécurisé, nécessite que les certificats clients soient installés sur chaque poste de travail Wi-Fi. La maintenance d’une infrastructure PKI nécessite une expertise administrative et du temps supplémentaires, en plus de l’entretien du réseau WLAN lui-même.
  • Le type TTLS aborde la question du certificat en tunnelant TLS, éliminant ainsi la nécessité d’un certificat du côté client. Ce qui en fait une option souvent préférée. Funk Software* est le principal promoteur de TTLS, et des frais sont facturés pour les logiciels d’authentification du serveur et du demandeur.
  • Le type LEAP est le plus ancien et, alors qu’il était précédemment propriétaire de Cisco (fonctionnait avec des cartes Wi-Fi Cisco uniquement), Cisco a accordé des licences LEAP à une variété d’autres fabricants dans le cadre de son programme Cisco Compatible Extensions. Une stratégie concernant les mots de passe forts doit être appliquée lorsque le type d’authentification LEAP est utilisé.
  • EAP-FAST est maintenant disponible pour les entreprises qui ne peuvent pas appliquer une stratégie à mot de passe fort et ne veulent pas déployer de certificats pour l’authentification.
  • Le type PEAP le plus récent fonctionne de manière semblable au type EAP-TTLS en ce qu’il ne nécessite pas de certificat du côté client. PEAP est soutenu par Cisco et Microsoft et est disponible sans frais supplémentaires de Microsoft. Si vous souhaitez passer d’un type LEAP à PEAP, le serveur d’authentification ACS de Cisco exécutera les deux.

Une autre option est un réseau VPN

Au lieu de s’appuyer sur un réseau Wi-Fi pour l’authentification et la confidentialité (chiffrement), de nombreuses entreprises mettent en place un réseau VPN. Pour ce faire, il est possible de placer les points d’accès à l’extérieur du pare-feu de l’entreprise et d’installer le tunnel utilisateur par une passerelle VPN, tout comme s’il s’agissait d’un utilisateur distant. Les inconvénients de la mise en œuvre d’une solution VPN sont le coût, la complexité de l’installation initiale, et les frais d’administration courants.