Présentation de 802.1X et des types d’EAP

Documentation

Information et documentation de produit

000006999

26/03/2021

NoteCes données ne sont pas destinées aux utilisateurs à domicile ou de petit bureau qui n’utilisent généralement pas les fonctionnalités de sécurité avancées telles que celles discutées dans cette page. Cependant, il est possible que ces utilisateurs trouvent les sujets intéressants à des fins d’information.

 

Présentation de 802.1X

802.1X est un protocole d’accès aux ports pour la protection des réseaux par authentification. En conséquence, ce type de méthode d’authentification est extrêmement utile dans un environnement Wi-Fi en raison de la nature du milieu. Si un utilisateur Wi-Fi est authentifié par l’intermédiaire de la connexion 802.1X pour l’accès au réseau, un port virtuel est ouvert sur le point d’accès permettant la communication. Si l’autorisation n’est pas autorisée, un port virtuel n’est pas rendu disponible et les communications sont bloquées.

L’authentification 802.1X est basée sur trois éléments de base :

  1. Demandeur Un client logiciel fonctionnant sur le poste de travail Wi-Fi.
  2. Authentator Le point d’accès Wi-Fi.
  3. Serveur d’authentification Une base de données d’authentification, généralement un serveur de rayon comme Cisco ACS*, Funk Steel-Belted RADIUS* ou Microsoft IAS*.

Le protocole d’authentification extensible (EAP) est utilisé pour transmettre les informations d’authentification entre le demandeur (le poste de travail Wi-Fi) et le serveur d’authentification (Microsoft IAS ou autre). Le type EAP gère et définit l’authentification. Le point d’accès agissant comme authentifié n’est qu’un proxy permettant au demandeur et au serveur d’authentification de communiquer.

Quels sont les usages ?

Le type d’EAP à mettre en œuvre, ou l’utilisation même de la fonctionnalité 802.1X, dépend du niveau de sécurité dont l’organisation a besoin, des frais généraux administratifs et des fonctionnalités souhaitées. Nous espérons que les descriptions et le tableau comparatif suivants vous faciliteront la compréhension des différents types d’EAP disponibles.

Types d’authentification du protocole d’authentification extensible (EAP)

Étant donné que la sécurité du réseau WLAN (Wi-Fi Local Area Network) est essentielle et que les types d’authentification EAP offrent un meilleur moyen de sécuriser la connexion d’un réseau WLAN, les fournisseurs développent et ajoutent rapidement des types d’authentification EAP à leurs points d’accès WLAN. Certains des types d’authentification EAP les plus couramment déployés comprennent EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast et Cisco LEAP.

  • Le défi EAP-MD-5 (Message Digest) est un type d’authentification EAP qui fournit une prise en charge EAP de base. L’élixage EAP-MD-5 n’est généralement pas recommandé pour les implémentations de réseau Wi-Fi, car il est possible que le mot de passe de l’utilisateur soit dérivé. Il ne prévoit qu’une authentification à sens unique : aucune authentification mutuelle entre le client et le réseau Wi-Fi. Et, ce qui est très important, il ne fournit aucun moyen d’dériver des clés WEP (Wired Equivalent Privacy) dynamiques par session.
  • L’authentification EAP-TLS (Transport Layer Security) prévoit une authentification mutuelle et basée sur un certificat du client et du réseau. Il s’appuie sur des certificats côté client et côté serveur pour effectuer l’authentification et peut être utilisé pour générer dynamiquement des clés WEP basées sur l’utilisateur et basées sur les sessions afin de sécuriser les communications ultérieures entre le client WLAN et le point d’accès. Un inconvénient de l’ERAP-TLS est que les certificats doivent être gérés à la fois du côté du client et du serveur. Pour une installation d’un grand WLAN, cela peut être une tâche très lourde.
  • L’edentiel EAP-TTLS (Tunneled Transport Layer Security) a été développé par Funk Software* et Certicom*, dans le but d’étendre l’edap-TLS. Cette méthode de sécurité permet une authentification mutuelle entre le client et le réseau à l’aide de certificats par le biais d’un canal chiffré (ou d’un tunnel), ainsi qu’un moyen d’dériver des clés WEP dynamiques, par utilisateur et par session. Contrairement à l’ERAP-TLS, l’erap-TTLS ne nécessite que des certificats côté serveur.
  • EAP-FAST (Flexible Authentication via Secure Tunneling) a été développé par Cisco*. Au lieu d’utiliser un certificat pour réaliser une authentification mutuelle. EAP-FAST authentifiera au moyen d’un PAC (Protected Access Credential) qui peut être géré dynamiquement par le serveur d’authentification. Le PAC peut être provisioné (distribué une fois) au client manuellement ou automatiquement. L’approvisionnement manuel est la livraison au client par disque ou une méthode de distribution réseau sécurisée. L’approvisionnement automatique est une distribution en bande, sans fil.
  • La méthode EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) est un mécanisme d’authentification et de distribution de clés de session. Elle utilise le module SIM (Subscriber Identity Module) du système de communication GSM (Global System for Mobile Communications). EAP-SIM utilise une clé WEP dynamique de session, dérivée de la carte client et du serveur RADIUS, pour chiffrer les données. EAP-SIM requiert la saisie d’un code de vérification utilisateur, ou CODE PIN, pour communiquer avec la carte SIM (Subscriber Identity Module). Une carte SIM est une carte à puce spéciale utilisée par les réseaux cellulaires numériques basés sur la technologie GSM (Global System for Mobile Communications).
  • La méthode d’authentification EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) est un mécanisme EAP pour l’authentification et la distribution des clés de session, utilisant le module d’identification d’abonné USIM de Universal Mobile Telecommunications System (UMTS). La carte USIM est une carte à puce spéciale utilisée avec les réseaux de téléphonie mobile pour valider un utilisateur donné sur le réseau.
  • Le type d’authentification EAP (Lightweight Extensible Authentication Protocol) est un type d’authentification EAP utilisé principalement dans les réseaux WLAN Cisco Aironet*. Il chiffre les transmissions de données à l’aide de clés WEP générées dynamiquement et prend en charge l’authentification mutuelle. Cisco a autorisé, jusqu’à présent, LEAP à une variété d’autres fabricants par le biais de leur programme Cisco Compatible Extensions.
  • Le protocole PEAP (Protected Extensible Authentication Protocol) fournit une méthode pour transporter en toute sécurité les données d’authentification, y compris les protocoles anciens basés sur mot de passe, sur les réseaux Wi-Fi 802.11. Le système PEAP y par effet de tunnel entre les clients PEAP et un serveur d’authentification. À l’aide de la norme concurrente Tunneled Transport Layer Security (TTLS), le type PEAP authentifiera les clients de réseaux Wi-Fi en utilisant uniquement des certificats côté serveur, simplifiant ainsi la mise en œuvre et l’administration d’un réseau Wi-Fi sécurisé. Microsoft, Cisco et RSA Security ont développé le peAP.

Types EAP 802.1X

Caractéristiques / Avantages

MD5
---
Message Digest 5
Tls
---
Sécurité au niveau des transports
Ttls
---
Sécurité au niveau du transport tunnelé
Peap
---
Sécurité du niveau de transport protégé

Rapide
---
Authentification flexible via tunnel sécurisé

Saut
---
Protocole d’authentification extensible léger
Certificat côté client requisnonOuinonnonnon
(PAC)
non
Certificat côté serveur requisnonOuiOuiOuinon
(PAC)
non
Gestion des clés WEPnonOuiOuiOuiOuiOui
Détection des point d’accès non fiablesnonnonnonnonOuiOui
FournisseurMsMsFunkMsCiscoCisco
Attributs d’authentificationÀ sens seulMutuelleMutuelleMutuelleMutuelleMutuelle
Difficultés de déploiementFacileDifficile (à cause du déploiement d’un certificat client)ModéréeModéréeModéréeModérée
Sécurité Wi-FiPauvresTrès élevéHauteHauteHauteÉlevé lorsque des mots de passe forts sont utilisés.

 

Un examen des discussions et du tableau ci-dessus fournit généralement les conclusions suivantes :

  • Le md5 n’est généralement pas utilisé car il ne fait qu’une authentification à sens unique et, ce qui est probablement encore plus important, il ne prend pas en charge la distribution automatique et la rotation des clés WEP et ne fait donc rien pour soulager la charge administrative de maintenance manuelle des clés WEP.
  • Bien que très sécurisé, le TLS nécessite l’installation de certificats clients sur chaque station de travail Wi-Fi. La maintenance d’une infrastructure PKI nécessite une expertise administrative et du temps supplémentaires, en plus de l’entretien du réseau WLAN lui-même.
  • Le TTLS aborde la question du certificat en tunnelant TLS, éliminant ainsi la nécessité d’un certificat du côté client. Cela en fait une option souvent préférée. Funk Software* est le principal promoteur de TTLS, et des frais sont en jeu pour le demandeur et le logiciel d’authentification de serveur.
  • Le leap est le plus ancien et, alors que Cisco en était propriétaire auparavant (fonctionne avec des cartes Wi-Fi Cisco uniquement), Cisco a autorisé LEAP à une variété d’autres fabricants dans le cadre de son programme Cisco Compatible Extensions. Une stratégie sur les mots de passe forts doit être appliquée lorsque le leap est utilisé pour l’authentification.
  • L’authentification EAP-FAST est maintenant disponible pour les entreprises qui ne peuvent pas appliquer une stratégie sur les mots de passe forts et ne veulent pas déployer de certificats pour l’authentification.
  • Le peAP le plus récent fonctionne comme EAP-TTLS car il n’exige pas de certificat du côté client. PEAP estdoyé par Cisco et Microsoft et est disponible sans frais supplémentaires de Microsoft. Si vous souhaitez passer du leap au PEAP, le serveur d’authentification ACS de Cisco exécutera les deux.

Une autre option est un réseau VPN

Au lieu de s’appuyer sur un réseau Wi-Fi pour l’authentification et la confidentialité (chiffrement), de nombreuses entreprises mettent en place un réseau VPN. Cela se fait en plaçant les points d’accès à l’extérieur du pare-feu de l’entreprise et en faisant passer le tunnel utilisateur par une passerelle VPN, comme s’il s’agit d’un utilisateur distant. Les inconvénients de la mise en œuvre d’une solution VPN sont le coût, la complexité de l’installation initiale et les frais d’administration courants.