802.

1x

Audric PODMILSAK
13 janvier 2009

Plan de la prsentation

1. Quest ce que 802.1x ?

2. Le protocole EAP
3. Le protocole RADIUS
4. Les failles de 802.1x
5. Conclusion

Podmilsak
Audric

802.1x

2/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

802.1x ?

Podmilsak
Audric

802.1x

3/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Mis au point par lIEEE en 2001, aussi appel Port-Based

Network Access Control.

Assure lauthentification des utilisateurs sur un rseau filaire ou

non-filaire.

Repose sur le protocole EAP, et la mise en place dun serveur

dauthentification (RADIUS) et dun controlleur daccs
(Commutateur, Access Point).

Podmilsak
Audric

802.1x

4/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Fonctionnement gnral :

Podmilsak
Audric

802.1x

5/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Authentification base sur le contrle des ports.

Authentifi
Authentification

Podmilsak
Audric

802.1x

6/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Client

Podmilsak
Audric

Contrleur daccs

802.1x

RADIUS

7/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Extensible Authentication Protocol

Podmilsak
Audric

802.1x

8/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Protocole de transport des donnes ncessaire

lauthentification.

Protocole extensible, on peut dfinir de nouvelles mthodes

dauthentifications, il est indpendant.

De nombreux choix pour la mthode dauthentification.

Podmilsak
Audric

802.1x

9/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

EAP-MD5 : Authentification avec un mot de passe.

EAP-TLS : Authentification avec un certificat lctronique.

EAP-TTLS : Authentification avec nimporte quelle mthode

dauthentification, au sein dun tunnel TLS.

EAP-PEAP : Authentification avec nimporte quelle mthode

dauthentification EAP, au sein dun tunnel TLS.

Podmilsak
Audric

802.1x

10/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les types de paquets existants :

EAP Request : Envoy par le contrleur daccs au client.

EAP Response : Rponse du client au contrleur daccs.

EAP Success : Paquet envoy au client en fin

dauthentification si elle est russie.

EAP Failure : Paquet envoy au client en fin

dauthentification si elle est rate.

Podmilsak
Audric

802.1x

11/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les types de paquets ajouts par la norme 802.1x :

EAPoL-Start : qui permet au client dalerter le contrleur

daccs quil souhaite se connecter.

EAPoL-Packet : Paquet qui encapsule les paquets EAP.

EAPoL-Key : Paquet qui permet lchange de cl de

cryptage.

EAPoL-Logoff : permet damorcer la fermeture de session.

Podmilsak
Audric

802.1x

12/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Remote Authentication Dial In User Service

Podmilsak
Audric

802.1x

13/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Protocole qui permet de centraliser les donnes

dauthentification.

Radius rpond au modle AAA:

Authentication

Authorization

Accounting

Au dessus de la couche de transport UDP.

Podmilsak
Audric

802.1x

14/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Pour lauthentification il y a quatre type de paquets :

Access-Request : envoy par le contrleur daccs, contenant les

informations sur le client(login/mot de passe, ...).

Access-Accept : envoy par le serveur dans le cas o

lauthentification est un succs.

Access-Reject : envoy par le serveur dans le cas o

lauthentification est un chec, ou si il souhaite fermer la connection

Access-Challenge : envoy par le serveur pour demander des

informations complmentaires, et donc la remission dun paquet
Access-Request.

Podmilsak
Audric

802.1x

15/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les attributs des paquets RADIUS sont sous la forme de paire

attributs-valeurs.

Le champs attributs du paquet peut en contenir plusieurs.

Les attributs utiles dans le cadre de lauthentification sont :

Podmilsak
Audric

User-Name, User-Password, NAS-IP-Address, NAS-Port, Called-Station-Id

et Calling-Station-Id

802.1x

16/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les failles de 802.1x

Podmilsak
Audric

802.1x

17/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Le protocole possdent quelques failles, qui sont nanmoins bien

identifies et vitables :

Attaque de la mthode dauthentification.

Attaque de la session, une fois lauthentification tablie.

Attaque du Man in the middle, entre le point daccs et le

client.

Podmilsak
Audric

802.1x

18/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Les attaques sur les mthodes dauthentification :

Une attaque par dictionnaire hors-ligne : contre EAP MD5.

La solution : utiliser une mthode plus efficace (TLS, PEAP)

Une attaque par dictionnaire en ligne : contre EAP PEAP/TTLS.

La solution : configurer le serveur pour bloquer les adresses IP

aprs plusieurs tentatives en chec conscutives.

Podmilsak
Audric

802.1x

19/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Lattaque sur la session :

EAP seul ne protge pas la session.

Le contrleur daccs se contente de vrifier ladresse MAC.

Dans le cas dune communication wifi : mettre en place un

tunnel, laide de WPA ou WPA2 par exemple.

Podmilsak
Audric

802.1x

20/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Lattaque du Man in the middle :

Attaque facile raliser dans le cas dune communication wifi.

Contrable en mettant en place un tunnel, WPA WPA2.

Problme pour EAP-PEAP et EAP-TTLS.

Il faut sassurer que les clients vrifient bien les certificats.

Podmilsak
Audric

802.1x

21/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Pour pallier toutes ces failles on peut effectuer les actions

suivantes :

Utiliser en priorit EAP-TLS, EAP-PEAP ou EAP-TTLS.

Mettre en place un tunnel chiffr entre le point daccs et le

client (WPA ou WPA2) dans le cas du wifi.

Avertir les utilisateurs pour la vrification des certificats.

Podmilsak
Audric

802.1x

22/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Conclusion

Podmilsak
Audric

802.1x

23/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Assure lauthentification sur un rseau filaire ou sans-fil.

Un peu lourd mettre en place.

Quelques prcautions prendre du point de vue de la scurit.

Podmilsak
Audric

802.1x

24/27

1. 802.1x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

Type dEAP

Mthode
dauthentification

Caractristiques

EAP-MD5

Login/password

Facile implmenter
Support par la plupart des serveurs
Attaquable par dictionnaire hors-ligne
Pas dauthentification mutuelle

EAP-TLS

Certificat

Utilisation de certificats par le client et le serveur, de ce

fait cration dun tunnel sur.
Authentification mutuelle entre le client et serveur
Lourd mettre en place cause des certificats cot
client.

EAP-PEAP
EAP-TTLS

Login/password
Et certificat

Cration dun tunnel TLS

Moins lourd que EAP-TLS, car pas de certificat du cot
client.
Moins sur que EAP-TLS, car pas de certificat du ct
client.

Podmilsak
Audric

802.1x

25/27

Source

Authentification rseau avec Radius 802.1x EAP FreeRadius

de Serge Bordres

WiFi Dploiement et scurit, 2me dition

de Aurlien Gron

Wikipdia

Podmilsak
Audric

802.1x

26/27

Merci de votre attention

Podmilsak
Audric

802.1x

27/27