La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Audric PODMILSAK 13 janvier 2009 802.1x. Plan de la présentation 1. Quest ce que 802.1x ? 2. Le protocole EAP 3. Le protocole RADIUS 4. Les failles de.

Présentations similaires


Présentation au sujet: "Audric PODMILSAK 13 janvier 2009 802.1x. Plan de la présentation 1. Quest ce que 802.1x ? 2. Le protocole EAP 3. Le protocole RADIUS 4. Les failles de."— Transcription de la présentation:

1 Audric PODMILSAK 13 janvier x

2 Plan de la présentation 1. Quest ce que 802.1x ? 2. Le protocole EAP 3. Le protocole RADIUS 4. Les failles de 802.1x 5. Conclusion Podmilsak 802.1x 2/27 Audric

3 802.1x ? x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Podmilsak 802.1x 3/27 Audric

4 Mis au point par lIEEE en 2001, aussi appelé Port-Based Network Access Control. Assure lauthentification des utilisateurs sur un réseau filaire ou non-filaire. Repose sur le protocole EAP, et la mise en place dun serveur dauthentification (RADIUS) et dun controlleur daccès (Commutateur, Access Point). Podmilsak 802.1x 4/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

5 Fonctionnement général : Podmilsak 802.1x 5/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

6 Authentification basée sur le contrôle des ports. Podmilsak 802.1x 6/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion AuthentificationAuthentifié

7 Podmilsak 802.1x 7/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Client Contrôleur daccèsRADIUS

8 Extensible Authentication Protocol x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Podmilsak 802.1x 8/27 Audric

9 Protocole de transport des données nécessaire à lauthentification. Protocole extensible, on peut définir de nouvelles méthodes dauthentifications, il est indépendant. De nombreux choix pour la méthode dauthentification. Podmilsak 802.1x 9/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

10 EAP-MD5 : Authentification avec un mot de passe. EAP-TLS : Authentification avec un certificat éléctronique. EAP-TTLS : Authentification avec nimporte quelle méthode dauthentification, au sein dun tunnel TLS. EAP-PEAP : Authentification avec nimporte quelle méthode dauthentification EAP, au sein dun tunnel TLS. Podmilsak 802.1x 10/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

11 Les types de paquets existants : EAP Request : Envoyé par le contrôleur daccès au client. EAP Response : Réponse du client au contrôleur daccès. EAP Success : Paquet envoyé au client en fin dauthentification si elle est réussie. EAP Failure : Paquet envoyé au client en fin dauthentification si elle est ratée. Podmilsak 802.1x 11/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

12 Les types de paquets ajoutés par la norme 802.1x : EAPoL-Start : qui permet au client dalerter le contrôleur daccès quil souhaite se connecter. EAPoL-Packet : Paquet qui encapsule les paquets EAP. EAPoL-Key : Paquet qui permet léchange de clé de cryptage. EAPoL-Logoff : permet damorcer la fermeture de session. Podmilsak 802.1x 12/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

13 Remote Authentication Dial In User Service x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Podmilsak 802.1x 13/27 Audric

14 Protocole qui permet de centraliser les données dauthentification. Radius répond au modèle AAA: Authentication Authorization Accounting Au dessus de la couche de transport UDP. Podmilsak 802.1x 14/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

15 Pour lauthentification il y a quatre type de paquets : Access-Request : envoyé par le contrôleur daccès, contenant les informations sur le client(login/mot de passe,...). Access-Accept : envoyé par le serveur dans le cas où lauthentification est un succès. Access-Reject : envoyé par le serveur dans le cas où lauthentification est un échec, ou si il souhaite fermer la connection Access-Challenge : envoyé par le serveur pour demander des informations complémentaires, et donc la réemission dun paquet Access-Request. Podmilsak 802.1x 15/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

16 Les attributs des paquets RADIUS sont sous la forme de paire attributs-valeurs. Le champs attributs du paquet peut en contenir plusieurs. Les attributs utiles dans le cadre de lauthentification sont : User-Name, User-Password, NAS-IP-Address, NAS-Port, Called-Station-Id et Calling-Station-Id Podmilsak 802.1x 16/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

17 Les failles de 802.1x x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Podmilsak 802.1x 17/27 Audric

18 Le protocole possèdent quelques failles, qui sont néanmoins bien identifiées et évitables : Attaque de la méthode dauthentification. Attaque de la session, une fois lauthentification établie. Attaque du Man in the middle, entre le point daccès et le client. Podmilsak 802.1x 18/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

19 Podmilsak 802.1x 19/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Les attaques sur les méthodes dauthentification : Une attaque par dictionnaire hors-ligne : contre EAP MD5. La solution : utiliser une méthode plus efficace (TLS, PEAP) Une attaque par dictionnaire en ligne : contre EAP PEAP/TTLS. La solution : configurer le serveur pour bloquer les adresses IP après plusieurs tentatives en échec consécutives.

20 Podmilsak 802.1x 20/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Lattaque sur la session : EAP seul ne protège pas la session. Le contrôleur daccès se contente de vérifier ladresse MAC. Dans le cas dune communication wifi : mettre en place un tunnel, à laide de WPA ou WPA2 par exemple.

21 Podmilsak 802.1x 21/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Lattaque du Man in the middle : Attaque facile à réaliser dans le cas dune communication wifi. Contrable en mettant en place un tunnel, WPA WPA2. Problème pour EAP-PEAP et EAP-TTLS. Il faut sassurer que les clients vérifient bien les certificats.

22 Podmilsak 802.1x 22/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Pour pallier à toutes ces failles on peut effectuer les actions suivantes : Utiliser en priorité EAP-TLS, EAP-PEAP ou EAP-TTLS. Mettre en place un tunnel chiffré entre le point daccès et le client (WPA ou WPA2) dans le cas du wifi. Avertir les utilisateurs pour la vérification des certificats.

23 Conclusion x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Podmilsak 802.1x 23/27 Audric

24 Assure lauthentification sur un réseau filaire ou sans-fil. Un peu lourd à mettre en place. Quelques précautions à prendre du point de vue de la sécurité. Podmilsak 802.1x 24/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion

25 Podmilsak 802.1x 25/27 Audric x ? 2. EAP 3. RADIUS 4. Les failles 5. Conclusion Type dEAPMéthode dauthentification Caractéristiques EAP-MD5Login/password Facile à implémenter Supporté par la plupart des serveurs Attaquable par dictionnaire hors-ligne Pas dauthentification mutuelle EAP-TLSCertificat Utilisation de certificats par le client et le serveur, de ce fait création dun tunnel sur. Authentification mutuelle entre le client et serveur Lourd à mettre en place à cause des certificats coté client. EAP-PEAP EAP-TTLS Login/password Et certificat Création dun tunnel TLS Moins lourd que EAP-TLS, car pas de certificat du coté client. Moins sur que EAP-TLS, car pas de certificat du côté client.

26 Source Authentification réseau avec Radius – 802.1x EAP FreeRadius de Serge Bordères WiFi Déploiement et sécurité, 2ème édition de Aurélien Géron Wikipédia Podmilsak 802.1x 26/27 Audric

27 Merci de votre attention Podmilsak 802.1x 27/27 Audric


Télécharger ppt "Audric PODMILSAK 13 janvier 2009 802.1x. Plan de la présentation 1. Quest ce que 802.1x ? 2. Le protocole EAP 3. Le protocole RADIUS 4. Les failles de."

Présentations similaires


Annonces Google