Passer au contenu

802. 1x : le garde-barrière du réseau

Le nouveau protocole Ethernet crée un sas où les utilisateurs attendront d’être authentifiés avant d’entrer réellement sur le réseau.

Si l’on compare l’authentification Radius (Remote Access Dial In User Service) au contrôle d’une personne physique, le paradoxe saute aux yeux : pour vérifier si un visiteur est autorisé ou non à entrer, il faut d’abord le laisser parvenir jusqu’à un bureau de vérification, le serveur Radius. Tout l’objet du nouveau protocole 802. 1x est de mettre fin à cette situation potentiellement dangereuse. En prolongeant la comparaison avec l’accès physique d’une personne, cela revient à la faire attendre devant la porte d’entrée le temps que le gardien se renseigne et lui autorise l’accès. Dans la pratique, l’authentification d’un utilisateur ne se fait plus au niveau d’un serveur Radius situé à l’intérieur du périmètre de sécurité, mais directement sur le port Ethernet d’un commutateur de groupe de travail, ou sur le lien radio d’un point d’accès Ethernet sans fil. Pour un LAN comme pour les réseaux Ethernet des fournisseurs d’accès, les avantages de cette technologie, adoptée par Cisco, Extreme Networks et Enterasys, sont nombreux. Le protocole 802. 1x, aussi appelé EAPoL (Extended Authentification Protocol over LAN), exploite un mécanisme de certification EAP, déjà connu et utilisé pour authentifier les utilisateurs de liaisons d’accès distants (protocole PPP).
En accès distant, le processus d’authentification fait intervenir trois éléments : le demandeur ou client distant, le concentrateur d’accès distant, assimilable ici à un gardien, et le serveur d’authentification Radius, qui délivre et gère les autorisations. Pour restituer cette structure sur un réseau Ethernet, le protocole 802. 1x met en oeuvre un agent d’exécution directement attaché au port Ethernet d’un commutateur. Placé en amont ou inséré à la pile MAC qui gère les adresses physiques, il bloque l’intégralité du trafic par défaut, rejetant toutes les trames qui se présentent sur le lien Ethernet, sauf celles destinées à la gestion du réseau et à l’authentification. Lorsque l’adaptateur Ethernet d’un PC envoie une requête d’inscription sur le réseau (broadcast), l’agent d’authentification autorise momentanément l’établissement d’un lien de certification (voir infographie). C’est un identifiant indépendant obtenu après la saisie d’un mot de passe sur le PC qui servira à certifier le demandeur. L’agent d’authentification va alors jouer un rôle de relais, transmettant ces informations au serveur Radius, dont il attendra la réponse sur un port logique non contrôlé. Une réponse généralement limitée à ” accordé “, ” refusé ” et ” serveur indisponible “. En cas d’accord, il associe l’adresse MAC à un port logique contrôlé, qui est configuré dynamiquement en fonction du sous-réseau virtuel d’appartenance ou de la qualité de service prédéfinie. En cas de refus, le lien logique Ethernet entre l’adaptateur PC et le commutateur est coupé. Il ne pourra être rétabli que par la réinitialisation de l’adaptateur (qui passe en général par le redémarrage du PC demandeur).

Vers une configuration de réseau personnalisée par utilisateur

Cette architecture relativement standard autorise la mise en ?”uvre de 802. 1x dans de nombreux cas de figure, des réseaux Ethernet filaires aux RLR (réseaux locaux radio) en passant par des liens ADSL. Au-delà de la seule authentification, le protocole 802. 1x rend aussi envisageable de facturer les utilisateurs à la consommation ou au temps passé, et de gérer des comptes d’accès, comme on le fait aujourd’hui en accès distant. Au sein même d’un réseau local d’entreprise, 802. 1x introduirait, d’après Enterasys, une plus grande souplesse dans la segmentation du réseau. En théorie, explique le constructeur, il serait ainsi possible à un utilisateur de s’authentifier depuis n’importe quel point du réseau, qui lui restituerait son environnement de réseau personnel (sous-réseau virtuel d’appartenance, droits d’accès, niveau de qualité de service, etc. ).Dans sa mise en ?”uvre actuelle, le protocole 802. 1x est conçu pour fonctionner avec un serveur d’authentification Radius. Mais, de l’aveu même des constructeurs, il ne s’agit là que d’une recommandation. Le protocole en lui-même ne spécifie en effet rien à ce sujet, pas plus qu’il ne fixe le contenu ou le format des trames d’authentification. En théorie, rien n’interdit d’utiliser un serveur Tacacs+, voire de rattacher l’authentification 802. 1x à une infrastructure à clé publique (PKI). Mais Radius dispose cependant d’avantages indiscutables : conçu à l’origine pour gérer les processus d’authentification distants, il dispose en standard de la capacité à encapsuler les trames EAP, que ce soit sur un lien d’accès distant PPP ou une liaison Ethernet.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


PAUL PHILIPON-DOLLET