2.2.4. Une bonne sécurité avec le 802.1x
Page | 34
entre le client et le serveur d'authentification. Pour
éviter toutes ces attaques, nous avons vu qu'il fallait :
? Utiliser une des méthodes à base de tunnel :
EAP/TLS, TTLS ou PEAP (voire EAP/FAST);
? S'assurer que le certificat du serveur soit toujours
vérifié par les clients et qu'aucun utilisateur ne se connecte si
le certificat est mauvais ;
? Eventuellement mettre en place un certificat pour chaque poste
client ;
? Utiliser si possible une méthode interne assez forte,
telle qu'une carte à jeton ;
? S'assurer qu'un cryptage puissant soit mis en place au cours
de l'identification : le WPA et le WPA2 sont d'excellentes options.
Pour mettre en place une architecture 802.1x avec le WiFi, il
faut choisir et installer un serveur d'authentification (en
général de type RADIUS), et s'assurer que tous les AP
gèrent bien le 802.1x. Il faut également choisir et installer un
logiciel de connexion compatible 802.1x sur le poste de chaque utilisateur. Ce
logiciel peut être fourni avec l'adaptateur WiFi ou directement
intégré dans le système d'exploitation : c'est le cas avec
les versions récentes de Windows et de Mac OS. Il reste ensuite à
choisir une ou plusieurs méthodes d'authentification EAP, s'assurer que
le serveur RADIUS les gère et que les logiciels de connexion des clients
soient bien compatibles avec au moins l'une de ces méthodes.
Ainsi, voici en résumé le fonctionnement global
d'un réseau sécurisé avec le standard 802.1x :
? Le contrôleur d'accès, ayant
préalablement reçu une demande de connexion de la part de
l'utilisateur, envoie une requête d'identification ;
? L'utilisateur envoie une réponse au contrôleur
d'accès, qui la fait suivre au serveur d'authentification ;
? Le serveur d'authentification envoie un « challenge
» au contrôleur d'accès, qui le transmet à
l'utilisateur. Le challenge est une méthode d'identification. Si le
client ne gère pas la méthode, le serveur en propose une autre et
ainsi de suite ;
? L'utilisateur répond au challenge. Si
l'identité de l'utilisateur est correcte, le serveur d'authentification
envoie un accord au contrôleur d'accès, qui acceptera
l'utilisateur sur le réseau ou à une partie du réseau,
selon ses droits. Si l'identité de l'utilisateur n'a pas pu être
vérifiée, le serveur d'authentification envoie un refus et le
contrôleur d'accès refusera à l'utilisateur
d'accéder au réseau.
2.3. Le serveur RADIUS
Les serveurs RADIUS, qui servent avant tout à
identifier les utilisateurs d'un service. Ce protocole ne fait pas partie de la
norme 802.11 et il peut être utilisé dans bien d'autres contextes
que les réseaux sans fil. Cependant, il est tout à fait central
lorsque l'on met en oeuvre une architecture 802.1x, ce qui est
généralement le cas dans un réseau WiFi d'entreprise
protégé par les nouvelles solutions de sécurité, le
WPA ou le WPA2.
En d'autres termes, sa fonction première est de
centraliser l'authentification des utilisateurs qui cherchent à se
connecter à un réseau ou à un service
quelconque28.
28 Aurélien Géron, Op.cit., p. 308.
A la fin de la session, Lorsque l'utilisateur met fin à
sa session, ou que le NAS le déconnecte (ou encore si la connexion est
coupée), le NAS envoie une requête au serveur
Page | 35
| 
