Le 802.1x : introduction à l’authentification réseau

Qu’est-ce que le 802.1X ?

Le 802.1X est un mécanisme d’authentification au standard international pour des terminaux dans un LAN (réseau interne câblé) ou un WLAN (réseau interne sans fil). Il est typiquement appliqué au sein d’une entreprise pour sécuriser l’accès à son réseau et ainsi aux données lui appartenant.
Ce standard d’authentification ne remplace pas le « cloisonnement » du réseau interne de l’entreprise, il n’y a donc aucun risque que des employés aient accès à des parties du réseau ou des données qui leur étaient précédemment interdites. Il va juste empêcher l’accès au réseau par des personnes non autorisées de façon bien plus sécurisée qu’avec une simple clé réseau, dont vous avez peut-être déjà entendu parler (WEP, WPA, WPA2).

Pourquoi l’utiliser ?

Principalement pour des raisons de sécurité et de facilité de gestion. Évidemment, la fonction principale va être de sécuriser le réseau contre des menaces qui seront détaillées plus bas, mais il y a également un côté pratique avec la gestion des accès des employés sur le réseau de l’entreprise.
Selon les statistiques, les fuites de données confidentielles (grilles de salaires des employées, mot de passe mails, projets en cours pour ne citer que quelques un des types de données sensibles pouvant intéresser des personnes malhonnêtes) sont un risque de plus en plus important pour les entreprises.

Ce standard permet de gérer et surveiller l’utilisation du réseau en interne. De par la centralisation des logins et mots de passe, il est simple pour le responsable au sein de l’entreprise d’ajouter ou révoquer l’accès au réseau pour une personne. Le tout sans impact sur l’utilisation du réseau pour les autres. Il est facile par exemple d’invalider l’accès pour un ancien employé ou une personne qui a temporairement eu le droit d’utiliser le réseau privé de l’entreprise.
Contrairement à ce qu’on pourrait penser les entreprises les plus exposées ne sont pas toujours les grandes multinationales. Des personnes sans de grandes connaissances en informatique peuvent utiliser des outils déjà prêts pour lancer ces attaques.

Ce qu’il fait qu’elles sont courantes et qu’il est difficile de remonter à la source dans le cas d’un vol d’informations. Outre le vol certaines manipulations illicites peuvent tout simplement altérer ou supprimer les données avec des conséquences considérables pour l’entreprise victime d’une telle brèche.

Ce type d’attaque n’est pas forcément ciblé et ne fait aucune distinction parmi les réseaux attaqués, une multinationale, un particulier hébergeant un serveur ou une petite entreprise sont tous sujet au risque de voir une intrusion sur leur réseau. La différence étant qu’une grande entreprise est habituée et prête à bloquer ces intrusions.
La norme 802.1X fait partit des outils utilisés pour lutter contre ces risques, son efficacité pour les réduire n’est plus à prouver. La norme est utilisée entre autres par des entreprises, des universités, des hôpitaux ainsi que des administrations dans de nombreux pays.

802.1X permet également de récupérer la durée de connexion sur le réseau pour chaque utilisateur, de vérifier si des connexions ont eu lieu en dehors des heures de travail de l’entreprise, voire d’empêcher la connexions pour un ou plusieurs utilisateurs en dehors de ces plages horaires.

 

Fonctionnement

802.1X est composé de trois parties distinctes, les commutateurs réseau et/ou point d’accès sans fil, les équipements connectés au réseau interne (ordinateurs fixes et portables, terminaux téléphonique dans le cas d’une téléphonie VOIP, les imprimantes connectées au réseau, etc.) et enfin le serveur d’identification qui se chargera de contrôler et valider l’identité des terminaux. Le serveur d’identification fonctionne grâce au protocole RADIUS.

La connexion a lieu en plusieurs étapes. Premièrement le terminal va se connecter au point d’entrée sur le réseau (par exemple une borne wifi). La borne wifi va demander l’identifiant du terminal, quand il lui répond elle transfère la réponse au serveur d’identification.
Le serveur va recevoir l’identifiant et demander au terminal de prouver (avec un mot de passe ou un certificat) son identité. Le terminal envoie les informations nécessaires, le serveur vérifie la validité des informations qu’il reçoit et que le terminal est bien autorisé à se connecter. Si c’est le cas, le serveur dit à la borne wifi d’autoriser l’accès du terminal au réseau.

On peut comparer ce processus à une personne X arrivant avec son visa au service d’immigration d’un aéroport.
La personne va se présenter à l’employé, qui va transmettre le nom de la personne X au service d’immigration pour vérifier qu’elle est bien sur les listes. Le service demande une photocopie du visa et la personne X donne son accord pour l’envoyer.
Enfin, si le visa est confirmé comme étant valide par le service d’immigration, l’employé recevra une réponse positive et laissera entrer la personne X.

Le mot de passe et login de l’utilisateur sont envoyés en chiffré grâce à un système de clés de sécurité appelé CHAP qui assure l’opacité de l’échange. L’utilisation d’un protocole spécifique à RADIUS, appelé RadSec permet ensuite de sécuriser les échanges entre le serveur et les terminaux.

Compatibilité

Les terminaux connectés au service doivent être compatibles avec 802.1X, ce standard de sécurité étant très répandue les fabricants informatiques l’intègrent à leurs produits depuis plusieurs années.

Cependant afin d’éviter de mauvaises surprises avant toute implémentation un recensement des terminaux est nécessaire afin de vérifier leur compatibilité avec 802.1X. Devensys peut se charger de vérifier la compatibilité du matériel informatique de l’entreprise avec le standard.

Pour les ordinateurs, la compatibilité avec 802.1X est assurée pour Linux, Mac OS (depuis 10.3) et Microsoft Windows (Windows XP et les versions ultérieures y compris).
L’iPhone, Windows Phone, BlackBerry et Android sont également compatibles avec 802.1X, les employés de l’entreprise peuvent donc se connecter au réseau sécurisé avec leur smartphone s’ils y sont autorisés.
En termes d’équipement réseau, 802.1X est compatible avec le matériel Cisco, des serveurs tournant avec des outils Linux ou Microsoft, peut fonctionner avec Kerberos, LDAP et d’autres technologies employées en entreprise.

Pour plus d’informations sur le 802.1X et les bénéfices que son implémentation apporte à votre entreprise, n’hésitez pas à nous contacter.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *