{"id":943,"date":"2016-12-04T11:52:52","date_gmt":"2016-12-04T11:52:52","guid":{"rendered":"http:\/\/general.sio57.info\/wp\/?p=943"},"modified":"2021-04-09T10:39:37","modified_gmt":"2021-04-09T10:39:37","slug":"radius-nps-et-certificats-avec-windows-serveur-2012r2","status":"publish","type":"post","link":"https:\/\/general.sio57.info\/wp\/?p=943","title":{"rendered":"Radius NPS et  802.1x"},"content":{"rendered":"<p>Cet article est extrait du Lab cours du r\u00e9seau Certa <a href=\"https:\/\/www.reseaucerta.org\/sites\/default\/files\/Authentification-802.1x-V1.0.pdf\">https:\/\/www.reseaucerta.org\/sites\/default\/files\/Authentification-802.1x-V1.0.pdf<\/a><\/p>\n<h2>Comprendre l&rsquo;authentification Radius<\/h2>\n<div id=\"yui_3_17_2_1_1585562362362_184\" class=\"box generalbox center clearfix py-3\">\n<div id=\"yui_3_17_2_1_1585562362362_183\" class=\"no-overflow\">\n<h1 id=\"yui_3_17_2_1_1585562362362_182\">Objectifs<\/h1>\n<p>Consiste \u00e0 la s\u00e9curisation des acc\u00e8s par une authentification \u00ab\u00a0forte\u00a0\u00bb de la personne qui cherche \u00e0 se connecter sur un port r\u00e9seau. Ainsi qu&rsquo;\u00e0 la banalisation des prises r\u00e9seaux ;\u00a0 une prise r\u00e9seau quelconque ne sera plus affect\u00e9e \u00e0 tel ou tel VLAN. C&rsquo;est \u00e0 partir de l&rsquo;authentification de la personne qui cherche \u00e0 se connecter au r\u00e9seau que l&rsquo;on va d\u00e9duire le p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 dans lequel la placer :<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Un refus pur et simple de connexion : aucun placement ;<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Le placement dans un VLAN invit\u00e9 (\u00ab\u00a0guest\u00a0\u00bb) avec des pr\u00e9rogatives minimales, comme la simple obtention d&rsquo;une adresse IP et d&rsquo;un acc\u00e8s \u00e0 Internet ;<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Le placement dans un VLAN d\u00e9di\u00e9, choisi en fonction notamment du service ou du groupe auquel appartient la personne ;<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Le placement dans un VLAN \u00e0 pr\u00e9rogatives importantes, comme un VLAN d&rsquo;administration.<\/p>\n<h4>Les acteurs<\/h4>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"img-responsive atto_image_button_middle\" role=\"presentation\" src=\"https:\/\/mood.sio57.info\/moodle30\/pluginfile.php\/4492\/mod_page\/content\/1\/acteurs.png\" alt=\"\" width=\"456\" height=\"180\" \/><\/p>\n<h5>Synonymes des termes d\u00e9signant les acteurs de la connexion 802.1x :<\/h5>\n<p><b><u>Supplicant<\/u> <\/b>: on trouve aussi les expressions \u00ab\u00a0client demandeur\u00a0\u00bb ou \u00ab\u00a0client final\u00a0\u00bb.<\/p>\n<p><b><u>Serveur d&rsquo;authentification<\/u><\/b> : on parle quelquefois de serveur d&rsquo;identification.<\/p>\n<p><u><b>Client RADIUS<\/b> <\/u>: on trouve \u00e9galement les synonymes suivants : \u00ab\u00a0Authenticator\u00a0\u00bb ou NAS (Network Access Server) ou encore \u00ab\u00a0contr\u00f4leur d&rsquo;acc\u00e8s\u00a0\u00bb.<\/p>\n<h3>Protocoles<\/h3>\n<h3>RADIUS<\/h3>\n<p>Acronyme de Remote Authentication Dial-In User Service, c&rsquo; est un protocole client-serveur permettant de centraliser des demandes d&rsquo;authentification relay\u00e9es par des \u00e9quipements de r\u00e9seau, comme des commutateurs ou bornes Wifi, consid\u00e9r\u00e9s alors comme ses clients.<\/p>\n<p>Par extension, un serveur qui centralise des demandes d&rsquo;authentification et les soumet \u00e0 un service d&rsquo;annuaire LDAP ou \u00e0 un service de base de donn\u00e9es SQL est appel\u00e9 <i>serveur<\/i> <i>RADIUS<\/i>.<\/p>\n<p>RADIUS doit <b>A<\/b><b>uthentifier<\/b> les requ\u00eates qui sont issues des clients finaux, via les clients RADIUS. Cette authentification se basera soit sur un couple identifiant\/mot de passe, soit sur un certificat.<\/p>\n<p>RADIUS a pour mission de d\u00e9cider quoi faire du client authentifi\u00e9, et donc de lui d\u00e9livrer une <b>A<\/b><b>utorisation<\/b>, RADIUS envoie des informations (on parle \u00ab\u00a0d&rsquo;attributs\u00a0\u00bb) aux clients RADIUS. Un exemple typique d&rsquo;attribut est un num\u00e9ro du VLAN dans lequel placer le client <i>authentifi\u00e9<\/i> <u>et<\/u> <i>autoris\u00e9<\/i>.<\/p>\n<p>RADIUS va noter plusieurs donn\u00e9es li\u00e9es \u00e0 la connexion, comme la date et l&rsquo;heure, l&rsquo;adresse MAC de l&rsquo;adaptateur r\u00e9seau du client final, le num\u00e9ro de VLAN&#8230;). C&rsquo;est son r\u00f4le <b>comptable<\/b> ou \u00ab\u00a0<b>d&rsquo;Accounting<\/b>\u00ab\u00a0.<\/p>\n<h3>802.1x<\/h3>\n<p>Le protocole 802.1x est une solution de s\u00e9curisation de r\u00e9seaux mise au point par l&rsquo;IEEE en 2001. 802.1x permet d&rsquo;authentifier un utilisateur souhaitant acc\u00e9der \u00e0 un r\u00e9seau (c\u00e2bl\u00e9 ou Wifi) gr\u00e2ce \u00e0 un serveur central d&rsquo;authentification.<\/p>\n<p>L&rsquo;autre nom de 802.1x est \u00ab\u00a0Port-based Network Access Control\u00a0\u00bb ou \u00ab\u00a0User Based Access Control\u00a0\u00bb.<\/p>\n<p>802.1x<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Permet de s\u00e9curiser l&rsquo;acc\u00e8s \u00e0 la couche 2 (liaison de donn\u00e9e) du r\u00e9seau.<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 A recours au protocole EAP (Extensible Authentification Protocol)<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 N\u00e9cessite donc la pr\u00e9sence d&rsquo;un serveur d&rsquo;authentification<\/p>\n<p>Un port d&rsquo;un commutateur r\u00e9gl\u00e9 en mode 802.1x peut se trouver dans deux \u00e9tats distincts :<\/p>\n<ul>\n<li>\u00a0 \u00c9tat \u00ab\u00a0contr\u00f4l\u00e9\u00a0\u00bb si l\u2019authentification aupr\u00e8s du serveur RADIUS a r\u00e9ussi.<\/li>\n<li>\u00a0\u00c9tat \u00ab\u00a0non contr\u00f4l\u00e9\u00a0\u00bb si l\u2019authentification a \u00e9chou\u00e9.<b> <\/b><\/li>\n<\/ul>\n<p>Rem : NPS (Network Policy Server) est le nom du service RADIUS des syst\u00e8mes Microsoft.<\/p>\n<h2>Authentification<\/h2>\n<p><b>EAP<\/b> est la couche protocolaire de base de l&rsquo;authentification. Elle va servir \u00e0 faire passer un <b><i>dialogue d&rsquo;authentification<\/i><\/b> entre le client final et le serveur RADIUS alors que le port de connexion est ferm\u00e9 \u00e0 toute autre forme de communication.<\/p>\n<p><b>PEAP<\/b><\/p>\n<p>PEAP est un protocole de transfert s\u00e9curis\u00e9 (P comme \u00ab\u00a0Protected\u00a0\u00bb) d&rsquo;informations d&rsquo;authentification. Il a \u00e9t\u00e9 mis au point par Microsoft, Cisco et RSA. Il ne n\u00e9cessite pas de certificat sur les postes clients, contrairement \u00e0 EAP\/TLS. MS-CHAP s&rsquo;appuie sur PEAP.<\/p>\n<p>Les serveurs RADIUS utilisaient CHAP (Challenge Handshake Authentication Protocol\u00a0: \u00a0deux interlocuteurs, qui disposent donc de la m\u00eame cha\u00eene de caract\u00e8re secr\u00e8te, s&rsquo;authentifient sans \u00e9change du mot de passe par une technique de \u00ab\u00a0challenge\u00a0\u00bb (ou \u00ab\u00a0d\u00e9fi\u00a0\u00bb) bas\u00e9e sur une fonction de hachage \u00e0 sens unique du secret partag\u00e9).<\/p>\n<p>Microsoft a d\u00e9velopp\u00e9 une variante de CHAP appel\u00e9e MS-CHAP qui ajoute une authentification mutuelle, MSCHAP-V1, puis MSCHAP-V2.<\/p>\n<pre>Dialogue client-serveur avec MSCHAP-V2.<\/pre>\n<pre>A.\u00a0\u00a0\u00a0\u00a0 Le serveur envoie au client une cha\u00eene compos\u00e9e d'un identifiant de session et une cha\u00eene al\u00e9atoire xxxxx.<\/pre>\n<pre>B.\u00a0\u00a0\u00a0\u00a0 Le client renvoie son nom d'utilisateur et le r\u00e9sultat d'un hachage de la cha\u00eene al\u00e9atoire xxxxx \n+ l'identifiant de session \n+ le mot-de-passe, \n+ une seconde cha\u00eene al\u00e9atoire yyyyy.<\/pre>\n<pre>C.\u00a0\u00a0\u00a0\u00a0 Le serveur v\u00e9rifie le r\u00e9sultat (succ\u00e8s\/\u00e9chec) et retourne celui-ci,\navec un hachage de la cha\u00eene yyyyy et du mot de passe utilisateur.<\/pre>\n<pre>D.\u00a0\u00a0\u00a0\u00a0 Le client v\u00e9rifie enfin la correspondance entre les cha\u00eenes.<\/pre>\n<pre>La connexion est \u00e9tablie.<\/pre>\n<h3>Articulation EAP \/ PEAP \/ MSCHAP-V2<\/h3>\n<ul>\n<li>\u00a0<strong>EAP<\/strong> est le m\u00e9canisme permettant \u00e0 un client final de pouvoir communiquer sur un port 802.1x ferm\u00e9 \u00e0 toute autre forme de communication.<\/li>\n<\/ul>\n<ul>\n<li><strong>PEAP<\/strong> ajoute la notion de protection des \u00e9changes par tunnel \u00e0 ce m\u00e9canisme<\/li>\n<\/ul>\n<ul>\n<li>\u00a0<strong>MSCHAP<\/strong> est la m\u00e9thode de reconnaissance mutuelle du client serveur et du serveur RADIUS qui passe par ce tunnel.<\/li>\n<\/ul>\n<h3>D\u00e9roulement<\/h3>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Phase \u008c1\u00a0 Le client final envoie ses identifiants au serveur RADIUS, le port contr\u00f4l\u00e9 du commutateur n&rsquo;est pas totalement ferm\u00e9. Il laisse passer le protocole EAP. Cette communication ne peut donc se faire que par des trames Ethernet de base et non par des paquets IP.<img loading=\"lazy\" decoding=\"async\" class=\"img-responsive atto_image_button_text-bottom\" role=\"presentation\" src=\"https:\/\/mood.sio57.info\/moodle30\/pluginfile.php\/4492\/mod_page\/content\/1\/AUTH.png?time=1585560949654\" alt=\"\" width=\"426\" height=\"311\" \/><\/p>\n<p>Le client final peut donc envoyer son identit\u00e9 dans un paquet EAP au commutateur.<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Phase \u008d 2 Celui-ci le retransmet, <i>encapsul\u00e9<\/i> dans un paquet au format RADIUS, au premier serveur RADIUS de sa liste.<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Phase \u008e3\u00a0 Le serveur RADIUS re\u00e7oit le paquet et interroge sa base de donn\u00e9es ou un AD.<\/p>\n<p>\u00b7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Phase 4 \u008f Il renvoie le r\u00e9sultat de cette interrogation au commutateur (sous forme d&rsquo;un commandement d&rsquo;ouverture du port, \u00e9ventuellement assorti d&rsquo;un num\u00e9ro de VLAN dans lequel placer le client final.<\/p>\n<p>A partir de ce moment seulement, il peut y avoir d&rsquo;autres trames \u00e9chang\u00e9es entre le client final et le reste du r\u00e9seau, comme une trame de requ\u00eate DHCP par exemple ;<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"img-responsive atto_image_button_text-bottom\" role=\"presentation\" src=\"https:\/\/mood.sio57.info\/moodle30\/pluginfile.php\/4492\/mod_page\/content\/1\/AUTHOK.png\" alt=\"\" width=\"310\" height=\"95\" \/><\/p>\n<p>La mise en \u0153uvre est d\u00e9taill\u00e9e dans plusieurs articles :<\/p>\n<p>Autorit\u00e9 de certification <a href=\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2016\/12\/Services-de-certificats.pdf\">Services de certificats<\/a><\/p>\n<p>NPS et strat\u00e9gies r\u00e9seau<\/p>\n<p>802.1x sur Cisco<\/p>\n<p>Radius sur bornes wifi<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Cet article est extrait du Lab cours du r\u00e9seau Certa https:\/\/www.reseaucerta.org\/sites\/default\/files\/Authentification-802.1x-V1.0.pdf Comprendre l&rsquo;authentification Radius Objectifs Consiste \u00e0 la s\u00e9curisation des acc\u00e8s par une authentification \u00ab\u00a0forte\u00a0\u00bb de la personne qui cherche \u00e0 se connecter sur un port r\u00e9seau. Ainsi qu&rsquo;\u00e0 la banalisation des prises r\u00e9seaux ;\u00a0 une prise r\u00e9seau quelconque ne sera plus affect\u00e9e \u00e0 tel [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[56,68,59,71,83,85,40,39],"tags":[134,132,130,131,133],"class_list":["post-943","post","type-post","status-publish","format-standard","hentry","category-2-liaison","category-2-liaison-switchs","category-7-application","category-7-application-supervision","category-utilisateurs","category-services-et-applis","category-sisr4","category-windows","tag-802-1x","tag-certificat","tag-nps","tag-radius","tag-wifi"],"_links":{"self":[{"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/posts\/943","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=943"}],"version-history":[{"count":10,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/posts\/943\/revisions"}],"predecessor-version":[{"id":1496,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=\/wp\/v2\/posts\/943\/revisions\/1496"}],"wp:attachment":[{"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=943"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=943"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/general.sio57.info\/wp\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=943"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}