Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:802.1x:presentation [2023/10/07 16:19] – teuirsd techer.charles_educ-valadon-limoges.fr
+++ reseau:802.1x:presentation [2023/11/19 19:55] (Version actuelle) – [Principes de la sécurisation des connexions réseaux par authentification de l'utilisateur avec le protocole 802.1x] techer.charles_educ-valadon-limoges.fr
@@ Ligne 1: / Ligne 1: @@
 ====== Principes de la sécurisation des connexions réseaux par authentification de l'utilisateur avec le protocole 802.1x ======
-La sécurisation des accès au réseau de l'organisation répond à plusieurs cas d'usages  :
+La **sécurisation des accès** au réseau de l'organisation répond à plusieurs cas d'usages  :
-  * accès depuis Internet et en interne à
+  * accès depuis **Internet** et en **interne** à
-    * des utilisateurs à privilèges pour des tâches d'administration,
+    * des **utilisateurs à privilèges** pour des tâches d'administration,
-    * des utilisateurs de l'organisation pour accèder à des applications métiers,
+    * des **utilisateurs** de l'organisation pour accèder à des applications métiers,
-    * des partenaires de l'organisation pour des services spécifiques.
+    * des **partenaires** de l'organisation pour des services spécifiques.
   * accès en interne :
-    * par le réseau filaire,
+    * par le **réseau filaire**,
-    * par le Wi-Fi.
+    * par le **Wi-Fi**.
-L'organisation peut égaleemnt proposer un accès uniquement à Internet, depuis le  réseau internet, généralement apr el Wi-Fi.
+L'organisation peut également proposer un accès uniquement à Internet, depuis le  réseau internet, généralement par le Wi-Fi.
-  *  otsçi regroupe concerne plusireur casd d'usaeue sujeiru périmètres répond à plusieurs objectifs :
-  * itr
-Si les réseaux Wifi utilisés dans les entreprises voient désormais leurs accès relativement sécurisés (par du chiffrement WPA2 par exemple) et si les accès depuis l'Internet font l'objet de technologies sécuritaires bien établies (DMZ, pare-feux, UTM ...), les prises murales sur lesquelles sont connectés les postes fixes des espaces de travail sont, dans la majorité des entreprises, "ouvertes à tous les vents" et toute personne circulant dans l'entreprise peut s'y connecter et s'introduire sur tout ou partie du réseau.
-L'objectif final visé par la mise en place du couple de technologies 802.1x / RADIUS va au delà de la simple sécurisation des accès par une authentification "forte" de la personne qui cherche à se connecter sur un port réseau. Cet objectif pourra aller jusqu'à la banalisation de toutes les prises réseau filaires de l'entreprise. Une prise réseau quelconque ne sera plus affectée à tel ou tel VLAN. C'est à partir de l'authentification de la personne qui cherche à se connecter au réseau que l'on va déduire le périmètre de sécurité dans lequel la placer :
-•	Un refus pur et simple de connexion : aucun placement ;
-•	Le placement dans un VLAN invité ("guest") avec des prérogatives minimales, comme la simple obtention d'une adresse IP et d'un accès à Internet ;
-•	Le placement dans un VLAN dédié, choisi en fonction notamment du service ou du groupe auquel appartient la personne ;
-•	Le placement dans un VLAN à prérogatives importantes, comme un VLAN d'administration.
-Il existe des technologies de filtrage sur les adresses MAC : soit circonscrites à un commutateur (doté pour chacun de ses ports, d'une liste d'adresses MAC autorisées) ou même centralisées dans un serveur RADIUS. On sait maintenant que l'adresse MAC n'est plus un élément d'authentification fiable. Pour cette raison et pour le côté malaisé de la manipulation, et surtout de la récupération des adresses MAC (particulièrement quand il s'agit de postes appartenant à des personnes extérieures à l'entreprise), on laissera ces technologies de côté dans ce document.
+La protection des accès met en oeuvre des technologies sécuritaires parmis les suivantes :
+  * depuis le réseau **Internet** avec efficacité : **DMZ, Pare-feux, VPN et bastion**.
+  * réseaux **Wifi** avec une relative efficacité : **filtrage** d'adresses MAC,; **chiffrement WPA2**.
+  * réseau **filaire** de manière insuffisante : **VLAN**.
+L'**insuffisance** de la protection des accès filaire se traduit par la possibilité de connexion au réseau de l'organisation par toute personnes disposant d'un **ordinateur qui n'est pas géré par la DSI** : il peut s'agir de l'ordinateur d'un partenaire ou de l'ordinateur personnel (**BYOD**) d'un utilisateur.
+<WRAP center round info>
+RADIUS peut aussi servir à **centraliser** les accès sécurisés aux pages ou aux terminaux de **paramétrage** de tous les **équipements réseau** : commutateurs, routeurs, bornes wifi, contrôleurs wifi, etc.
+</WRAP>
+<WRAP center round info>
+La gestion des accès **filaires** et **Wi-fi** doit être **harmonisée** afin d'offrir les **mêmes niveaux de sécurité**.
+</WRAP>
+La mise en oeuvre des protocoles **802.1x** et **RADIUS** permet une **harmonisation** de la gestion de l’**authentification**, de l’**autorisation** de connexion et de la **traçabilité des accès**, depuis le réseau filaire et en Wi-Fi :
+  * Acceptation ou refus pur et simple de connexion : aucun placement dans un VLAN;
+  * Le placement dans un VLAN invité ("guest") avec des prérogatives minimales, comme la simple obtention d'une adresse IP et d'un accès à Internet ;
+  * Le placement dans un VLAN dédié, choisi en fonction notamment du service ou du groupe auquel appartient la personne ;
+  * Le placement dans un VLAN à prérogatives importantes, comme un VLAN d'administration.
+<WRAP center round info>
+La sécurisation effective tuée par **filtrage sur les adresses MAC**, soit directement au niveau des commutateur (Liste d'adresses MAC associée à chacun des ports) soit centralisée dans un serveur RADIUS n'est pas un élément d'authentification fiable. A cela s'ajoute la difficulté de la récupération des adresses MAC notamment pour les BYOD.
+</WRAP>
 ==== Retour Authentification 802.1x ====