Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:802.1x:principes [2023/11/19 20:52] – [Les méthodes d'authentification] techer.charles_educ-valadon-limoges.fr
+++ reseau:802.1x:principes [2023/11/20 12:45] (Version actuelle) – [Les différentes phases (simplifiées) d'une connexion 802.1x] techer.charles_educ-valadon-limoges.fr
@@ Ligne 97: / Ligne 97: @@
 === CHAP et MS-CHAP ===
-Le second protocole qu'ont utilisé les serveurs RADIUS a été **CHAP* (Challenge Handshake Authentication Protocol). Il est défini dans la RFC 1994. Avec CHAP, il n'y a pas d'échange de mots de passe sur le réseau. Les deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète, s'authentifient sans échange du mot de passe par une technique de **challenge** (ou **défi**) basée sur une fonction de hachage à sens unique du secret partagé, telle que MD5. Cette méthode était disponible avec le couple XP/Windows-2003-Server, mais ne l'est plus en génération Seven/2008.
+Le second protocole qu'ont utilisé les serveurs RADIUS a été **CHAP** (Challenge Handshake Authentication Protocol). Il est défini dans la RFC 1994. Avec CHAP, il n'y a pas d'échange de mots de passe sur le réseau. Les deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète, s'authentifient sans échange du mot de passe par une technique de **challenge** (ou **défi**) basée sur une fonction de hachage à sens unique du secret partagé, telle que MD5. Cette méthode était disponible avec le couple XP/Windows-2003-Server, mais ne l'est plus en génération Seven/2008.
 Au début de la connexion, le serveur réclame la preuve de l’identité du client, en lui demandant de chiffrer une information. Le client ne peut relever le défi que s’il possède effectivement la clé unique et secrète partagée.
@@ Ligne 113: / Ligne 113: @@
   * C.	Le serveur vérifie le résultat (succès/échec) et retourne celui-ci, avec un hachage de la chaîne yyyyy et du mot de passe utilisateur.
   * D.	Le client vérifie enfin la correspondance entre les chaînes.
-E.	La connexion est établie.
+  * E.	La connexion est établie.
 === PEAP ===
@@ Ligne 140: / Ligne 140: @@
 A partir de ce moment seulement, il peut y avoir d'autres trames échangées entre le client final et le reste du réseau, comme une trame de requête DHCP par exemple.
+Avant authentification, le port ne laisse passer que des trames EAP:
+{{ :reseau:802.1x:802.1x_06.png |}}
+Après authentification, le port laisse passer tous les types de trames :
+{{ :reseau:802.1x:802.1x_07.png |}}
+=== Conséquence de ce fonctionnement général. ===
+L'équipement réseau ne connaît que le protocole RADIUS. Le protocole d'authentification entre le client final et le serveur RADIUS pourra varier sans que cela soit un blocage pour l'équipement. En ce sens, on dit que le client RADIUS est **transparent**.
+==== Que faire des périphériques non 802.1x ? ====
+L'objectif de contrôler toutes les prises réseau d'une entreprise en y imposant une authentification peut se heurter au fait que certains périphériques qui y sont connectés (comme des imprimantes, des vidéoprojecteurs ...) n'implémentent pas 802.1x. Il faut donc trouver d'autres solutions pour protéger ces prises :
+  * un VLAN spécifique par exemple réunissant les imprimantes, avec un serveur d'impression situé dans un autre VLAN joignable au travers d'un routeur filtrant,
+  * une protection des ports par adresse MAC, ou encore une connexion sans-fil des vidéoprojecteurs dans une technologie de cryptage comme WPA2.
 ==== Retour Authentification 802.1x ====
   * [[reseau:802.1x:accueil|Authentification réseau avec le protocole 802.1x]]