Comment Ca Marche l'informatique ?
 
 Comment Ça Marche - Articles - WiFi - 802.1x
 Accueil
 Forums
 Astuces
 Guide d'achat
 
   
 
 
Livres Comment ça marche?
Tout sur le hardware PC
Tout sur la sécurité
Tout sur le webmastering
Présentation des trois premiers ouvrages de la collection CommentCaMarche.net
Page d'accueil
Ajouter aux favoris
Contribuer à cet article
Ecrire à Jean-Francois Pillou
Wifi - 802.11
Introduction
Topologies
(ad hoc / infrastructure)
Avancé:Transmission de données
Avancé:Liaison de données
Sécurité
Risques
Sécurisation
WPA
WPA2
802.1x
Version 2.0.6
 
802.1X/EAP Page précédente Retour à la page d'accueil

Introduction à 802.1X

Le standard 802.1x est une solution de sécurisation, mise au point par l'IEEE en juin 2001, permettant d'authentifier (identifier) un utilisateur souhaitant accéder à un réseau (filaire ou non) grâce à un serveur d'authentification.

Le 802.1x repose sur le protocole EAP (Extensible Authentication Protocol), défini par l'IETF, dont le rôle est de transporter les informations d'identification des utilisateurs.

EAP

Le fonctionnement du protocole EAP est basé sur l'utilisation d'un contrôleur d'accès (en anglais authenticator), chargé d'établir ou non l'accès au réseau pour un utilisateur (en anglais supplicant). Le contrôleur d'accès est un simple garde-barrière servant d'intermédiaire entre l'utilisateur et un serveur d'authentification (en anglais authentication server), il ne nécessite que très peu de ressources pour fonctionner. Dans le cas d'un réseau sans fil, c'est le point d'accès qui joue le rôle de contrôleur d'accès.

Le serveur d'authentification (appelé parfois NAS, pour Network Authentification Service, traduisez Service d'authentification réseau, voire Network Access Service, pour Serveur d'accès réseau) permet de valider l'identité de l'utilisateur, transmis par le contrôleur réseau, et de lui renvoyer les droits associés en fonction des information d'identification fournies. De plus, un tel serveur permet de stocker et de comptabiliser des informations concernant les utilisateurs afin, par exemple, de pouvoir les facturer à la durée ou au volume (dans le cas d'un fournisseur d'accès par exemple).

La plupart du temps le serveur d'authentification est un serveur RADIUS (Remote Authentication Dial In User Service), un serveur d'authentification standard défini par les RFC 2865 et 2866, mais tout autre service d'authentification peut être utilisé.

Ainsi, le schéma global suivant récapitule le fonctionnement global d'un réseau sécurisé avec le standard 802.1x :

  1. Le contrôleur d'accès, ayant préalablement reçu une demande de connexion de la part de l'utilisateur, envoie une requête d'identification ;
  2. L'utilisateur envoie une réponse au contrôleur d'accès, qui la fait suivre au serveur d'authentification ;
  3. Le serveur d'authentification envoie un « challenge » au contrôleur d'accès, qui le transmet à l'utilisateur . Le challenge est une méthode d'identification. Si le client ne gère pas la méthode, le serveur en propose une autre et ainsi de suite ;
  4. L'utilisateur répond au challenge. Si l'identité de l'utilisateur est correcte, le serveur d'authentification envoie un accord au contrôleur d'accès, qui acceptera l'utilisateur sur le réseau ou à une partie du réseau, selon ses droits. Si l'identité de l'utilisateur n'a pas pû être vérifiée, le serveur d'authentification envoie un refus et le contrôleur d'accès refusera à l'utilisateur d'accéder au réseau.

    Echange de clés de chiffrement

    Outre l'authentification des utilisateurs, le standard 802.1x est un support permettant de changer les clés de chiffrement des utilisateurs de manière sécurisé, afin d'améliorer la sécurité globale.

    Page précédente

  Ce document intitulé « WiFi - 802.1x » issu de Comment Ça Marche est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.