Port-based authentication

Port-based authentication

 

 

Nous venons de voir la partie « Port-Security« .

Cette méthode de travail permet de sécurisé l’accès au réseau via l’adresse MAC de nos équipements.

Aujourd’hui il est très facile d’usurpé cette dernière !

 

 

 

Avant authentification

– Le protocole 802.1x ne laisse passer uniquemenent les trames EAPoL (Extensible Authentication Protocol over LAN)

Apres authentification

– Le protocole 802.1x laisse passer tout trafic

 

 

Roles 802.1x

Client : Le client doit executer le procole 802.1x afin de pouvoir s’anthentifier .

Switch (authenticator) : Sert de lien entre le Serveur Radius et le client EAPoL.

Serveur

Configuration


 

Etape 1 : Activer le modèle AAA


Switch(config)#aaa new-model

 

Etape 2 : Définir un serveur RADIUS


Switch(config)#radius-server host X.X.X.X key XXXXXXX

 

Etape 3 : Choisir une méthode d’authentification pour le 802.1x


Switch(config)#aaa authentication dot1x default group radius

 

Etape 4 : Activer le 802.1x


Switch(config)#dot1x system-auth-control

 

Etape 5 : Configurer les ports pour utiliser l’authentification 802.1x


Switch(config)#interface fastethernet 0/1
Switch(config-if)#dot1x port-control [ auto | force-authorized | force-unauthorized ]

3 Choix possible :

auto = Fonctionnement normal

force-authorized = Valeur par defaut , Il n’y a pas besoin de s’authentifier pour avoir acces au support.

force-unauthorized = Tous les ports sont bloqués

 

source = https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/dot1x.pdf

Switch(config)#aaa new-model
Switch(config)#radius-server host X.X.X.X key XXXXXXX
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control
Switch(config)#interface fastethernet 0/1
Switch(config-if)#dot1x port-control [ auto | force-authorized | force-unauthorized ]
Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

1 thought on “Port-based authentication”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *