Port-based authentication

Port-based authentication

 

 

Présentation


Nous venons de voir la partie « Port-Security« .
Cette méthode de travail permet de sécuriser l’accès au réseau via l’adresse MAC de nos équipements.
Aujourd’hui il est très facile d’usurpé cette dernière !

 

Avant authentification


Le protocole 802.1x ne laisse passer uniquement les trames EAPoL (Extensible Authentication Protocol over LAN)

 

Après authentification


Le protocole 802.1x laisse passer tout trafic

 

Roles 802.1x


Client : Le client doit exécuter le protocole 802.1x afin de pouvoir s’authentifier .

Switch (authenticator) : Sert de lien entre le Serveur Radius et le client EAPoL.

Serveur : Authentifie le client

 

Configuration


 

Activer le modèle AAA


Switch(config)# aaa new-model

 

Définir un serveur RADIUS


Switch(config)# radius-server host X.X.X.X key XXXXXXX

 

Choisir une méthode d’authentification pour le 802.1x


Switch(config)# aaa authentication dot1x default group radius

 

Activer le 802.1x


Switch(config)# dot1x system-auth-control

 

Configurer les ports pour utiliser l’authentification 802.1x


Switch(config)# interface fastethernet 0/1
Switch(config-if)# dot1x port-control [ auto|force-authorized|force-unauthorized ]

3 Choix possible :

auto = Fonctionnement normal
force-authorized = Valeur par défaut , Il n’y a pas besoin de s’authentifier pour avoir accès au support.
force-unauthorized = Tous les ports sont bloqués

 

Ce qui nous donne : 

Switch(config)# aaa new-model
Switch(config)# radius-server host X.X.X.X key XXXXXXX
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet 0/1
Switch(config-if)# dot1x port-control [ auto|force-authorized|force-unauthorized ]
Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

Laisser un commentaire