Le Port-based authentication (dot1x)
Sécuriser l’accès au réseau avec le protocole 802.1x et un serveur RADIUS, au-delà du simple filtrage par adresse MAC.
Nous venons de voir la partie « Port-Security ». Cette méthode de travail permet de sécuriser l’accès au réseau via l’adresse MAC de nos équipements.
Aujourd’hui il est très facile d’usurper cette dernière !
Mise en évidence
Avant authentification
Le protocole 802.1x ne laisse passer que les trames EAPoL (Extensible Authentication Protocol over LAN).
Après authentification
Le protocole 802.1x laisse passer tout le trafic.
Rôles 802.1x
- Client : le client doit exécuter le protocole 802.1x afin de pouvoir s’authentifier.
- Switch (authenticator) : sert de lien entre le serveur RADIUS et le client EAPoL.
- Serveur : authentifie le client.
Configuration
Activer le modèle AAA
Switch(config)# aaa new-modelDéfinir un serveur RADIUS
Switch(config)# radius-server host X.X.X.X key XXXXXXXChoisir une méthode d’authentification pour le 802.1x
Switch(config)# aaa authentication dot1x default group radiusActiver le 802.1x
Switch(config)# dot1x system-auth-controlConfigurer les ports pour utiliser l’authentification 802.1x
Switch(config)# interface fastethernet 0/1
Switch(config-if)# dot1x port-control auto3 choix possibles :
- auto = fonctionnement normal
- force-authorized = valeur par défaut, il n’y a pas besoin de s’authentifier pour avoir accès au support.
- force-unauthorized = tous les ports sont bloqués
Ce qui nous donne :
Switch(config)# aaa new-model
Switch(config)# radius-server host X.X.X.X key XXXXXXX
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet 0/1
Switch(config-if)# dot1x port-control auto
