CCNA 200-301 · Sécurité

Le Port-based authentication (dot1x)

Sécuriser l’accès au réseau avec le protocole 802.1x et un serveur RADIUS, au-delà du simple filtrage par adresse MAC.

Nous venons de voir la partie « Port-Security ». Cette méthode de travail permet de sécuriser l’accès au réseau via l’adresse MAC de nos équipements.

Aujourd’hui il est très facile d’usurper cette dernière !

Mise en évidence

Avant authentification

Le protocole 802.1x ne laisse passer que les trames EAPoL (Extensible Authentication Protocol over LAN).

Après authentification

Le protocole 802.1x laisse passer tout le trafic.

Rôles 802.1x

  • Client : le client doit exécuter le protocole 802.1x afin de pouvoir s’authentifier.
  • Switch (authenticator) : sert de lien entre le serveur RADIUS et le client EAPoL.
  • Serveur : authentifie le client.

Configuration

Activer le modèle AAA

Switch(config)# aaa new-model

Définir un serveur RADIUS

Switch(config)# radius-server host X.X.X.X key XXXXXXX

Choisir une méthode d’authentification pour le 802.1x

Switch(config)# aaa authentication dot1x default group radius

Activer le 802.1x

Switch(config)# dot1x system-auth-control

Configurer les ports pour utiliser l’authentification 802.1x

Switch(config)# interface fastethernet 0/1 Switch(config-if)# dot1x port-control auto

3 choix possibles :

  • auto = fonctionnement normal
  • force-authorized = valeur par défaut, il n’y a pas besoin de s’authentifier pour avoir accès au support.
  • force-unauthorized = tous les ports sont bloqués

Ce qui nous donne :

Switch(config)# aaa new-model Switch(config)# radius-server host X.X.X.X key XXXXXXX Switch(config)# aaa authentication dot1x default group radius Switch(config)# dot1x system-auth-control Switch(config)# interface fastethernet 0/1 Switch(config-if)# dot1x port-control auto
Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Formation CCNA 200-301Formation CCNA

Devenez certifié CCNA 200-301

La formation complète Cisco, à votre rythme et accès à vie.

Voir la formation →