Finger in the net

Blog d'administration réseau

Présentation du Port-based authentication (dot1x)

Nous venons de voir la partie Port-Security“.
Cette méthode de travail permet de sécuriser l’accès au réseau via l’adresse MAC de nos équipements.

Aujourd’hui il est très facile d’usurper cette dernière !

CHAPITRE 1 :

Mise en évidence

Avant authentification

Le protocole 802.1x ne laisse passer uniquement les trames EAPoL (Extensible Authentication Protocol over LAN)

Après authentification

Le protocole 802.1x laisse passer tout trafic

Rôles 802.1x

  • Client : Le client doit exécuter le protocole 802.1x afin de pouvoir s’authentifier .
  • Switch (authenticator) : sers de lien entre le Serveur Radius et le client EAPoL.
  • Serveur : Authentifie le client
CHAPITRE 2 :

Configuration

Activer le modèle AAA

Switch(config)# aaa new-model

Définir un serveur RADIUS

Switch(config)# radius-server host X.X.X.X key XXXXXXX

Choisir une méthode d'authentification pour le 802.1x

Switch(config)# aaa authentication dot1x default group radius

Activer le 802.1x

Switch(config)# dot1x system-auth-control

Configurer les ports pour utiliser l'authentification 802.1x

Switch(config)# interface fastethernet 0/1
Switch(config-if)# dot1x port-control auto

3 Choix possible :

  • auto = Fonctionnement normal
  • force-authorized = Valeur par défaut, Il n’y a pas besoin de s’authentifier pour avoir accès au support.
  • force-unauthorized = Tous les ports sont bloqués

 

Ce qui nous donne : 

Switch(config)# aaa new-model
Switch(config)# radius-server host X.X.X.X key XXXXXXX
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet 0/1
Switch(config-if)# dot1x port-control auto

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Comments (1)

Félicitations !

Concernant le serveur d’authentification, ça serait cool de donner les précisions suivantes :

1 – Le même principe fonctionne avec un serveur radius ou tacacs+.
2 – RADIUS sur Windows Server. Il suffit simplement de l’activer et de le configurer .

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

5 × 5 =