Le 802 .1x est un standard mis en place en juin 2001 par l’IEEE, et fait partie du groupe des protocoles IEEE 802 (802.1). Ce standard provient du besoin de s’authentifier dès l’accès physique au réseau. Ce besoin s’est particulièrement fait sentir dans le domaine du WIFI, où les clés de cryptage WEP ne sont pas très efficaces, d’où l’idée d’une authentification physique dès les bornes.
Cette norme 802.1x fut donc développée aussi pour les VLAN et s’appuie sur toutes les normes de niveau 2 comme le 802.5 (Token Ring), le 802.3 (Ethernet), mais également sur le WIFI. L’IEEE souhaitait donc standardiser un mécanisme de relais d’authentification au niveau 2.
[ haut de page]L’objectif du 802.1x est d’autoriser l’accès physique à un réseau local après une phase d’authentification, peu importe le système de transmission utilisé. Le mécanisme d’authentification de l’accès au réseau se fait lors de la connexion physique ( en général connexion sur un réseau Ethernet), avant même tout autre mécanisme d’auto-configuration tel que DHCP pour l’attribution dynamique des adresses IP.
En plus de cela, le 802.1x va apporter des avantages considérables au niveau de l’administration du réseau, notamment par l’affectation dynamique des VLAN en fonction des caractéristiques de cette authentification.
[ haut de page]Le 802.1x s’appuie sur un protocole particulier : l’EAP (Extensible Authentification Protocol) décrit par la suite. Le standard s’appuie sur des mécanismes d’authentification existants.
Il se base sur 3 entités
Il s’agit en général d’un poste de travail, éventuellement d’un serveur. Le point d’accès au réseau varie donc selon ce dernier. Le point d’accès physique peut être une prise RJ45. Le point d’accès logique est par exemple le 802.11.
Ce système sert de relais. Il s’agit d’un équipement réseau, comme une borne sans fil pour le WIFI, un routeur, …
Cet équipement gère un PAE (Port Access Entity) qui sera décrit après, qui permettra au supplicant d’accéder ou non aux ressources du réseau.
Ce serveur d’authentification est en général un serveur Radius. Selon la requête du supplicant, ce serveur détermine les services auxquels le demandeur a accès.
Le supplicant souhaite accéder aux ressources du réseau. Mais pour cela il va devoir s’authentifier. Le système authentificateur gère cet accès via le PAE. Il se comporte comme un relais, comme un proxy entre l’entité qui souhaite être sur le réseau et le serveur d’authentification.
Le supplicant va dialoguer avec le serveur via le relais, grâce au protocole EAP. Si l’authentification réussit, le serveur donne au demandeur l’accès aux ressources via le système authentificateur et son PAE.
La structure du 802.1x s’appuie donc sur 4 couches :
- couche média : le Token Ring, l’Ethernet, ..
- couche protocole : l’EAP, protocole d’identification
- couche méthode d’authentification : elle s’appuie sur les mots de passe, les certificats, …
- couche infrastructures qui comporte le matériel d’authentification comme le serveur Radius, …
L’utilisation du 802.1x en Wifi permettra l’authentification du demandeur, le contrôle d’accès aux bornes et la distribution des clés WEP.
Mais attention, il faut que le 802.1x soit bien implémenté sur les différentes machines. Si les implémentations sur les bornes et serveurs sont disponibles, il n’en est pas de même chez les postes clients. Le 802.1x est maintenant de plus en plus intégré avec le système d’exploitation.
[haut de page]