Entete

Accueil
Passerelle d'authentification
et Portail Captif
802.1x et Portail Captif

Avantages du portail captif

La sécurité : Comparaison

Complémentarité ?

NoCatAuth : exemple de
passerelle d'authentification
NoCat et les autres solutions
Conclusion
Bibliographie
Annexes

W3C CSS

W3C HTML

 

La sécurité : comparaison

Tableau 2 : avantages/inconvénients de sécurité du portail captif

Portail Captif
Inconvénients
  • Le transfert de données n’est pas chiffré par défaut. En absence d’utilisation des VLAN, le réseau auquel est connecté l’utilisateur n’est pas « étanche ». Un analyseur de réseau peut obtenir sans difficulté les messages transférés.
  • Il peut exister des problèmes d’usurpation de DHCP. En effet, comme nous l’avons vu dans les inconvénients du portail captif, un attaquant peut prendre la place du serveur DHCP. Il existe alors de nombreuses possibilités car le DHCP délivre en particulier l’adresse de la passerelle : une redirection vers une passerelle « pirate » est donc envisageable.
  • Un attaquant peut se faire passer pour la passerelle et faire fermer la connexion à l’utilisateur tout en émulant son adresse MAC et son adresse IP. Il a alors accès aux ressources du client en question.
  • Un attaquant peut également prendre directement la place de la passerelle en effectuant une usurpation d’adresse. L’utilisateur, qui ne s’est pas aperçu de la fausse identité en ne prêtant pas attention au certificat délivré, saisit ses paramètres d’authentification (nom d’utilisateur / mot de passe) pour ouvrir une session : ceux-ci sont en fait captés par le pirate. L’attaquant peut aussi facilement rediriger ou intercepter le trafic du client authentifié en réalisant, de manière transparente pour l’utilisateur, l’authentification vers le serveur d’authentification réel.
Solutions Points Forts
  • Un système de chiffrement des données permet de fournir un service entièrement sécurisé aux clients. L’implémentation d’un VPN ou d’un OpenVPN ou encore de l’utilisation d’IPSec en sont des exemples.
  • Le Portail captif est basé sur le protocole SSL qui permet un échange sécurisé de l’authentification. Les dernières versions de SSL permettent l’authentification des clients à l’aide de certificats. Le client peut disposer de son propre certificat sur une carte à puce par exemple. Le Portail captif utilise la signature PGP des messages. En effet, les communications entre le serveur d’authentification et la passerelle sont signées avec PGP. Ainsi, la passerelle possède une copie de la clef publique du PGP et peut alors vérifier l’authenticité du message. Il est ainsi difficile de truquer la passerelle avec une attaque de type rejeu. La signature numérique empêche la possibilité qu’un attaquant se présente comme serveur d’authentification en utilisant l’usurpation d’adresse et en rejouant les paramètres que le client a négociés auparavant. Ainsi celui-ci ne peut plus envoyer de faux messages à la passerelle, il n’a donc plus accès au réseau. Ce système permet de résoudre une des principales failles que nous avons évoquées auparavant.

Schéma

 

<< Page précédente

 
Passerelle Authentification 802.1x et Portail Captif NoCatAuth Autres Solutions Conclusion Bibliographie