Authentification d'une station sur un réseau - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 15-04-2009 à 16:24:45
Salut,
En 802.1x, tu peux utiliser des méthodes type PEAP-MSCHAPv2 ou EAP-TLS, supportées en natif par windows pour authentifier la machine (via son compte AD ou un certificat). Les solutions NAC vont te permettre de faire des choses en plus, genre validation de l'Anti-virus, remediation, etc.
Si c'est juste de l'authentication de station à la connexion au réseau L2, 802.1x suffit amplement.
Marsh Posté le 15-04-2009 à 16:56:47
Si j'ai bien compris, l'utilisation du PEAP-MSCHAPv2 me permettrait à l'aide d'un challenge (basé sur le chiffrement RSA) entre la station cliente et le serveur de vérifier l'identité de la station sans pour autant avoir à vérifier l'identité des utilisateurs?
Marsh Posté le 15-04-2009 à 17:02:43
En fait, chaque compte machine dans un annuaire Active Directory possède un password renouvelé tous les 90 jours par défaut. C'est ce passwd qui est utilisé par la machine en PEAP-MS-CHAPv2 pour s'authentifier au réseau à l'activation de l'interface. Evidemment il faut que tu spécifies une base user externe dans ton RADIUS, pointant vers ton AD.
Dans la config 802.1x de Windows, il faut préciser que tu veux faire de l'authentification machine (voir aussi certaines clés de registre en winXP, type : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global\AuthMode et SupplicantMode.
Y'a quand même 2-3 trucs à prévoir pour les GPOs machine par exemple mais c'est qq chose d'éprouvé.
Marsh Posté le 15-04-2009 à 21:29:12
+1 tu peux soit authentifier l'utilisateur mais tu peux très bien auth la machine en 802.1x.
Marsh Posté le 16-04-2009 à 11:45:17
En effet je viens de trouver quelques sites qui confirme ce que vous dites:
http://forum.hardware.fr/hfr/syste [...] _969_1.htm
http://forum.wireless-fr.org/viewtopic.php?id=4&p=
http://www.laboratoire-microsoft.o [...] k/wpa/0/#2
Toutefois cette solution pourra t-elle fonctionner sur un réseau aussi hétérogène que le mien en terme de stations terminale (windows, linux et Mac). Pour ce qui est des équipements telque les switchs cela ne me posera aucun problème puisqu'ils supportent tous le 802.1x.
Marsh Posté le 16-04-2009 à 11:59:23
Oui, a priori, mais plutôt en EAP-TLS avec utilisation de certificats machines qu'en PEAP-MSCHAPv2.
avec wpa_supplicant pour linux par ex.
Mais à mon avis si tu veut rendre ça user-friendly, faudra passer par un client propriétaire sur MAC OS et Linux. En tout cas, sous win, c'est en natif.
Ensuite, fais des tests intensifs, rien n'est jamais acquis en 802.1x... ;-)
Marsh Posté le 15-04-2009 à 10:45:25
Bonjour
Voila je cherche à mettre en place une solution qui me permettrait d'authentifier une station sur un réseau.
Bien sûre j'ai tout de suite pensé à une méthode utilisant le serveur Radius et le protocole 802.1x. Mais cette solution n'est pas celle recherchée. En effet je ne souhaite pas identifier l'utilisateur de la station mais seulement la station en elle même.
On peut aussi proscrire l'authentification par adresses MAC qui est très simple à contournée.
Je me suis alors tourné vers des solutions NAC (Network Access Control) qui permettent d'identifier les stations et leur niveau de sécurité. A la connection de la station au réseau, celle-ci est identifiée. Si son antivirus, Firewall ou autre élément de sécurité n'est pas à jour, la station est basculée dans un VLAN à part.
Mais la encore cette solution ne me convient pas car les stations sont identifiées par leur adresse MAC.
Quelqu'un aurait il une piste de recherche sur une solution qui me permettrait d'identifier de manière sûre la station?
Message édité par beldin22 le 15-04-2009 à 13:52:58