802.1x. Protocole et retour d expérience. Nicolas Gibelin Version 1.1 (Rev : 65) /32

Transcription

1 802.1x Protocole et retour d expérience Nicolas Gibelin Nicolas.Gibelin@imag.fr Version 1.1 (Rev : 65) /32

2 Plan 1 Introduction x 3 Retour d expérience 4 Référence 5 Questions? 2/32

3 Historique Standardisation : PPP 1 1 Point to Point Protocol 2 Remove Auth Dial-In User Service 3 Extensible Authentication Protoco 3/32

4 Historique Standardisation : PPP : RADIUS 2 (RFC2865 à RFC2869) 1 Point to Point Protocol 2 Remove Auth Dial-In User Service 3 Extensible Authentication Protoco 3/32

5 Historique Standardisation : PPP : RADIUS 2 (RFC2865 à RFC2869) 1998 : EAP 3 (RFC2284) 1 Point to Point Protocol 2 Remove Auth Dial-In User Service 3 Extensible Authentication Protoco 3/32

6 Historique Standardisation : PPP : RADIUS 2 (RFC2865 à RFC2869) 1998 : EAP 3 (RFC2284) 2001 : 802.1X IEEE Standard for Port Based Network Access Control 1 Point to Point Protocol 2 Remove Auth Dial-In User Service 3 Extensible Authentication Protoco 3/32

7 Historique Standardisation : PPP : RADIUS 2 (RFC2865 à RFC2869) 1998 : EAP 3 (RFC2284) 2001 : 802.1X IEEE Standard for Port Based Network Access Control 2003 (février) : addendum 802.1aa (non rejeu, auth mutuelle, gestion de clefs) 1 Point to Point Protocol 2 Remove Auth Dial-In User Service 3 Extensible Authentication Protoco 3/32

8 Historique Standardisation : PPP : RADIUS 2 (RFC2865 à RFC2869) 1998 : EAP 3 (RFC2284) 2001 : 802.1X IEEE Standard for Port Based Network Access Control 2003 (février) : addendum 802.1aa (non rejeu, auth mutuelle, gestion de clefs) 2010 : 802.1X IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control 1 Point to Point Protocol 2 Remove Auth Dial-In User Service 3 Extensible Authentication Protoco 3/32

9 Contexte Pourquoi réfléchir au 802.1x 4/32

10 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron 4/32

11 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions 4/32

12 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions Bientôt : bâtiment Pilsi 4/32

13 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions Bientôt : bâtiment Pilsi En profiter pour simplifier 4/32

14 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions Bientôt : bâtiment Pilsi En profiter pour simplifier Ajouter Nomadisme filaire 4/32

15 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions Bientôt : bâtiment Pilsi En profiter pour simplifier Ajouter Nomadisme filaire Techno de connexion?? 4/32

16 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions Bientôt : bâtiment Pilsi En profiter pour simplifier Ajouter Nomadisme filaire Techno de connexion?? Sans Auth : Statique Vlan par port 4/32

17 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions Bientôt : bâtiment Pilsi En profiter pour simplifier Ajouter Nomadisme filaire Techno de connexion?? Sans Auth : Statique Vlan par port Avec Auth 4/32

18 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions Bientôt : bâtiment Pilsi En profiter pour simplifier Ajouter Nomadisme filaire Techno de connexion?? Sans Auth : Statique Vlan par port Avec Auth Mac adresse 4/32

19 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions Bientôt : bâtiment Pilsi En profiter pour simplifier Ajouter Nomadisme filaire Techno de connexion?? Sans Auth : Statique Vlan par port Avec Auth Mac adresse Portail captif 4/32

20 Contexte Pourquoi réfléchir au 802.1x L occasion fait le larron Actuellement : plein bâtiments, différentes gestions Bientôt : bâtiment Pilsi En profiter pour simplifier Ajouter Nomadisme filaire Techno de connexion?? Sans Auth : Statique Vlan par port Avec Auth Mac adresse Portail captif 802.1x 4/32

21 Plan 1 Introduction x 3 Retour d expérience 4 Référence 5 Questions? 5/32

22 Principe Objectifs Standardiser relais authentification niveau 2 Sécuriser l accès au réseau Authentifier l utilisateur plutôt que le matériel 6/32

23 Principe Objectifs Standardiser relais authentification niveau 2 Sécuriser l accès au réseau Authentifier l utilisateur plutôt que le matériel Comment Requête d authentification Auth avant connexion/conf (DHCP,PXE... ) Succès : Vlan utilisateur Échec : Vlan banni - guest - portail captif... 6/32

24 Intérêt Sécurité réseau (filaire et sans fil) 7/32

25 Intérêt Sécurité réseau (filaire et sans fil) Tracabilité des incidents (intrusions, usurpation... ) 7/32

26 Intérêt Sécurité réseau (filaire et sans fil) Tracabilité des incidents (intrusions, usurpation... ) Mobilité utilisateur = Nomadisme 7/32

27 Intérêt Sécurité réseau (filaire et sans fil) Tracabilité des incidents (intrusions, usurpation... ) Mobilité utilisateur = Nomadisme Facilité de gestion 7/32

28 Acteurs Client : supplicant en EAP 8/32

29 Acteurs Client : supplicant en EAP Équipement niveau 2 : Authenticator 8/32

30 Acteurs Client : supplicant en EAP Équipement niveau 2 : Authenticator Serveur d authentification : RADIUS 8/32

31 Acteurs Client : supplicant en EAP Équipement niveau 2 : Authenticator Serveur d authentification : RADIUS Serveur d authentification Clients Switch 8/32

32 Contrôle de port 4 Innovation de 802.1x Point accès physique (rj45) ou logique (802.11) = 2 ports logiques 4 PAE (Port Access Entity) 9/32

33 Contrôle de port 4 Innovation de 802.1x Point accès physique (rj45) ou logique (802.11) = 2 ports logiques PAE authentificateur Port contrôlé Port non contrôlé LAN 4 PAE (Port Access Entity) 9/32

34 Contrôle de port 4 Innovation de 802.1x Point accès physique (rj45) ou logique (802.11) = 2 ports logiques Non controlé : échange EAP d auth (toujours accessible) PAE authentificateur Port contrôlé Port non contrôlé LAN 4 PAE (Port Access Entity) 9/32

35 Contrôle de port 4 Innovation de 802.1x Point accès physique (rj45) ou logique (802.11) = 2 ports logiques Non controlé : échange EAP d auth (toujours accessible) Controlé PAE authentificateur Port contrôlé Port non contrôlé LAN 4 PAE (Port Access Entity) 9/32

36 Contrôle de port 4 Innovation de 802.1x Point accès physique (rj45) ou logique (802.11) = 2 ports logiques Non controlé : échange EAP d auth (toujours accessible) Controlé PAE authentificateur Autorisé : interrupteur fermé Port contrôlé Port non contrôlé LAN 4 PAE (Port Access Entity) 9/32

37 Contrôle de port 4 Innovation de 802.1x Point accès physique (rj45) ou logique (802.11) = 2 ports logiques Non controlé : échange EAP d auth (toujours accessible) Controlé PAE authentificateur Autorisé : interrupteur fermé Port Non autorisé : interrupteur ouvert contrôlé Port non contrôlé LAN 4 PAE (Port Access Entity) 9/32

38 Contrôle de port 4 Innovation de 802.1x Point accès physique (rj45) ou logique (802.11) = 2 ports logiques Non controlé : échange EAP d auth (toujours accessible) Controlé PAE authentificateur Autorisé : interrupteur fermé Port Non autorisé : interrupteur ouvert contrôlé Variable AuthControlledPortControl ForceUnauthorised ForceAuthorised Auto Port non contrôlé LAN 4 PAE (Port Access Entity) 9/32

39 Détail Port non contrôlé Début de connexion : port en état non contrôlé. Seuls les paquets 802.1X autorisés. PAE Client Port non contrôlé Serveur d auth Port contrôlé Réseau 10/32

40 Détail Port contrôlé Auth ok : port en état contrôlé. Tous les flux acceptés Client PAE Port non contrôlé Serveur d auth Port contrôlé Réseau 11/32

41 Authenticateur Initialisation : activation du proto, de la prise, du matériel Automate Initialisation logoff de l authentifié held abort tempo reject timeout resp déconnecté connexion identity authentification authentifié logoff de l authentifié start de l authentifié logoff de l authentifié 12/32

42 Authenticateur Déconnecté : port physique actif, port controlé ouvert Connexion : envoi EAP-Identify au client, puis attend réponse Automate Initialisation logoff de l authentifié held abort tempo reject timeout resp déconnecté connexion identity authentification authentifié logoff de l authentifié start de l authentifié logoff de l authentifié 12/32

43 Authenticateur Authentification : relais vers serveur d auth Authentifié : port controlé fermé (accés ok) Automate Initialisation logoff de l authentifié held abort tempo reject timeout resp déconnecté connexion identity authentification authentifié logoff de l authentifié start de l authentifié logoff de l authentifié 12/32

44 Authenticateur Held : tempo (parade brute force), tout ignoré Abort : auth interrompue (logoff, re-auth, start... ) Automate Initialisation logoff de l authentifié held abort tempo reject timeout resp déconnecté connexion identity authentification authentifié logoff de l authentifié start de l authentifié logoff de l authentifié 12/32

45 Types d EAP EAP-TLS (Transport Layer Security) Authentification par certificat du client et du serveur 13/32

46 Types d EAP EAP-TLS (Transport Layer Security) Authentification par certificat du client et du serveur EAP-TTLS (Tunneled Transport Layer Security) Authentification par certificat et mot de passe grâce à la génération d un tunnel sécurisé 13/32

47 Types d EAP EAP-TLS (Transport Layer Security) Authentification par certificat du client et du serveur EAP-TTLS (Tunneled Transport Layer Security) Authentification par certificat et mot de passe grâce à la génération d un tunnel sécurisé EAP-MD5 Authentification avec mot de passe 13/32

48 Types d EAP EAP-TLS (Transport Layer Security) Authentification par certificat du client et du serveur EAP-TTLS (Tunneled Transport Layer Security) Authentification par certificat et mot de passe grâce à la génération d un tunnel sécurisé EAP-MD5 Authentification avec mot de passe PEAP (Protected EAP) Authentification avec mot de passe via une encapsulation sécurisée 13/32

49 Types d EAP EAP-TLS (Transport Layer Security) Authentification par certificat du client et du serveur EAP-TTLS (Tunneled Transport Layer Security) Authentification par certificat et mot de passe grâce à la génération d un tunnel sécurisé EAP-MD5 Authentification avec mot de passe PEAP (Protected EAP) Authentification avec mot de passe via une encapsulation sécurisée LEAP (protocole Cisco) Authentification avec mot de passe via une encapsulation sécurisée 13/32

50 Session 802.1X/EAP Client Client Radius Serveur Radius EAPOL-start EAP-request-Identity EAP-Response-Identity EAP-Request-Auth EAP-Response-Auth RADIUS-Access-request RADIUS-Access-Challenge RADIUS-Access-request EAP-Success EAP-Failure OU RADIUS-Access-Accept RADIUS-Access-Reject 14/32

51 Divers MAC authentication bypass Pour le matériel sans supplicant (imprimantes... ) Voix Switchs et routeurs supportent configuration de VoiceVlan sur interfaces 802.1x 15/32

52 Faiblesses 802.1x Vieux matériels faibles : spoofing, hub Des contremesures existent maintenant 16/32

53 Faiblesses 802.1x Vieux matériels faibles : spoofing, hub Des contremesures existent maintenant Radius Secret partagé (taille courte = brute force, dico) Secret fragile (interception Access Request/Response) Hash faible du UserPassword (MD5) Rejeu des réponses du serveur possible 16/32

54 Plan 1 Introduction x 3 Retour d expérience 4 Référence 5 Questions? 17/32

55 Environnement Tests en environnement de production 18/32

56 Environnement Tests en environnement de production Humain Georges Schwing Moi Bonnes volontées locales 18/32

57 Environnement Tests en environnement de production Humain Georges Schwing Moi Bonnes volontées locales Matériel 2 Catalyst 6800 en Virtual Switching System (VSS) Carte Firewall Switchs cisco Clients de test 18/32

58 Environnement Tests en environnement de production Humain Georges Schwing Moi Bonnes volontées locales Matériel 2 Catalyst 6800 en Virtual Switching System (VSS) Carte Firewall Switchs cisco Clients de test Logiciel Plateforme VMWare VMs pour les serveurs Supplicant : Windows, Linux, Mac 18/32

59 Choix de déploiement Réseau guest : Vlan666 Adresses privées en x.x Pas d accès en entrée En sortie : ports 80 et 443 Pas de communications vers/de les autres Vlans 19/32

60 Choix de déploiement Réseau guest : Vlan666 Adresses privées en x.x Pas d accès en entrée En sortie : ports 80 et 443 Pas de communications vers/de les autres Vlans Choix EAP (Idem Eduroam) = Nomadisme Securité : WPA et WPA2 Entreprise Authentication : Tunneled TLS Inner authentication : PAP User + Password 19/32

61 Mise en place : supplicant À l utilisateur Linux : NetworkManager, WPA supplicant... Windows > XP : expérience Eduroam Mac : en standard (si OS récent) 20/32

62 Mise en place : authenticateur Switch Cisco ( c o n f i g )#aaa new model ( c o n f i g )#aaa a u t h e n t i c a t i o n dot1x d e f a u l t group r a d i u s ( c o n f i g )#aaa a u t h o r i z a t i o n network d e f a u l t group r a d i u s ( c o n f i g )# r a d i u s s e r v e r h o s t x. x ( c o n f i g )# r a d i u s s e r v e r key passw0rd ( c o n f i g )# i n t e r f a c e r a n g e F a s t E t h e r n e t 0/6 12 ( c o n f i g i f r a n g e)# s w i t c h p o r t mode a c c e s s ( c o n f i g i f r a n g e)#dot1x port c o n t r o l auto ( c o n f i g i f r a n g e)#dot1x guest v l a n 40 ( c o n f i g i f r a n g e)# e x i t ( c o n f i g )#dot1x system auth c o n t r o l 21/32

63 Mise en place : authenticateur Attention à l IOS C i s c o IOS R e l e a s e ( 3 3 ) SXI o r l a t e r r e l e a s e s : Router ( c o n f i g )# i n t e r f a c e f a s t e t h e r n e t 5/1 Router ( c o n f i g i f )# a u t h e n t i c a t i o n port c o n t r o l auto Router ( c o n f i g i f )# a u t h e n t i c a t i o n e v e n t f a i l r e t r y 3 \ a c t i o n a u t h o r i z e v l a n 2 Router ( c o n f i g i f )# dot1x pae a u t h e n t i c a t o r R e l e a s e s e a r l i e r than R e l e a s e ( 3 3 ) SXI : Router ( c o n f i g )# i n t e r f a c e f a s t e t h e r n e t 5/1 Router ( c o n f i g i f )# dot1x port c o n t r o l auto Router ( c o n f i g i f )# dot1x auth f a i l v l a n 2 Router ( c o n f i g i f )# dot1x auth f a i l max a t t e m p t s 3 22/32

64 Mise en place : serveur d authentification FreeRadius ldap inner-tunnel proxy.conf radius.conf client.conf eap.conf users 23/32

65 Exemple FreeRadius Radius en TTLS (eap.conf) eap { d e f a u l t e a p t y p e = t t l s t i m e r e x p i r e = 60 i g n o r e u n k n o w n e a p t y p e s = no g t c { a u t h t y p e = PAP } t l s { c e r t d i r = ${ c o n f d i r }/ c e r t s c a d i r = ${ c o n f d i r }/ c e r t s p r i v a t e k e y f i l e = ${r a d d b d i r }/ c e r t s / xxx. key c e r t i f i c a t e f i l e = ${r a d d b d i r }/ c e r t s / xxx. pem CA file = ${raddbdir}/ certs /ca terena. pem d h f i l e = ${r a d d b d i r }/ c e r t s /dh random file = ${raddbdir}/ certs /random c i p h e r l i s t = DEFAULT make cert command = ${ c e r td i r }/ bootstrap cache { e n a b l e = no l i f e t i m e = 24 # h o u r s m a x e n t r i e s = 255 } } t t l s { d e f a u l t e a p t y p e = g t c c o p y r e q u e s t t o t u n n e l = y e s u s e t u n n e l e d r e p l y = y e s } } 24/32

66 Services et coeur de réseau Services DHCP pour le guest 25/32

67 Services et coeur de réseau Services DHCP pour le guest DHCP pour les Vlans 25/32

68 Services et coeur de réseau Services DHCP pour le guest DHCP pour les Vlans Base utilisateur avec VlanId (ex. ldap) couplé au radius 25/32

69 Services et coeur de réseau Services DHCP pour le guest DHCP pour les Vlans Base utilisateur avec VlanId (ex. ldap) couplé au radius Coeur de réseau Relay Dhcp 25/32

70 Services et coeur de réseau Services DHCP pour le guest DHCP pour les Vlans Base utilisateur avec VlanId (ex. ldap) couplé au radius Coeur de réseau Relay Dhcp PAT, NAT 25/32

71 Services et coeur de réseau Services DHCP pour le guest DHCP pour les Vlans Base utilisateur avec VlanId (ex. ldap) couplé au radius Coeur de réseau Relay Dhcp PAT, NAT Filtrage 25/32

72 Difficultés Doc Cisco pas toujours à jour 26/32

73 Difficultés Doc Cisco pas toujours à jour Doc pas toujours très claire 26/32

74 Difficultés Doc Cisco pas toujours à jour Doc pas toujours très claire Évolution du firmware (commandes deprecated) 26/32

75 Difficultés Doc Cisco pas toujours à jour Doc pas toujours très claire Évolution du firmware (commandes deprecated) Configuration historique du matériel 26/32

76 Difficultés Doc Cisco pas toujours à jour Doc pas toujours très claire Évolution du firmware (commandes deprecated) Configuration historique du matériel S.I + ldap adaptés à mettre en place 26/32

77 Conclusion Mise en place Configuration matérielle plutôt simple (avec suptilités) 27/32

78 Conclusion Mise en place Configuration matérielle plutôt simple (avec suptilités) Portail captif invité = ajoute complexité 27/32

79 Conclusion Mise en place Configuration matérielle plutôt simple (avec suptilités) Portail captif invité = ajoute complexité Gros travail sur le S.I. 27/32

80 Conclusion Mise en place Configuration matérielle plutôt simple (avec suptilités) Portail captif invité = ajoute complexité Gros travail sur le S.I. À l usage Administration matérielle simplifiée 27/32

81 Conclusion Mise en place Configuration matérielle plutôt simple (avec suptilités) Portail captif invité = ajoute complexité Gros travail sur le S.I. À l usage Administration matérielle simplifiée Sécurisé 27/32

82 Conclusion Mise en place Configuration matérielle plutôt simple (avec suptilités) Portail captif invité = ajoute complexité Gros travail sur le S.I. À l usage Administration matérielle simplifiée Sécurisé Nomadisme 27/32

83 Conclusion Mise en place Configuration matérielle plutôt simple (avec suptilités) Portail captif invité = ajoute complexité Gros travail sur le S.I. À l usage Administration matérielle simplifiée Sécurisé Nomadisme Simple (comme Eduroam) pour les utilisateurs 27/32

84 Plan 1 Introduction x 3 Retour d expérience 4 Référence 5 Questions? 28/32

85 Références I [1] Blunk, L., and Vollbrecht, J. PPP Extensible Authentication Protocol (EAP). RFC 2284 (Proposed Standard), Mar Obsoleted by RFC 3748, updated by RFC [2] Committee, C. L. S x ieee standard for port based network access control, Superseded by: 802.1X [3] Group, W. H. L. L. P. W x ieee standard for local and metropolitan area networks port-based network access control, [4] Rigney, C. RADIUS Accounting. RFC 2866 (Informational), June Updated by RFCs 2867, 5080, [5] Rigney, C., Willats, W., and Calhoun, P. RADIUS Extensions. RFC 2869 (Informational), June Updated by RFCs 3579, [6] Rigney, C., Willens, S., Rubens, A., and Simpson, W. Remote Authentication Dial In User Service (RADIUS). RFC 2865 (Draft Standard), June Updated by RFCs 2868, 3575, 5080, [7] Simpson, W. The Point-to-Point Protocol (PPP). RFC 1661 (INTERNET STANDARD), July Updated by RFC /32

86 Références II [8] Zorn, G., Aboba, B., and Mitton, D. RADIUS Accounting Modifications for Tunnel Protocol Support. RFC 2867 (Informational), June [9] Zorn, G., Leifer, D., Rubens, A., Shriver, J., Holdrege, M., and Goyret, I. RADIUS Attributes for Tunnel Protocol Support. RFC 2868 (Informational), June Updated by RFC /32

87 Plan 1 Introduction x 3 Retour d expérience 4 Référence 5 Questions? 31/32

88 Questions?? 32/32