802.1x et ses améliorations

Il faut avant tout voir que 802.1x est une méthode prioritairement définie pour les réseaux d'entreprise. L'objectif de cette méthode a été de standardiser un mécanisme de relais d'authentification au niveau 2 (pour les accès via des interfaces IEEE 802{.3 .5 .11}) pour permettre un contrôle d'accès aux ressources même si l'accès physique au réseau n'est pas contrôlable.

Le principe de fonctionnement de 802.1x est le suivant :

Le point d'accès (AP) commence par n'ouvrir le port que pour EAPOL,
Dans un serveur Radius, l'AP transforme EAPOL en EAP,
AP ouvre une session TLS^5.1 sur le serveur Radius,
Enfin, si l'authentification est réussie, l'AP reçoit une clef WEP et ouvre le port totalement

802.1x introduit la notion de "port contrôlé". Ainsi, par défaut, un (ou plusieurs) port de point d'accès sera (seront) ouvert(s) constamment, ils serviront à véhiculer les échanges d'authentification. Les autres ports ne seront ouverts qu'une fois l'authentification réussie (cf. FIG.).

**Figure:** Schéma de principe d'un accès à un réseau protégé par 802.1x
$\includegraphics[width=14cm,angle=0]{img/Principe-802.1x.eps}$

Comme on peut le voir, 802.1x impose certains pré-requis pour fonctionner correctement :

Tout d'abord, on doit avoir ou mettre en place un service de gestion des utilisateurs (comme RADIUS),
Déployer des bornes supportant les fonctionnalités 802.1X,
Avoir ou déployer sur tous les postes clients l'authentification 802.1X,
Maîtriser les effets induits comme, par exemple, le temps de connexion au réseau plus lent pour les utilisateurs.

Les avantages de 802.1x sont quand même multiples. En effet, le fait d'utiliser un serveur d'authentification permet d'éviter d'attribuer à deux stations la même clé de chiffrement, ce qui apporte déjà une solution au problème de l' unicité de la clé partagée dans WEP. De plus l'utilisation d'EAP permet à 802.1x d'hériter de ses nombreux avantages comme l'expiration programmée de l'authentification qui pourra permettre de renouveler la clé utilisée par un client au bout d'un intervalle de temps fixe déterminé.

2004-08-25