Contrôle d'accès du réseau basé sur les ports

Utilisation de la norme IEEE 802.1x et sécurité des ports

Le protocole EAP (Extensible Authentication Protocol) a été conçu pour les environnements d'entreprise où les administrateurs souhaitent bénéficier d'une sécurité supérieure à la simple protection par noms d'utilisateur et mots de passe. Le protocole EAP est intégré au protocole d'authentification PPP et crée une infrastructure généralisée supportant différentes méthodes d'authentification. Avec le protocole EAP standardisé, l'interopérabilité et la compatibilité des méthodes d'authentification est plus simple. IEEE 802.1X est la norme utilisée pour passer l'EAP sur un réseau LAN filaire ou sans fil. L'encapsulation d'EAP sur IEEE 802.1x est connue sous le nom de "EAP over LAN" ou EAPOL.

802.1x utilise trois termes spécifiques et indispensables :

• Supplicant: Ce terme désigne le dispositif client ou utilisateur qui doit être authentifié et souhaite accéder au réseau.
• Serveur d'authentification : Le serveur qui effectue l'authentification, normalement un serveur RADIUS.
• Authenticator: Ce terme désigne le dispositif situé entre le Supplicant et le serveur d'authentification.

Utilisation de Perle comme un Authenticator

La norme IEEE 802.1x apporte un mécanisme d'authentification des dispositifs qui souhaitent se connecter à des ports d'accès.

Utilisé en conjonction avec un serveur d'authentification RADIUS conforme, un équipement Perle – dans son rôle d'Authenticator – autorise uniquement l'accès à ses ports (et donc au réseau), lorsque le dispositif 802.1x (supplicant) a été correctement authentifié par le serveur RADIUS. La fonction « Supplicant » est disponible dans les systèmes d'exploitation pour postes de travail communs, tels que Windows.

Lorsqu'un dispositif non-conforme 802.1x (tel qu'un équipement industriel) doit être connecté à un commutateur conforme 802.1x, la fonction MAC Authentication Bypass (MAB) disponible sur les équipements Perle peut être utilisée. Lorsque cette fonction est activée, l'adresse MAC spécifique du dispositif sert d'identifiant et de mot de passe. Ces informations, une fois préconfigurées dans le serveur d'authentification RADIUS, autoriseront un accès sécurisé au port du commutateur.

Utilisation de Perle comme Supplicant

La norme 802.1x peut aller plus loin que les dispositifs cherchant à accéder au commutateur de périphérie. Vous pouvez configurer un produit Perle pour qu'il fonctionne comme Supplicant pour un autre commutateur. Cette solution peut être utilisée lorsqu'un équipement Perle est à l'extérieur d'une armoire de répartition tout en étant connecté à un commutateur montant par un port de tronc. Perle, configuré avec la fonction de Supplicant de commutateur 802.1x authentifie le commutateur montant (fonctionnant comme Authenticator) pour sécuriser la connectivité.

Sécurité des ports Perle

La fonction de sécurité des ports permet de restreindre les entrées sur une interface en limitant et en identifiant les adresses MAC des stations autorisées à accéder au port (Accès ou Tronc). Elle déclenche des actions spécifiques en cas de violation, telles que l'envoi d'un message trap SNMP au NMS, et la fermeture du port.

Produits Perle supportant IEEE 802.1x et Sécurité des Ports

Image by Arran Cudbard-Bell Arr2036 (Own work)