Publicité
SINEC OS communique avec le serveur d'authentification à l'aide d'EAP over RADIUS.
IMPORTANT
Vulnérabilité - Risque d'intrusion et/ou d'abus
SINEC OS prend en charge Protected Extensible Authentication Protocol (UDC), EAP transport
Layer Security (EAP) et EAP-MD5. La fonction de hachage MD5 d'EAP-MD5 est vulnérable aux
attaques par dictionnaire et aux attaques de l'homme du milieu. PEAP et EAP-TLS sont plus sûrs
et leur utilisation est préférable à EAP-MD5 si elle est prise en charge par le demandeur.
Remarque
Si L'adresse MAC de l'appareil source est configurée dans la table d'adresses MAC statiques, elle
est autorisée, même si le nœud d'extrémité est rejeté par le serveur d'authentification.
7.6.1.3
Authentification IEEE 802.1x avec MAB
Cette méthode combine l'authentification IEEE 802.1X avec la MAC Authentication bypass
(MAB). MAB est un protocole de contrôle d'accès qui accède à l'adresse MAC d'un nœud
d'extrémité pour vérifier l'identité du demandeur avant d'autoriser l'accès. Il est utilisé comme
option de repli lorsqu'un demandeur ne prend pas en charge IEEE 802.1X, par exemple une
imprimante ou un téléphone IP.
IEEE 802.1X avec MAB fonctionne comme suit :
1.
Lancement
2. MAB
Authentification
3. Autorisation
Figure 7-5
Command Line Interface (CLI) SINEC OS V2.4
Manuel de configuration, 10/2023, C79000-G8977-C498-07
EAP via LAN (EAPoL)
Nœud d'extrémité sans
Demandeur
EAPoL : Requête EAP-Identification (1)
EAPoL : Requête EAP-Identification (2)
EAPoL : Requête EAP-Identification (N)
Trame de réseau
Notification EAP : Succès/Erreur
Authentification IEEE 802.1x avec MAB
EAP via RADIUS
Contrôleur d'accès
Serveur d'authentification
(SINEC OS)
RADIUS : Requête d'accès
(Requête d'accès)
RADIUS : Accorder/refuser l'accès
(Access-Accept/Reject)
Sécurité des données
7.6 Sécurité des ports
265
Publicité
