Sécurité des données
7.6 Sécurité des ports
1. Lancement
SINEC OS retransmet une requête d'identification EAPoL (Indentity-Request) au nœud
d'extrémité. Si le nœud d'extrémité répond dans le délai prévu, la méthode
d'authentification IEEE 802.1X est appliquée. Si le nœud d'extrémité ne répond pas dans le
délai défini et si le nombre maximal de tentatives est atteint, SINEC OS en conclut que le
nœud d'extrémité ne possède pas de demandeur.
SINEC OS tente alors d'authentifier le nœud d'extrémité à l'aide de MAB.
2. Authentification MAB
SINEC OS accepte une trame unique du port de pont pour identifier l'adresse MAC du nœud
d'extrémité. Dès que l'adresse MAC est identifiée, la trame est rejetée et SINEC OS transmet
une demande d'accès RADIUS au serveur d'authentification. Le message contient l'adresse
MAC comme nom d'utilisateur et le mot de passe.
3. Autorisation
Le serveur d'authentification vérifie si l'accès peut être accordé du demandeur et à quel
niveau. Il communique sa décision à l'authentificateur (SINEC OS) en transmettant soit un
message RADIUS d'autorisation d'accès (Access-Accept), soit un message RADIUS de refus
d'accès (Access-Reject).
IMPORTANT
Vulnérabilité - Risque d'intrusion et/ou d'abus
SINEC OS prend en charge Protected Extensible Authentication Protocol (UDC), EAP transport
Layer Security (EAP) et EAP-MD5. La fonction de hachage MD5 d'EAP-MD5 est vulnérable aux
attaques par dictionnaire et aux attaques de l'homme du milieu. PEAP et EAP-TLS sont plus sûrs
et leur utilisation est préférable à celle d'EAP-MD5 si elle est prise en charge par le demandeur.
Remarque
SINEC OS prend uniquement en charge le mode d'hôte unique pour l'authentification MAB. Une
violation de sécurité est signalée lorsque plus d'une adresse MAC source est détectée sur un port
de pont sécurisé après l'authentification d'un nœud d'extrémité par MAB.
7.6.1.4
VLAN restreints
Vous pouvez configurer les ports de port de pont sécurisés pour qu'il basculent en mode de
quarantaine ou en mode invité lorsque l'authentification d'un demandeur par IEEE 802.1X ou
par IEEE 802.1X échoue. Les services du demandeur sont ainsi automatiquement restreints.
L'administrateur peut par exemple limiter l'accès des utilisateurs non authentifiés
uniquement à l'imprimante, Internet ou à certains téléchargements. Si l'authentification
d'un demandeur échoue après un certain nombre de tentatives, le port de pont configuré
266
Command Line Interface (CLI) SINEC OS V2.4
Manuel de configuration, 10/2023, C79000-G8977-C498-07