http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol

Microsoft certificate requirements for EAP-TLS: https://support.microsoft.com/en-us/kb/814394

http://www.labo-microsoft.org/articles/network/wpa/0/ :

” Le protocole 802.1X définit trois catégories d’acteur jouant chacun un rôle différent.

  • Le supplicant : il s’agit du poste de travail qui demande à accéder au réseau.
  • L’authenticator : c’est le dispositif Wi-Fi (également client Radius, voir chapitre suivant) fournissant la connexion au réseau. Il supporte deux états, non autorisé et autorisé, mais il ne joue que le rôle de relais dans l’authentification.
  • Le serveur d’authentification : Il s’agit d’un serveur implémentant une solution Radius “

” Il existe différentes méthodes d’authentification pour EAP (Extensible Authentication Protocol).

Voici les différents méthodes classées de la moins sûre à la plus sûre

  • EAP-MD5: C’est la plus simple. Le client est authentifié par le serveur en utilisant un mécanisme de défi réponse. Le serveur envoie une valeur aléatoire (le défi), le client concatène à ce défi le mot de passe et en calcule, en utilisant l’algorithme MD5, une empreinte (” hash “) qu’il renvoie au serveur. Le serveur qui connaît le mot de passe calcule sa propre empreinte, compare les deux et en fonction du résultat valide ou non l’authentification. Une écoute du trafic peut dans le cas d’un mot de passe mal choisi, permettre de le retrouver par une attaque par dictionnaire ou par force brute.
  • LEAP (Lightweight EAP): est un méthode propre à Cisco qui repose sur l’utilisation de secrets partagés pour authentifier mutuellement le serveur et le client. Elle n’utilise aucun certificat et est basé sur l’échange de défi et réponse.
  • EAP-TTLS (tunneled Transport Secure Layer) : utilise TLS comme un tunnel pour échanger des couples attribut valeur à la manière de RADIUS11 servant à l’authentification. Pratiquement n’importe quelle méthode d’authentification peut être utilisée.
  • PEAP (Protected EAP): est une méthode très semblable dans ses objectifs et voisine dans la réalisation à EAP-TTLS. Elle est développée par Microsoft. Elle se sert d’un tunnel TLS pour faire circuler de l’EAP. On peut alors utiliser toutes les méthodes d’authentification supportées par EAP.
  • EAP-TLS(Extensible Authentication Protocol-Transport Layer Security): C’est la plus sûre. Le serveur et le client possèdent chacun leur certificat qui va servir à les authentifier mutuellement. Cela reste relativement contraignant du fait de la nécessité de déployer une infrastructure de gestion de clés. Rappelons que TLS, la version normalisée de SSL (Secure Socket Layer), est un transport sécurisé (chiffrement, authentification mutuelle, contrôle d’intégrité). C’est lui qui est utilisé de façon sous-jacente par HTTPS, la version sécurisée de HTTP, pour sécuriser le Web.

Nous utiliserons donc la méthode EAP-TLS qui propose à ce jour le plus de sécurité.

Avec la méthode EAP-TLS l’authentification du client d’accès peut se faire de différentes façons :

  • A l’aide d’un certificat personnel associé à la machine, l’authentification a lieu au démarrage de la machine.
  • A l’aide d’un certificat personnel associé à l’utilisateur, l’authentification a lieu après l’entrée en session (” logon “) de l’utilisateur.

Il est possible de combiner les deux précédentes méthodes. La valeur de la clé de registre “HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode” permet de modifier ce comportement :

  • 0 authentification de la machine au démarrage, en cas d’échec authentification de l’utilisateur au logon
  • 1 authentification de la machine au démarrage, puis authentification de l’utilisateur au logon
  • 2 uniquement authentification de la machine

Nous utiliserons des certificats du type X509v3 Extended Key Usage délivrés par le site Web de l’autorité de certification. ”

Image pour décrire le méchanisme:

Image Radius EAP 802.1x

For MAC:

https://www.afp548.com/2012/11/20/802-1x-eaptls-machine-auth-mtlion-adcerts/

https://support.apple.com/en-us/HT204602