Configuration de PEAP pour l’authentification MAC RADIUS

Le protocole EAP (Extensible Authentication Protocol) est un protocole extensible qui prend en charge plusieurs méthodes d’authentification, notamment des méthodes d’authentification basées sur un mot de passe et des méthodes d’authentification plus sécurisées basées sur des certificats. EAP facilite la négociation entre l’authentificateur, ou périphérique de commutation, et le serveur d’authentification, afin de déterminer la méthode d’authentification à utiliser pour un demandeur. La méthode d’authentification par défaut utilisée pour l’authentification MAC RADIUS est EAP-MD5, dans laquelle le serveur envoie au client une valeur de défi aléatoire, et le client prouve son identité en hachant le défi et son mot de passe avec MD5. EAP-MD5 ne fournit que l’authentification du client et non celle du serveur, il peut être vulnérable aux attaques par usurpation d’identité.

Vous pouvez configurer le protocole d’authentification extensible protégé, également appelé protocole EAP protégé ou simplement PEAP, pour corriger les vulnérabilités de sécurité d’EAP-MD5. PEAP est un protocole qui encapsule des paquets EAP dans un tunnel TLS (couche transport) chiffré et authentifié. Le PEAP est appelé protocole d’authentification externe, car il configure le tunnel et n’est pas directement impliqué dans l’authentification des points de terminaison. Le protocole d’authentification interne, utilisé pour authentifier l’adresse MAC du client à l’intérieur du tunnel, est Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAPv2). L’échange chiffré d’informations à l’intérieur du tunnel garantit que les informations d’identification des utilisateurs sont à l’abri de l’écoute clandestine.

L’un des avantages de PEAP, lorsqu’il est utilisé avec MS-CHAPv2, est qu’il ne nécessite qu’un certificat côté serveur pour établir le tunnel sécurisé et utilise des certificats de clé publique côté serveur pour authentifier le serveur. Cela élimine les frais liés au déploiement de certificats numériques pour chaque client nécessitant une authentification.

Une fois qu’un client a été authentifié sur le commutateur à l’aide de l’authentification MAC RADIUS, les clients suivants peuvent utiliser le même tunnel externe que celui établi par le premier client pour communiquer avec le serveur. Ceci est réalisé à l’aide de la fonctionnalité de reprise de session fournie par SSL. La reprise de session réduit la latence qui peut se produire lorsque les clients suivants attendent l’établissement d’un nouveau tunnel TLS.

Avant de configurer le protocole d’authentification PEAP pour l’authentification MAC RADIUS, assurez-vous que le serveur d’authentification est également configuré pour utiliser PEAP avec MS-CHAPv2 comme protocole d’authentification interne. Pour plus d’informations sur la configuration du serveur d’authentification, consultez la documentation de votre serveur.

REMARQUE :

Le protocole d’authentification peut être configuré globalement à l’aide de l’option interface all ainsi que localement à l’aide du nom d’interface individuel. Si le protocole d’authentification est configuré à la fois pour une interface individuelle et pour toutes les interfaces, la configuration locale de cette interface remplace la configuration globale.

Pour configurer le protocole d’authentification PEAP pour l’authentification MAC RADIUS :