RADIUS_AAA_802.1X

RADIUS, AAA & 802.1X

#réseau #sécurité #authentification #protocoles

1. AAA — Architecture de sécurité

AAA = Authentication, Authorization, Accounting

Composant Rôle
Authentication Qui es-tu ? → vérification de l'identité
Authorization Qu'as-tu le droit de faire ? → contrôle d'accès
Accounting Qu'as-tu fait ? → traçabilité / journalisation

Exemple concret : un utilisateur VPN s'authentifie (login/mdp), reçoit des droits d'accès selon son profil, et chaque session est enregistrée.

2. RADIUS

Présentation

  • Remote Authentication Dial-In User Service
  • RFC 2865 (auth/authz) + RFC 2866 (accounting)
  • Protocole client/serveur UDP
    • Port 1812 → Authentication & Authorization
    • Port 1813 → Accounting
  • Anciennement : ports 1645/1646 (legacy)

Acteurs

[Supplicant] ──── [NAS / Client RADIUS] ──── [Serveur RADIUS] ──── [Base d'identités]
 (utilisateur)     (switch, AP, VPN GW)        (FreeRADIUS,           (LDAP, AD,
                                                 Cisco ISE…)            base locale)
  • Supplicant : l'entité qui veut accéder (PC, téléphone…)
  • NAS (Network Access Server) : équipement réseau qui relaie la demande (switch, borne Wi-Fi, concentrateur VPN)
  • Serveur RADIUS : traite l'authentification et répond au NAS

Fonctionnement général

Supplicant          NAS                 Serveur RADIUS
    │                │                        │
    │──── Requête ──►│                        │
    │                │── Access-Request ─────►│
    │                │                        │ Vérifie les credentials
    │                │◄── Access-Accept ──────│ (ou Access-Reject / Access-Challenge)
    │◄── Accès ──────│                        │

Messages RADIUS

Message Direction Description
Access-Request NAS → Serveur Demande d'authentification
Access-Accept Serveur → NAS Authentification réussie + attributs
Access-Reject Serveur → NAS Accès refusé
Access-Challenge Serveur → NAS Demande d'info supplémentaire (MFA…)
Accounting-Request NAS → Serveur Début/fin de session
Accounting-Response Serveur → NAS Accusé de réception accounting

Sécurité RADIUS

  • Le secret partagé (shared secret) sécurise la relation NAS ↔ Serveur
  • Seul le mot de passe est chiffré dans Access-Request (via MD5) → trafic partiellement chiffré
  • ⚠️ RADIUS over UDP = vulnérable aux attaques réseau → préférer RadSec (RADIUS over TLS, port 2083)

Attributs RADIUS (VSA)

  • Attributs standards définis dans les RFC (ex. User-Name, NAS-IP-Address, Session-Timeout)
  • VSA (Vendor-Specific Attributes) : attributs propriétaires par constructeur (Cisco, Aruba…)
  • Utilisés pour pousser des politiques : VLAN, ACL, rôle, QoS…

3. 802.1X

Présentation

  • Standard IEEE 802.1X — Port-Based Network Access Control
  • Contrôle l'accès à un port réseau (filaire ou Wi-Fi) avant d'autoriser tout trafic
  • S'appuie sur EAP (Extensible Authentication Protocol) pour les échanges d'auth

Acteurs

Rôle Nom technique Exemple
Client Supplicant PC Windows, Android, Linux (wpa_supplicant)
Équipement réseau Authenticator Switch Cisco, AP Wi-Fi
Serveur d'auth Authentication Server Serveur RADIUS (FreeRADIUS, ISE, NPS)

Fonctionnement

Supplicant          Authenticator          Serveur RADIUS
    │                    │                       │
    │◄── EAP-Request ────│ (Identity)            │
    │─── EAP-Response ──►│                       │
    │                    │── RADIUS Access-Req ──►│
    │                    │                       │ Échange EAP encapsulé
    │◄─── EAP (tunnel) ──────────────────────────│
    │                    │                       │
    │                    │◄── Access-Accept ──────│
    │◄── EAP-Success ────│                       │
    │    [Port ouvert]   │                       │
  1. Le port est en état non-autorisé par défaut
  2. L'authenticator challenge le supplicant via EAP
  3. Les messages EAP sont encapsulés dans RADIUS entre l'authenticator et le serveur
  4. Sur Access-Accept → le port passe en état autorisé + application des politiques (VLAN, ACL…)

Méthodes EAP courantes

Méthode Authentification Certificat serveur Certificat client Remarques
EAP-TLS Mutuelle (certificats) Le plus sécurisé
PEAP Login/mdp dans tunnel TLS Très répandu (Windows)
EAP-TTLS Credentials dans tunnel TLS Flexible, multi-plateforme
EAP-FAST PAC ou tunnel TLS Optionnel Cisco, sans PKI obligatoire
EAP-MD5 Challenge MD5 ⚠️ Obsolète, non recommandé

Recommandation : EAP-TLS pour les postes managés (PKI), PEAP/MSCHAPv2 pour les environnements sans PKI client.

4. RADIUS + 802.1X : l'ensemble du puzzle

┌─────────────┐    EAP over LAN (EAPoL)    ┌───────────────┐
│  Supplicant │ ◄─────────────────────────► │ Authenticator │
│   (client)  │                             │ (switch / AP) │
└─────────────┘                             └───────┬───────┘
                                                    │ RADIUS (UDP 1812)
                                            ┌───────▼───────┐
                                            │ Serveur RADIUS │
                                            │ (ISE, NPS…)   │
                                            └───────┬───────┘
                                                    │
                                            ┌───────▼───────┐
                                            │  Annuaire AD  │
                                            │  / LDAP / PKI │
                                            └───────────────┘

Politiques dynamiques post-authentification

Via les attributs RADIUS retournés dans Access-Accept :

  • VLAN dynamique : Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID
  • ACL téléchargée : Filter-Id ou VSA Cisco AV-pair
  • SGT (Security Group Tag) : Cisco TrustSec
  • Durée de session : Session-Timeout, Idle-Timeout

5. Cas d'usage typiques

Contexte Mécanisme
Accès Wi-Fi entreprise (WPA2/WPA3-Enterprise) 802.1X + EAP + RADIUS
Accès filaire NAC (postes sur LAN) 802.1X sur ports switch + RADIUS
Accès VPN (IPsec, SSL) RADIUS auth (sans 802.1X)
Administration équipements réseau (SSH, console) RADIUS AAA (TACACS+ souvent préféré)

TACACS+ vs RADIUS : TACACS+ (Cisco) sépare auth/authz/accounting, chiffre tout le payload, préféré pour l'administration des équipements. RADIUS est standard pour l'accès réseau utilisateur.

6. Implémentations courantes

Produit Type
FreeRADIUS Open-source, très répandu
Cisco ISE Entreprise, NAC complet
Microsoft NPS Intégré Windows Server / AD
Aruba ClearPass Entreprise, multi-vendor
Radsec (RFC 6614) RADIUS over TLS pour sécuriser le transport

7. Points clés à retenir

  • AAA = Authentication + Authorization + Accounting
  • RADIUS = protocole UDP client/serveur qui implémente AAA
  • 802.1X = contrôle d'accès au port, utilise EAP comme méthode d'auth
  • EAP est transporté dans RADIUS entre l'authenticator et le serveur
  • Le supplicant ne parle jamais directement au serveur RADIUS
  • EAP-TLS = gold standard (PKI requise des deux côtés)
  • RADIUS peut pousser des politiques dynamiques (VLAN, ACL, SGT) via ses attributs

Références

  • RFC 2865 — RADIUS
  • RFC 2866 — RADIUS Accounting
  • RFC 3579 — RADIUS Support for EAP
  • RFC 5216 — EAP-TLS
  • IEEE 802.1X-2020
  • RFC 6614 — RadSec (RADIUS over TLS)