802.1X: apports de la révision 2010...

Publié le 20 septembre 2011 par Sid

C

omme chacun le sait, 802.1X est un standard IEEE visant à fournir un contrôle d'accès au médium physique par authentification. Adopté initialement en 2001, il ne s'appliquait à l'époque qu'aux réseaux filaires et n'a pas connu, il faut bien le reconnaître, un franc succès. Ce n'est qu'avec l'ajout du support du Wi-Fi en 2004 et un soudain regain d'intérêt de la part des constructeurs avec leurs offres NAC qu'il a acquis ses lettres de noblesse.

Seulement en l'état, il ne fournissait pas pour les réseau filaires de lien fort entre l'authentification et la suite des communications, ce qui poussait certains à affirmer, non sans ironie mais avec des arguments valables, que le Wi-Fi était devenu plus sûr qu'un réseau ethernet. Or, la dernière révision du standard publiée l'an dernier vient combler ces manques.

La version 2010 de 802.1x apporte deux améliorations principales. La première, et probablement la plus importante, est l'intégration de 802.1AE, dit MACsec, qui fournit les services d'authentification, contrôle d'intégrité et chiffrement pour la couche MAC. Autrement dit les moyens de combler ce vide entre l'authentification 802.1X d'un côté et les échanges de données de l'autre par la génération d'une hiérarchie de clés de session. Ceci permet de lutter en particulier quelques attaques bien connues contre un 802.1x filaire, comme celle du déverrouillage de port à base de hub et d'usurpation d'adresse MAC ou encore le simple MiM filaire comme automatisé dans Yersinia.

La seconde est la possibilité d'annoncer sur le même port physique plusieurs réseaux, pouvant chacun proposer une méthode d'accès différente, exactement comme on le fait en Wi-Fi avec les SSID multiples. Cette fonctionnalité est rendue plus intéressante par son association avec MACsec puisque ce dernier va permettre l'utilisation d'un même port physique par plusieurs équipements dans un contexte sécurisé, de la même manière que des stations Wi-Fi sur le même AP. Ce genre de fonctionnalité prend tout son sens avec l'exemple du desktop relié au téléphone VoIP, lui-même connecté au switch, dont la ségrégation des flux est habituellement basée sur un simple tagging 802.1Q. Lequel se contourne par un simple MiM physique entre le mur et le téléphone. Avec 802.1X nouveau, on pourra avoir deux sessions dont la ségrégation sera imposée par du chiffrement sur deux hiérarchies de clés différentes. Et basta...

Un troisième apport notable est l'intégration de 802.1AR qui vise à fournir un identifiant cryptographique unique à chaque équipement, identifiant qui aura vocation à être utilisé pour l'authentification. L'identifiant serait dérivé de tout ou partie de l'adresse MAC et d'une clé publique, typiquement sous forme de certificat x509.

Des fonctionnalités intéressantes, donc, mais qui ne manqueront d'avoir un impact notable lorsqu'elles se verront déployées. D'une part sur les performances du réseau, parce que chiffrer à 1Gbps demande un peu matériel dédié, et d'autre part sur l'architecture globale, en particulier quand il s'agit de faire du monitoring de flux réseau...