Une comparaison technique entre PEAP et TTLS
La sécurité VLAN a généralement deux défauts majeurs :- l'authentification des utilisateurs n'est pas suffisamment forte,
- le niveau cryptage des données est trop faible.
L'authentification forte des utilisateurs est un élément majeur dans la sécurité WLAN car elle interdit l'accès réseau aux utilisateurs non autorisés.
Les protocoles WLAN sont conçut de telle façon, qu'un utilisateur ayant réussit à déjouer les systèmes de contrôle d'accès parvient facilement mettre en défaut les systèmes décryptage des données. L'amélioration des systèmes d'authentification permet directement d'augmenter le niveau de confidentialité des données.
En réponse à ces problèmes d'authentification, l'industrie a développé une série de protocoles d'authentification forte à l'usage des réseaux WLAN. Un de ces principaux standards d'authentification est référencé sous l'appellation IEEE 802.1x qui est basé sur le protocole EAP (IETF Extensible Authentication Protocol). L'asssociation 802.1x et EAP fournit un système d'authentification ouvert capable d'exploiter une grande variété de méthodes d'authentification. Chaque méthode disposant de ces avantages et inconvénients.
Un des principaux challenges dans le déploiement de 802.1x est le choix de la méthode d'authentification car outre le niveau de sécurité elle conditionne en grande partie les choix produits.
Méthode d'autentification TLS
802.1X a été développé initialement pour les réseaux traditionnels qui ne requièrent donc pas forcément de solution d'encryption forte. Bien que réalisable, l'écoute du réseau filaire requiert toutefois un accès physique à l'infrastructure et aux équipements réseaux. Dans le cas des réseaux WLAN, l'analyse du trafic est nettement plus simple car l'accès au réseau physique n'est plus une nécessité. L'analyse des trames échangées peut se faire très simplement avec une carte WLAN et divers logiciels d'analyse disponibles librement sur Internet.
Les réseaux WLAN ont également des besoins d'authentification qui leurs sont propres. Sans accès physique aux équipements réseaux, l'utilisateur doit être certain de s'attacher à un point d'accès légitime appartenant au réseau d'entreprise et non à un équipement "pirate" utilisé dans le cadre d'une attaque de type "Man in the Middle". En plus de l'authentification des utilisateurs (clients), ces derniers doivent également êtres dans la mesure d'authentifier le réseau ou l'environnement auxquels ils se connectent.
Ces deux facteurs, l'encryption forte et l'authentification mutuelle, qui permettent de garantir la transmission des données sensibles au travers d'un réseau WLAN sécurisé et légitime doivent êtres les fils conducteurs de la stratégie d'authentifcation. Dans la pratique, les méthodes basées sur le protocole TLS permettent de répondre aux contraintes exposées, nous disposons ainsi des protocoles suivants :
- EAP-Transport Layer Security (EAP-TLS)
- Tunneled Transport Layer Security (TTLS)
- Protectect EAP (PEAP)
En cours de rédaction !
posted by Hervé SCHLECHT @ 2:41 PM
<< Home