802.1X

802.1X est un standard lié à la sécurité des réseaux informatiques. Il permet de contrôler l’accès aux équipements d’infrastructures réseau.

e protocole 802.1x est une solution standard de sécurisation de réseaux mise au point par l’IEEE en 2001. 802.1x permet d’authentifier un utilisateur souhaitant accéder à un réseau (câblé ou Wifi) grâce à un serveur central d’authentification.

L’autre nom de 802.1x est Port-based Network Access Control ou User Based Access Control.

802.1x permet de sécuriser l’accès à la couche 2 (liaison de donnée) du réseau. Ainsi, tout utilisateur, qu’il soit interne ou non à l’entreprise, est dans l’obligation de s’authentifier avant de pouvoir faire quoi que soit sur le réseau. Certains équipements de réseau compatibles 802.1x peuvent réserver un traitement particulier aux utilisateurs non authentifiés, comme le placement dans un VLAN guest, une sorte de quarantaine sans danger pour le reste du réseau.

802.1x a recours au protocole EAP (Extensible Authentification Protocol) qui constitue un support universel permettant le transport de différentes méthodes d’authentification qu’on retrouve dans les réseaux câblés ou sans-fil.

802.1x nécessite donc la présence d’un serveur d’authentification qui peut être un serveur RADIUS (serveur Microsoft NPS – Network Policy Server ; Cisco ; un produit libre comme FreeRADIUS) ou encore un serveur TACACS dans le monde fermé des équipements Cisco.

Un port d’un commutateur réglé en mode 802.1x peut se trouver dans deux états distincts :

État contrôlé si l’authentification auprès du serveur RADIUS a réussi.
État non contrôlé si l’authentification a échoué.
La réussite ou l’échec de l’authentification va donc ouvrir ou fermer le port à toute communication.

Un port ouvert va, par exemple, permettre au client final d’obtenir une adresse IP auprès d’un serveur DHCP.

Dans des implémentations plus cloisonnées, le serveur RADIUS indiquera par exemple au client RADIUS dans quel VLAN placer le client final.