circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Contournement d'authentification MAC

Cet article vise à clarifier ce qu'est le contournement d'authentification MAC, en quoi il diffère du passage de MAB à EAP, et lequel fonctionne avec RADIUSaaS.

triangle-exclamation

Depuis Les adresses MAC peuvent être facilement usurpées, la mise en œuvre d'un contournement d'authentification MAC est fortement déconseillée sauf si absolument nécessaire et que l'administrateur a évalué le risque associé à la mise en place d'un tel contournement par rapport à la commodité et aux contraintes budgétaires de la mise à niveau du matériel obsolète.

hashtag
Aperçu

Contournement d'authentification MAC (MAB) est une fonctionnalité qui permet aux appareils incapables d'effectuer l'authentification d'entreprise 802.1X standard (comme les imprimantes héritées, les capteurs simples ou les systèmes embarqués) de se connecter à un réseau autrement sécurisé. MAB accorde l'accès en utilisant l'adresse MAC unique d'un appareil comme seul identifiant contre une liste autorisée maintenue par un serveur RADIUS.

L'implémentation héritée de MAB est vulnérable à l'usurpation d'adresse MAC à la fois sur la connexion entre l'authentifiant et le dispositif réseau et sur la connexion entre le dispositif réseau et le serveur RADIUS. Pour éliminer le second vecteur d'attaque, une implémentation plus robuste de MAB, appelée MAB-vers-EAP, peut être utilisée, ce qui garantit effectivement l'intégrité de l'adresse MAC transmise au serveur RADIUS (l'adresse MAC peut toujours être usurpée sur le lien entre l'authentifiant et le dispositif réseau).

Ce guide détaille les différences entre la méthode héritée non sécurisée MAB pur et la solution moderne sécurisée par le transport.

hashtag
Terminologie et implémentations MAB

MAB : Contournement d'authentification MAC

EAP : Protocole d'authentification extensible

Supplicant : L'entité (comme un ordinateur portable, un téléphone ou une interface réseau) qui initie le processus d'authentification avec un Authenticator pour obtenir l'accès à un réseau.

Authenticator : Une entité réseau (comme un commutateur, un point d'accès sans fil ou une passerelle VPN) qui applique l'authentification avant d'accorder à un Supplicant l'accès au réseau.

Serveur d'authentification : Une entité réseau de confiance (comme un serveur RADIUS) responsable de vérifier l'identité des Supplicants en vérifiant leurs informations d'identification (telles que noms d'utilisateur, mots de passe ou certificats numériques) et de déterminer s'ils sont autorisés à accéder au réseau.

MAB pur (Implémentation héritée) : Cette méthode implique que l'Authenticator envoie l'adresse MAC du client à un serveur RADIUS, généralement dans l'attribut Calling-Station-Id RADIUS. Le serveur RADIUS effectue une simple recherche et renvoie un Access-Accept ou Access-Reject. L'adresse MAC sert d'identifiant, et non de véritable justificatif.

MAB-vers-EAP (Implémentation sécurisée) : Parce que le MAB pur manque de transport cryptographiquement sécurisé, de nombreux services modernes (comme RADIUSaaS) exigent une approche plus robuste. Dans cette méthode, l'Authenticator utilise l'adresse MAC du client à la fois comme nom d'utilisateur et mot de passe puis tente de s'authentifier auprès du serveur RADIUS en utilisant un protocole EAP sécurisé (par ex., EAP-TTLS-PAP, PEAP-MSCHAPv2). L'appareil client reste ignorant du fait qu'une quelconque authentification a eu lieu.

hashtag
Comment fonctionne le MAB pur (base de données RADIUS externe)

Lorsque la base de données des adresses MAC est maintenue par un serveur RADIUS externe (la configuration d'entreprise courante), la séquence suivante s'applique pour le MAB pur :

  1. Un client non-802.1X se connecte et demande l'accès réseau.

  2. L'Authenticator détecte la connexion et, ne voyant aucune négociation 802.1X, initie une tentative MAB.

  3. L'Authenticator prend l'adresse MAC du client (par ex., 00:11:22:33:44:55) et la transmet au serveur RADIUS dans un Access-Request message. L'adresse MAC est typiquement analysée dans l'attribut Calling-Station-Id RADIUS.

  4. Le serveur RADIUS vérifie sa base de données configurée pour la présence de l'adresse MAC.

  5. Il renvoie un Access-Accept message si la MAC est trouvée (Correspondance) ou un Access-Reject si elle n'est pas trouvée (Pas de correspondance).

  6. Si Access-Accept est reçu, l'Authenticator autorise le port et permet au client de rejoindre le réseau.

Drawing

hashtag
Considérations de sécurité

En général, MAB offre peu ou pas de sécurité et doit être utilisé avec une extrême prudence.

  • Usurpation de MAC : Les adresses MAC sont facilement modifiables (usurpées) sur la plupart des ordinateurs modernes et des cartes réseau. Un acteur malveillant peut observer l'adresse MAC d'un appareil autorisé et configurer son propre appareil pour l'utiliser, obtenant ainsi un accès non autorisé.

  • Identification, pas authentification : Le MAB n'est qu'une forme d'identification de l'appareil. Il confirme seulement quel appareil se connecte, pas qui en est propriétaire ni s'il est sécurisé cryptographiquement.

En raison de ces faiblesses, la plupart des services d'authentification modernes basés sur le cloud (comme RADIUSaaS) ne prennent pas en charge le MAB pur ni les protocoles hérités comme PAP ou CHAP. À la place, ils exigent la méthode MAB-vers-EAP où l'adresse MAC est utilisée comme justificatifs à l'intérieur d'un tunnel EAP cryptographiquement solide.

hashtag
Implémentation de MAB avec EAP (une approche RADIUSaaS du MAB)

Lorsque MAB est configuré sur un Authenticator et qu'un appareil hérité qui ne prend pas en charge 802.1X tente de demander l'accès au réseau, le commutateur ou le point d'accès fera semblant d'être cet appareil et prendra en charge l'authentification au nom du client en s'authentifiant auprès de RADIUSaaS en utilisant l'un des protocoles EAParrow-up-rightprises en charge : EAP-TTLS-PAP ou PEAP-MSCHAPv2. Dans le cadre de ce processus, RADIUSaaS vérifiera si l'adresse MAC est répertoriée dans la base de données RADIUSaaS sous la forme d'un Utilisateur. (nom d'utilisateur = mot de passe = adresse MAC). Si tel est le cas, alors un Access-Accept message est renvoyé, et l'authentification basée sur EAP se termine en donnant à l'appareil hérité l'accès réseau. Puisque l'Authenticator établit une connexion TLS avec RADIUSaaS, il doit faire confiance au Certificat de serveur qu'utilise RADIUSaaS.

L'utilisation de l'adresse MAC comme nom d'utilisateur/mot de passe pour déclencher EAP est une solution de contournement spécifique mise en œuvre par l'Authenticator pour simuler le MAB tout en utilisant des protocoles EAP plus robustes.

hashtag
Le MAB fonctionne-t-il avec RADIUSaaS ?

Le MAB dans son implémentation originale utilisant PAP ou CHAP ne fonctionne pas avec RADIUSaaS. Avec les définitions ci-dessus à l'esprit, l'implémentation actuelle de RADIUSaaS peut prendre en charge le MAB tant que votre Authenticator peut s'authentifier via l'un des protocoles susmentionnés. Gardez à l'esprit que dès que ces protocoles pris en charge sont utilisés dans l'authentification, nous ne contournons plus l'authentification, et c'est alors que le terme plus spécifique MAB-vers-EAP est utilisé.

hashtag
Configuration

Le MAB nécessite une configuration à la fois sur l'Authenticator et sur le serveur d'authentification.

Authenticator :

  • Activez 802.1X et le contournement d'authentification MAC (MAB) sur les ports d'accès/SSIDs spécifiques destinés aux appareils non-802.1X.

  • Faites confiance au certificat du serveur RADIUS.

  • Remarque : Les étapes de configuration sont spécifiques au fournisseur ; référez-vous à la documentation de votre appareil.

Serveur d'authentification :

  • Lors de la mise en œuvre de MAB-vers-EAP, vous devez créer une règle d'autorisation explicite sur RADIUSaaS pour assigner tous les appareils s'authentifiant via cette méthode à un VLAN de secours avec un accès réseau minimal. Ceci est essentiel pour appliquer le principe du moindre privilège, empêchant un acteur malveillant ayant usurpé une adresse MAC valide d'accéder aux ressources réseau critiques. La règle doit être configurée en fonction des politiques d'authentification de votre environnement :

    • Si MAB-vers-EAP est la seule utilisation de l'authentification basée sur nom d'utilisateur/mot de passe : Créez une règle d'autorisation large (LAN/Wi-Fi) qui assigne tout appareil utilisant ce type d'identifiants au VLAN de secours.

    • Si le nom d'utilisateur/mot de passe est utilisé pour d'autres clients (par ex., des utilisateurs) : Cette règle doit être soigneusement ajustée en utilisant des expressions régulières pour correspondre spécifiquement au motif d'une adresse MAC dans le champ nom d'utilisateur (par ex., 00:11:22:33:44:55). Cela garantit que seul le trafic MAB-vers-EAP est isolé vers le VLAN de secours.

  • Pour prendre en charge MAB-vers-EAP, vous devez ajouter des utilisateurs formatés comme : Nom d'utilisateur = Mot de passe = adresse MAC. Exemple : 00:11:22:33:44:55 = 00:11:22:33:44:55.

  • Le format de l'adresse MAC (deux-points, tiret ou sans séparateur) doit correspondre exactement au format que votre Authenticator envoie dans les justificatifs EAP. Nous recommandons d'utiliser la notation avec deux-points (par ex., 00:11:22:33:44:55) pour la cohérence.

  • Si vous avez plusieurs utilisateurs, vous pouvez les importer en masse en utilisant un fichier CSV .

Mis à jour

Ce contenu vous a-t-il été utile ?