Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.
Ctrlk

Contournement de l’authentification MAC

Cet article vise à clarifier ce qu’est le contournement de l’authentification MAC, en quoi il diffère du MAB-to-EAP, et lequel fonctionne avec RADIUSaaS.

Depuis les adresses MAC peuvent être facilement usurpées, la mise en œuvre d’un contournement de l’authentification MAC est fortement déconseillée sauf si cela est absolument nécessaire et que l’administrateur a évalué le risque associé à la mise en place d’un tel contournement par rapport à la commodité et aux contraintes budgétaires liées à la mise à niveau d’un matériel obsolète.

Vue d’ensemble

MAC Authentication Bypass (MAB) est une fonctionnalité qui permet à des appareils incapables d’effectuer une authentification d’entreprise standard 802.1X (comme les imprimantes anciennes, les capteurs simples ou les systèmes embarqués) de se connecter à un réseau autrement sécurisé. MAB accorde l’accès en utilisant l’adresse MAC unique d’un appareil comme seul identifiant, par rapport à une liste autorisée maintenue par un serveur RADIUS.

L’ancienne implémentation de MAB est vulnérable à l’usurpation d’adresse MAC à la fois sur la connexion entre l’authentificateur et l’équipement réseau et sur la connexion entre l’équipement réseau et le serveur RADIUS. Pour éliminer le second vecteur d’attaque, une implémentation plus robuste de MAB, appelée MAB-to-EAP, peut être utilisée, ce qui garantit effectivement l’intégrité de l’adresse MAC transmise au serveur RADIUS (l’adresse MAC peut toujours être usurpée sur la liaison entre l’authentificateur et l’équipement réseau).

Ce guide détaille les différences entre la méthode héritée non sécurisée Pure MAB et la solution de contournement moderne sécurisée au niveau du transport.

Terminologie et implémentations MAB

MAB : MAC Authentication Bypass

EAP : Extensible Authentication Protocol

Supplicant : L’entité (comme un ordinateur portable, un téléphone ou une interface réseau) qui initie le processus d’authentification avec un Authenticator afin d’obtenir l’accès à un réseau.

Authenticator : Une entité réseau (comme un commutateur, un point d’accès sans fil ou une passerelle VPN) qui impose l’authentification avant d’accorder à un Supplicant l’accès au réseau.

Authentication Server : Une entité réseau de confiance (comme un serveur RADIUS) chargée de vérifier l’identité des Supplicants en contrôlant leurs identifiants (comme les noms d’utilisateur, les mots de passe ou les certificats numériques) et de déterminer s’ils sont autorisés à accéder au réseau.

Pure MAB (Ancienne implémentation) : Cette méthode consiste à faire envoyer par l’Authenticator l’adresse MAC du client à un serveur RADIUS, généralement dans l’attribut RADIUS Calling-Station-Id . Le serveur RADIUS effectue une simple recherche et renvoie un Access-Accept ou Access-Reject. L’adresse MAC sert d’identifiant, et non de véritable identifiant d’authentification.

MAB-to-EAP (Implémentation sécurisée) : Comme Pure MAB ne dispose pas d’un transport cryptographiquement sécurisé, de nombreux services modernes (comme RADIUSaaS) exigent une approche plus robuste. Dans cette méthode, l’Authenticator utilise l’adresse MAC du client comme nom d’utilisateur et mot de passe, puis tente de s’authentifier auprès du serveur RADIUS à l’aide d’un protocole EAP sécurisé (par exemple, EAP-TTLS-PAP, PEAP-MSCHAPv2). L’appareil client reste inconscient de toute authentification effectuée.

Comment fonctionne Pure MAB (base de données RADIUS externe)

Lorsque la base de données d’adresses MAC est maintenue par un serveur RADIUS externe (la configuration d’entreprise courante), la séquence suivante s’applique à Pure MAB :

  1. Un client non-802.1X se connecte et demande l’accès au réseau.

  2. L’Authenticator détecte la connexion et, ne voyant aucune négociation 802.1X, lance une tentative MAB.

  3. L’Authenticator prend l’adresse MAC du client (par ex. , 00:11:22:33:44:55) et la transmet au serveur RADIUS dans un message Access-Request . L’adresse MAC est généralement analysée dans l’attribut Calling-Station-Id RADIUS.

  4. Le serveur RADIUS vérifie dans sa base de données configurée la présence de l’adresse MAC.

  5. Il renvoie un Access-Accept message si la MAC est trouvée (Correspondance) ou un Access-Reject si elle ne l’est pas (Aucune correspondance).

  6. Si Access-Accept est reçu, l’Authenticator autorise le port et permet au client de rejoindre le réseau.

Drawing

Considérations de sécurité

En général, MAB offre peu ou pas de sécurité et doit être utilisé avec une extrême prudence.

  • Usurpation de MAC : Les adresses MAC peuvent être facilement modifiées (usurpées) sur la plupart des ordinateurs et cartes réseau modernes. Un acteur malveillant peut observer l’adresse MAC d’un appareil autorisé et configurer son propre appareil pour l’utiliser, obtenant ainsi un accès non autorisé.

  • Identification, pas authentification : MAB n’est qu’une forme d’identification de l’appareil. Il confirme seulement quel appareil se connecte, pas qui en est le propriétaire ni s’il est cryptographiquement sécurisé.

En raison de ces faiblesses, la plupart des services modernes d’authentification cloud (comme RADIUSaaS) ne prennent pas en charge Pure MAB ni les anciens protocoles comme PAP ou CHAP. À la place, ils exigent la méthode MAB-to-EAP, où l’adresse MAC est utilisée comme identifiants au sein d’un tunnel EAP cryptographiquement robuste.

Implémentation de MAB avec EAP (une approche RADIUSaaS de MAB)

Lorsque MAB est configuré sur un Authenticator et qu’un appareil ancien ne prenant pas en charge 802.1X tente de demander l’accès au réseau, le commutateur ou le point d’accès se fera passer pour cet appareil et prendra en charge l’authentification au nom du client en s’authentifiant auprès de RADIUSaaS à l’aide de l’un des EAP pris en charge protocoles : EAP-TTLS-PAP ou PEAP-MSCHAPv2. Dans le cadre de ce processus, RADIUSaaS vérifiera si l’adresse MAC figure dans la base de données RADIUSaaS sous la forme d’un Utilisateurajouté manuellement. (nom d’utilisateur = mot de passe = adresse MAC), Si c’est le cas, alors un Access-Accept message est renvoyé, et l’authentification basée sur EAP se termine en donnant à l’appareil ancien l’accès au réseau. Comme l’Authenticator établit une connexion TLS vers RADIUSaaS, il doit faire confiance au Certificat du serveur que RADIUSaaS utilise.

L’utilisation de l’adresse MAC comme nom d’utilisateur/mot de passe pour déclencher EAP est une solution de contournement spécifique mise en œuvre par l’Authenticator pour simuler MAB tout en utilisant des protocoles EAP plus robustes.

MAB fonctionne-t-il avec RADIUSaaS ?

MAB dans son implémentation d’origine utilisant PAP ou CHAP ne fonctionne pas avec RADIUSaaS. À la lumière des définitions ci-dessus, l’implémentation actuelle de RADIUSaaS peut prendre en charge MAB tant que votre Authenticator peut s’authentifier via l’un des protocoles mentionnés précédemment. Gardez à l’esprit que dès que ces protocoles pris en charge sont utilisés dans l’authentification, nous ne contournons plus l’authentification, et c’est à ce moment-là que le terme plus spécifique de MAB-to-EAP est utilisé.

Configuration

MAB nécessite une configuration à la fois sur l’Authenticator et sur l’Authentication Server.

Authenticator :

  • Activez 802.1X et MAC Authentication Bypass (MAB) sur les ports d’accès/SSID spécifiques destinés aux appareils non-802.1X.

  • Faites confiance au certificat du serveur RADIUS.

  • Remarque : les étapes de configuration dépendent du fournisseur ; consultez la documentation de votre appareil.

Authentication Server :

  • Lors de la mise en œuvre de MAB-to-EAP, vous devez créer une règle d’autorisation explicite dans RADIUSaaS afin d’attribuer à tous les appareils s’authentifiant via cette méthode un VLAN de repli avec un accès réseau minimal. Cela est essentiel pour appliquer le principe du moindre privilège, en empêchant un acteur malveillant ayant usurpé une adresse MAC valide d’accéder à des ressources réseau critiques. La règle doit être configurée en fonction des politiques d’authentification de votre environnement :

    • Si MAB-to-EAP est le seul usage de l’authentification par nom d’utilisateur/mot de passe : créez une règle d’autorisation large (LAN/Wi-Fi) qui affecte tout appareil utilisant ce type d’identifiants au VLAN de repli.

    • Si le nom d’utilisateur/mot de passe est utilisé pour d’autres clients (par ex. : utilisateurs) : cette règle doit être soigneusement ajustée à l’aide d’expressions régulières afin de correspondre spécifiquement au format d’une adresse MAC dans le champ du nom d’utilisateur (par ex. , 00:11:22:33:44:55). Cela garantit que seul le trafic MAB-to-EAP est isolé dans le VLAN de repli.

  • Pour prendre en charge MAB-to-EAP, vous devez ajouter des utilisateurs formatés ainsi : Nom d’utilisateur = Mot de passe = adresse MAC. Exemple : 00:11:22:33:44:55 = 00:11:22:33:44:55.

  • Le format de l’adresse MAC (deux-points, tiret ou aucun) doit correspondre exactement au format envoyé par votre Authenticator dans les identifiants EAP. Nous recommandons d’utiliser la notation avec deux-points (par ex. , 00:11:22:33:44:55) pour plus de cohérence.

  • Si vous avez plusieurs utilisateurs, vous pouvez les importer en masse à l’aide d’un fichier CSV .

Mis à jour

Ce contenu vous a-t-il été utile ?