enable
configure terminal
dot1x system-auth-control802.1X est un protocole d'authentification utilisé dans les réseaux filaires et sans fil …
pour contrôler l’accès au réseau.
Il est couramment utilisé pour renforcer la sécurité des réseaux d’entreprise.
802.1X est un standard IEEE qui s’appuie sur le protocole EAP (Extensible Authentication Protocol) pour l’échange des informations d’identification. |
Contrôle l’accès au réseau en authentifiant les utilisateurs ou les appareils …
avant de leur accorder l’accès.
| Composant | Rôle |
|---|---|
Supplicant | Le client (PC, téléphone) qui demande l’accès |
Authenticator | Switch ou point d’accès qui contrôle l’accès |
Server (RADIUS) | Serveur qui valide les identifiants |
Le supplicant tente de se connecter au réseau via un switch ou un AP
L'authenticator relaie les identifiants au serveur RADIUS
Le serveur RADIUS valide :
Succès → accès accordé (avec VLAN dynamique éventuel)
Échec → connexion rejetée ou VLAN de quarantaine
EAPOL (EAP over LAN) transporte les messages EAP entre le supplicant et l’authenticator avant l’authentification complète. |
Contrôle d’accès basé sur l’identité (utilisateur ou appareil)
Supporte plusieurs méthodes : certificats, mots de passe, cartes à puce
Intégration native avec Active Directory / LDAP
Sécurise les réseaux câblés et sans fil (WPA2/3-Enterprise)
Quarantaine automatique pour les appareils non conformes
enable
configure terminal
dot1x system-auth-controlinterface FastEthernet0/1
switchport mode access
authentication port-control auto
dot1x pae authenticator
endradius-server host 192.168.1.1 \
auth-port 1812 acct-port 1813 \
key myradiuskey
aaa new-model
aaa authentication dot1x default group radiusNe jamais utiliser une clé RADIUS triviale comme |
sudo apt update
sudo apt install freeradiusÉditer /etc/freeradius/3.0/users :
alice Cleartext-Password := "password123"sudo systemctl restart freeradiusParamètres réseau → propriétés de l’interface
Activer 802.1X sur l’interface
Choisir la méthode EAP (PEAP, EAP-TLS, etc.)
Installer wpa_supplicant
Configurer /etc/wpa_supplicant/wpa_supplicant.conf
show dot1x all
show authentication sessions
debug dot1x eventsAnalyser les logs RADIUS (/var/log/freeradius/radius.log)
Capturer le trafic avec Wireshark (filtre eapol)
Vérifier la connectivité supplicant ↔ authenticator ↔ serveur
802.1X est la base de WPA2/3-Enterprise pour le Wi-Fi.
Authentification par utilisateur (pas une PSK partagée)
Révocation possible individuellement
Logs nominatifs
Sur un Wi-Fi entreprise, toujours préférer WPA2/3-Enterprise avec 802.1X plutôt qu’une PSK : une PSK fuite ne peut être révoquée sans impacter tout le monde. |
Scénario : un visiteur branche son PC sur une prise du bureau.
802.1X demande l’authentification
Échec → bascule vers un VLAN invité avec accès limité
Succès employé → VLAN nominal selon son rôle
Scénario : seuls les employés peuvent accéder au Wi-Fi.
Configurer WPA2-Enterprise + RADIUS
Provisioning des certificats via MDM
Révocation immédiate au départ d’un employé
802.1X transforme votre réseau d’un espace ouvert en un réseau authentifié : seuls les utilisateurs et appareils légitimes y entrent. |
Couplé avec un VLAN dynamique, c’est la brique fondamentale du contrôle d’accès réseau (NAC).
À combiner avec : VLAN · ACL · Moindre privilège · Hardening |