Bienvenue sur le Laboratoire Microsoft !
Nous sommes environ 700 étudiants et travaillons sur plus de 350 projets sur les technologies Microsoft.
Nous préparons la migration de ce portail vers les technologies SharePoint 2010, prévue pour Septembre 2010.
Jean-Sébastien DUCHÊNE et William BORIES
  Laboratoire Microsoft |  CertifExpress 
 Le Forum de Référence sur les Technologies Microsoft - http://www.forum-microsoft.org

802.1x avec la méthode MS-CHAPv2

Un forum pour parler de tout ce qui a trait à la sécurité

Modérateurs: Moez, ygainche, Thierry DEMAN (MVP Exchan, Modérateurs_Applicatifs

Règles du forum
Publier une réponse

802.1x avec la méthode MS-CHAPv2

Messagepar Monga sur Ven 20 Mar 2009, 12:07

Bonjour à tous,

Petite question concernant la méthode d'authentification 802.1x avec la méthode MS-CHAPv2, à propos de ce que l'on peut authentifier....je suis un peut perdu :

Authentification côté cleint, que peut on utiliser:
1) identifiant et mot de passe de l'utilisateur
2) identifiant et mot de passe de la machine (active directory dans mon cas)
3) certificat microsoft côté client

Je suis un peu perdu dans les méthodes.....alors par avance merci de votre aide !!!!

Bonne journée
Monga
Novice
Novice
 
Messages: 16
Inscrit le: Mar 19 Aoû 2008, 14:54
Haut

Re: 802.1x avec la méthode MS-CHAPv2

Messagepar Koj sur Lun 23 Mar 2009, 19:11

C'est : (du plus lite au plus dur)
soit MD5-challange
soit Protected-EAP + mot de passe (MS chap v2)
soit Protected-EAP + certificat (PEAP/TLS)
soit EAP + Certificat (EAP/TLS)

La première parti est en faite la fonction de création du tunnel avant même l'authentification (cryptée ou non).
Si le niveau est faible (comme MD5 = simple hash par echange de clé), l'attaque man in the middle est beaucoup facile à réaliser (quoi qu'il faut quand même les bons toolz).
En Protected-EAP, la création du tunnel est réalisé avec un système plus complexe mais toujours en échange de mot de passe. En P-EAP/TLS, on utilise les certificat qu'une fois le tunnel monté.
En EAP/TLS, c'est carément du cryptage avec clé publique/clé privé + vérification des certificats (CRL) et de l'autorité de certification, dès le montage du tunnel, donc beaucoup plus costaud. L'authentification ne vient qu'après (P-EAP/TLS et EAP/TLS sont équivalent une fois le tunnel monté).

Avantage donc a P-EAP/TLS et EAP/TLS, le problème ce situant dans la délivrance de certificat. Donc si tu fait du certificat, autant faire directement de l'EAP/TLS.

Les authentifications sont multiples : user et/ou machine. Tout dépend du matériel.

Koj
PS : je me trompe peut être, ca fait bien 6 mois que j'ai pas mis le nez la dedans. corrigez moi si besoin.
Transcript: http://www.microsoft.com/learning/mcp/transcripts (ID: 672446 Pass: ShowToUs).
Avatar de l’utilisateur
Koj
Grand Master
Grand Master
 
Messages: 1278
Inscrit le: Lun 23 Aoû 2004, 21:57
Localisation: Paris
Haut

Re: 802.1x avec la méthode MS-CHAPv2

Messagepar Monga sur Mar 24 Mar 2009, 15:33

Merci pour ta réponse, c'est plus claire maintenant. Mais dans l'éventualité de la mise en place de serveurs IAS au niveau des controleurs de domaines de l'active directory, sommes nous contraints de ne pouvoir utiliser que la méthode PEAP/MS-CHAPv2 avec forcément authentification exclusivement sur login/password des utilisateurs?? Ou peut on utiliser l'IAS à d'autres fin comme l'authentification sur certificats côté client??

Pour résumer => Peut on faire du TLS (PEAP ou EAP) avec un serveur IAS??
Monga
Novice
Novice
 
Messages: 16
Inscrit le: Mar 19 Aoû 2008, 14:54
Haut
Publier une réponse

Retourner vers Sécurité

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invités

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by phpBB.fr © 2007, 2008 phpBB.fr
phpBB SEO
cron


Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidéos | Whitepapers | Boîte à Scripts
Conditions d'utilisation & Copyright | Respect de la vie privée