Recommandations de déploiement du protocole 802.1X pour le contrôle d'accès à des réseaux locaux

Le protocole 802.1X permet de contrôler l'accès d'équipements informatiques à des réseaux locaux, qu'ils soient filaires ou Wi-Fi. Ce guide présente le protocole de façon succincte, ainsi que les objectifs de sécurité auxquels il permet de répondre. Il aborde ensuite les recommandations de déploiement de l'ANSSI et présente différents cas d'usage destinés à aider le lecteur dans la mise en œuvre de ce protocole. Il s'adresse à toute personne qui, dans le cadre de ses fonctions, est confrontée aux problématiques de décision d'implémentation ou de mise en œuvre technique du protocole.

Publié le 17 Août 2018 Mis à jour le 17 Août 2018
guide_802.1x_anssi_pa_043_v1_couv

Dès lors qu’il héberge des données sensibles telles que des secrets industriels, des numéros de cartes de crédit ou même des données personnelles, un système d’information devient une cible de choix pour un attaquant. Les menaces les plus courantes d’une analyse de risque prennent en compte le piégeage d’un équipement interne par une source externe, cependant la connexion d’équipements externes au système d’information local est souvent négligée pour les raisons suivantes :

  • les utilisateurs sont considérés comme de confiance ;
  • des mesures techniques ou opérationnelles empêchent un visiteur de connecter son équipement à un réseau interne.

Ces hypothèses sont souvent mises en avant mais l’architecture physique d’un système d’information évolue dans le temps, notamment au gré des différents déménagements. Une prise réseau précédemment affectée à un bureau peut se retrouver dans une zone publique et exposer le système d’information de l’entité à un visiteur. Un utilisateur légitime peut également connecter pour diverses raisons un équipement personnel ou un équipement réseau au système d’information interne ou fournir un secret d’authentification tel qu’un mot de passe d’accès à un réseau Wi-Fi à une personne extérieure, exposant également le système d’information à différentes menaces préalablement éludées.

Afin de traiter ces différents problèmes, il est possible d’appliquer le principe de défense en profondeur et d’ériger des barrières supplémentaires sur le réseau du système d’information. Leurs rôles seront principalement de limiter les connexions d’équipements au strict nécessaire et de superviser les évènements intervenant sur le réseau afin de détecter des comportements suspects.
Ces deux fonctions répondent à des objectifs de sécurité préventifs et réactifs afin d’augmenter le niveau de sécurité du système d’information.