Accès sécurisé : téléphones IP et authentification 802.1X
Qu'est-ce que 802.1X ?
La norme 802.1X est utilisée conjointement avec les serveurs Radius ou LDAP pour proposer des services d'authentification, d'autorisation et de comptabilisation pour les clients connectés à un réseau Ethernet. Elle décrit un mécanisme d'échange de messages EAP (Extensible Authentication Protocol) entre un terminal (demandeur) et le commutateur (authentifiant) qui contrôle l'état opérationnel des ports.
Les téléphones IP se placent généralement entre l'ordinateur d'un utilisateur et le port du commutateur. Par conséquent, un port de commutateur Ethernet est utilisé à la fois par le téléphone IP et par l'ordinateur et fournit une alimentation au téléphone IP (en conformité avec la norme régissant l'alimentation par câble Ethernet 802.3af).
Il est important de proposer une qualité de service adéquate pour le trafic vocal. Le téléphone IP et l'ordinateur doivent donc se trouver sur des VLAN séparés. La figure suivante présente l'attribution de plusieurs VLAN dynamiques authentifiés sur le même port Ethernet dans différentes configurations.
Scénario 1 : 
Téléphone IP Alcatel avec commutateur Ethernet Alcatel.
•  Mode multi-client multi-VLAN 802.1X basé sur Mac
Cette configuration est la plus souple et puissante, si l'ordinateur et le téléphone IP sont compatibles 802.1X. Tous les périphériques sont authentifiés 802.1X indépendamment, selon leur adresse MAC unique et sont attribués à des VLAN séparés. Ce mode est pris en charge par plusieurs commutateurs de la famille Alcatel OmniSwitch. Les téléphones IP Touch d'Alcatel prendront en charge la norme 802.1X en 2006.
•  Mode 802.1X basé sur Mac et règles de mobile
En attendant la mise sur le marché des téléphones IP compatibles 802.1X, Alcatel propose ce mode sur OmniSwitch OS6800, OS7x00 et OS8800 pour les périphériques compatibles 802.1X et non compatibles mixtes. En ce qui concerne les périphériques compatibles 802.1X (par ex., les ordinateurs), un ID VLAN est attribué par le biais de serveurs Radius/LDAP (configuration standard) ou des règles de mobile (fonctionnalité Alcatel). En ce qui concerne les périphériques non compatibles 802.1X (par ex., le téléphone IP), un ID VLAN est attribué uniquement par les règles de mobile.
Notez que, même si ce mode est une fonctionnalité spécifique d'Alcatel sur le commutateur, il est compatible avec les téléphones IP et les ordinateurs de n'importe quel fournisseur. Il n'existe aucun protocole propriétaire entre le commutateur et les périphériques. Par exemple, les téléphones IP sont attribués à un ID VLAN en fonction d'une plage d'adresses MAC et d'un port de commutateur.
Cette fonctionnalité permet une distribution sécurisée de tous les flux de voix et de données sur l'infrastructure. Un administrateur peut alors décider de regrouper tous les PC d'un service dans un premier réseau IP (VLAN 10), de regrouper tous les téléphones IP de la direction sur un deuxième réseau IP dédié (VLAN 20) et tous les autres téléphones IP sur un autre VLAN (VLAN 30).
Scénario 2 :
Téléphone IP Alcatel avec commutateur Ethernet Cisco
Le mode conseillé pour un accès le plus sécurisé possible est le mode multi-client multi-VLAN 802.1X basé sur Mac (reportez-vous à la description au scénario 1 ci-dessus), lorsque le téléphone Alcatel IP Touch prendra en charge la norme 802.1X en 2006.
La prise en charge des différents modes d'authentification dépend du commutateur Cisco utilisé. Sur les commutateurs qui prennent en charge uniquement l'authentification 802.1X basée sur un port (et non sur MAC), il serait impossible d'associer un ordinateur compatible 802.1X et un téléphone IP non compatible 802.1X sur le même port Ethernet.
Le mode 802.1X basé sur un port et VLAN voix est généralement utilisé lorsqu'un téléphone IP Cisco est connecté à un commutateur Cisco. Ce mode est une variante spécifique de Cisco qui utilise l'authentification 802.1X pour l'ordinateur et CDP (Cisco Discovery Protocol, protocole propriétaire de couche 2 entre les périphériques Cisco, qui partage la configuration et les informations de périphériques de base) pour le téléphone IP Cisco. CDP étant un protocole Cisco, il n'est pas utilisé par les téléphones IP Alcatel. Par conséquent ce mode n'est pas applicable.
Par principe, Alcatel se conforme aux normes industrielles concernant la sécurité et prendra par conséquent en charge la norme 802.1X pour les téléphones IP Touch qui peuvent se connecter au commutateur Ethernet de n'importe quel fournisseur. Il est à noter que l'utilisation de CDP, qui est un protocole de détection, pour les besoins de l'authentification et de l'attribution de VLAN peut en fait entraîner des problèmes de sécurité. Reportez-vous à la présentation concernant la sécurité de FishNet Security (en anglais) intitulée « Cisco 802.1x Voice-Enabled Interfaces Allow Anonymous Voice VLAN Access » (disponible à l'adresse suivante : http://www.fishnetsecurity.com/csirt/disclosure/cisco/Cisco+802.1x+Advisory.pdf ) pour une analyse plus détaillée de ce problème.
Scénario 3 :
Téléphone IP Cisco avec commutateur Ethernet Alcatel
Ce cas est semblable au scénario 1, dans la mesure où le commutateur Ethernet Alcatel est configuré pour le mode 802.1X basé sur Mac « multi-client multi-VLAN » ou le mode « règles de mobile », selon la compatibilité 802.1X du téléphone IP Cisco.
Notez que CDP ne doit pas être utilisé sur le téléphone IP Cisco, car il s'agit d'un protocole propriétaire Cisco qui n'est pas une norme ouverte prise en charge par le commutateur Alcatel.
Même s'il existe d'autres modes d'authentification 802.1X : client unique (unique ouvert) 802.1X basé sur un port, multi-client (global ouvert) et VLAN client, ils ne sont pas applicables, car ils n'ont pas été conçus pour être utilisés dans une configuration téléphone IP-ordinateur.
Retour VoIP  
 Top
© Gestel 2006