Scribd Logo
Unggah

Selamat datang di Scribd!

  • EapOL Logoff Etc PDF

    Diunggah oleh

    mickado
    72 tayangan2 halaman

    Judul Asli

    EapOL logoff etc....pdf

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    72 tayangan2 halaman

    EapOL Logoff Etc PDF

    Diunggah oleh

    mickado

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 2

    Scurit des rseaux mesh sans fil Omar Cheikhrouhou

    3. une fois quil a obtenu une adresse IP, le client initie le protocole IKE avec le routeur
    mesh pour crer une association de scurit pour le protocole IPsec.
    4. le trafic du client sera ensuite protg grce au tunnel IPsec cr. Ainsi la
    confidentialit des donnes est assure grce au protocole ESP dIPsec et le contrle daccs
    au niveau de routeur mesh peut tre fourni par le mcanisme dauthentification de lorigine de
    message soit IPsec/AH [RFC2402] soit IPsec/ESP [RFC2406].
    3.2 Extension
    Afin de permettre lutilisation du mcanisme dauthentification du protocole 802.1X dans les
    rseaux mesh sans fil nous proposons dajouter un nouveau composant : le relais. Comme son
    nom lindique, le rle du relais est de relayer les messages dauthentification changs entre le
    client (supplicant) et le routeur mesh (authentificateur).
    Contrairement aux rseaux WLAN, o le client est directement attach au point daccs, dans
    un rseau mesh, un ou plusieurs relais peuvent participer la procdure dauthentification
    dun nud distant. Par consquent, un mcanisme de routage doit tre mis en place afin
    dacheminer ces messages. Rappelons que le client authentifier ne possde pas encore
    dadresse IP, de plus pour que le mcanisme dauthentification soit indpendant de la couche
    MAC (Medium Access Control) utilise (802.11, 802.15, 802.16 ), il est ncessaire que
    cette fonctionnalit soit ajoute au dessus de la couche MAC et donc dans la couche EAPOL.
    Effectivement, nous avons ajout deux champs dans la trame EAPOL pour indiquer la source
    et la destination du paquet EAP.
    De plus nous avons ajout deux champs TimeStamp et MIC pour lutter contre lattaque DoS
    dcrite dans [Mishra02]. La trame EAPOL modifie est illustre dans la figure 9.
    Type Version Code Length
    Destination
    Address
    Proposed fields to add
    Source
    Address
    TimeStamp MIC
    EAP
    Packet
    Figure 9. Format du paquet EAPOL pour les rseaux mesh
    La signification de chaque champ est dcrite comme suit :
    Type : de longueur 2 octets, il indique le type de la couche liaison entre le supplicant et
    lauthentificateur.
    Version : de longueur 1 octet, il spcifie la version du protocole EAPOL utilis.
    Code : de longueur 1 octet, il indique le type de paquet EAP. Le champ Code peut prendre
    plusieurs valeurs dcrites dans Tableau 2.
    Tableau 2. Codes des paquets EAP
    Code Valeur Description
    EAP-Packet 0000 0000 Indique que la trame transporte un paquet
    EAP.
    EAPOL-Start 0000 0001 Commence la procdure dauthentification.
    EAPOL-Logoff 0000 0010 Utiliser pour se dconnecter.
    EAPOL-Key 0000 0011 Indique que la trame transporte des
    changes des cls.
    18
    Scurit des rseaux mesh sans fil Omar Cheikhrouhou
    EAPOL-Encapsulated-ASF-Alert 0000 0100 Indique que la trame transporte une alerte.
    Length : de longueur 2 octets, il indique la longueur en octets du champ EAP packet
    (contenant un paquet EAP).
    Destination address : ce champ contient une adresse MAC identifiant la destination de la
    trame EAPOL. Cette adresse est en gnral ladresse du supplicant en cas de requte EAP et
    ladresse de lauthentificateur (routeur mesh) en cas de rponse EAP.
    Source address : ce champ contient une adresse MAC identifiant lmetteur de la trame
    EAPOL. Cette adresse est soit ladresse du supplicant en cas de rponse EAP ou ladresse de
    lauthentificateur en cas de requte EAP.
    Timestamp : cest un nombre alatoire utilis dans le calcul du champ MIC (Message
    Integrity Code) pour assurer la protection anti-rejeu.
    MIC (Message Integrity Code) : ce champ est calcul en fonction de la trame EAPOL et de
    la cl de session partage entre le client et le routeur mesh (exemple MIC=HMAC-
    SHA1(trame EAPOL, cl)). Il permet de dtecter la modification des paquets EAP. Le
    premier MIC est calcul par le routeur mesh pour protger le message EAP success. Ensuite
    ce champ est prsent dans les messages critiques comme EAPOL-Logoff.
    EAP packet : ce champ est prsent seulement dans le cas o le champ code est gal EAP-
    Packet, EAPOL-Key, et EAPOL-Encapsulated-ASF-Alert.
    3.3 Fonctionnement gnral du protocole
    Comme dans les rseaux WLAN, quand un nud rejoint le rseau, il doit sauthentifier. Pour
    cela le nouveau nud initie la procdure dauthentification en envoyant une trame EAPOL-
    Start destine au routeur mesh. Cette premire trame peut tre diffuse dans le cas o le nud
    ne connat aucun voisin (Figure 10).
    EAP-Success, TimeStamp, MIC
    EAPOL Start
    EAP Identity Request
    RADIUS Access Accept (EAP)
    Derived key
    EAPOL Start
    Authentication message exchanges
    1
    2
    3
    4
    EAPOL (EAP Over LAN) EAP Over RADIUS
    Authentication server
    (e.g. RADIUS)
    Authenticator
    (802.1X mesh router )
    Internet
    Intermediate node
    (802.1X relay)
    Supplicant
    ( 802.1X client)
    MACi1 MACs
    Destination Next_hop others

    MACs MACi1
    .. ...
    5
    Figure 10. Procdure dauthentification dans un rseau mesh sans fil multi-sauts
    19

    Anda mungkin juga menyukai