Passer au contenu principal
Français

Comprendre Cisco SUDI : l'identité matérielle des périphériques dans le contrôle d'accès au réseau

Ce guide détaille l'architecture technique de Cisco SUDI, en expliquant comment l'identité ancrée au niveau matériel sécurise le contrôle d'accès au réseau. Il fournit des étapes de mise en œuvre concrètes pour les responsables informatiques afin de déployer l'authentification 802.1X EAP-TLS et d'automatiser le Zero Touch Provisioning sur les sites de l'entreprise.

📖 6 min de lecture📝 1,346 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Comprendre Cisco SUDI : l'identité matérielle des périphériques dans le contrôle d'accès au réseau Un briefing technique Purple - Script complet du podcast (environ 10 minutes) --- SEGMENT 1 : INTRODUCTION ET CONTEXTE (environ 1 minute) Bonjour et bienvenue dans ce briefing technique Purple. Je vais passer les dix prochaines minutes à vous présenter Cisco SUDI (Secure Unique Device Identifier) : ce que c'est concrètement, comment il s'intègre dans votre architecture de contrôle d'accès au réseau et ce que vous devez faire si vous gérez une infrastructure Cisco à grande échelle. Ce briefing s'adresse aux architectes réseau, aux responsables informatiques et aux directeurs techniques de sites (hôtels, parcs de vente au détail, stades, centres de conférence), c'est-à-dire partout où vous exploitez un réseau WiFi d'entreprise et devez être certain que le matériel connecté à votre réseau est bien celui qu'il prétend être. Commençons par le problème que résout le SUDI. Dans tout grand réseau de site, vous disposez de dizaines ou de centaines de points d'accès, de commutateurs et de contrôleurs. La question dont dépend votre niveau de sécurité est la suivante : comment savoir si chacun de ces périphériques est un produit Cisco authentique et non modifié, et non une contrefaçon, une unité compromise ou un appareil qui a été altéré en transit ? C'est précisément cette faille que le SUDI vient combler. --- SEGMENT 2 : ANALYSE TECHNIQUE APPROFONDIE (environ 5 minutes) SUDI signifie Secure Unique Device Identifier. Il s'agit d'un certificat X.509 version 3 (le même format de certificat que celui utilisé pour le HTTPS et le TLS), mais au lieu d'être attribué à une personne ou à un serveur, il est injecté dans un composant matériel spécifique lors de sa fabrication. Il contient l'identifiant du produit et le numéro de série du périphérique, et il est ancré dans la propre infrastructure à clés publiques (PKI) de Cisco. Voici ce qui différencie le SUDI d'un certificat logiciel que vous installeriez vous-même. Le certificat SUDI, ainsi que sa paire de clés associée, réside dans une puce inviolable appelée module Trust Anchor, ou TAm. La clé privée est générée à l'intérieur de cette puce et ne la quitte jamais. Vous ne pouvez pas l'exporter. Vous ne pouvez pas la cloner. Si quelqu'un altère physiquement la puce, la clé est détruite. C'est la racine de confiance matérielle. Le SUDI est l'implémentation par Cisco de la norme IEEE 802.1AR, la norme de l'industrie pour les identifiants de périphériques sécurisés, ou DevID. Selon la norme 802.1AR, l'identifiant installé par le fabricant est appelé identifiant initial de périphérique, ou IDevID. Le SUDI de Cisco est exactement cela : un IDevID que Cisco installe en usine. Vous pouvez le compléter par un identifiant de périphérique localement significatif, ou LDevID, que votre propre PKI émet pour les politiques d'autorisation locales. Maintenant, comment cela s'intègre-t-il dans le contrôle d'accès au réseau ? Le point d'intégration le plus courant est la norme IEEE 802.1X, la norme de contrôle d'accès au réseau basée sur les ports. Lorsqu'un point d'accès ou un commutateur Cisco se connecte, il peut présenter son certificat SUDI à un serveur RADIUS (généralement Cisco ISE, Identity Services Engine) en utilisant l'EAP-TLS, c'est-à-dire le protocole d'authentification extensible avec sécurité de la couche de transport. Le serveur RADIUS valide le certificat par rapport à l'autorité de certification publique de Cisco, confirme que le périphérique est authentique, puis applique la politique réseau appropriée. Cette méthode est nettement plus robuste que le MAC Address Bypass, qui est la solution de secours que la plupart des réseaux utilisent pour les périphériques d'infrastructure. Les adresses MAC peuvent être usurpées en moins d'une minute. Un certificat lié au matériel dans une puce inviolable ne peut pas être usurpé sans détruire physiquement le périphérique. Dans le contexte d'un site, cela importe pour trois raisons. Premièrement, cela élimine le risque que des points d'accès non autorisés rejoignent votre réseau. Un périphérique contrefait ou non autorisé ne peut tout simplement pas présenter un SUDI valide. Deuxièmement, cela permet un Zero Touch Provisioning automatisé : un nouveau périphérique est expédié sur votre site, s'allume, présente son SUDI, et votre système de gestion le vérifie par rapport à votre inventaire avant de pousser la configuration. Aucune intervention manuelle n'est requise. Troisièmement, cela vous donne une piste d'audit vérifiable par cryptographie. Chaque périphérique qui s'est authentifié sur votre réseau l'a fait avec un certificat qui prouve qu'il s'agit d'un produit Cisco spécifique et identifié. Permettez-moi de parler du module Trust Anchor un peu plus en détail, car c'est le socle sur lequel repose tout le reste. Le TAm est une puce propriétaire de Cisco que offre trois fonctionnalités : un stockage sécurisé non volatile pour le SUDI et les clés, des services cryptographiques incluant la génération de nombres aléatoires, et l'empreinte matérielle. Ce dernier point mérite d'être souligné : Cisco enregistre l'empreinte cryptographique des composants matériels critiques d'un périphérique lors de sa fabrication et stocke cette empreinte dans le TAm. Lorsque le périphérique démarre, il compare l'empreinte matérielle observée à celle stockée. Si elles ne correspondent pas, le périphérique ne démarre pas. Cela permet de détecter les altérations matérielles en transit, une préoccupation bien réelle pour les déploiements sur de grands sites où le matériel peut passer entre plusieurs mains avant son installation. Un point opérationnel dont vous devez être conscient : les certificats SUDI émis avant mai 2019 expirent soit dix ans après leur date de fabrication, soit le 14 mai 2029, selon la date qui survient en premier. Cisco a résolu ce problème avec une nouvelle génération de certificats appelée SUDI-2099, valides jusqu'en décembre 2099. Si vous utilisez du matériel de la gamme Catalyst 9000 fabriqué avant 2019, vous devez vérifier dès maintenant les dates d'expiration de vos SUDI. La commande est show crypto pki certificate sous IOS-XE. Recherchez le point de confiance CISCO_IDEVID_SUDI et vérifiez la date de fin. Si vous êtes sur Catalyst 9200, passez à IOS-XE 17.12.2 ou version ultérieure pour vous assurer d'utiliser le bon certificat 2099. --- SEGMENT 3 : RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER (environ 2 minutes) Laissez-moi vous présenter la mise en œuvre pratique. Si vous déployez une authentification basée sur le SUDI dans un environnement de site, voici la séquence qui fonctionne. Commencez par votre infrastructure RADIUS. Cisco ISE est le choix naturel si vous êtes déjà dans l'écosystème Cisco, mais n'importe quel serveur RADIUS prenant en charge l'EAP-TLS et capable de valider par rapport à une CA externe fera l'affaire. Vous devez importer la CA racine de Cisco et les certificats de la CA ACT2 SUDI dans le magasin de confiance de votre RADIUS. Ceux-ci sont disponibles publiquement sur le portail PKI de Cisco. Ensuite, configurez votre politique 802.1X pour exiger une authentification basée sur les certificats pour les périphériques d'infrastructure. Séparez cette politique de celle de vos utilisateurs finaux : les flux d'authentification du personnel et des invités sont différents et doivent se trouver sur des ensembles de politiques distincts dans ISE. Pour les nouveaux déploiements, activez le Zero Touch Provisioning. Votre système de gestion de réseau (Cisco DNA Center ou Catalyst Center) peut utiliser le SUDI pour vérifier l'identité du périphérique avant de pousser la configuration. Cela élimine le processus de préparation manuelle et réduit le temps de provisionnement de plusieurs heures à quelques minutes par périphérique. Passons maintenant aux pièges. Le plus courant consiste à mélanger l'authentification SUDI et le MAC Address Bypass sur le même port. Si vous basculez vers le MAB en cas d'échec du SUDI, vous compromettez tout le modèle de sécurité. Définissez une politique claire : les périphériques compatibles SUDI doivent s'authentifier via SUDI, un point c'est tout. Les périphériques non compatibles SUDI vont dans un VLAN de quarantaine en attendant un examen manuel. Le deuxième piège est l'expiration des certificats. Mettez en place dès maintenant une surveillance des dates d'expiration des SUDI sur l'ensemble de votre parc. N'attendez pas une interruption de service pour découvrir que vos points d'accès ne peuvent plus s'authentifier. La plateforme de Purple s'intègre à Cisco Meraki et à d'autres fournisseurs de matériel pour faire remonter les signaux de santé des périphériques (y compris l'état d'authentification) dans un tableau de bord unique, ce qui rend ce type de surveillance proactive très simple à grande échelle. Le troisième piège est la dérive des objectifs. Le SUDI authentifie le périphérique matériel. Il n'authentifie pas l'utilisateur qui s'y connecte. Vous avez toujours besoin d'une couche d'identité distincte pour les invités, le personnel et les résidents. C'est là qu'intervient une plateforme comme Purple : nous gérons la couche d'identité humaine, la capture du consentement, l'attribution des VLAN pour le trafic des invités et les analyses, tandis que le SUDI gère la couche d'infrastructure sous-jacente. --- SEGMENT 4 : QUESTIONS-RÉPONSES RAPIDES (environ 1 minute) Passons en revue trois questions que l'on me pose régulièrement. Le SUDI remplace-t-il ma PKI existante ? Non. Le SUDI est un IDevID installé par le fabricant. Il prouve que le périphérique est un matériel Cisco authentique. Votre PKI d'entreprise émet des LDevID et des certificats d'utilisateur pour tout le reste. Ils fonctionnent en parallèle. Puis-je utiliser le SUDI sur du matériel non-Cisco ? Non. Le SUDI est spécifique à Cisco. HPE Aruba propose un équivalent appelé certificats de provisionnement IAP. Ruckus et Juniper Mist ont leurs propres mécanismes d'identité de périphérique. La norme sous-jacente (IEEE 802.1AR) est neutre vis-à-vis des fournisseurs, mais chaque fabricant l'implémente différemment. Que se passe-t-il lorsqu'un certificat SUDI expire ? Les services qui s'appuient sur le SUDI pour l'authentification (HTTPS, SSH avec authentification par certificat, Zero Touch Provisioning) échoueront. Le périphérique lui-même continue de fonctionner, mais il ne peut plus prouver son identité de manière cryptographique. C'est pourquoi la migration vers le SUDI-2099 est importante. --- SEGMENT 5 : RÉSUMÉ ET PROCHAINES ÉTAPES (environ 1 minute) Pour résumer : Cisco SUDI vous offre une identité de périphérique ancrée au niveau matériel qui ne peut être ni usurpée, ni clonée, ni exportée. C'est le fondement d'une couche d'infrastructure digne de confiance. Associé au 802.1X et à une politique RADIUS bien configurée, il élimine le risque de périphériques non autorisés et permet un provisionnement automatisé à grande échelle. Vos trois actions immédiates : premièrement, auditez votre parc Cisco pour vérifier les dates d'expiration des SUDI à l'aide de la commande show crypto pki certificate. Deuxièmement, importez la CA racine de Cisco dans votre magasin de confiance RADIUS et configurez des politiques EAP-TLS pour les périphériques d'infrastructure. Troisièmement, séparez votre politique d'authentification d'infrastructure de votre politique d'authentification d'utilisateur final : elles répondent à des objectifs différents et doivent être gérées indépendamment. Si vous souhaitez en savoir plus sur la façon dont Purple s'intègre à Cisco Meraki et à d'autres fournisseurs de matériel pour offrir une segmentation réseau basée sur l'identité pour les invités, le personnel et les résidents, visitez purple.ai ou lisez les guides associés mis en lien sous cet épisode. Merci pour votre écoute. À bientôt pour un prochain briefing. --- FIN DU SCRIPT

header_image.png

Résumé analytique

L'authentification matérielle sécurise les fondations physiques des réseaux d'entreprise. Le Cisco Secure Unique Device Identifier (SUDI) fournit une identité immuable et vérifiable par cryptographie pour les périphériques d'infrastructure, intégrée directement dans une puce inviolable lors de la fabrication. Pour les responsables informatiques qui gèrent des déploiements à grande échelle dans les secteurs de l'hôtellerie, de la vente au détail et du secteur public, le SUDI élimine le risque de matériel non autorisé et permet un Zero Touch Provisioning automatisé.

Ce guide détaille l'architecture technique de Cisco SUDI, son intégration avec le contrôle d'accès au réseau (NAC) IEEE 802.1X, ainsi que les étapes opérationnelles requises pour déployer et maintenir l'identité matérielle à grande échelle. Vous apprendrez comment passer du MAC Address Bypass, peu sécurisé, à une authentification EAP-TLS robuste, comment gérer le cycle de vie des certificats SUDI-2099 et comment aligner la sécurité de l'infrastructure avec les plateformes de gestion de l'identité des utilisateurs comme Purple.

Analyse technique approfondie

L'architecture de l'identité matérielle

Le Cisco Secure Unique Device Identifier (SUDI) est un certificat X.509v3 qui fournit une identité permanente aux périphériques réseau. Contrairement aux certificats logiciels que les équipes informatiques génèrent et déploient, Cisco injecte le certificat SUDI et sa paire de clés associée dans le périphérique lors du processus de fabrication.

Le certificat est stocké de manière sécurisée dans le module Trust Anchor (TAm), une puce propriétaire inviolable. Le TAm génère la clé privée en interne, garantissant qu'elle ne pourra jamais être exportée ou clonée. Cette racine de confiance matérielle garantit que si un périphérique réussit à s'authentifier à l'aide de son SUDI, il s'agit d'un produit Cisco authentique.

Le SUDI implémente la norme IEEE 802.1AR pour les identifiants de périphériques sécurisés. Selon cette norme, le certificat fourni par le fabricant est appelé identifiant initial de périphérique (IDevID). Les organisations peuvent compléter l'IDevID par un identifiant de périphérique localement significatif (LDevID) émis par leur propre infrastructure à clés publiques (PKI) d'entreprise.

sudi_architecture_overview.png

Intégration avec le contrôle d'accès au réseau

Dans un environnement d'entreprise, le SUDI s'intègre aux systèmes de contrôle d'accès au réseau (NAC) principalement via l'authentification basée sur les ports IEEE 802.1X. Lorsqu'un point d'accès ou un commutateur Cisco se connecte au réseau, il agit en tant que demandeur (supplicant) et présente son certificat SUDI à un serveur RADIUS, tel que Cisco Identity Services Engine (ISE).

Le processus d'authentification utilise le protocole EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Le serveur RADIUS valide le certificat SUDI par rapport à l'infrastructure à clés publiques de Cisco. Une fois validé, le serveur RADIUS autorise le périphérique et l'affecte au VLAN approprié en fonction de la politique d'accès au réseau.

Cette approche remplace le MAC Address Bypass (MAB), une méthode héritée qui repose sur des adresses MAC facilement usurpables. Le MAB n'offre aucune garantie cryptographique de l'identité du périphérique, ce qui laisse les réseaux vulnérables aux points d'accès non autorisés.

Empreinte matérielle et détection des altérations

Le module Trust Anchor offre bien plus qu'un stockage sécurisé. Il protège activement le périphérique contre les altérations physiques pendant le transit ou le déploiement.

Lors de la fabrication, Cisco enregistre une empreinte cryptographique des composants matériels critiques, tels que les processeurs et les ASIC. Cette empreinte est stockée de manière permanente dans le TAm. Lorsque le périphérique démarre, le micrologiciel UEFI calcule une nouvelle empreinte du matériel observé et la compare à l'empreinte principale stockée dans le TAm. Si les empreintes ne correspondent pas, le périphérique interrompt le processus de démarrage. Ce mécanisme garantit que le matériel déployé dans un hôtel ou un magasin de vente au détail n'a pas été compromis entre l'usine et le site d'installation.

Guide de mise en œuvre

Le déploiement de l'authentification basée sur le SUDI nécessite une coordination entre votre infrastructure de commutation, votre serveur RADIUS et votre plateforme de gestion de réseau. Suivez ces étapes pour implémenter l'identité matérielle.

Étape 1 : Configurer la confiance RADIUS

Votre serveur RADIUS doit faire confiance à l'autorité de certification Cisco qui a émis le SUDI.

  1. Téléchargez la CA racine Cisco et les certificats de la CA ACT2 SUDI depuis le portail PKI de Cisco.
  2. Importez ces certificats dans le magasin de certificats de confiance de votre serveur RADIUS (par exemple, Cisco ISE).
  3. Configurez le serveur RADIUS pour utiliser ces certificats pour l'authentification EAP-TLS.

Étape 2 : Définir les politiques 802.1X

Créez des politiques d'authentification spécifiques pour les périphériques d'infrastructure, distinctes des politiques d'authentification des utilisateurs.

  1. Créez un ensemble de politiques dans Cisco ISE qui correspond aux attributs du certificat SUDI (par exemple, en faisant correspondre le Subject Alternative Name avec les PID de périphériques attendus).
  2. Affectez les authentifications réussies au VLAN de gestion de l'infrastructure.
  3. Configurez un VLAN de quarantaine pour les périphériques qui échouent à l'authentification SUDI. Ne configurez pas de secours vers le MAB pour les ports d'infrastructure.

Étape 3 : Activer le Zero Touch Provisioning

Utilisez le SUDI pour automatiser l'intégration des périphériques.

  1. Configurez votre système de gestion de réseau (tel que Cisco Catalyst Center) pour qu'il agisse en tant que serveur ZTP.
  2. Lorsqu'un nouveau périphérique se connecte, il présente son certificat SUDI.
  3. Le système de gestion vérifie le certificat, confirme le numéro de série du périphérique par rapport à la base de données d'inventaire et pousse la configuration initiale.

sudi_lifecycle_diagram.png

Étape 4 : Gérer la migration SUDI-2099

Les certificats SUDI émis avant mai 2019 expirent soit 10 ans après la date dela date de fabrication ou le 14 mai 2029, selon la date la plus proche. Lorsqu'un SUDI expire, les fonctionnalités qui en dépendent, notamment HTTPS, SSH et le Zero Touch Provisioning, échouent.

Cisco a introduit les certificats SUDI-2099, qui restent valides jusqu'en décembre 2099. Pour assurer la continuité :

  1. Auditez votre inventaire à l'aide de la commande show crypto pki certificate sur les appareils IOS-XE. Vérifiez la date de fin (end date) du point de confiance (trustpoint) CISCO_IDEVID_SUDI.
  2. Mettez à niveau le matériel concerné vers les versions logicielles recommandées. Par exemple, les commutateurs Catalyst 9200 nécessitent IOS-XE 17.12.2 ou une version ultérieure pour gérer correctement la date d'expiration de 2099.

Bonnes pratiques

Pour maximiser les avantages de sécurité de l'identité matérielle, respectez ces principes neutres vis-à-vis des fournisseurs.

  1. Imposer un EAP-TLS strict : Exigez l'EAP-TLS pour tous les appareils d'infrastructure. N'autorisez pas de méthodes EAP plus faibles comme PEAP pour l'authentification des appareils.
  2. Isoler l'identité de l'infrastructure de l'identité de l'utilisateur : SUDI authentifie le matériel, pas l'utilisateur. Utilisez une plateforme dédiée pour gérer l'identité humaine. Par exemple, utilisez Purple pour gérer l'authentification des invités, la collecte de consentement et la collecte de données de première partie, tout en vous appuyant sur SUDI pour sécuriser le matériel sous-jacent Cisco Meraki ou HPE Aruba hardware.
  3. Automatiser la surveillance des certificats : Implémentez des outils de surveillance pour suivre les dates d'expiration des certificats sur l'ensemble de votre parc. Une surveillance proactive évite les échecs d'authentification soudains.
  4. Implémenter la micro-segmentation : Utilisez l'identité vérifiée par SUDI pour affecter les appareils à des VLAN strictement contrôlés. Un point d'accès ne doit avoir une connectivité réseau que vers son contrôleur et ses systèmes de gestion, rien d'autre.

Dépannage et atténuation des risques

Lors du déploiement de l'authentification basée sur SUDI, préparez-vous à ces modes de défaillance courants.

Mode de défaillance Cause racine Stratégie d'atténuation
L'authentification EAP-TLS échoue Le serveur RADIUS ne dispose pas des certificats CA racine ou intermédiaire Cisco appropriés. Vérifiez que la chaîne de confiance Cisco complète est installée dans le magasin de confiance du serveur RADIUS.
L'appareil refuse de démarrer L'empreinte matérielle calculée au démarrage ne correspond pas à l'empreinte maîtresse dans le TAm. Traitez l'appareil comme compromis. Retournez le matériel au fournisseur via le processus RMA.
L'accès de gestion échoue Le certificat SUDI a expiré, ce qui interrompt l'authentification par certificat HTTPS et SSH. Mettez à niveau le micrologiciel de l'appareil vers une version prenant en charge SUDI-2099, ou déployez un LDevID à l'aide de la PKI de votre entreprise.
Un appareil non autorisé accède au réseau Le port du commutateur est configuré pour basculer sur le contournement d'adresse MAC (MAB) en cas d'échec de l'802.1X. Supprimez les configurations de repli MAB des ports d'infrastructure. Imposez une politique 802.1X stricte.

ROI et impact commercial

La mise en œuvre de l'identité d'appareil basée sur le matériel offre une valeur commerciale mesurable dans trois domaines.

1. Réduction des coûts de déploiement Le Zero Touch Provisioning sécurisé par SUDI élimine la configuration manuelle préalable. Au lieu qu'un ingénieur passe 45 minutes à préconfigurer un point d'accès avant de l'expédier dans un magasin, l'appareil est expédié directement depuis le distributeur. Il s'authentifie de manière sécurisée lors de la connexion et télécharge automatiquement sa configuration. Pour un déploiement de 500 sites de vente au détail, cela permet d'économiser environ 375 heures d'ingénierie.

2. Élimination du risque d'appareils non autorisés En abandonnant le contournement d'adresse MAC au profit de l'identité matérielle cryptographique, vous éliminez le risque qu'un attaquant connecte un appareil non autorisé à un port d'infrastructure. Cela soutient directement la conformité aux exigences PCI DSS et ISO 27001 pour le contrôle d'accès au réseau.

3. Limites d'identité claires Le déploiement de SUDI établit une frontière architecturale nette. La couche matérielle s'authentifie de manière cryptographique, vous permettant de concentrer vos ressources sur la couche d'identité des utilisateurs. Lorsque vous intégrez une plateforme comme Purple pour gérer le Guest WiFi et les WiFi Analytics , vous le faites sur une base d'infrastructure vérifiable et sécurisée.

Définitions clés

SUDI (Secure Unique Device Identifier)

Un certificat X.509v3 et sa clé privée associée intégrés dans un périphérique Cisco lors de sa fabrication pour fournir une identité matérielle immuable.

Utilisé par les équipes informatiques pour vérifier de manière cryptographique qu'un périphérique se connectant au réseau est un produit Cisco authentique.

TAm (Trust Anchor module)

Une puce matérielle propriétaire et inviolable qui stocke de manière sécurisée le certificat SUDI, génère des clés cryptographiques et gère l'empreinte matérielle.

Fournit la racine de confiance matérielle. Si le TAm est compromis, le périphérique ne pourra pas démarrer ni s'authentifier.

IDevID (Initial Device Identifier)

L'identifiant de périphérique sécurisé installé par le fabricant, défini par la norme IEEE 802.1AR. Le SUDI de Cisco est une implémentation d'un IDevID.

Fournit l'identité fondamentale d'un périphérique avant son intégration dans l'environnement PKI propre à une organisation.

LDevID (Locally Significant Device Identifier)

Un certificat de périphérique émis par la propre infrastructure à clés publiques (PKI) d'une organisation, complétant l'IDevID du fabricant.

Utilisé lorsque les équipes informatiques exigent que les périphériques s'authentifient à l'aide de certificats émis par leur CA d'entreprise interne plutôt que par celle du fournisseur.

IEEE 802.1X

La norme IEEE pour le contrôle d'accès au réseau basé sur les ports, fournissant un mécanisme d'authentification aux périphériques souhaitant se connecter à un LAN ou un WLAN.

Le protocole principal utilisé pour appliquer la sécurité réseau, garantissant que seuls les périphériques et utilisateurs autorisés peuvent envoyer du trafic via un port de commutateur.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un protocole d'authentification hautement sécurisé qui exige que le client et le serveur d'authentification prouvent tous deux leur identité à l'aide de certificats numériques.

La méthode spécifique utilisée au sein du 802.1X pour valider le certificat SUDI entre le périphérique réseau et le serveur RADIUS.

Zero Touch Provisioning (ZTP)

Un processus automatisé qui permet de provisionner et de configurer automatiquement les périphériques réseau sans intervention manuelle.

Le SUDI sécurise le ZTP en garantissant que le système de gestion ne pousse les configurations que vers du matériel authentique et vérifié.

MAC Address Bypass (MAB)

Une méthode d'authentification héritée dans laquelle un commutateur utilise l'adresse MAC du périphérique connecté comme identifiant d'identité.

Une méthode de secours non sécurisée qui devrait être éliminée et remplacée par l'authentification 802.1X basée sur le SUDI.

Exemples concrets

Un hôtel de 400 chambres modernise son infrastructure réseau et doit déployer 250 nouveaux points d'accès Cisco Catalyst. L'équipe informatique souhaite éviter de configurer manuellement chaque périphérique avant l'installation, tout en garantissant qu'aucun périphérique non autorisé ne puisse rejoindre le VLAN de gestion.

  1. L'équipe informatique configure Cisco ISE avec la CA racine Cisco pour faire confiance aux certificats SUDI.
  2. Elle crée une politique 802.1X dans ISE qui attribue les périphériques présentant un SUDI valide à un VLAN de provisionnement restreint.
  3. Les points d'accès sont expédiés directement à l'hôtel et branchés sur les commutateurs PoE.
  4. Chaque point d'accès démarre, présente son SUDI via EAP-TLS et est authentifié par ISE.
  5. Le système de gestion (Catalyst Center) vérifie le numéro de série, provisionne le point d'accès, et ISE bascule le port vers le VLAN de gestion de production.
Commentaire de l'examinateur : Cette approche utilise le Zero Touch Provisioning sécurisé par l'identité matérielle. Elle élimine les coûts de préparation manuelle et empêche les périphériques non autorisés d'exploiter les ports de provisionnement ouverts. L'utilisation du changement d'autorisation (CoA) pour déplacer le périphérique d'un VLAN de provisionnement vers un VLAN de production démontre une segmentation réseau robuste.

Une chaîne nationale de vente au détail comptant 1 200 magasins découvre que ses commutateurs existants utilisent le MAC Address Bypass (MAB) pour authentifier les points d'accès. Elle doit migrer vers une norme sécurisée sans provoquer d'interruptions de service dans les magasins.

  1. L'équipe réseau audite l'inventaire des commutateurs pour confirmer que tous les périphériques prennent en charge le 802.1X et le SUDI.
  2. Elle déploie les certificats de la CA Cisco sur son infrastructure RADIUS.
  3. Elle configure les ports des commutateurs en « mode moniteur » (authentification ouverte), permettant aux périphériques de tenter une authentification 802.1X EAP-TLS à l'aide du SUDI tout en basculant vers le MAB en cas d'échec, tout en enregistrant les résultats dans les journaux.
  4. Après avoir vérifié dans les journaux RADIUS que tous les points d'accès légitimes s'authentifient avec succès via SUDI, elle bascule les ports en « mode fermé », appliquant un 802.1X strict et désactivant le MAB.
Commentaire de l'examinateur : La migration progressive à l'aide du mode moniteur est la bonne approche opérationnelle pour un grand parc de vente au détail. Elle permet à l'équipe de valider la chaîne de confiance PKI et la validité des certificats sans risquer d'isoler les points d'accès du réseau. La suppression complète du MAB est l'étape finale nécessaire pour sécuriser l'environnement.

Questions d'entraînement

Q1. Vous déployez 50 nouveaux commutateurs Cisco Catalyst dans un stade. La politique de sécurité impose une authentification 802.1X stricte pour tous les périphériques d'infrastructure. Lors des tests, les commutateurs ne parviennent pas à s'authentifier auprès de votre serveur Cisco ISE. Quelle est la cause la plus probable ?

Conseil : Prenez en compte la chaîne de confiance requise pour l'authentification EAP-TLS.

Voir la réponse type

Il manque les certificats de la CA racine Cisco ou de la CA ACT2 SUDI dans le magasin de certificats de confiance du serveur Cisco ISE. Sans ces derniers, ISE ne peut pas valider le certificat SUDI présenté par les commutateurs. Vous devez télécharger les certificats depuis le portail PKI de Cisco et les importer dans ISE.

Q2. Un ingénieur réseau propose de configurer les ports des commutateurs pour tenter d'abord une authentification 802.1X, puis de basculer vers le MAC Address Bypass (MAB) si le périphérique ne possède pas de certificat valide. Pourquoi devriez-vous rejeter cette proposition pour les ports d'infrastructure ?

Conseil : Évaluez le niveau de sécurité du mécanisme de secours.

Voir la réponse type

Le basculement vers le MAB compromet l'ensemble du modèle de sécurité. Un attaquant peut simplement connecter un périphérique non autorisé, attendre l'expiration du délai 802.1X et usurper l'adresse MAC d'un point d'accès légitime pour accéder au VLAN d'infrastructure. Les ports d'infrastructure doivent appliquer un 802.1X strict avec SUDI, et les périphériques non conformes doivent être placés dans un VLAN de quarantaine restreint.

Q3. Vous auditez un réseau de commutateurs Catalyst 9200 déployés en 2018. Vous exécutez la commande « show crypto pki certificate » et constatez que le point de confiance CISCO_IDEVID_SUDI expire en mai 2029. Quelle action devez-vous entreprendre pour éviter de futures interruptions de service ?

Conseil : Passez en revue les exigences de migration SUDI-2099 pour le matériel existant.

Voir la réponse type

Vous devez mettre à niveau le logiciel IOS-XE sur les commutateurs Catalyst 9200 vers la version 17.12.2 ou ultérieure. Cette mise à niveau garantit que le matériel prend correctement en charge l'extension de certificat SUDI-2099, prolongeant l'identité valide du périphérique jusqu'en décembre 2099 et évitant les échecs d'authentification pour des services tels que HTTPS et le ZTP.

Continuer la lecture de cette série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Ce guide explique en détail comment contourner le matériel Starlink natif et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter la limitation du CGNAT, à appliquer la segmentation VLAN, à gérer les contraintes de bande passante satellite et à garantir la conformité réglementaire.

Lire le guide →

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Lire le guide →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Ce guide technique offre aux responsables informatiques, architectes réseau et directeurs de l'exploitation des sites un modèle complet pour déployer des Captive Portals qui concilient sécurité réseau et taux de conversion élevé. Il couvre l'intégralité de l'architecture, de la segmentation VLAN et l'authentification RADIUS à la conception de consentements conformes au GDPR et à la sélection des méthodes d'authentification. Issu de l'expérience opérationnelle de Purple sur plus de 80 000 sites et 440 millions de connexions en 2024, chaque recommandation s'appuie sur des données de déploiement réelles.

Lire le guide →