Passer au contenu principal

Comment configurer l'authentification WiFi 802.1X : un guide étape par étape

Ce guide technique fournit une procédure pas à pas pour configurer l'authentification WiFi d'entreprise 802.1X. Il couvre la configuration du serveur RADIUS, le déploiement de certificats et des stratégies de déploiement pratiques pour les responsables informatiques des sites à forte fréquentation.

📖 5 min de lecture📝 1,126 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Comment configurer l'authentification WiFi 802.1X : un guide étape par étape Un podcast de Purple Enterprise WiFi Intelligence [INTRODUCTION — environ 1 minute] Bienvenue. Je m'adresse à vous aujourd'hui en tant qu'architecte de solutions senior. Si vous écoutez ceci, vous êtes probablement confronté à un projet de sécurité réseau qui implique l'authentification 802.1X - soit parce que votre équipe de conformité l'a signalé, soit parce que votre assureur l'a demandé, ou simplement parce que vous venez d'hériter d'un réseau fonctionnant sur une clé PSK partagée et que vous savez que cela n'est plus suffisant. Entrons donc directement dans le vif du sujet. Le 802.1X est la norme IEEE pour le contrôle d'accès réseau basé sur les ports. C'est l'épine dorsale de la sécurité WiFi d'entreprise - le mécanisme qui garantit que chaque appareil se connectant à votre réseau a été positivement identifié et autorisé avant de pouvoir transmettre le moindre octet de trafic. Ce n'est pas facultatif pour les organisations qui gèrent des données de cartes de paiement sous PCI-DSS, ce n'est pas facultatif pour les environnements de santé sous GDPR et les normes de sécurité des données du NHS, et franchement, pour toute organisation exploitant plus d'une poignée de points d'accès, c'est la bonne architecture. Au cours des dix prochaines minutes, je vais vous présenter l'architecture technique, la configuration RADIUS, le déploiement des certificats et les scénarios réels où les choses se compliquent. C'est parti. [PLONGÉE TECHNIQUE DEEP-DIVE — environ 5 minutes] Très bien, le framework 802.1X comporte donc trois composants. Vous avez le Supplicant - c'est l'appareil client, l'ordinateur portable, le téléphone, le capteur IoT. Vous avez l'Authentificateur - c'est votre point d'accès ou votre commutateur réseau, parfois appelé le NAS, le Network Access Server. Et vous avez le Serveur d'Authentification - presque universellement un serveur RADIUS dans les déploiements d'entreprise. Voici comment fonctionne le handshake. Lorsqu'un appareil tente de se connecter à un SSID protégé par 802.1X, le point d'accès ne le laisse pas simplement entrer. Au lieu de cela, il ouvre ce qu'on appelle un port contrôlé - un canal limité qui ne transmet que le trafic EAP, le protocole d'authentification extensible. L'AP envoie une requête EAP-Request Identity à l'appareil. L'appareil répond avec son identité. L'AP transmet ensuite cette information au serveur RADIUS, encapsulée dans un paquet RADIUS Access-Request. Le serveur RADIUS exécute l'authentification - en vérifiant les identifiants par rapport à Active Directory, un magasin de certificats ou tout autre backend d'identité que vous avez configuré - et renvoie soit un Access-Accept, soit un Access-Reject. Ce n'est que lors d'un Accept que l'AP ouvre le port de données complet et attribue l'appareil au VLAN approprié. Maintenant, la méthode EAP que vous choisissez ici est extrêmement importante. Il y en a cinq que vous rencontrerez dans les déploiements d'entreprise. EAP-TLS est la référence absolue. Le client et le serveur présentent tous deux des certificats X.509. Aucun mot de passe n'est requis. C'est l'option la plus sécurisée et celle exigée pour les niveaux de conformité PCI-DSS les plus élevés. La contrepartie est que vous avez besoin d'une PKI complète - une infrastructure à clés publiques - pour émettre et gérer les certificats clients. Cela implique une autorité de certification, la gestion du cycle de vie des certificats et un mécanisme pour déployer les certificats sur chaque appareil. Pour les organisations disposant de Microsoft Active Directory et d'Active Directory Certificate Services, c'est très accessible. Pour les organisations ne disposant pas de cette infrastructure, cela représente un investissement important. PEAP-MSCHAPv2 est la méthode la plus largement déployée en pratique. Elle crée un tunnel TLS en utilisant uniquement un certificat côté serveur, puis transmet les identifiants de connexion (nom d'utilisateur et mot de passe) à l'intérieur de ce tunnel. Elle est compatible avec pratiquement tous les appareils dès leur sortie de l'emballage, s'intègre directement avec Active Directory via NPS sur Windows Server, et ne requiert pas de certificats clients. Le compromis est qu'elle est vulnérable aux attaques de collecte d'identifiants si les utilisateurs sont incités à se connecter à un point d'accès malveillant - car le client ne valide pas le certificat du serveur par défaut. Vous devez appliquer la validation du certificat du serveur dans vos profils de demandeur. EAP-TTLS est similaire à PEAP mais plus flexible quant à la méthode d'authentification interne. Elle est courante dans les environnements Linux et lorsque vous devez prendre en charge des systèmes d'authentification hérités. EAP-FAST a été développé par Cisco en réponse aux faiblesses de LEAP. Elle utilise des identifiants d'accès protégés plutôt que des certificats. Elle est principalement pertinente si vous êtes dans un environnement fortement équipé en matériel Cisco ou si vous gérez des appareils hérités qui ne peuvent pas prendre en charge les autres méthodes. EAP-SIM et EAP-AKA sont utilisées dans les déploiements de classe opérateur - comme OpenRoaming ou Passpoint - où l'authentification est liée à une carte SIM ou USIM. Celles-ci sont de plus en plus pertinentes pour le WiFi des lieux publics où vous souhaitez une intégration fluide et sécurisée sans Captive Portal. Parlons maintenant de la configuration RADIUS. Que vous déployiez Microsoft NPS, FreeRADIUS, Cisco ISE ou Aruba ClearPass, les étapes de configuration de base sont les mêmes. Premièrement, vous définissez vos clients RADIUS - il s'agit de vos points d'accès ou contrôleurs LAN sans fil. Chaque client est enregistré avec son adresse IP et un secret partagé. Ce secret partagé est utilisé pour authentifier les messages RADIUS entre le point d'accès et le serveur. Utilisez un minimum de 22 caractères, générés de manière aléatoire et uniques pour chaque appareil NAS. Deuxièmement, vous configurez votre politique réseau. C'est ici que vous définissez qui a accès à quoi. En termes de NPS, vous créez une politique réseau qui correspond à des conditions - appartenance à un groupe dans Active Directory, type d'appareil, heure de la journée - et attribue des attributs - ID de VLAN, délai d'expiration de la session, limites de bande passante. L'attribut RADIUS que vous utiliserez le plus est l'attribution de VLAN, spécifiquement Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur 802, et Tunnel-Private-Group-ID défini sur votre numéro de VLAN. Troisièmement, vous configurez votre stratégie de demande de connexion. Cela indique à NPS comment gérer les requêtes RADIUS entrantes - s'il faut les authentifier localement ou les transférer vers un autre serveur RADIUS. Dans un déploiement distribué, vous pouvez avoir un serveur RADIUS central avec des proxys NPS sur chaque site. Du côté des certificats, pour PEAP et EAP-TLS, votre serveur RADIUS a besoin d'un certificat de serveur approuvé par vos clients. La voie la plus simple consiste à utiliser un certificat provenant d'une autorité de certification publique - DigiCert, Sectigo, Let's Encrypt - car ces certificats racines sont déjà approuvés par tous les principaux systèmes d'exploitation. Si vous utilisez une autorité de certification interne, vous devez déployer le certificat racine sur tous les appareils clients via une stratégie de groupe ou votre plateforme MDM. Pour EAP-TLS spécifiquement, vous avez également besoin de certificats clients. Dans un environnement Active Directory, vous utiliseriez ADCS avec inscription automatique via une stratégie de groupe pour déployer les certificats sur les appareils joints au domaine. Pour les appareils BYOD, vous utiliseriez votre MDM - Intune, Jamf, VMware Workspace ONE - pour déployer à la fois le certificat et le profil WiFi. Du côté des points d'accès, la configuration est simple. Vous créez un nouveau SSID, définissez la sécurité sur WPA2-Enterprise ou WPA3-Enterprise, pointez le serveur d'authentification RADIUS vers l'IP de votre NPS sur le port UDP 1812, définissez le serveur de comptabilité RADIUS sur le port UDP 1813, saisissez le secret partagé et activez l'attribution dynamique de VLAN si vous l'utilisez. La plupart des plateformes de points d'accès d'entreprise - Cisco Meraki, Aruba, Ruckus, Extreme - disposent d'une interface graphique pour cela qui prend environ dix minutes une fois que votre serveur RADIUS est prêt. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes] Très bien, parlons des points de friction lors des déploiements, car c'est là que je gagne mes honoraires de consultant. Le point de défaillance le plus courant est la validation des certificats. J'ai vu des organisations déployer correctement PEAP-MSCHAPv2 du côté serveur, puis laisser les profils de demandeurs clients configurés pour accepter n'importe quel certificat. Cela compromet totalement le modèle de sécurité. Chaque profil de demandeur - qu'il soit déployé via une stratégie de groupe ou un MDM - doit spécifier l'autorité de certification racine de confiance et le nom de serveur attendu. Sans cela, vous êtes vulnérable aux attaques de type "evil twin". Le deuxième problème courant est la gestion des secrets partagés RADIUS. J'ai vu des réseaux de production fonctionner avec un secret partagé défini sur "radius" ou sur la valeur par défaut du fournisseur. Ces secrets sont les clés de votre infrastructure d'authentification. Générez-les de manière aléatoire, stockez-les dans un gestionnaire de secrets et renouvelez-les régulièrement. Troisièmement : la mauvaise configuration des VLAN. L'attribution dynamique de VLAN est puissante - elle vous permet de placer les appareils du personnel sur le VLAN d'entreprise, les prestataires sur un VLAN restreint et les appareils IoT sur un VLAN isolé, le tout à partir du même SSID. Mais si les attributs RADIUS ne sont pas configurés correctement, ou si les ports trunk des commutateurs ne transportent pas les bons VLAN, les appareils ne parviendront pas à se connecter ou se retrouveront sur le mauvais segment. Testez cela de manière approfondie dans un laboratoire avant de le déployer en production. Quatrièmement : la redondance. Votre serveur RADIUS est désormais un élément critique de votre infrastructure. S'il tombe en panne, plus personne ne peut se connecter. Vous devez configurer au minimum un serveur RADIUS principal et un secondaire sur chaque point d'accès. Dans les grands déploiements, envisagez des clusters de proxys RADIUS avec surveillance de l'état. Cinquièmement, et c'est spécifique aux environnements de l'hôtellerie et du commerce : la séparation entre invités et entreprise. Votre SSID d'entreprise 802.1X et votre SSID WiFi invité doivent être complètement séparés - différents VLANs, différentes politiques de pare-feu, différents DNS. Une plateforme comme Purple gère la partie invitée avec son propre Captive Portal et sa couche analytique, tandis que votre infrastructure 802.1X gère la partie entreprise. Ce sont des systèmes complémentaires, et non concurrents. [Q&A RAPIDE - environ 1 minute] Passons en revue les questions que l'on me pose le plus souvent. Puis-je exécuter 802.1X sur une plateforme de points d'accès gérée dans le cloud ? Oui - Meraki, Aruba Central et Ruckus Cloud le prennent tous en charge. Vous configurez les détails du serveur RADIUS dans le tableau de bord cloud, et les points d'accès gèrent le proxying EAP. Ai-je besoin d'Active Directory ? Non. FreeRADIUS peut s'authentifier auprès de serveurs LDAP, de bases de données SQL, de fichiers plats ou même d'APIs. Mais l'intégration d'AD via NPS est de loin la méthode d'entreprise la plus courante. Qu'en est-il des appareils IoT qui ne prennent pas en charge 802.1X ? Utilisez le contournement de l'authentification MAC - MAB (MAC Authentication Bypass) - comme solution de secours. L'adresse MAC de l'appareil est envoyée au serveur RADIUS en guise d'identifiant et de mot de passe. Ce n'est pas aussi sécurisé que l'EAP, mais cela vous permet d'intégrer des appareils IoT tout en les maintenant dans un VLAN restreint. Le 802.1X fonctionne-t-il avec WPA3 ? Oui. WPA3-Enterprise est essentiellement le WPA3 avec authentification 802.1X. Il ajoute un chiffrement plus fort - 192 bits en mode haute sécurité - et constitue la norme recommandée pour les nouveaux déploiements. [RÉSUMÉ ET PROCHAINES ÉTAPES - environ 1 minute] Pour résumer : le 802.1X n'est pas une option facultative. Pour toute organisation qui manipule des données sensibles, traite des paiements ou opère dans un secteur réglementé, c'est le socle de base de la sécurité WiFi d'entreprise. L'architecture est bien établie, les outils sont matures et la méthode de déploiement est claire. Commencez par choisir votre méthode EAP - PEAP-MSCHAPv2 si vous avez besoin d'une mise en œuvre rapide et d'une large compatibilité, ou EAP-TLS si vous disposez d'une infrastructure PKI et avez besoin du niveau de sécurité le plus élevé. Configurez et rendez votre serveur RADIUS redondant avant de toucher au moindre point d'accès. Déployez vos profils de demandeurs via une stratégie de groupe ou un outil de MDM avant la mise en service. Et séparez complètement votre WiFi invité - utilisez une plateforme dédiée pour cette couche. Si vous gérez un environnement multisite - hôtels, chaînes de magasins, stades - la complexité augmente avec le nombre de sites, mais l'architecture reste la même. La clé réside dans un serveur RADIUS centralisé avec une redondance locale par site, et un profil de demandeur déployé de manière uniforme via MDM sur l'ensemble de votre parc d'appareils. Merci pour votre écoute. Le guide écrit complet, les schémas d'architecture et les listes de contrôle de configuration sont disponibles sur purple.ai. Si vous planifiez un déploiement 802.1X et souhaitez discuter des spécificités de votre environnement, contactez directement l'équipe Purple.

header_image.png

Synthèse

Pour les réseaux d'entreprise, une clé partagée PSK n'est plus suffisante pour protéger l'infrastructure d'entreprise. Alors que les organisations font face à des exigences de conformité plus strictes (PCI DSS, GDPR) et à une surface d'attaque en constante expansion, la transition vers l'authentification 802.1X est devenue un impératif de sécurité critique.

Ce guide propose un parcours de déploiement pratique et indépendant des constructeurs pour configurer 802.1X sur des points d'accès d'entreprise. Nous couvrons l'architecture de base (supplicant, authentificateur et serveur d'authentification) ainsi que la gestion des certificats, la configuration RADIUS et les pièges de déploiement les plus courants. Pour les responsables informatiques et les architectes réseau opérant dans le commerce, l'hôtellerie ou le secteur public, cette référence fournit les étapes concrètes nécessaires pour mettre en œuvre un contrôle d'accès réseau robuste basé sur l'identité, tout en maintenant les trafics d'entreprise et invités strictement séparés.

Écoutez notre podcast d'accompagnement ci-dessous pour un aperçu de 10 minutes de l'architecture et des stratégies de déploiement.

Analyse approfondie : Architecture 802.1X

La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports. Dans un environnement sans fil, elle empêche les appareils clients d'envoyer ou de recevoir du trafic de données tant qu'ils ne se sont pas authentifiés avec succès auprès d'un annuaire central.

architecture_overview.png

Les trois composants clés

  1. Supplicant (appareil client) : Le logiciel sur l'ordinateur portable, le smartphone ou l'appareil IoT qui demande l'accès. Il doit prendre en charge la méthode EAP (Extensible Authentication Protocol) choisie.
  2. Authentificateur (point d'accès/contrôleur WLC) : L'équipement réseau qui fait office de gardien. Il ouvre un "port contrôlé" qui n'autorise que le trafic EAP jusqu'à ce que l'authentification soit réussie.
  3. Serveur d'authentification (RADIUS) : Le serveur central (par exemple, Microsoft NPS, FreeRADIUS, Cisco ISE) qui valide les identifiants par rapport à un annuaire d'identités (comme Active Directory) et renvoie un message Access-Accept ou Access-Reject.

Méthodes EAP : Choisir le bon niveau de sécurité

Le choix de la méthode EAP détermine votre niveau de sécurité et la complexité de votre déploiement.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security) : Le standard absolu. Nécessite des certificats à la fois sur le serveur et sur le client. Aucun mot de passe n'est transmis. Crucial pour les environnements de haute sécurité, mais nécessite une infrastructure à clés publiques (PKI) complète.
  • PEAP-MSCHAPv2 (Protected EAP) : Le déploiement d'entreprise le plus courant. Utilise un certificat côté serveur pour créer un tunnel TLS sécurisé au sein duquel le client envoie un nom d'utilisateur et un mot de passe. Plus simple à déployer, mais vulnérable au vol d'identifiants si les appareils clients ne sont pas configurés pour valider strictement le certificat du serveur.
  • EAP-SIM/AKA : Utilise les identifiants de la carte SIM pour l'authentification. De plus en plus pertinent dans les hubs de transport et les grands espaces publics pour un accès fluide.

Guide de mise en œuvre : Configuration étape par étape

Le déploiement de 802.1X nécessite une configuration coordonnée sur votre serveur RADIUS, vos points d'accès et vos appareils clients.

Étape 1 : Préparation du serveur RADIUS

Que vous utilisiez Microsoft Network Policy Server (NPS) ou une autre solution, les principes fondamentaux restent les mêmes.

  1. Définir les clients RADIUS : Enregistrez chaque point d'accès (ou contrôleur sans fil) dans le serveur RADIUS. Attribuez un secret partagé fort, généré de manière aléatoire (au moins 22 caractères), pour sécuriser la communication entre le point d'accès et le serveur RADIUS.
  2. Installer le certificat du serveur : Pour PEAP ou EAP-TLS, installez un certificat X.509 sur le serveur RADIUS. L'utilisation d'un certificat provenant d'une autorité de certification (CA) publique de confiance simplifie les déploiements BYOD, car le certificat racine est déjà approuvé par les systèmes d'exploitation des clients.

Étape 2 : Configuration des règles

Configurez les règles réseau pour dicter l'accès en fonction de l'identité.

  1. Règles de demande de connexion : Définissez la manière dont le serveur RADIUS gère les demandes entrantes. Généralement, cela implique de faire correspondre le NAS-Port-Type (Wireless - IEEE 802.11) et d'authentifier les demandes localement.
  2. Règles réseau : Associez les groupes Active Directory aux privilèges d'accès réseau. Par exemple, associez le groupe "Domain Computers" au VLAN de l'entreprise. Utilisez les attributs RADIUS (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) pour attribuer dynamiquement des VLANs après une authentification réussie.

Étape 3 : Configuration du point d'accès

Configurez l'SSID sur votre infrastructure sans fil (par exemple, Meraki, Aruba, Cisco).

  1. Créez un nouvel SSID et sélectionnez WPA2-Enterprise ou WPA3-Enterprise comme type de sécurité.
  2. Saisissez les adresses IP de vos serveurs RADIUS principal et secondaire.
  3. Saisissez le secret partagé défini à l'étape 1.
  4. Activez l'attribution dynamique de VLAN (Dynamic VLAN Assignment) si votre serveur RADIUS transmet des attributs de VLAN.

Étape 4 : Configuration du logiciel client (Supplicant)

C'est l'étape la plus critique et la plus souvent négligée. Ne comptez pas sur les utilisateurs pour configurer manuellement leurs appareils.

  • Appareils d'entreprise : Utilisez des objets de stratégie de groupe (GPO) ou votre plateforme de gestion des appareils mobiles (MDM) pour déployer les profils WiFi. Les profils doivent spécifier l'autorité de certification (CA) racine de confiance et les noms de serveur exacts des serveurs RADIUS pour empêcher les attaques de l'homme du milieu (evil twin).
  • BYOD : Implémentez un portail d'intégration ou une solution MDM pour déployer des profils sécurisés sur les appareils appartenant aux employés.

Bonnes pratiques et normes du secteur

Pour garantir un déploiement robuste, suivez ces bonnes pratiques architecturales :

  1. Imposer une validation stricte des certificats : Ne permettez jamais aux clients d'accepter aveuglément n'importe quel certificat de serveur. C'est le principal vecteur de collecte d'identifiants PEAP.
  2. Isoler le trafic invité : Votre infrastructure 802.1X est destinée à l'accès d'entreprise. Le trafic invité doit rester totalement isolé. Déployez une plateforme Guest WiFi dédiée, équipée de son propre Captive Portal et de sa propre couche analytique. Comme indiqué dans notre guide Sécuriser votre réseau : DNS robuste et sécurité , l'isolation logique est fondamentale pour la défense du réseau.
  3. Mettre en œuvre la redondance : Le service RADIUS est un service critique. Déployez des serveurs RADIUS principaux et secondaires. Dans les environnements distribués, comme les grandes chaînes de commerce de détail , envisagez des proxys RADIUS locaux pour maintenir la continuité d'activité en cas de coupure de la liaison WAN.

Dépannage et atténuation des risques

Lorsque les déploiements échouent, cela est généralement dû à quelques erreurs de configuration courantes :

  • Erreurs de délai d'attente (timeout) RADIUS : Généralement causées par une incompatibilité de clé secrète partagée entre la borne d'accès et le serveur RADIUS, ou par des règles de pare-feu bloquant les ports UDP 1812 (authentification) et 1813 (comptabilité).
  • Rejets de clients : Vérifiez les journaux d'événements RADIUS (par exemple, l'Observateur d'événements Windows -> Affichages personnalisés -> Rôles de serveur -> Services de stratégie et d'accès réseau). Recherchez l'ID d'événement 6273. Les causes courantes incluent des certificats clients expirés ou le fait que le client ne fasse pas confiance à la chaîne de certificats du serveur.
  • Échecs d'attribution de VLAN : Si l'authentification réussit mais que le client n'obtient pas d'adresse IP, vérifiez que le port du commutateur connecté à la borne d'accès est configuré comme un port trunk, autorisant les VLAN attribués de manière dynamique.

ROI et impact commercial

La mise en œuvre de 802.1X offre un retour sur investissement opérationnel et de sécurité significatif :

  • Atténuation des risques : Élimine le risque qu'une seule clé PSK compromise ne compromette l'ensemble du réseau d'entreprise, soutenant directement les efforts de conformité PCI-DSS et GDPR.
  • Efficacité opérationnelle : Centralise le contrôle d'accès. Lorsqu'un employé s'en va, la désactivation de son compte Active Directory révoque immédiatement son accès WiFi. Plus besoin de renouveler les clés PSK à l'échelle de l'entreprise.
  • Visibilité du réseau : Offre une visibilité granulaire sur l'identité exacte des personnes présentes sur le réseau et les appareils qu'elles utilisent, permettant une planification de la capacité et une recherche de menaces optimales. Pour les environnements complexes et à haute densité comme les stades de sport ou le secteur de l' hôtellerie , gérer la sécurité de l'entreprise tout en fournissant un accès invité est un défi. En sécurisant les actifs de l'entreprise avec 802.1X et en exploitant une plateforme robuste d' analyses WiFi pour gérer le trafic invité, les responsables informatiques peuvent offrir une connectivité sécurisée et évolutive qui sert à la fois l'entreprise et ses clients. Pour en savoir plus sur la gestion des environnements à haute densité, consultez notre guide WiFi pour zoos et parcs d'attractions : Guide de connectivité pour les lieux à forte fréquentation .

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

Le protocole fondamental pour la sécurité du WiFi d'entreprise, remplaçant les mots de passe partagés vulnérables.

Supplicant

L'appareil client ou l'application logicielle demandant l'accès au réseau.

Les équipes informatiques doivent gérer la configuration du supplicant via un MDM pour garantir des connexions sécurisées.

Authentificateur

L'appareil réseau (point d'accès ou commutateur) qui facilite le processus d'authentification en agissant comme un proxy entre le supplicant et le serveur d'authentification.

Configuré avec l'IP du serveur RADIUS et un secret partagé pour transférer de manière sécurisée le trafic EAP.

RADIUS

Remote Authentication Dial-In User Service ; un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA).

Le serveur principal (comme Microsoft NPS) qui valide réellement les identifiants de l'utilisateur par rapport à un annuaire.

EAP (Extensible Authentication Protocol)

Un framework d'authentification fréquemment utilisé dans les réseaux sans fil et les connexions point à point, prenant en charge plusieurs méthodes d'authentification.

La « langue » parlée entre le supplicant et le serveur RADIUS.

EAP-TLS

Une méthode EAP qui utilise la sécurité de la couche de transport, nécessitant des certificats côté serveur et côté client pour une authentification mutuelle.

La méthode la plus sécurisée disponible, souvent imposée pour les environnements hautement sécurisés ou classifiés.

PEAP

Protected Extensible Authentication Protocol ; encapsule EAP dans un tunnel TLS chiffré et authentifié.

La méthode d'entreprise la plus largement déployée, équilibrant la sécurité et la facilité de déploiement en n'exigeant qu'un certificat côté serveur.

Dynamic VLAN Assignment

Le processus par lequel un serveur RADIUS indique au point d'accès de placer un utilisateur authentifié sur un VLAN spécifique en fonction de son appartenance à un groupe d'annuaire.

Crucial pour segmenter le trafic réseau (par exemple, séparer les RH, l'ingénierie et les appareils IoT) tout en ne diffusant qu'un seul SSID d'entreprise.

Exemples concrets

Un hôtel de luxe de 300 chambres doit sécuriser son réseau opérationnel interne (tablettes du personnel, téléphones VoIP, ordinateurs portables de gestion) tout en le séparant complètement du réseau invités. Ils utilisent actuellement une clé PSK unique pour le personnel.

  1. Déployer Microsoft NPS lié à l'Active Directory existant de l'hôtel.
  2. Configurer PEAP-MSCHAPv2, en utilisant un certificat public (par exemple, DigiCert) sur le serveur NPS pour simplifier l'intégration des tablettes.
  3. Créer un SSID 802.1X (« Hotel_Ops ») sur les AP.
  4. Utiliser la plateforme MDM de l'hôtel pour pousser le profil WiFi « Hotel_Ops » sur toutes les tablettes et ordinateurs portables du personnel, en configurant explicitement le profil pour faire confiance à l'autorité de certification racine DigiCert et valider le nom du serveur NPS.
  5. Maintenir le SSID invité ouvert existant, en le routant via le Captive Portal de Purple pour l'acceptation des conditions d'utilisation et les analyses, en veillant à ce que les VLAN invités ne puissent pas router vers les VLAN opérationnels.
Commentaire de l'examinateur : Cette approche équilibre la sécurité et la complexité du déploiement. En utilisant un certificat public sur le serveur RADIUS, l'hôtel évite la lourdeur du déploiement d'une PKI complète tout en éliminant le risque lié à la clé PSK partagée. La séparation stricte du trafic invité et d'entreprise via des VLAN et des mécanismes d'authentification distincts s'aligne sur les exigences PCI-DSS pour les systèmes de point de vente de l'hôtel.

Un campus universitaire migre vers le 802.1X et doit prendre en charge un environnement BYOD massif pour 15 000 étudiants sur divers systèmes d'exploitation.

  1. Déployer un cluster RADIUS robuste (par exemple, FreeRADIUS ou Cisco ISE) avec répartition de charge.
  2. Implémenter PEAP-MSCHAPv2 pour une large compatibilité avec les appareils.
  3. Déployer un portail d'intégration (par exemple, SecureW2) qui configure automatiquement le supplicant de l'appareil de l'étudiant pour utiliser les paramètres EAP corrects et faire confiance au certificat du serveur RADIUS de l'université.
  4. Utiliser l'attribution dynamique de VLAN via les attributs RADIUS pour placer les étudiants dans les sous-réseaux appropriés en fonction de leur emplacement sur le campus afin de gérer les domaines de diffusion.
Commentaire de l'examinateur : Dans l'enseignement supérieur, le BYOD est le principal défi. S'appuyer sur une configuration manuelle par les étudiants garantit un volume élevé de tickets d'assistance et des configurations non sécurisées (utilisateurs acceptant des certificats invalides). Le portail d'intégration est le facteur de réussite critique ici, garantissant que le supplicant est verrouillé pour empêcher la collecte d'identifiants.

Questions d'entraînement

Q1. Votre organisation déploie 802.1X à l'aide de PEAP-MSCHAPv2. Lors des tests, les utilisateurs signalent qu'ils sont invités à "Accepter un certificat" lors de leur première connexion. Comment devez-vous résoudre ce problème ?

Conseil : Considérez les implications de sécurité liées au fait de permettre aux utilisateurs de prendre des décisions de confiance concernant l'infrastructure réseau.

Voir la réponse type

Vous devez configurer les profils de suppliant client (via MDM ou stratégie de groupe) pour faire explicitement confiance à l'autorité de certification racine (Root CA) qui a émis le certificat du serveur RADIUS, et pour valider le nom de serveur spécifique. Compter sur les utilisateurs pour accepter manuellement les certificats les habitue à ignorer les avertissements de sécurité et laisse le réseau vulnérable aux attaques de type Evil Twin (collecte d'identifiants).

Q2. Vous devez sécuriser une flotte de scanners de codes-barres d'entrepôt. Ils prennent en charge WPA2-Enterprise mais ne disposent pas de mécanisme pour installer des certificats clients ou rejoindre Active Directory. Quelle est l'approche de déploiement la plus sécurisée ?

Conseil : Évaluez les méthodes EAP qui ne nécessitent pas de certificats côté client mais fournissent tout de même une authentification chiffrée.

Voir la réponse type

Déployez PEAP-MSCHAPv2. Créez un compte de service dédié dans votre annuaire pour les scanners. Configurez le serveur RADIUS avec un certificat de serveur pour établir le tunnel TLS, et configurez les scanners pour qu'ils s'authentifient à l'aide des identifiants du compte de service à l'intérieur du tunnel. Assurez-vous que la stratégie RADIUS limite ce compte de service à un VLAN d'entrepôt spécifique et isolé.

Q3. Après avoir configuré les points d'accès et le serveur RADIUS, les appareils clients s'authentifient avec succès (vérifié dans les journaux RADIUS avec un Access-Accept), mais ils ne parviennent pas à recevoir une adresse IP et ne peuvent pas accéder au réseau. Quel est le problème d'infrastructure le plus probable ?

Conseil : L'authentification a réussi, ce qui signifie que la phase 802.1X est terminée. Le problème réside dans la phase suivante de provisionnement du réseau.

Voir la réponse type

Le problème le plus probable est une mauvaise configuration de VLAN sur le réseau filaire. Si le serveur RADIUS utilise le Dynamic VLAN Assignment pour placer le client sur un VLAN spécifique (par exemple, le VLAN 20), le port du commutateur connectant le point d'accès doit être configuré comme un port de trunk 802.1Q qui autorise le VLAN 20. Si le VLAN n'est pas acheminé en trunk vers le point d'accès, les requêtes DHCP du client seront rejetées.

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →