Comment configurer WPA2-Enterprise sur les plateformes de points d'accès courantes (Cisco, Aruba, Ubiquiti)
Ce guide de référence technique fournit aux professionnels de l'informatique chevronnés et aux architectes réseau un guide détaillé et spécifique aux fournisseurs pour le déploiement de WPA2-Enterprise sur les plateformes Cisco, Aruba et Ubiquiti. Il présente en détail l'architecture, l'intégration RADIUS, les exigences de conformité et des scénarios de déploiement réels dans des environnements d'entreprise et de lieux accueillant du public.
Écouter ce guide
Voir la transcription du podcast
Synthèse
Le déploiement de WPA2-Enterprise n'est plus une mise à niveau de sécurité optionnelle - c'est le socle de base essentiel pour tout réseau sans fil d'entreprise. Pour les responsables informatiques et les architectes réseau opérant dans l'hôtellerie, le commerce de détail et les services publics, la transition des clés pré-partagées vers l'authentification 802.1X est motivée par des exigences de conformité strictes, notamment PCI-DSS et GDPR. Ce guide de référence technique fournit des étapes de configuration concrètes, applicables et spécifiques aux plates-formes pour les trois principaux fournisseurs de points d'accès : Cisco, Aruba et Ubiquiti.
En passant à WPA2-Enterprise, les entreprises peuvent éliminer les risques associés aux identifiants partagés, obtenir des journaux d'audit granulaires par session et activer la segmentation dynamique du réseau. Lorsqu'elle est correctement mise en œuvre, cette architecture sécurise non seulement le périmètre de l'entreprise, mais s'intègre également de manière transparente aux réseaux de visiteurs gérés via une plateforme complète de Guest WiFi . Les sections suivantes détaillent l'architecture technique, les étapes de déploiement et les stratégies d'atténuation des risques requises pour un déploiement réussi.

Analyse Technique Approfondie
WPA2-Enterprise s'appuie sur la norme IEEE 802.1X pour fournir un contrôle d'accès réseau basé sur les ports. Contrairement au WPA2-Personal, qui utilise une clé pré-partagée (PSK) statique, WPA2-Enterprise exige que chaque suppliant (appareil client) s'authentifie individuellement auprès d'un serveur d'authentification externe - généralement un serveur RADIUS - avant de pouvoir accéder au réseau.
L'architecture se compose de trois éléments principaux :
- Le suppliant : L'appareil client qui tente de se connecter au réseau.
- L'authentificateur : Le point d'accès d'entreprise ou le contrôleur de réseau local sans fil (par exemple, un Cisco WLC ou un Aruba Mobility Controller) qui facilite le processus d'authentification.
- Le serveur d'authentification : Le serveur RADIUS principal (par exemple, Cisco ISE, Aruba ClearPass ou Windows NPS), qui valide les identifiants par rapport à un service d'annuaire tel qu'Active Directory ou LDAP.
Le Processus d'Échange EAP
Le processus d'authentification utilise le protocole EAPOL (Extensible Authentication Protocol over LAN). Au cours de la phase initiale, l'authentificateur agit uniquement comme un proxy transparent. Une fois que le serveur RADIUS a validé les identifiants, il renvoie un message Access-Accept à l'authentificateur, qui dérive ensuite les clés de chiffrement requises pour sécuriser la session WiFi.
Le choix de la méthode EAP est essentiel. PEAP-MSCHAPv2 est la méthode la plus largement déployée car elle prend en charge l'authentification par mot de passe Active Directory traditionnelle tout en protégeant l'échange au sein d'un tunnel TLS établi par le certificat du serveur. Pour une sécurité maximale, cependant, la méthode EAP-TLS est recommandée. EAP-TLS nécessite une authentification mutuelle par certificat (le serveur et le client doivent tous deux présenter des certificats valides), ce qui protège contre le vol d'identifiants mais exige une infrastructure à clés publiques (PKI) robuste ou une solution de gestion des appareils mobiles (MDM) pour la distribution des certificats.

Guide de mise en œuvre
Les principes fondamentaux de la configuration de WPA2-Enterprise sont constants d'un fournisseur à l'autre, mais l'exécution varie en fonction de l'interface de gestion et de l'écosystème.

Cisco (Catalyst et Meraki)
Les environnements Cisco vont généralement des déploiements de campus aux réseaux d'entreprise distribués.
Cisco Catalyst (WLC/DNA Center) :
- Définir les serveurs RADIUS : Accédez à l'onglet "Security", sélectionnez "AAA", puis configurez les serveurs d'authentification et de comptabilité RADIUS principaux et secondaires. Assurez-vous que le secret partagé correspond à la configuration du serveur RADIUS.
- Créer un profil WLAN : Sous l'onglet "WLANs", créez un nouveau profil.
- Configurer la politique de sécurité : Définissez la sécurité Layer 2 sur WPA+WPA2 et activez 802.1X comme méthode de gestion des clés d'authentification (AKM).
- Lier les serveurs AAA : Associez les serveurs RADIUS précédemment définis au profil WLAN. Si l'attribution dynamique de VLAN est requise, activez "AAA Override".
Cisco Meraki :
- Configuration du SSID : Dans le tableau de bord Meraki, accédez à Wireless > SSIDs et sélectionnez le réseau cible.
- Contrôle d'accès : Définissez l'exigence d'association sur "WPA2-Enterprise with my RADIUS server".
- Paramètres RADIUS : Saisissez l'adresse IP de votre infrastructure RADIUS, le port d'authentification (généralement 1812), le port de comptabilité (1813) et le secret partagé. Le tableau de bord Meraki comprend un outil de test intégré pour vérifier la connectivité RADIUS avant le déploiement.
Aruba Networks
Aruba est la plateforme dominante dans l'hébergement Hospitality et l'enseignement supérieur, utilisant intensivement son ClearPass Policy Manager pour le contrôle d'accès avancé.
- Définir un profil AAA : Dans Aruba Central ou l'interface utilisateur du Mobility Controller, créez un nouveau profil AAA. Ce profil détermine la manière dont l'authentification est gérée.
- Configurer un groupe de serveurs RADIUS : Ajoutez vos serveurs RADIUS à un groupe de serveurs, en spécifiant les règles de basculement et les valeurs de délai d'attente. Associez ce groupe au profil AAA.
- Configuration du Virtual AP : Créez ou modifiez le profil de l'AP virtuel (SSID). Définissez le type de sécurité sur WPA2-Enterprise.
- Liaison des profils : Liez le profil AAA au profil du Virtual AP. Si vous utilisez ClearPass, assurez-vous que le port RADIUS CoA (Change of Authorization) (3799) est autorisé à travers tous les pare-feu intermédiaires pour permettre l'application dynamique des politiques.
Ubiquiti (UniFi)
Ubiquiti, via le UniFi Network Controller, offre une solution rentable pour les environnements du Retail et des PME.
- Création d'un profil RADIUS : Allez dans Settings > Profiles > RADIUS. Créez un nouveau profil en utilisant l'adresse IP, les ports (1812/1813) et le secret partagé de votre serveur RADIUS externe.
- Configuration du SSID : Allez dans Settings > WiFi et créez un nouveau réseau sans fil.
- Paramètres de sécurité : Sélectionnez "WPA2 Enterprise" comme protocole de sécurité et liez le profil RADIUS nouvellement créé.
- Considérations sur l'architecture RADIUS : Contrairement aux contrôleurs de classe entreprise qui peuvent offrir un RADIUS local survivable, UniFi repose fortement sur des serveurs externes (par exemple, FreeRADIUS ou Windows NPS). Assurez une connectivité fiable entre les AP UniFi et le back-end RADIUS.
Bonnes Pratiques
Pour garantir que le déploiement est à la fois résilient et sécurisé, les architectes réseau doivent suivre plusieurs bonnes pratiques critiques :
- Imposer la validation des certificats : Les appareils clients doivent être explicitement configurés pour valider le certificat du serveur RADIUS par rapport à une autorité de certification (CA) de confiance. Le non-respect de cette consigne expose le réseau à des attaques de type "Evil Twin", permettant à un point d'accès malveillant de récupérer les identifiants des utilisateurs.
- Mettre en œuvre la redondance RADIUS : Le serveur RADIUS se trouve sur le chemin critique de l'accès au réseau. Configurez toujours des serveurs RADIUS principaux et secondaires. Dans les environnements distribués, envisagez une solution RADIUS hébergée dans le cloud pour une haute disponibilité.
- Tirer parti de l'attribution dynamique de VLAN : Utilisez les attributs RADIUS (tels que
Tunnel-Pvt-Group-ID) pour affecter dynamiquement les utilisateurs à des VLAN spécifiques en fonction de leur appartenance à un groupe Active Directory. Cela permet d'appliquer la segmentation du réseau sans diffuser plusieurs SSIDs. - Activer le RADIUS Accounting : Ne configurez pas l'authentification seule. Le RADIUS Accounting (port 1813) est obligatoire pour générer les pistes d'audit requises par les cadres de conformité.
- Sécuriser la périphérie du réseau : Pour en savoir plus sur la protection de votre infrastructure, lisez notre guide Protecting Your Network with Robust DNS and Security .
Dépannage et atténuation des risques
Même avec une planification minutieuse, des problèmes de déploiement peuvent survenir. Les modes de défaillance courants comprennent :
- Incompatibilité du secret partagé : Une simple faute de frappe dans le secret partagé RADIUS entraîne des échecs d'authentification silencieux. Vérifiez le secret à la fois sur l'authentificateur et sur le serveur RADIUS.
- Erreurs de synchronisation temporelle : La validation des certificats nécessite des horodatages précis. Assurez-vous que tous les APs, contrôleurs et serveurs RADIUS sont synchronisés via une source NTP fiable.
- Pare-feux bloquant le trafic RADIUS : Assurez-vous que les ports UDP 1812 (authentification) et 1813 (comptabilité) sont ouverts entre les AP/contrôleurs et les serveurs RADIUS. Si vous utilisez CoA, assurez-vous que le port UDP 3799 est ouvert.
- Mauvaise configuration du client : Le problème le plus courant est que les appareils clients ne sont pas configurés pour faire confiance à l'AC qui a émis le certificat du serveur RADIUS. Utilisez une solution MDM ou une stratégie de groupe pour déployer le profil sans fil correct sur les appareils de l'entreprise.
Pour une compréhension plus large du protocole d'authentification, consultez Comment configurer l'authentification WiFi 802.1X : Un guide étape par étape .
ROI et impact commercial
Au-delà de l'amélioration tangible de la sécurité, la transition vers WPA2-Enterprise apporte une valeur commerciale significative.
- Réduction des risques : L'élimination des mots de passe partagés réduit considérablement la surface d'attaque et le risque de violation de données, qui peut avoir de graves conséquences financières et réputationnelles.
- Efficacité opérationnelle : L'intégration de l'authentification WiFi avec votre fournisseur d'identité existant (tel qu'Active Directory) permet d'automatiser l'accueil et le départ du personnel. Lorsqu'un employé s'en va, la désactivation de son compte AD révoque instantanément son accès WiFi.
- Alignement de la conformité : Des pistes d'audit détaillées et une authentification par utilisateur sont des conditions préalables à la conformité PCI-DSS et ISO 27001.
- Infrastructure unifiée : En utilisant l'attribution dynamique de VLAN, les sites peuvent faire transiter en toute sécurité le trafic d'entreprise, d'arrière-guichet et IoT sur le même matériel physique utilisé pour l'accès invité. Le réseau invité peut ensuite être monétisé et analysé à l'aide d'une solution dédiée de WiFi Analytics , maximisant ainsi le retour sur investissement matériel. Assurez-vous de disposer d'une bande passante suffisante en comprenant Qu'est-ce qu'une ligne louée ? Internet professionnel dédié .
Définitions clés
WPA2-Enterprise
Un protocole de sécurité pour les réseaux sans fil qui utilise la norme 802.1X pour fournir une authentification par utilisateur via un serveur externe, plutôt qu'un mot de passe partagé unique.
La norme obligatoire pour sécuriser les réseaux WiFi d'entreprise et opérationnels dans les environnements professionnels.
802.1X
Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.
Le cadre sous-jacent qui permet le fonctionnement de WPA2-Enterprise.
RADIUS
Remote Authentication Dial-In User Service - un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de l'analyse d'usage (AAA).
Le composant serveur qui valide les identifiants des utilisateurs par rapport à une base de données telle que Active Directory.
Supplicant
Le client logiciel sur un appareil (ordinateur portable, smartphone) qui communique avec l'authentificateur pour demander l'accès au réseau.
Le terminal qui doit être configuré avec les paramètres EAP et la confiance de certificat appropriés.
Authenticator
Le périphérique réseau (point d'accès ou commutateur) qui facilite le processus d'authentification en transmettant les messages entre le demandeur (supplicant) et le serveur d'authentification.
Le matériel Cisco, Aruba ou Ubiquiti géré par l'équipe informatique.
EAP (Extensible Authentication Protocol)
Un cadre d'authentification fréquemment utilisé dans les réseaux sans fil et les connexions point à point, prenant en charge plusieurs méthodes d'authentification.
Le protocole utilisé pour encapsuler l'échange d'identifiants.
PEAP-MSCHAPv2
Une méthode EAP qui encapsule l'échange de mot de passe MSCHAPv2 dans un tunnel TLS sécurisé établi par le certificat du serveur.
La méthode de déploiement la plus courante car elle concilie la sécurité et la commodité d'utiliser les mots de passe standards d'Active Directory.
Dynamic VLAN Assignment
Le processus par lequel un serveur RADIUS indique au point d'accès de placer un utilisateur authentifié sur un VLAN spécifique en fonction de son identité ou de son appartenance à un groupe.
Crucial pour la segmentation du réseau, permettant à différents types d'utilisateurs de partager les mêmes AP physiques en toute sécurité.
Exemples concrets
Un hôtel de 200 chambres doit déployer un réseau WiFi sécurisé pour son personnel de service (ménage, direction) en utilisant les points d'accès Aruba existants, tout en maintenant le trafic du personnel strictement séparé du réseau invité.
L'équipe informatique configure un SSID unique 'Hotel_Staff' utilisant WPA2-Enterprise. Elle intègre Aruba ClearPass avec l'Active Directory de l'hôtel. Dans ClearPass, elle configure des politiques d'application : si un utilisateur appartient au groupe AD 'Management', ClearPass renvoie un attribut RADIUS l'affectant au VLAN 10 (Réseau de Direction). Si l'utilisateur appartient au groupe 'Housekeeping', il est affecté au VLAN 20 (Réseau Opérationnel). Les points d'accès sont configurés pour appliquer ces attributions dynamiques de VLAN.
Une chaîne nationale de vente au détail comptant 50 points de vente utilise Cisco Meraki. Elle doit sécuriser ses terminaux de point de vente (POS) via le WiFi pour respecter la conformité PCI-DSS, en remplaçant son ancienne configuration WPA2-Personal.
L'architecte réseau déploie un service RADIUS hébergé dans le cloud pour éviter de déployer des serveurs locaux dans chaque magasin. Dans le tableau de bord Meraki, il configure le SSID 'Retail_POS' pour WPA2-Enterprise et le pointe vers les adresses IP du RADIUS cloud. Il génère des certificats clients uniques pour chaque terminal POS via leur plateforme MDM et configure le serveur RADIUS pour exiger EAP-TLS. Les points d'accès Meraki sont configurés pour envoyer à la fois les données d'authentification et d'analyse d'usage (Accounting) RADIUS au service cloud.
Questions d'entraînement
Q1. Votre organisation déploie le protocole WPA2-Enterprise à l'aide de points d'accès Ubiquiti UniFi. Pendant les tests, les clients se connectent avec succès, mais l'équipe de conformité remarque qu'il n'y a aucun journal de durée de session utilisateur ou d'utilisation des données dans le système de journalisation centralisé. Quelle est l'omission de configuration la plus probable ?
Conseil : L'authentification autorise l'accès, mais un autre processus suit l'utilisation.
Voir la réponse type
Le port RADIUS Accounting (1813) n'a pas été configuré ou est bloqué par un pare-feu. Bien que l'authentification (port 1812) fonctionne, RADIUS Accounting doit être explicitement activé pour générer des pistes d'audit de session.
Q2. Un utilisateur signale qu'il ne peut pas se connecter au réseau WPA2-Enterprise de l'entreprise. Vous vérifiez les journaux du Cisco WLC et constatez que l'AP transmet l'EAP-Request, mais les journaux du serveur RADIUS indiquent un "Access-Reject" en raison d'une "CA inconnue". Que faut-il corriger ?
Conseil : Pensez à la relation de confiance établie lors de la configuration du tunnel TLS.
Voir la réponse type
Le suppliant de l'appareil client n'est pas configuré pour faire confiance à l'Autorité de Certification (CA) qui a émis le certificat du serveur RADIUS. Le client met fin à la connexion pour empêcher une attaque potentielle de type Evil Twin. Le certificat de la CA doit être déployé sur l'appareil client.
Q3. Vous concevez un réseau pour un stade. Vous devez prendre en charge le personnel de l'entreprise, les terminaux de billetterie et le WiFi invité. Comment devez-vous concevoir les SSID pour minimiser les interférences RF tout en maintenant la sécurité ?
Conseil : Évitez de diffuser un SSID pour chaque cas d'usage individuel.
Voir la réponse type
Déployez un maximum de deux SSID. Un SSID pour les invités utilisant un Captive Portal (comme Purple). Un second SSID pour toutes les opérations de l'entreprise utilisant WPA2-Enterprise. Utilisez le Dynamic VLAN Assignment via le serveur RADIUS pour segmenter le personnel de l'entreprise sur un VLAN et les terminaux de billetterie sur un autre en fonction de leurs identifiants d'authentification.
Continuer la lecture de cette série
Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs
Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.
Passpoint et OpenRoaming : Le Guide Complet
Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.
Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur
Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.