Passer au contenu principal

Comment configurer WPA2-Enterprise sur les plateformes de points d'accès courantes (Cisco, Aruba, Ubiquiti)

Ce guide de référence technique fournit aux professionnels de l'informatique chevronnés et aux architectes réseau un guide détaillé et spécifique aux fournisseurs pour le déploiement de WPA2-Enterprise sur les plateformes Cisco, Aruba et Ubiquiti. Il présente en détail l'architecture, l'intégration RADIUS, les exigences de conformité et des scénarios de déploiement réels dans des environnements d'entreprise et de lieux accueillant du public.

📖 6 min de lecture📝 1,309 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Comment configurer WPA2-Enterprise sur les plateformes de points d'accès courantes - Cisco, Aruba et Ubiquiti Un point d'information Purple WiFi [INTRO - environ 1 minute] Bienvenue dans la série d'informations Purple WiFi. Je suis votre hôte, et aujourd'hui nous allons droit au but sur l'un des sujets les plus fréquemment demandés par nos clients d'entreprise : comment configurer WPA2-Enterprise sur les trois plateformes de points d'accès les plus largement déployées - Cisco, Aruba et Ubiquiti. Que vous soyez directeur informatique d'un groupe hôtelier de 500 chambres, architecte réseau d'une chaîne de distribution nationale ou directeur technique d'un exploitant de centres de congrès, ce point d'information est fait pour vous. Nous n'allons pas faire de la théorie pour le plaisir. Nous allons passer en revue ce que vous devez savoir pour prendre une décision de déploiement, l'exécuter correctement et éviter les pièges dans lesquels tombent même les équipes expérimentées. C'est parti. [ANALYSE TECHNIQUE APPROFONDIE - environ 5 minutes] Tout d'abord, faisons une mise au point rapide sur ce qu'est réellement WPA2-Enterprise, car il subsiste une confusion surprenante sur le marché entre WPA2-Personal et WPA2-Enterprise - et cette distinction est extrêmement importante pour la conformité et la posture face aux risques. WPA2-Personal - la version que la plupart des gens connaissent - utilise une clé pré-partagée unique. Tout le monde sur le réseau utilise le même mot de passe. C'est parfait pour un réseau domestique. En revanche, ce n'est catégoriquement pas acceptable pour un environnement professionnel où vous avez besoin d'une authentification par utilisateur, de pistes d'audit et de la possibilité de révoquer un accès instantanément. WPA2-Enterprise, défini par la norme IEEE 802.1X, remplace cette clé partagée par un échange d'authentification individuel. Chaque utilisateur ou appareil présente ses propres identifiants - qu'il s'agisse d'un nom d'utilisateur et d'un mot de passe, d'un certificat numérique ou d'un jeton - et ces identifiants sont validés par un serveur RADIUS avant que l'accès au réseau ne soit accordé. Le point d'accès lui-même ne voit jamais les identifiants. Il agit uniquement comme un authentificateur, transmettant l'échange EAP - Extensible Authentication Protocol - entre le client et le serveur RADIUS. Il s'agit d'une architecture fondamentalement plus sécurisée, et c'est l'exigence de base pour la conformité PCI-DSS dans tout environnement qui traite des données de cartes de paiement, tout en étant fortement recommandée par le GDPR pour les organisations qui traitent des données personnelles sur des réseaux sans fil. À présent, parlons des trois plateformes. Commençons par Cisco. Le portefeuille WiFi d'entreprise de Cisco - principalement les gammes Catalyst et Meraki - est le choix de référence pour les déploiements à grande échelle. Cisco DNA Center offre une gestion centralisée des politiques, tandis que le tableau de bord Meraki propose la simplicité d'une gestion dans le cloud pour les parcs distribués. Pour configurer WPA2-Enterprise sur un point d'accès Cisco Catalyst, vous passerez par le WLC (contrôleur LAN sans fil) ou DNA Center. Les étapes clés consistent à : définir votre serveur RADIUS sous Security, puis AAA, puis RADIUS Authentication Servers ; créer un nouveau profil WLAN ; définir la politique de sécurité sur WPA2 avec 802.1X comme méthode de gestion des clés ; et associer le serveur RADIUS à ce WLAN. Un point essentiel concernant Cisco : veillez à configurer la comptabilité (accounting) RADIUS en plus de l'authentification. La comptabilité vous fournit la piste d'audit par session requise par les cadres de conformité. Sur Meraki, le processus est encore plus simple : accédez à Wireless, puis SSIDs, sélectionnez votre SSID cible, définissez la sécurité sur WPA2-Enterprise avec mon serveur RADIUS, puis saisissez l'adresse IP de votre serveur RADIUS, le port - généralement 1812 pour l'authentification et 1813 pour la comptabilité - et le secret partagé. Meraki prend également en charge les tests RADIUS directement depuis le tableau de bord, ce qui est extrêmement précieux lors de la mise en service. Passons à Aruba. Aruba Networks, qui fait désormais partie de HPE, est le choix dominant dans l'hôtellerie et l'enseignement supérieur. Aruba Central assure la gestion dans le cloud, et ArubaOS est la plateforme sous-jacente. Sur Aruba, la configuration WPA2-Enterprise se trouve dans le profil SSID. Vous définirez un profil AAA qui fait référence à votre serveur RADIUS, puis vous rattacherez ce profil AAA à votre profil de point d'accès virtuel (virtual AP). Le ClearPass Policy Manager d'Aruba mérite d'être mentionné ici : il s'agit du moteur RADIUS et de politique propre à Aruba, qui ajoute des fonctionnalités considérables en matière de profilage des appareils, de contrôle d'accès basé sur les rôles et d'intégration des invités. Si vous gérez un environnement mixte où le personnel, les sous-traitants et les invités se connectent tous à la même infrastructure, ClearPass vous offre la granularité de politique nécessaire pour les segmenter correctement. Pour un hôtel déployant WPA2-Enterprise sur les réseaux du personnel et des services administratifs tout en utilisant une solution WiFi pour invités distincte via une plateforme comme Purple, la segmentation des SSIDs d'Aruba combinée à ClearPass pour l'authentification du personnel constitue une architecture très propre. Passons à Ubiquiti. La plateforme UniFi de Ubiquiti a gagné un terrain considérable sur le marché des PME et des entreprises de taille intermédiaire - et de plus en plus dans l'hôtellerie de charme et le commerce de détail - en raison de son prix compétitif et d'une interface de gestion véritablement performante. C'est dans UniFi Network Controller que vous effectuerez le plus gros du travail. Pour configurer WPA2-Enterprise sur UniFi, accédez à Settings, puis WiFi, créez ou modifiez votre SSID, définissez la sécurité sur WPA2 Enterprise et configurez votre profil RADIUS - à savoir l'adresse IP, le port d'authentification 1812, le port de comptabilité (accounting) 1813 et le secret partagé. Une considération importante avec Ubiquiti : il n'est pas livré avec un serveur RADIUS intégré de la même manière que certaines plateformes d'entreprise. Vous aurez besoin d'un serveur RADIUS externe - qu'il s'agisse de Windows Server NPS, FreeRADIUS ou d'un service cloud RADIUS. Ce n'est pas une limitation en soi, mais c'est une dépendance qu'il faut planifier. Pour les déploiements plus modestes, UniFi Network Application inclut un serveur RADIUS de base, mais pour les environnements de production, je recommanderais toujours une instance RADIUS dédiée. Sur les trois plateformes, la sélection de la méthode EAP mérite une attention particulière. PEAP avec MSCHAPv2 est la méthode la plus largement déployée car elle fonctionne avec les identifiants Active Directory sans nécessiter de certificats côté client. EAP-TLS est plus sécurisé - il utilise une authentification mutuelle par certificat - mais il nécessite une infrastructure PKI et le déploiement de certificats sur chaque appareil client, ce qui ajoute une surcharge opérationnelle. Pour la plupart des déploiements d'entreprise, PEAP-MSCHAPv2 avec un serveur RADIUS correctement configuré et une validation de certificat côté client représente le bon équilibre entre sécurité et gérabilité opérationnelle. [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes] Permettez-moi maintenant de vous présenter les trois modes de défaillance les plus courants que je constate dans les déploiements WPA2-Enterprise, et comment les éviter. Numéro un : la disponibilité du serveur RADIUS. Votre serveur RADIUS est désormais sur le chemin critique de chaque authentification sans fil. S'il tombe en panne, plus personne ne peut se connecter. Cela signifie que vous avez besoin d'une redondance RADIUS - au minimum un serveur RADIUS principal et un secondaire configurés sur chaque point d'accès. La plupart des plateformes le prennent en charge nativement. Sur Cisco, vous pouvez configurer des groupes de serveurs RADIUS avec basculement. Sur Aruba, le profil AAA prend en charge plusieurs serveurs RADIUS avec des valeurs de tentative et de délai d'attente configurables. Sur Ubiquiti, vous pouvez spécifier un serveur RADIUS secondaire dans le profil RADIUS. Ne faites pas l'impasse sur cette étape. Deuxième point : la validation du certificat. Une proportion étonnamment élevée de déploiements que j'examine utilise des appareils clients configurés pour accepter n'importe quel certificat de serveur RADIUS. Cela compromet totalement le modèle de sécurité - cela vous expose à des attaques de type « evil twin » où un point d'accès malveillant usurpe l'identité de votre réseau et dérobe les identifiants. Configurez le certificat de votre serveur RADIUS à partir d'une autorité de certification (CA) de confiance, et configurez vos clients pour valider ce certificat. Sur Windows, cela se fait via les stratégies de groupe (Group Policy). Sur iOS et Android, cela est géré via des profils MDM. C'est non négociable pour tout environnement traitant des données sensibles. Troisième point : l'attribution de VLAN. WPA2-Enterprise permet l'attribution dynamique de VLAN - le serveur RADIUS peut renvoyer un attribut VLAN dans le message Access-Accept, plaçant chaque utilisateur authentifié dans le segment de réseau approprié en fonction de son identité ou de son rôle. C'est l'une des fonctionnalités les plus puissantes de l'architecture 802.1X, et elle est fréquemment laissée non configurée. Si vous gérez un site avec du personnel, une direction et des appareils IoT sur la même infrastructure physique, l'attribution dynamique de VLAN est le moyen d'appliquer la segmentation du réseau sans avoir à gérer plusieurs SSID. Concernant l'intégration avec Purple : si vous déployez WPA2-Enterprise pour votre personnel et vos réseaux opérationnels, et que vous utilisez la plateforme de WiFi invité de Purple pour la connectivité des visiteurs, ces deux systèmes coexistent de manière fluide. Purple gère l'authentification des invités, la capture de données et la couche analytique - y compris le WiFi analytics et l'analyse de fréquentation que les exploitants de sites utilisent pour leurs décisions opérationnelles - tandis que votre infrastructure WPA2-Enterprise sécurise le réseau de l'entreprise. La clé réside dans une séparation nette des SSID et des VLAN au niveau des points d'accès, ce que les trois plateformes prennent en charge. [SÉANCE DE QUESTIONS-RÉPONSES RAPIDES — environ 1 minute] Passons rapidement en revue quelques questions qui reviennent régulièrement. Puis-je faire fonctionner WPA2-Enterprise et un réseau invité sur les mêmes points d'accès ? Oui, tout à fait. Les trois plateformes prennent en charge plusieurs SSID par radio, chacun ayant des politiques de sécurité indépendantes. Votre SSID d'entreprise utilise WPA2-Enterprise ; votre SSID invité peut passer par le Captive Portal de Purple avec l'isolation appropriée. Dois-je remplacer mes points d'accès existants pour déployer WPA2-Enterprise ? Presque certainement pas. WPA2-Enterprise est pris en charge sur les points d'accès de classe entreprise depuis plus d'une décennie. Si votre matériel a moins de huit ans et utilise un firmware récent, il prendra en charge le 802.1X. Quelle est la différence entre WPA2-Enterprise et WPA3-Enterprise ? WPA3-Enterprise ajoute un mode de sécurité 192 bits utilisant la cryptographie Suite B, ce qui est pertinent pour les environnements gouvernementaux et de défense. Pour la plupart des déploiements commerciaux, WPA2-Enterprise avec des méthodes EAP fortes reste la norme. Planifier la transition vers WPA3 est pertinent pour les nouveaux déploiements, mais ce n'est pas une migration urgente pour la plupart des organisations. Le RADIUS cloud est-il une option viable ? Oui, et de plus en plus. Des services comme Cisco ISE dans le cloud, Aruba ClearPass en tant que service, ou des options tierces comme JumpCloud et Foxpass fournissent RADIUS-as-a-Service, ce qui supprime les coûts d'infrastructure. Pour les parcs distribués - par exemple une chaîne de vente au détail de 200 points de vente - le RADIUS cloud peut réduire considérablement la complexité opérationnelle. [RÉSUMÉ ET PROCHAINES ÉTAPES - environ 1 minute] Pour résumer : WPA2-Enterprise est la base non négociable pour tout déploiement sans fil d'entreprise. Le processus de configuration sur Cisco, Aruba et Ubiquiti suit le même schéma fondamental - définir votre serveur RADIUS, créer votre SSID avec une gestion des clés 802.1X, sélectionner votre méthode EAP, et tester avant de passer en production. Les différences résident dans les interfaces de gestion et les outils de l'écosystème autour de chaque plateforme. Les trois points à optimiser : la redondance RADIUS, la validation des certificats sur les clients, et l'affectation dynamique de VLAN. Maîtrisez ces trois aspects et vous obtiendrez une posture de sécurité sans fil solide, conforme et auditable. Pour vos prochaines étapes : si vous évaluez des plateformes, utilisez le cadre de comparaison des fournisseurs dans le guide d'accompagnement. Si vous êtes prêt pour le déploiement, les guides de configuration étape par étape pour chaque plateforme se trouvent dans la section implémentation. Et si vous réfléchissez à la manière d'intégrer le WiFi invité à votre réseau d'entreprise, la documentation de la plateforme Purple couvre l'architecture d'intégration en détail. Merci de votre attention. On se retrouve lors de la prochaine session.

Synthèse

Le déploiement de WPA2-Enterprise n'est plus une mise à niveau de sécurité optionnelle - c'est le socle de base essentiel pour tout réseau sans fil d'entreprise. Pour les responsables informatiques et les architectes réseau opérant dans l'hôtellerie, le commerce de détail et les services publics, la transition des clés pré-partagées vers l'authentification 802.1X est motivée par des exigences de conformité strictes, notamment PCI-DSS et GDPR. Ce guide de référence technique fournit des étapes de configuration concrètes, applicables et spécifiques aux plates-formes pour les trois principaux fournisseurs de points d'accès : Cisco, Aruba et Ubiquiti.

En passant à WPA2-Enterprise, les entreprises peuvent éliminer les risques associés aux identifiants partagés, obtenir des journaux d'audit granulaires par session et activer la segmentation dynamique du réseau. Lorsqu'elle est correctement mise en œuvre, cette architecture sécurise non seulement le périmètre de l'entreprise, mais s'intègre également de manière transparente aux réseaux de visiteurs gérés via une plateforme complète de Guest WiFi . Les sections suivantes détaillent l'architecture technique, les étapes de déploiement et les stratégies d'atténuation des risques requises pour un déploiement réussi.

header_image.png

Analyse Technique Approfondie

WPA2-Enterprise s'appuie sur la norme IEEE 802.1X pour fournir un contrôle d'accès réseau basé sur les ports. Contrairement au WPA2-Personal, qui utilise une clé pré-partagée (PSK) statique, WPA2-Enterprise exige que chaque suppliant (appareil client) s'authentifie individuellement auprès d'un serveur d'authentification externe - généralement un serveur RADIUS - avant de pouvoir accéder au réseau.

L'architecture se compose de trois éléments principaux :

  1. Le suppliant : L'appareil client qui tente de se connecter au réseau.
  2. L'authentificateur : Le point d'accès d'entreprise ou le contrôleur de réseau local sans fil (par exemple, un Cisco WLC ou un Aruba Mobility Controller) qui facilite le processus d'authentification.
  3. Le serveur d'authentification : Le serveur RADIUS principal (par exemple, Cisco ISE, Aruba ClearPass ou Windows NPS), qui valide les identifiants par rapport à un service d'annuaire tel qu'Active Directory ou LDAP.

Le Processus d'Échange EAP

Le processus d'authentification utilise le protocole EAPOL (Extensible Authentication Protocol over LAN). Au cours de la phase initiale, l'authentificateur agit uniquement comme un proxy transparent. Une fois que le serveur RADIUS a validé les identifiants, il renvoie un message Access-Accept à l'authentificateur, qui dérive ensuite les clés de chiffrement requises pour sécuriser la session WiFi.

Le choix de la méthode EAP est essentiel. PEAP-MSCHAPv2 est la méthode la plus largement déployée car elle prend en charge l'authentification par mot de passe Active Directory traditionnelle tout en protégeant l'échange au sein d'un tunnel TLS établi par le certificat du serveur. Pour une sécurité maximale, cependant, la méthode EAP-TLS est recommandée. EAP-TLS nécessite une authentification mutuelle par certificat (le serveur et le client doivent tous deux présenter des certificats valides), ce qui protège contre le vol d'identifiants mais exige une infrastructure à clés publiques (PKI) robuste ou une solution de gestion des appareils mobiles (MDM) pour la distribution des certificats.

architecture_overview.png

Guide de mise en œuvre

Les principes fondamentaux de la configuration de WPA2-Enterprise sont constants d'un fournisseur à l'autre, mais l'exécution varie en fonction de l'interface de gestion et de l'écosystème.

vendor_comparison_chart.png

Cisco (Catalyst et Meraki)

Les environnements Cisco vont généralement des déploiements de campus aux réseaux d'entreprise distribués.

Cisco Catalyst (WLC/DNA Center) :

  1. Définir les serveurs RADIUS : Accédez à l'onglet "Security", sélectionnez "AAA", puis configurez les serveurs d'authentification et de comptabilité RADIUS principaux et secondaires. Assurez-vous que le secret partagé correspond à la configuration du serveur RADIUS.
  2. Créer un profil WLAN : Sous l'onglet "WLANs", créez un nouveau profil.
  3. Configurer la politique de sécurité : Définissez la sécurité Layer 2 sur WPA+WPA2 et activez 802.1X comme méthode de gestion des clés d'authentification (AKM).
  4. Lier les serveurs AAA : Associez les serveurs RADIUS précédemment définis au profil WLAN. Si l'attribution dynamique de VLAN est requise, activez "AAA Override".

Cisco Meraki :

  1. Configuration du SSID : Dans le tableau de bord Meraki, accédez à Wireless > SSIDs et sélectionnez le réseau cible.
  2. Contrôle d'accès : Définissez l'exigence d'association sur "WPA2-Enterprise with my RADIUS server".
  3. Paramètres RADIUS : Saisissez l'adresse IP de votre infrastructure RADIUS, le port d'authentification (généralement 1812), le port de comptabilité (1813) et le secret partagé. Le tableau de bord Meraki comprend un outil de test intégré pour vérifier la connectivité RADIUS avant le déploiement.

Aruba Networks

Aruba est la plateforme dominante dans l'hébergement Hospitality et l'enseignement supérieur, utilisant intensivement son ClearPass Policy Manager pour le contrôle d'accès avancé.

  1. Définir un profil AAA : Dans Aruba Central ou l'interface utilisateur du Mobility Controller, créez un nouveau profil AAA. Ce profil détermine la manière dont l'authentification est gérée.
  2. Configurer un groupe de serveurs RADIUS : Ajoutez vos serveurs RADIUS à un groupe de serveurs, en spécifiant les règles de basculement et les valeurs de délai d'attente. Associez ce groupe au profil AAA.
  3. Configuration du Virtual AP : Créez ou modifiez le profil de l'AP virtuel (SSID). Définissez le type de sécurité sur WPA2-Enterprise.
  4. Liaison des profils : Liez le profil AAA au profil du Virtual AP. Si vous utilisez ClearPass, assurez-vous que le port RADIUS CoA (Change of Authorization) (3799) est autorisé à travers tous les pare-feu intermédiaires pour permettre l'application dynamique des politiques.

Ubiquiti (UniFi)

Ubiquiti, via le UniFi Network Controller, offre une solution rentable pour les environnements du Retail et des PME.

  1. Création d'un profil RADIUS : Allez dans Settings > Profiles > RADIUS. Créez un nouveau profil en utilisant l'adresse IP, les ports (1812/1813) et le secret partagé de votre serveur RADIUS externe.
  2. Configuration du SSID : Allez dans Settings > WiFi et créez un nouveau réseau sans fil.
  3. Paramètres de sécurité : Sélectionnez "WPA2 Enterprise" comme protocole de sécurité et liez le profil RADIUS nouvellement créé.
  4. Considérations sur l'architecture RADIUS : Contrairement aux contrôleurs de classe entreprise qui peuvent offrir un RADIUS local survivable, UniFi repose fortement sur des serveurs externes (par exemple, FreeRADIUS ou Windows NPS). Assurez une connectivité fiable entre les AP UniFi et le back-end RADIUS.

Bonnes Pratiques

Pour garantir que le déploiement est à la fois résilient et sécurisé, les architectes réseau doivent suivre plusieurs bonnes pratiques critiques :

  1. Imposer la validation des certificats : Les appareils clients doivent être explicitement configurés pour valider le certificat du serveur RADIUS par rapport à une autorité de certification (CA) de confiance. Le non-respect de cette consigne expose le réseau à des attaques de type "Evil Twin", permettant à un point d'accès malveillant de récupérer les identifiants des utilisateurs.
  2. Mettre en œuvre la redondance RADIUS : Le serveur RADIUS se trouve sur le chemin critique de l'accès au réseau. Configurez toujours des serveurs RADIUS principaux et secondaires. Dans les environnements distribués, envisagez une solution RADIUS hébergée dans le cloud pour une haute disponibilité.
  3. Tirer parti de l'attribution dynamique de VLAN : Utilisez les attributs RADIUS (tels que Tunnel-Pvt-Group-ID) pour affecter dynamiquement les utilisateurs à des VLAN spécifiques en fonction de leur appartenance à un groupe Active Directory. Cela permet d'appliquer la segmentation du réseau sans diffuser plusieurs SSIDs.
  4. Activer le RADIUS Accounting : Ne configurez pas l'authentification seule. Le RADIUS Accounting (port 1813) est obligatoire pour générer les pistes d'audit requises par les cadres de conformité.
  5. Sécuriser la périphérie du réseau : Pour en savoir plus sur la protection de votre infrastructure, lisez notre guide Protecting Your Network with Robust DNS and Security .

Dépannage et atténuation des risques

Même avec une planification minutieuse, des problèmes de déploiement peuvent survenir. Les modes de défaillance courants comprennent :

  • Incompatibilité du secret partagé : Une simple faute de frappe dans le secret partagé RADIUS entraîne des échecs d'authentification silencieux. Vérifiez le secret à la fois sur l'authentificateur et sur le serveur RADIUS.
  • Erreurs de synchronisation temporelle : La validation des certificats nécessite des horodatages précis. Assurez-vous que tous les APs, contrôleurs et serveurs RADIUS sont synchronisés via une source NTP fiable.
  • Pare-feux bloquant le trafic RADIUS : Assurez-vous que les ports UDP 1812 (authentification) et 1813 (comptabilité) sont ouverts entre les AP/contrôleurs et les serveurs RADIUS. Si vous utilisez CoA, assurez-vous que le port UDP 3799 est ouvert.
  • Mauvaise configuration du client : Le problème le plus courant est que les appareils clients ne sont pas configurés pour faire confiance à l'AC qui a émis le certificat du serveur RADIUS. Utilisez une solution MDM ou une stratégie de groupe pour déployer le profil sans fil correct sur les appareils de l'entreprise.

Pour une compréhension plus large du protocole d'authentification, consultez Comment configurer l'authentification WiFi 802.1X : Un guide étape par étape .

ROI et impact commercial

Au-delà de l'amélioration tangible de la sécurité, la transition vers WPA2-Enterprise apporte une valeur commerciale significative.

  • Réduction des risques : L'élimination des mots de passe partagés réduit considérablement la surface d'attaque et le risque de violation de données, qui peut avoir de graves conséquences financières et réputationnelles.
  • Efficacité opérationnelle : L'intégration de l'authentification WiFi avec votre fournisseur d'identité existant (tel qu'Active Directory) permet d'automatiser l'accueil et le départ du personnel. Lorsqu'un employé s'en va, la désactivation de son compte AD révoque instantanément son accès WiFi.
  • Alignement de la conformité : Des pistes d'audit détaillées et une authentification par utilisateur sont des conditions préalables à la conformité PCI-DSS et ISO 27001.
  • Infrastructure unifiée : En utilisant l'attribution dynamique de VLAN, les sites peuvent faire transiter en toute sécurité le trafic d'entreprise, d'arrière-guichet et IoT sur le même matériel physique utilisé pour l'accès invité. Le réseau invité peut ensuite être monétisé et analysé à l'aide d'une solution dédiée de WiFi Analytics , maximisant ainsi le retour sur investissement matériel. Assurez-vous de disposer d'une bande passante suffisante en comprenant Qu'est-ce qu'une ligne louée ? Internet professionnel dédié .

Définitions clés

WPA2-Enterprise

Un protocole de sécurité pour les réseaux sans fil qui utilise la norme 802.1X pour fournir une authentification par utilisateur via un serveur externe, plutôt qu'un mot de passe partagé unique.

La norme obligatoire pour sécuriser les réseaux WiFi d'entreprise et opérationnels dans les environnements professionnels.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, fournissant un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

Le cadre sous-jacent qui permet le fonctionnement de WPA2-Enterprise.

RADIUS

Remote Authentication Dial-In User Service - un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de l'analyse d'usage (AAA).

Le composant serveur qui valide les identifiants des utilisateurs par rapport à une base de données telle que Active Directory.

Supplicant

Le client logiciel sur un appareil (ordinateur portable, smartphone) qui communique avec l'authentificateur pour demander l'accès au réseau.

Le terminal qui doit être configuré avec les paramètres EAP et la confiance de certificat appropriés.

Authenticator

Le périphérique réseau (point d'accès ou commutateur) qui facilite le processus d'authentification en transmettant les messages entre le demandeur (supplicant) et le serveur d'authentification.

Le matériel Cisco, Aruba ou Ubiquiti géré par l'équipe informatique.

EAP (Extensible Authentication Protocol)

Un cadre d'authentification fréquemment utilisé dans les réseaux sans fil et les connexions point à point, prenant en charge plusieurs méthodes d'authentification.

Le protocole utilisé pour encapsuler l'échange d'identifiants.

PEAP-MSCHAPv2

Une méthode EAP qui encapsule l'échange de mot de passe MSCHAPv2 dans un tunnel TLS sécurisé établi par le certificat du serveur.

La méthode de déploiement la plus courante car elle concilie la sécurité et la commodité d'utiliser les mots de passe standards d'Active Directory.

Dynamic VLAN Assignment

Le processus par lequel un serveur RADIUS indique au point d'accès de placer un utilisateur authentifié sur un VLAN spécifique en fonction de son identité ou de son appartenance à un groupe.

Crucial pour la segmentation du réseau, permettant à différents types d'utilisateurs de partager les mêmes AP physiques en toute sécurité.

Exemples concrets

Un hôtel de 200 chambres doit déployer un réseau WiFi sécurisé pour son personnel de service (ménage, direction) en utilisant les points d'accès Aruba existants, tout en maintenant le trafic du personnel strictement séparé du réseau invité.

L'équipe informatique configure un SSID unique 'Hotel_Staff' utilisant WPA2-Enterprise. Elle intègre Aruba ClearPass avec l'Active Directory de l'hôtel. Dans ClearPass, elle configure des politiques d'application : si un utilisateur appartient au groupe AD 'Management', ClearPass renvoie un attribut RADIUS l'affectant au VLAN 10 (Réseau de Direction). Si l'utilisateur appartient au groupe 'Housekeeping', il est affecté au VLAN 20 (Réseau Opérationnel). Les points d'accès sont configurés pour appliquer ces attributions dynamiques de VLAN.

Commentaire de l'examinateur : Cette approche démontre la puissance de l'attribution dynamique de VLAN. Elle évite les interférences RF et la surcharge de gestion liées à la diffusion de multiples SSID ('Hotel_Management', 'Hotel_Housekeeping') tout en garantissant une segmentation stricte du réseau et en tirant parti des identités de l'annuaire existant.

Une chaîne nationale de vente au détail comptant 50 points de vente utilise Cisco Meraki. Elle doit sécuriser ses terminaux de point de vente (POS) via le WiFi pour respecter la conformité PCI-DSS, en remplaçant son ancienne configuration WPA2-Personal.

L'architecte réseau déploie un service RADIUS hébergé dans le cloud pour éviter de déployer des serveurs locaux dans chaque magasin. Dans le tableau de bord Meraki, il configure le SSID 'Retail_POS' pour WPA2-Enterprise et le pointe vers les adresses IP du RADIUS cloud. Il génère des certificats clients uniques pour chaque terminal POS via leur plateforme MDM et configure le serveur RADIUS pour exiger EAP-TLS. Les points d'accès Meraki sont configurés pour envoyer à la fois les données d'authentification et d'analyse d'usage (Accounting) RADIUS au service cloud.

Commentaire de l'examinateur : Ce scénario met en évidence la transition vers EAP-TLS pour les environnements à haute sécurité. En utilisant des certificats plutôt que des mots de passe, les terminaux POS s'authentifient de manière transparente et sécurisée. L'inclusion de l'Accounting RADIUS garantit que la chaîne répond aux exigences de la norme PCI-DSS en matière d'audit des accès.

Questions d'entraînement

Q1. Votre organisation déploie le protocole WPA2-Enterprise à l'aide de points d'accès Ubiquiti UniFi. Pendant les tests, les clients se connectent avec succès, mais l'équipe de conformité remarque qu'il n'y a aucun journal de durée de session utilisateur ou d'utilisation des données dans le système de journalisation centralisé. Quelle est l'omission de configuration la plus probable ?

Conseil : L'authentification autorise l'accès, mais un autre processus suit l'utilisation.

Voir la réponse type

Le port RADIUS Accounting (1813) n'a pas été configuré ou est bloqué par un pare-feu. Bien que l'authentification (port 1812) fonctionne, RADIUS Accounting doit être explicitement activé pour générer des pistes d'audit de session.

Q2. Un utilisateur signale qu'il ne peut pas se connecter au réseau WPA2-Enterprise de l'entreprise. Vous vérifiez les journaux du Cisco WLC et constatez que l'AP transmet l'EAP-Request, mais les journaux du serveur RADIUS indiquent un "Access-Reject" en raison d'une "CA inconnue". Que faut-il corriger ?

Conseil : Pensez à la relation de confiance établie lors de la configuration du tunnel TLS.

Voir la réponse type

Le suppliant de l'appareil client n'est pas configuré pour faire confiance à l'Autorité de Certification (CA) qui a émis le certificat du serveur RADIUS. Le client met fin à la connexion pour empêcher une attaque potentielle de type Evil Twin. Le certificat de la CA doit être déployé sur l'appareil client.

Q3. Vous concevez un réseau pour un stade. Vous devez prendre en charge le personnel de l'entreprise, les terminaux de billetterie et le WiFi invité. Comment devez-vous concevoir les SSID pour minimiser les interférences RF tout en maintenant la sécurité ?

Conseil : Évitez de diffuser un SSID pour chaque cas d'usage individuel.

Voir la réponse type

Déployez un maximum de deux SSID. Un SSID pour les invités utilisant un Captive Portal (comme Purple). Un second SSID pour toutes les opérations de l'entreprise utilisant WPA2-Enterprise. Utilisez le Dynamic VLAN Assignment via le serveur RADIUS pour segmenter le personnel de l'entreprise sur un VLAN et les terminaux de billetterie sur un autre en fonction de leurs identifiants d'authentification.

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →