Passer au contenu principal

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

📖 8 min de lecture📝 1,876 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Résumé opérationnel

Dans les environnements d'entreprise modernes, la sécurisation des réseaux sans fil est une exigence opérationnelle critique. Les méthodes de sécurité héritées, telles que les clés prépartagées (PSK) uniques, introduisent d'importantes vulnérabilités de sécurité. Si un seul employé quitte une organisation, ou si un invité compromet un mot de passe partagé, c'est l'ensemble de la sécurité du réseau qui est compromis. Ce guide détaille comment implémenter un service RADIUS pour centraliser le contrôle d'accès, appliquer des politiques de sécurité granulaires et segmenter le trafic des invités et du personnel.

En passant à une architecture RADIUS centralisée, les organisations peuvent implémenter l'authentification 802.1X pour le personnel - garantissant que chaque appareil s'authentifie avec des identifiants uniques et révocables - tout en utilisant des Captive Portals sécurisés et le contournement de l'authentification MAC (MAB) pour les utilisateurs invités. Cette référence technique fournit les plans d'architecture, les étapes de configuration et les frameworks de dépannage nécessaires pour déployer une infrastructure d'authentification WiFi résiliente de classe entreprise.

Analyse technique approfondie

Le Framework AAA

RADIUS fonctionne sur le framework AAA, qui définit les phases clés du contrôle d'accès :

  1. Authentification : Vérifier l'identité de l'utilisateur ou de l'appareil qui tente de se connecter au réseau WiFi. Cela s'effectue via des identifiants, des certificats numériques ou des jetons.
  2. Autorisation : Déterminer le niveau d'accès réseau accordé à l'entité authentifiée. Cela inclut l'attribution de VLAN spécifiques, l'application de listes de contrôle d'accès (ACL) ou l'application de limites de bande passante.
  3. Comptabilisation : Suivre la consommation des ressources réseau, y compris la durée de la session, les données transférées et les heures de connexion/déconnexion. Ces données sont cruciales pour l'audit, la conformité et la planification du réseau.
  4. Audit : Examiner les données de comptabilisation collectées pour identifier les anomalies, les failles de sécurité ou les violations de politiques.

Composants de l'architecture RADIUS

Un déploiement RADIUS d'entreprise standard se compose de trois éléments principaux :

  • Le Supplicant : Le logiciel client s'exécutant sur l'appareil de l'utilisateur (par exemple, ordinateur portable, smartphone) qui demande l'accès au réseau et fournit des identifiants ou des certificats.
  • L'authentificateur (Serveur d'accès réseau / NAS) : L'appareil réseau physique ou virtuel - généralement un contrôleur LAN sans fil (WLC) ou un point d'accès (AP) - qui contrôle l'accès physique au réseau. L'authentificateur ne décide pas si les identifiants sont valides ; il agit comme un proxy, encapsulant la demande d'authentification dans des paquets RADIUS et les transmettant au serveur RADIUS.
  • Le serveur d'authentification : Le serveur central (tel que FreeRADIUS, Cisco ISE, Aruba ClearPass ou le moteur RADIUS cloud de Purple) qui valide les identifiants par rapport à un répertoire d'identités (par exemple, Active Directory, LDAP ou un fournisseur d'identité cloud) et renvoie un message Access-Accept ou Access-Reject à l'authentificateur.

Méthodes EAP pour le WiFi du personnel

Pour les réseaux du personnel, le protocole d'authentification extensible (EAP) est utilisé au sein de l'infrastructure 802.1X pour négocier l'authentification. Les deux méthodes EAP d'entreprise les plus courantes sont :

  • PEAP-MSCHAPv2 (Protected EAP) : cette méthode établit un tunnel TLS sécurisé et chiffré entre le suppliant et le serveur RADIUS à l'aide du certificat numérique du serveur. À l'intérieur de ce tunnel sécurisé, le nom d'utilisateur et le mot de passe de l'utilisateur sont authentifiés à l'aide du protocole MSCHAPv2. Cette méthode est très populaire en raison de sa facilité de déploiement, car elle ne nécessite pas l'installation de certificats sur les appareils clients.
  • EAP-TLS : la méthode d'authentification la plus sécurisée disponible. Elle nécessite une authentification mutuelle, ce qui signifie que le serveur RADIUS et l'appareil client doivent tous deux présenter des certificats numériques valides. Cela élimine les attaques basées sur les mots de passe, mais nécessite une infrastructure à clés publiques (PKI) robuste pour gérer la distribution et la révocation des certificats.

Flux d'authentification du WiFi invité

Les réseaux invités utilisent généralement un flux différent pour équilibrer la sécurité et la commodité d'utilisation. Au lieu de la norme 802.1X, les réseaux invités utilisent souvent un SSID ouvert associé à un Captive Portal.

Lorsqu'un invité se connecte, l'authentificateur utilise le contournement d'authentification MAC (MAB) ou une politique de redirection pour envoyer l'utilisateur vers un Captive Portal hébergé par une plateforme comme Purple. Une fois que l'utilisateur a terminé le processus d'enregistrement ou de connexion sur le portail, la plateforme du portail communique avec le serveur RADIUS, qui envoie ensuite un message Access-Accept au WLC/AP, autorisant l'adresse MAC de l'invité pour l'accès au réseau pendant une durée de session spécifiée.

Transport sécurisé : RadSec

Le trafic RADIUS traditionnel est envoyé en texte clair sur UDP (ports 1812 pour l'authentification et 1813 pour la comptabilité), seul le champ du mot de passe utilisateur étant masqué à l'aide d'un secret partagé. Cela introduit des risques de sécurité lors de l'acheminement du trafic d'authentification sur des connexions WAN publiques ou sur Internet.

Pour atténuer ce problème, il convient de mettre en œuvre RadSec (RADIUS sur TLS). RadSec enveloppe les paquets RADIUS standard dans un tunnel TLS sécurisé (utilisant généralement le port TCP 2083). Cela garantit que toutes les données d'authentification et de comptabilité, y compris les noms d'utilisateur, les adresses MAC et les attributs de session, sont entièrement chiffrées pendant le transit entre le réseau local et les serveurs RADIUS basés sur le cloud.

Guide d'implémentation

Étape 1 : Définir les clients RADIUS sur le serveur

Avant qu'un appareil réseau puisse communiquer avec le serveur RADIUS, il doit être enregistré en tant que client.

  1. Connectez-vous à la console d'administration de votre serveur RADIUS.
  2. Naviguez vers la section Clients ou Équipements réseau.
  3. Ajoutez une nouvelle entrée de client pour chaque WLC ou AP.
  4. Saisissez l'adresse IP ou le sous-réseau de l'authentificateur.
  5. Générez un secret partagé à haute entropie. Ce secret doit comporter au moins 22 caractères, contenant un mélange de lettres majuscules, de lettres minuscules, de chiffres et de caractères spéciaux. Évitez d'utiliser des mots simples du dictionnaire.

Étape 2 : Configurer le contrôleur LAN sans fil (WLC) / les points d'accès (AP)

Configurez votre matériel sans fil pour pointer vers le serveur RADIUS pour l'authentification et la comptabilisation (accounting).

  1. Connectez-vous à l'interface de gestion de votre WLC ou AP.
  2. Accédez à Sécurité > AAA > RADIUS > Authentification.
  3. Ajoutez un nouveau serveur d'authentification RADIUS :
    • Adresse IP du serveur : Saisissez l'adresse IP de votre serveur RADIUS principal.
    • Secret partagé : Saisissez le secret partagé exact configuré à l'étape 1.
    • Port : 1812 (ou 2083 si vous utilisez RadSec).
    • Délai d'attente (Timeout) : Réglez sur 5 secondes pour tenir compte de la latence du réseau.
    • Nombre de tentatives : Réglez sur 3.
  4. Accédez à Comptabilisation RADIUS (RADIUS Accounting) et ajoutez une nouvelle entrée de serveur en utilisant le port 1813 (ou 2083 pour RadSec).
  5. Répétez ces étapes pour ajouter un serveur RADIUS secondaire (de secours) afin de garantir une haute disponibilité.

Étape 3 : Configurer le SSID du personnel (802.1X)

  1. Créez un nouveau SSID nommé Staff_Enterprise.
  2. Définissez le type de sécurité sur WPA3-Enterprise (ou le mode de transition WPA2/WPA3-Enterprise si la prise en charge des appareils existants est requise).
  3. Sélectionnez 802.1X comme protocole de gestion des clés.
  4. Associez le SSID aux serveurs d'authentification et de comptabilisation RADIUS configurés à l'étape 2.
  5. Associez le SSID au VLAN sécurisé du personnel (par exemple, VLAN 10).

Étape 4 : Configurer le SSID invité avec Captive Portal

  1. Créez un nouveau SSID nommé Guest_WiFi.
  2. Définissez le type de sécurité sur Ouvert (ou Enhanced Open / OWE pour le chiffrement sans fil opportuniste).
  3. Activez le filtrage MAC ou l'authentification MAC et pointez vers le serveur RADIUS.
  4. Activez la redirection vers le Captive Portal / Portail Web.
  5. Configurez l'URL de redirection pour pointer vers la page de connexion du Captive Portal de Purple.
  6. Configurez le Walled Garden (ACL de pré-authentification) pour autoriser le trafic vers le domaine du Captive Portal, les serveurs DNS et les ressources CDN nécessaires avant la fin de l'authentification.
  7. Associez le SSID à un VLAN invité isolé (par exemple, VLAN 20).

Bonnes pratiques

Haute disponibilité et redondance

Déployez toujours les serveurs RADIUS par paires redondantes (primaire et secondaire). Assurez-vous que ces serveurs sont situés sur des équipements physiques différents ou dans des zones de disponibilité cloud différentes. Configurez vos WLC pour qu'ils basculent de manière fluide vers le serveur secondaire si le serveur primaire ne répond plus. Implémentez la répartition de charge (load balancing) là où cela est approprié pour distribuer le trafic d'authentification de manière uniforme.

Gestion des certificats

Pour les déploiements PEAP et EAP-TLS, la validité et la confiance du certificat du serveur RADIUS sont primordiales.

  • Utilisez un certificat émis par une autorité de certification (CA) publique de confiance pour les portails invités et les déploiements PEAP afin d'éviter les messages d'avertissement de certificat sur les appareils des utilisateurs.
  • Pour EAP-TLS, établissez une autorité de certification privée interne dédiée pour émettre et gérer les certificats clients et serveurs.
  • Surveillez de près les dates d'expiration des certificats et mettez en œuvre des processus de renouvellement automatisés (tels que SCEP ou ACME) pour éviter les pannes soudaines d'authentification sur l'ensemble du réseau.

Segmentation VLAN

Segmentez strictement le trafic de votre réseau à l'aide de VLANs. Le trafic invité doit être complètement isolé des ressources de l'entreprise. Implémentez des règles de pare-feu au niveau du commutateur central ou de la passerelle pour empêcher le routage inter-VLAN entre le VLAN invité et les VLANs du personnel ou de gestion. Autorisez uniquement le trafic invité à s'orienter directement vers Internet.

Délai d'expiration de session et intervalles de comptabilité

Configurez des délais d'expiration de session appropriés pour éviter que les sessions obsolètes ne consomment des adresses IP et des ressources réseau.

  • Pour les réseaux du personnel, définissez un délai d'expiration de session de 8 à 12 heures, ce qui correspond à un quart de travail standard.
  • Pour les réseaux invités, définissez un délai d'expiration de session plus court de 2 à 4 heures.
  • Configurez l'intervalle d'intégration des mises à jour intermédiaires de comptabilité RADIUS sur 10 ou 15 minutes. Cela garantit que le serveur RADIUS reçoit des mises à jour régulières sur la connectivité des appareils et l'utilisation des données sans surcharger le serveur de paquets de comptabilité.

Dépannage et atténuation des risques

Modes de défaillance courants et solutions

1. Incohérence du secret partagé

  • Symptôme : Les journaux du contrôleur LAN sans fil (WLC) affichent « RADIUS server not responding » et les journaux du serveur RADIUS indiquent « Packet dropped - invalid authenticator » ou « Bad authenticator in request ».
  • Cause principale : Le secret partagé configuré sur le WLC ne correspond pas à celui configuré sur le serveur RADIUS.
  • Atténuation : Saisissez à nouveau le secret partagé sur les deux appareils, en veillant à ce qu'aucun espace de fin ni caractère masqué ne soit copié.

2. Problèmes de confiance de certificat

  • Symptôme : Les appareils clients ne parviennent pas à se connecter au SSID du personnel, affichant des erreurs telles que « Untrusted Server Certificate » ou « Connection Rejected ».
  • Cause principale : L'appareil client ne fait pas confiance à l'autorité de certification (CA) qui a signé le certificat du serveur RADIUS, ou le certificat a expiré.
  • Atténuation : Assurez-vous que les certificats de l'autorité de certification racine et intermédiaire sont installés dans le magasin de certificats racine de confiance de l'appareil client. Pour les appareils gérés par l'entreprise, déployez ces certificats via un MDM ou une stratégie de groupe.

3. Blocages de pare-feu

  • Symptôme : Aucun trafic n'est reçu par le serveur RADIUS en provenance du WLC, bien que le routage soit vérifié.
  • Cause principale : Les pare-feu intermédiaires bloquent les ports UDP 1812 et 1813.
  • Atténuation : Créez des règles de pare-feu explicites pour autoriser les ports UDP 1812 et 1813 (ou TCP 2083 pour RadSec) entre l'IP de gestion du WLC et l'IP du serveur RADIUS.

4. Délais d'expiration induits par la latence

  • Symptôme : Échecs d'authentification intermittents, en particulier pendant les heures de pointe ou lors de l'utilisation de serveurs RADIUS basés sur le cloud.
  • Cause principale : La latence du réseau dépasse le seuil de délai d'expiration RADIUS du WLC, ce qui amène le WLC à supposer que le serveur est hors ligne.
  • Atténuation : Augmentez le paramètre de délai d'expiration RADIUS du WLC de sa valeur par défaut (généralement 2 secondes) à 5 ou 7 secondes. Optimisez le routage WAN ou implémentez des proxys RADIUS locaux pour mettre en cache les demandes d'authentification.

ROI et impact commercial

La transition vers un modèle d'authentification RADIUS centralisé offre une valeur commerciale mesurable dans plusieurs domaines clés :

  • Frais opérationnels réduits : Élimine l'effort manuel requis pour renouveler les mots de passe WiFi partagés lorsque le personnel quitte l'entreprise. Les comptes d'utilisateurs peuvent être instantanément désactivés dans Active Directory ou votre fournisseur d'identité, révoquant immédiatement leur accès au réseau.
  • Posture de sécurité renforcée : Atténue le risque de violations de données causées par le vol d'identifiants ou l'accès non autorisé au réseau. En imposant l'authentification 802.1X et par certificat, les organisations garantissent que seuls les appareils autorisés et conformes peuvent accéder aux ressources d'entreprise sensibles.
  • Opérations de site optimisées : En intégrant le WiFi invités à la plateforme cloud RADIUS de Purple, les exploitants de sites capturent des données démographiques et comportementales précieuses. Ces données peuvent être utilisées pour concevoir des campagnes marketing ciblées, améliorer l'engagement des visiteurs et optimiser l'utilisation de l'espace physique sur la base des analyses de fréquentation.
  • Conformité réglementaire : Les journaux de comptabilité RADIUS centralisés fournissent une piste d'audit des accès réseau, aidant les organisations à respecter les exigences de conformité pour des normes telles que PCI-DSS, ISO 27001 et GDPR.

Définitions clés

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de l'accounting (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Il s'agit du protocole standard du secteur utilisé pour connecter le matériel réseau sans fil à des bases de données d'identité centralisées.

Supplicant

Le logiciel client ou l'appareil (tel qu'un ordinateur portable, un téléphone ou une tablette) qui demande l'accès à un réseau et fournit des identifiants ou des certificats pour vérification.

Le supplicant doit prendre en charge la méthode EAP spécifique configurée sur le serveur RADIUS pour s'authentifier avec succès.

Authentificateur

L'équipement réseau (généralement un contrôleur LAN sans fil ou un point d'accès) qui contrôle l'accès physique au réseau et agit comme un proxy entre le supplicant et le serveur RADIUS.

L'authentificateur ne valide pas lui-même les identifiants ; il les transmet simplement au serveur RADIUS.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Une méthode d'authentification extrêmement sécurisée qui utilise des certificats numériques mutuels sur le client et le serveur pour la vérification de l'identité.

Il s'agit de la méthode d'authentification privilégiée pour les appareils gérés par l'entreprise sur les réseaux WiFi du personnel.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol avec Microsoft Challenge Handshake Authentication Protocol version 2. Une méthode d'authentification basée sur des identifiants qui sécurise la transmission des mots de passe à l'intérieur d'un tunnel TLS chiffré.

Il est largement utilisé pour les réseaux du personnel car il ne nécessite pas de certificats côté client, ce qui le rend plus facile à déployer que l'EAP-TLS.

RadSec

Un protocole qui sécurise le trafic RADIUS en enveloppant les paquets RADIUS standard dans un tunnel Transport Layer Security (TLS), fonctionnant généralement sur le port TCP 2083.

Indispensable pour les réseaux WiFi gérés dans le cloud où le trafic d'authentification doit transiter par l'internet public.

Captive Portal

Une page web affichée aux utilisateurs sans fil nouvellement connectés avant qu'ils ne bénéficient d'un accès réseau plus large. Elle est couramment utilisée pour l'authentification des invités, l'acceptation des conditions d'utilisation et la collecte de données marketing.

Purple fournit un Captive Portal hébergé dans le cloud qui s'intègre au matériel réseau local via RADIUS.

MAC Authentication Bypass (MAB)

Un mécanisme qui permet le contrôle d'accès au réseau basé sur l'adresse MAC d'un appareil client. Il est généralement utilisé pour les appareils qui ne prennent pas en charge l'authentification 802.1X.

Souvent utilisé dans les réseaux WiFi invités pour permettre aux appareils de se reconnecter de manière transparente sans voir le Captive Portal à plusieurs reprises.

Exemples concrets

Une marque de vente au détail multisite comptant 150 magasins souhaite déployer un réseau WiFi sécurisé pour ses collaborateurs. Elle utilise actuellement une clé pré-partagée (PSK) unique dans tous les magasins, qui fait l'objet de fuites fréquentes. Elle a besoin d'une solution qui s'intègre à son infrastructure Microsoft Azure Active Directory existante (désormais Microsoft Entra ID) et qui garantit que le personnel ne peut s'authentifier qu'à l'aide d'ordinateurs portables gérés par l'entreprise.

Pour résoudre ce problème, nous allons mettre en œuvre WPA3-Enterprise avec une authentification EAP-TLS, intégrée à Microsoft Entra ID via un service RADIUS basé sur le cloud.

  1. Établir une CA privée : Déployez une infrastructure à clés publiques (PKI) basée sur le cloud ou utilisez un déploiement existant d'Active Directory Certificate Services (AD CS) pour délivrer des certificats d'appareil à tous les ordinateurs portables gérés par l'entreprise.
  2. Distribution des certificats : Configurez le système de gestion des appareils mobiles (MDM) de l'organisation (par exemple, Microsoft Intune) pour distribuer automatiquement le certificat de la CA racine et un certificat client unique à chaque ordinateur portable géré. Le certificat client doit inclure le nom d'hôte ou le numéro de série de l'appareil dans le nom alternatif du sujet (SAN).
  3. Configurer le serveur RADIUS cloud : Configurez un service RADIUS cloud qui s'intègre à Microsoft Entra ID. Configurez le serveur RADIUS pour valider les certificats clients entrants par rapport à la CA privée approuvée.
  4. Configurer les WLC/AP : Sur les contrôleurs sans fil de chaque magasin, configurez un nouveau SSID nommé Retail_Staff. Définissez la sécurité sur WPA3-Enterprise et dirigez l'authentification vers les adresses IP du serveur RADIUS cloud en utilisant RadSec (port TCP 2083) pour sécuriser le trafic d'authentification sur l'internet public.
  5. Définir des politiques d'accès : Sur le serveur RADIUS, créez une politique qui autorise l'accès uniquement si le certificat client est valide, si le certificat n'est pas révoqué (vérifié via CRL ou OCSP), et si l'identité de l'appareil existe et est active dans Microsoft Entra ID.
Commentaire de l'examinateur : Cette solution répond à la fois aux enjeux de sécurité et d'évolutivité. En choisissant EAP-TLS plutôt que PEAP-MSCHAPv2, la marque élimine le risque d'attaques basées sur les identifiants (telles que le password spraying ou les attaques de l'homme du milieu). L'utilisation de RadSec est ici essentielle car le trafic d'authentification doit transiter par l'internet public depuis les différents magasins physiques vers le serveur RADIUS cloud. Cela garantit un chiffrement complet des données d'authentification.

Un grand centre de congrès accueillant jusqu'à 20 000 utilisateurs simultanés doit déployer un réseau WiFi invité. Le réseau doit offrir une expérience de connexion fluide via un Captive Portal, imposer une limite de session de 3 heures pour éviter l'accaparement de la bande passante, et recueillir le consentement marketing conformément au GDPR. L'infrastructure est composée de Cisco Catalyst WLC.

Nous allons déployer un SSID ouvert avec MAC Authentication Bypass (MAB) et redirection de Captive Portal intégrés à la plateforme Purple.

  1. Configurer le SSID invité : Sur le WLC Cisco, créez un SSID nommé Convention_Guest. Configurez la sécurité sur Ouvert. Activez le filtrage MAC et sélectionnez le groupe de serveurs RADIUS associé à Purple.
  2. Configurer la redirection : Configurez une politique d'authentification Web sur le WLC afin de rediriger les utilisateurs non authentifiés vers l'URL du Captive Portal de Purple : https://portal.purplewifi.net/....
  3. Configurer le Walled Garden : Créez une liste de contrôle d'accès (ACL) sur le WLC nommée GUEST_RED_ACL. Cette ACL doit autoriser le trafic DNS (port UDP 53), le trafic DHCP (ports UDP 67 et 68), ainsi que le trafic vers et depuis les plages d'adresses IP et les CDNs de Purple. Tout autre trafic HTTP/HTTPS doit être redirigé.
  4. Configurer l'Accounting RADIUS : Activez l'accounting RADIUS sur le WLC, en pointant vers les serveurs d'accounting de Purple avec un intervalle de mise à jour intermédiaire de 10 minutes.
  5. Configurer les limites de session : Sur le tableau de bord du portail Purple, configurez le parcours d'accès pour imposer une expiration de session de 3 heures. Une fois que l'utilisateur a complété sa connexion et accepté les conditions marketing conformes au GDPR, le serveur RADIUS de Purple envoie un paquet Access-Accept au WLC Cisco contenant l'attribut Session-Timeout réglé sur 10800 secondes (3 heures).
  6. Flux de réauthentification : Après 3 heures, le WLC met fin à la session. Si l'utilisateur tente de se reconnecter, il est redirigé vers le Captive Portal pour se réauthentifier.
Commentaire de l'examinateur : Dans les environnements à forte densité tels que les centres de congrès, la gestion des pools d'adresses IP et des états de session est essentielle. L'application d'une expiration de session stricte de 3 heures via les attributs RADIUS garantit que les appareils inactifs ne conservent pas d'adresses IP, évitant ainsi l'épuisement du pool DHCP. L'utilisation du MAB garantit qu'une fois authentifié, l'adresse MAC de l'utilisateur est mise en cache pour la durée de la session, évitant ainsi des déconnexions intempestives si l'appareil se met temporairement en veille.

Questions d'entraînement

Q1. Une organisation a récemment renouvelé le certificat SSL sur son serveur RADIUS. Immédiatement après, plusieurs ordinateurs portables Windows gérés par l'entreprise n'ont pas pu se connecter au réseau WiFi du personnel, tandis que les appareils macOS et iOS se sont connectés sans problème. Quelle est la cause la plus probable de ce problème et comment doit-il être résolu ?

Conseil : Examinez comment les différents systèmes d'exploitation valident les certificats de serveur et le rôle de la chaîne d'autorité de certification (CA).

Voir la réponse type

La cause la plus probable est que le nouveau certificat du serveur RADIUS a été émis par une autre autorité de certification (CA) ou CA intermédiaire qui n'est pas approuvée par les ordinateurs portables Windows concernés, ou que la stratégie de groupe Windows est configurée pour valider la connexion à un nom de serveur spécifique ou à une CA racine qui ne correspond pas au nouveau certificat. Les appareils macOS et iOS sont souvent plus permissifs ou invitent l'utilisateur à faire confiance manuellement au nouveau certificat, tandis que les configurations d'entreprise Windows bloquent strictement les connexions aux certificats non approuvés sans invite. Pour résoudre ce problème, vérifiez que les certificats racine et intermédiaire de la nouvelle CA sont distribués à tous les appareils Windows via une stratégie de groupe ou un MDM, et mettez à jour la configuration du profil sans fil pour faire confiance à la nouvelle CA.

Q2. Pendant les heures de pointe dans un grand stade de sport, les utilisateurs du WiFi invité signalent qu'ils terminent avec succès l'enregistrement sur le Captive Portal mais ne sont pas redirigés vers Internet. Au lieu de cela, ils voient à plusieurs reprises la page de connexion du Captive Portal. Les journaux du WLC affichent "RADIUS authentication timeout." Comment diagnostiqueriez-vous et résoudriez-vous ce problème ?

Conseil : Analysez le chemin du paquet RADIUS et les paramètres de délai d'attente sur le contrôleur sans fil.

Voir la réponse type

Il s'agit d'un problème classique de délai d'attente induit par la latence. Pendant les heures de pointe, le volume de trafic élevé entraîne une congestion sur la liaison WAN ou une utilisation élevée du processeur sur le serveur RADIUS, ce qui retarde la réponse RADIUS Access-Accept. Comme le délai d'attente par défaut du WLC est configuré trop bas (généralement 2 secondes), le WLC suppose que le serveur RADIUS est hors ligne et abandonne la session, renvoyant l'utilisateur vers le Captive Portal. Pour diagnostiquer, vérifiez le temps de trajet aller-retour (RTT) des paquets RADIUS pendant les heures de pointe. Pour résoudre : 1) Augmentez le délai d'attente RADIUS sur le WLC à 5 ou 7 secondes. 2) Augmentez le nombre de tentatives à 3. 3) Implémentez la qualité de service (QoS) sur la passerelle WAN pour prioriser le trafic RADIUS (UDP 1812/1813) par rapport au trafic Internet général des invités.

Q3. Un audit de sécurité révèle que les utilisateurs du WiFi invité peuvent accéder aux interfaces de gestion interne des commutateurs réseau et des WLC. Le réseau invité est configuré comme un SSID ouvert avec un Captive Portal. Quels changements d'architecture doivent être apportés pour corriger cette vulnérabilité ?

Conseil : Pensez à la segmentation du réseau et à l'endroit où les politiques de contrôle d'accès doivent être appliquées.

Voir la réponse type

Pour corriger cette vulnérabilité, une segmentation stricte du réseau doit être appliquée. Tout d'abord, assurez-vous que le SSID invité est mappé à un VLAN invité dédié (par exemple, VLAN 20) qui est complètement séparé du VLAN du personnel et du VLAN de gestion (où se trouvent les commutateurs et les WLC). Deuxièmement, configurez des listes de contrôle d'accès (ACL) ou des règles de pare-feu sur le routeur central ou la passerelle pour bloquer tout le trafic provenant du VLAN invité et destiné à tout sous-réseau IP privé interne (plages RFC 1918), en ciblant spécifiquement les IP de gestion de l'infrastructure réseau. Le VLAN invité ne doit avoir des chemins de routage que vers Internet et vers les serveurs DNS spécifiques et les IP de Captive Portal requis pour la pré-authentification.

Continuer la lecture de cette série

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →

Serveur RADIUS : un guide complet pour les entreprises

Ce guide fournit aux responsables informatiques, architectes réseau et directeurs techniques une référence technique définitive sur l'authentification serveur RADIUS pour le WiFi d'entreprise. Il couvre le framework AAA, l'architecture 802.1X, la sélection de la méthode EAP, les arbitrages de déploiement entre cloud et sur site, ainsi que l'attribution dynamique de VLAN. Les exploitants de sites dans l'hôtellerie, le commerce, l'événementiel et le secteur public y trouveront des conseils de mise en œuvre pratiques, des études de cas réelles et les cadres décisionnels nécessaires pour migrer de clés prépartagées non sécurisées vers une architecture de contrôle d'accès réseau sécurisée et basée sur l'identité.

Lire le guide →