Passer au contenu principal

eduroam et 802.1X : authentification WiFi sécurisée pour l'enseignement supérieur

Ce guide de référence technique officiel explique l'architecture, le déploiement et la sécurité de l'authentification eduroam et 802.1X. Conçu pour les directeurs informatiques et les architectes réseau, il couvre les étapes pratiques de mise en œuvre, la sélection de la méthode EAP et la manière dont les gestionnaires de sites peuvent prendre en charge l'itinérance académique de manière sécurisée.

📖 6 min de lecture📝 1,343 mots🔧 3 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
SCRIPT DE PODCAST : eduroam et 802.1X - Authentification WiFi sécurisée pour l'enseignement supérieur Durée : environ 10 minutes Voix : Anglais britannique, masculin, ton de consultant senior - confiant, conversationnel, faisant autorité --- [INTRO - 1 minute] Bienvenue. Je vais passer les dix prochaines minutes à vous présenter eduroam et 802.1X - ce qu'ils sont, comment ils fonctionnent réellement sous le capot et ce que votre équipe doit savoir avant de les déployer ou de s'y intégrer. Si vous êtes responsable informatique, architecte réseau ou CTO au sein d'une université, d'une grande école ou d'un institut de recherche - ou si vous êtes un exploitant de site qui doit comprendre ce que vos visiteurs du monde académique attendent de votre infrastructure sans fil - ce briefing est fait pour vous. Commençons par une vue d'ensemble. eduroam signifie "education roaming". Il s'agit d'un service de roaming WiFi mondial qui permet aux étudiants, chercheurs et membres du personnel des institutions membres de se connecter à Internet sur n'importe quel site participant - automatiquement, de manière sécurisée, en utilisant les identifiants de leur institution d'origine. Pas de portail invité. Pas de codes de coupon. Pas besoin de demander un mot de passe à l'accueil. Opérationnel depuis 2003, il couvre aujourd'hui plus de 10 000 institutions dans plus de 100 pays et constitue le standard de fait pour les réseaux sans fil universitaires dans l'enseignement supérieur à l'échelle mondiale. Si votre organisation interagit avec des universités - que vous soyez un hôtel à proximité d'un campus, un centre de conférence accueillant des événements académiques ou une bibliothèque publique dans une ville universitaire - comprendre eduroam est directement pertinent pour votre stratégie réseau. --- [ANALYSE TECHNIQUE APPROFONDIE - 5 minutes] Très bien. Entrons dans les détails techniques. eduroam est construit sur la base de la norme IEEE 802.1X - la norme de contrôle d'accès réseau basé sur les ports. La norme 802.1X définit un cadre pour authentifier les appareils avant de leur accorder l'accès à un réseau. Conçue à l'origine pour l'Ethernet filaire, elle s'adapte parfaitement au sans fil et constitue le fondement de ce que nous appelons la sécurité WPA2-Enterprise ou WPA3-Enterprise. Le modèle 802.1X comporte trois composants. Premièrement, le Supplicant - c'est l'appareil qui tente de se connecter. L'ordinateur portable d'un étudiant, le téléphone d'un chercheur. Deuxièmement, l'Authenticator - c'est votre point d'accès réseau ou votre commutateur managé. Il se situe entre le supplicant et le reste du réseau et joue le rôle de gardien. Troisièmement, le serveur d'authentification - presque toujours un serveur RADIUS. RADIUS signifie Remote Authentication Dial-In User Service. C'est le composant qui valide réellement les identifiants. Voici comment fonctionne l'échange initial. L'appareil de l'étudiant s'associe au point d'accès sans fil. Le point d'accès n'accorde pas encore un accès complet au réseau - il ouvre ce qu'on appelle un port contrôlé, mais uniquement pour le trafic EAP. L'EAP est le protocole d'authentification extensible. Le point d'accès sert de proxy pour la conversation EAP entre l'appareil et le serveur RADIUS. Le serveur RADIUS défie l'appareil, l'appareil répond avec des identifiants - généralement un nom d'utilisateur et un mot de passe, ou un certificat - et si le serveur RADIUS est satisfait, il renvoie un message Access-Accept. Le point d'accès ouvre ensuite le port réseau complet. L'ensemble de l'échange prend moins de deux secondes dans un déploiement bien configuré. Maintenant, comment eduroam se superpose-t-il à cela ? eduroam utilise une infrastructure de proxy RADIUS hiérarchique. Chaque institution participante gère son propre serveur RADIUS - appelé le fournisseur d'identité, ou IdP. Lorsqu'un étudiant, par exemple, de l'Université de Manchester visite l'Imperial College London et se connecte au SSID eduroam, son appareil envoie ses identifiants au format username@manchester.ac.uk. Le serveur RADIUS d'Imperial voit le domaine - c'est la partie après le symbole @ - et relaie la demande d'authentification vers le serveur RADIUS national, qui est géré au Royaume-Uni par Jisc, le réseau national de recherche et d'éducation. Jisc achemine ensuite la demande vers le serveur RADIUS de l'Université de Manchester, qui valide les identifiants et renvoie un Accept ou Reject. L'ensemble de la chaîne est résolu en quelques millisecondes. Cette chaîne de proxys est ce qui permet à eduroam de fonctionner au-delà des frontières institutionnelles sans aucun secret pré-partagé entre les institutions. Chaque saut de la chaîne utilise un secret RADIUS partagé uniquement avec son voisin immédiat. Le mot de passe réel de l'étudiant ne quitte jamais le serveur RADIUS de son institution d'origine - il est protégé de bout en bout par le tunnel EAP. En parlant de méthodes EAP - c'est là que de nombreux déploiements échouent, alors soyez attentif. Les méthodes EAP les plus courantes dans eduroam sont PEAP - Protected EAP - et EAP-TLS. PEAP enveloppe une méthode d'authentification interne, généralement MSCHAPv2, dans un tunnel TLS. Il nécessite un certificat côté serveur sur le serveur RADIUS, mais le client n'a besoin que d'un nom d'utilisateur et d'un mot de passe. EAP-TLS est l'option la plus sécurisée - elle utilise une authentification par certificat mutuel, ce qui signifie que le serveur et le client présentent tous deux des certificats. Elle est plus difficile à déployer à grande échelle car vous avez besoin d'une PKI pour émettre des certificats clients, mais elle est essentiellement immunisée contre le phishing d'identifiants. L'exigence de sécurité critique que de nombreuses institutions ne respectent pas correctement est la validation des certificats côté client. Lorsqu'un appareil se connecte à eduroam via PEAP, l'appareil doit vérifier le certificat du serveur RADIUS avant de soumettre les identifiants. Si l'appareil est mal configuré et accepte n'importe quel certificat, un attaquant peut configurer un point d'accès malveillant diffusant le SSID eduroam, présenter un certificat auto-signé et récupérer les identifiants. C'est un vecteur d'attaque connu. La solution consiste à configurer vos profils de demandeur - via MDM pour les appareils gérés, ou via l'outil d'assistance à la configuration eduroam, appelé CAT, pour les appareils personnels - afin d'épingler l'autorité de certification et le nom de serveur attendus. Du point de vue des normes, les déploiements eduroam doivent être conformes à la définition du service de politique eduroam, qui impose TLS 1.2 ou supérieur pour toutes les connexions RADIUS sur TLS, interdit l'utilisation de méthodes EAP faibles comme EAP-MD5 ou LEAP, et exige que toutes les connexions proxy RADIUS utilisent RadSec - RADIUS sur TLS - plutôt que le simple protocole UDP RADIUS dans la mesure du possible. Cela s'aligne sur les directives du NCSC au Royaume-Uni et de la norme NIST SP 800-120 aux États-Unis. Un autre point technique mérite d'être signalé : l'attribution de VLAN. Dans un déploiement eduroam bien architecturé, la réponse RADIUS Access-Accept inclut des attributs VLAN qui indiquent au point d'accès quel VLAN attribuer à l'appareil connecté. Cela vous permet de segmenter le trafic - en plaçant les étudiants visiteurs sur un VLAN restreint avec un accès internet uniquement, tandis que votre propre personnel est dirigé vers le réseau interne. C'est essentiel pour la conformité, en particulier si vous êtes soumis à la norme PCI-DSS ou si vous devez maintenir une séparation entre les réseaux de données de recherche et le trafic internet général. --- [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — 2 minutes] Permettez-moi de vous donner des conseils pratiques. Si vous déployez eduroam pour la première fois, votre premier contact doit être votre NREN national - au Royaume-Uni, il s'agit de Jisc, en Irlande d'HEAnet, et aux États-Unis d'Internet2. Ils gèrent l'adhésion à la fédération et vous attribueront un domaine RADIUS. Vous ne pouvez pas participer à eduroam sans être membre de votre fédération nationale. Votre liste de contrôle d'infrastructure : vous avez besoin de points d'accès compatibles 802.1X - n'importe quel équipement de niveau entreprise de Cisco, Aruba, Juniper, Ruckus ou Ubiquiti UniFi fera l'affaire. Vous avez besoin d'un serveur RADIUS - FreeRADIUS est la norme open source, ou vous pouvez utiliser Microsoft NPS, Cisco ISE ou Aruba ClearPass. Vous avez besoin d'un certificat TLS valide pour votre serveur RADIUS provenant d'une autorité de certification approuvée par la communauté eduroam - généralement un certificat de l'infrastructure de clés publiques de votre institution ou d'une autorité de certification commerciale figurant sur la liste approuvée d'eduroam. Les trois échecs de déploiement les plus courants que je constate sont : premièrement, une mauvaise configuration des certificats - soit le certificat RADIUS a expiré, soit les profils de supplicant client ne sont pas correctement épinglés. Deuxièmement, les expirations de délai du proxy RADIUS - si votre connexion NREN en amont présente des problèmes de latence, l'authentification expirera et les utilisateurs verront des échecs de connexion qui ressemblent à des erreurs d'identifiants. Troisièmement, une mauvaise configuration VLAN - les utilisateurs visiteurs se retrouvent sur le mauvais segment de réseau, soit sans accès internet, soit, pire encore, avec un accès à des ressources internes qu'ils ne devraient pas voir. Du côté client, déployez les profils eduroam CAT sur tous les appareils gérés via votre plateforme MDM. Pour les appareils personnels, publiez le lien de l'installateur CAT de manière bien visible. Cette simple étape élimine la majorité des tickets d'assistance. Pour les sites qui ne sont pas des établissements d'enseignement supérieur mais qui souhaitent proposer un accès eduroam - centres de conférence, hôtels et similaires - le processus est appelé eduroam Visitor Access, ou eVA. Il permet aux organisations non membres d'héberger l'SSID eduroam et de relayer l'authentification par proxy vers la fédération sans être membres de plein droit. Cela vaut la peine de s'y intéresser si vous accueillez régulièrement des conférences académiques ou des événements universitaires. --- [Q&R RAPIDES - 1 minute] Questions rapides que l'on me pose régulièrement. "eduroam peut-il remplacer entièrement notre WiFi invité ?" Non. eduroam ne fonctionne que pour les utilisateurs qui possèdent des identifiants dans une institution membre. Vous avez toujours besoin d'une solution WiFi invité distincte pour tous les autres - visiteurs, prestataires, grand public. "eduroam est-il conforme au GDPR ?" Oui, avec des nuances. L'architecture de la fédération signifie que votre institution traite les données d'authentification, mais vous devez vous assurer que vos avis de confidentialité couvrent cela et que vos journaux RADIUS sont gérés de manière appropriée. "Pouvons-nous utiliser WPA3 avec eduroam ?" Oui. WPA3-Enterprise est entièrement compatible avec le protocole 802.1X et constitue la norme recommandée pour les nouveaux déploiements. Il ajoute un chiffrement en mode 192 bits pour les environnements de haute sécurité. "Quelle est la différence entre eduroam et OpenRoaming ?" OpenRoaming est une initiative industrielle plus large de la Wireless Broadband Alliance qui utilise la même architecture de proxy 802.1X et RADIUS, mais étend l'itinérance au-delà de l'éducation vers les sites commerciaux. Certaines plateformes, dont Purple, prennent en charge OpenRoaming dans le cadre de leur offre WiFi invité. --- [RÉSUMÉ ET PROCHAINES ÉTAPES - 1 minute] En résumé. eduroam est un service d'itinérance WiFi mature, bien gouverné et déployé à l'échelle mondiale, reposant sur le protocole 802.1X et une infrastructure de proxy RADIUS hiérarchique. Il offre une authentification par utilisateur, un chiffrement fort et une itinérance transparente à travers plus de 10 000 institutions - sans mots de passe partagés ni Captive Portals. Pour les équipes informatiques qui déploient ou mettent à niveau le réseau sans fil d'un campus : donnez la priorité à EAP-TLS par rapport à PEAP là où votre PKI peut le prendre en charge, imposez la validation des certificats sur tous les profils clients, utilisez RadSec pour toutes les connexions proxy RADIUS, et segmentez les utilisateurs visiteurs dans un VLAN dédié. Pour les exploitants de sites : si vous accueillez régulièrement des visiteurs universitaires, intéressez-vous à eduroam Visitor Access. Et que vous déployiez eduroam ou non, votre infrastructure WiFi invité doit être construite sur des principes 802.1X de classe entreprise - et non sur des PSKs partagés. Si vous souhaitez approfondir l'un de ces sujets - l'architecture RADIUS, la conception PKI pour EAP-TLS, ou la manière dont des plateformes comme Purple s'intègrent avec eduroam et OpenRoaming - le guide écrit complet est disponible dans les notes de l'émission. Merci de votre écoute. À la prochaine. --- FIN DU SCRIPT

header_image.png

Résumé opérationnel

Pour les établissements d'enseignement supérieur, ainsi que pour les sites qui accueillent leur personnel et leurs étudiants, fournir une connectivité sans fil sécurisée et fluide n'est plus un luxe - c'est une exigence opérationnelle. La norme pour cette connectivité est eduroam, un service d'itinérance mondial basé sur le framework IEEE 802.1X.

Ce guide fournit aux responsables informatiques, aux architectes réseau et aux directeurs d'exploitation de sites une référence complète et neutre vis-à-vis des fournisseurs pour comprendre, déployer et dépanner le 802.1X et eduroam. Nous allons au-delà des modèles théoriques de base pour examiner comment le WiFi de campus d'entreprise fonctionne réellement en pratique, y compris la gestion des certificats, l'architecture proxy RADIUS et l'intégration avec une stratégie de réseau invité plus large.

Que vous mettiez à niveau un réseau universitaire vieillissant ou que vous configuriez un centre de conférence pour accueillir des visiteurs universitaires, l'implémentation correcte du 802.1X réduit considérablement les risques de sécurité - en particulier le vol d'identifiants - tout en réduisant considérablement les coûts de support. Pour les sites en dehors de l'enseignement supérieur traditionnel, la compréhension de ces normes est essentielle pour évaluer les fédérations d'itinérance commerciale telles que OpenRoaming, qui partagent la même architecture sous-jacente.

Zoom technique : architecture 802.1X et eduroam

À la base, eduroam est une implémentation de l'IEEE 802.1X, la norme de contrôle d'accès réseau basée sur les ports. Le 802.1X a été conçu à l'origine pour les réseaux filaires, mais il constitue la base de la sécurité WPA2-Enterprise et WPA3-Enterprise.

Le modèle en triangle du 802.1X

Le framework 802.1X repose sur l'interaction de trois composants distincts pour autoriser l'accès :

  1. Supplicant : L'appareil client qui demande l'accès au réseau (par exemple, l'ordinateur portable ou le smartphone d'un étudiant).
  2. Authentificateur : L'appareil d'accès réseau (par exemple, un point d'accès sans fil ou un commutateur managé). Il agit comme un gardien, bloquant tout le trafic à l'exception des messages d'authentification jusqu'à ce que l'appareil soit autorisé.
  3. Serveur d'authentification : Le système back-end qui valide les identifiants, presque universellement un serveur RADIUS (Remote Authentication Dial-In User Service).

Lorsqu'un appareil se connecte, l'authentificateur établit un port contrôlé. Il relaye les messages EAP (Extensible Authentication Protocol) entre le supplicant et le serveur d'authentification. Si les identifiants sont valides, le serveur renvoie un message RADIUS Access-Accept, et l'authentificateur ouvre le port pour permettre le trafic IP standard.architecture_overview.png

Hiérarchie des proxys RADIUS d'eduroam

Ce qui rend eduroam unique, c'est son architecture fédérée. Elle permet aux utilisateurs de s'authentifier dans n'importe quel établissement participant en utilisant leurs identifiants d'origine, sans que l'établissement d'accueil n'ait jamais accès à une copie de ces identifiants.

Ce résultat est obtenu grâce à une chaîne hiérarchique de proxys RADIUS. Lorsqu'un utilisateur de username@university.ac.uk se connecte au SSID eduroam sur un site d'accueil :

  1. L'appareil de l'utilisateur envoie une demande d'authentification sous la forme username@university.ac.uk.
  2. Le serveur RADIUS du site d'accueil inspecte le domaine (la partie située après le symbole @). Reconnaissant qu'il s'agit d'un domaine externe, il relaye la demande vers le serveur RADIUS national de premier niveau (géré par le réseau national de recherche et d'enseignement, ou NREN).
  3. Le serveur national oriente la demande vers le serveur RADIUS de l'établissement d'origine (university.ac.uk).
  4. L'établissement d'origine valide les identifiants et renvoie un message Access-Accept ou Access-Reject le long de la chaîne.

L'ensemble du processus prend généralement moins de deux secondes. Élément crucial, le mot de passe de l'utilisateur n'est jamais exposé à l'établissement d'accueil ni aux serveurs proxys intermédiaires ; il est protégé à l'intérieur d'un tunnel EAP chiffré établi directement entre le demandeur et le serveur RADIUS d'origine.

Méthodes EAP : le compromis entre sécurité et simplicité de déploiement

Le choix de la méthode EAP détermine la manière dont le tunnel chiffré est formé et dont les identifiants sont échangés. La définition de la politique de service eduroam limite strictement les méthodes autorisées afin de garantir la sécurité.

  • PEAP (Protected EAP) : La méthode de déploiement la plus courante. Elle utilise un certificat côté serveur sur le serveur RADIUS pour établir un tunnel TLS. Le client s'authentifie ensuite à l'intérieur de ce tunnel, généralement à l'aide de MSCHAPv2 (nom d'utilisateur et mot de passe). Elle est relativement facile à déployer, mais elle est vulnérable aux attaques par points d'accès illégitimes si les clients ne sont pas configurés pour valider strictement le certificat du serveur.
  • EAP-TLS : La référence absolue en matière de sécurité. Elle nécessite une authentification mutuelle, ce qui signifie que le serveur RADIUS et l'appareil client doivent tous deux présenter des certificats valides. Bien qu'elle soit immunisée contre le hameçonnage d'identifiants, elle nécessite une infrastructure de clés publiques (PKI) robuste pour délivrer et gérer les certificats clients, ce qui rend le déploiement à grande échelle plus complexe.

Guide de mise en œuvre

Le déploiement de 802.1X et d'eduroam nécessite une coordination minutieuse entre l'infrastructure réseau, la gestion des identités et la configuration des clients.

1. Préparation de l'infrastructure

Assurez-vous que vos points d'accès et contrôleurs sans fil prennent en charge WPA2-Enterprise/WPA3-Enterprise et 802.1X. Tout matériel d'entreprise moderne (Cisco, Aruba, Juniper et autres) répondra à cette exigence. Vous devez également déployer une infrastructure RADIUS robuste (telle que FreeRADIUS, Cisco ISE ou Aruba ClearPass) capable de gérer la charge d'authentification attendue et de relayer les requêtes.

2. Gestion des certificats

Pour les déploiements PEAP, votre serveur RADIUS a besoin d'un certificat TLS délivré par une autorité de certification (CA) approuvée par vos clients. N'utilisez jamais de certificats auto-signés dans un déploiement eduroam en production. Les certificats doivent être renouvelés régulièrement pour éviter les interruptions d'authentification.

3. Configuration client (l'outil CAT)

Le point de défaillance le plus courant dans les déploiements eduroam est une mauvaise configuration du client. Lorsque les utilisateurs se connectent manuellement, ils omettent souvent de configurer la validation des certificats, ce qui les expose à des attaques de collecte d'identifiants.

Pour atténuer ce risque, les institutions doivent utiliser l'outil eduroam Configuration Assistant Tool (CAT) ou une solution MDM pour distribuer des profils préconfigurés. Ces profils configurent automatiquement la bonne méthode EAP, épinglent le certificat du serveur RADIUS attendu et définissent le protocole d'authentification interne approprié.

4. Attribution de VLAN et segmentation

Un déploiement mature utilise les attributs RADIUS pour attribuer dynamiquement les VLANs en fonction de l'identité de l'utilisateur.

  • Utilisateurs internes : Attribués à des VLANs internes avec un accès approprié aux ressources du campus.
  • Utilisateurs invités : Attribués à un VLAN invité restreint offrant uniquement un accès Internet.

Cette segmentation est essentielle pour la sécurité et la conformité, garantissant que les appareils des visiteurs ne peuvent pas accéder aux réseaux internes sensibles.

comparison_chart.png

Bonnes pratiques et recommandations neutres vis-à-vis des fournisseurs

  • Donnez la priorité au WPA3 : Pour les nouveaux déploiements, activez WPA3-Enterprise pour bénéficier d'un chiffrement obligatoire de 192 bits et d'une meilleure protection contre les attaques par dictionnaire hors ligne.
  • Imponez la validation des certificats : Exigez l'utilisation de profils de configuration (via CAT ou MDM) pour garantir que le suppliant valide strictement le certificat du serveur RADIUS avant de transmettre les identifiants.
  • Utilisez RadSec : Lors de la configuration des connexions proxy RADIUS vers la fédération nationale, utilisez RadSec (RADIUS sur TLS) plutôt que le simple protocole UDP. Cela chiffre le trafic proxy et améliore la fiabilité sur les liaisons longue distance.
  • Intégrez une solution pour invités : eduroam ne dessert que les utilisateurs disposant d'identifiants académiques. Vous devez maintenir une solution distincte et sécurisée de Guest WiFi pour les prestataires, le grand public et les participants aux événements.
  • Examinez l'infrastructure associée : Assurez-vous que votre réseau sous-jacent est sécurisé. Consultez notre guide Sécuriser votre réseau avec un DNS robuste et la sécurité pour plus de détails. Si vous déployez une infrastructure temporaire pour des événements universitaires, consultez WiFi événementiel : Planifier et déployer des réseaux sans fil temporaires ou la version en langue portugaise Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Dépannage et atténuation des risques

Lorsque l'authentification échoue, un dépannage systématique est essentiel.

  1. Isolez le domaine de défaillance : Déterminez si le problème est local (affectant les utilisateurs sur votre propre réseau), distant (affectant vos utilisateurs ailleurs) ou entrant (affectant les visiteurs sur votre réseau).
  2. Vérifiez les journaux RADIUS : Les journaux du serveur RADIUS constituent la source de vérité faisant autorité. Recherchez les messages Access-Reject (indiquant des identifiants incorrects ou des violations de politique) ou les expirations de délai (indiquant des problèmes de connectivité proxy).
  3. Vérifiez la validité du certificat : Assurez-vous que le certificat du serveur RADIUS n'a pas expiré et que la chaîne de certification complète est présentée aux clients.
  4. Surveillez la latence en amont : Une latence élevée vers le proxy RADIUS national peut provoquer des expirations de délai chez les clients, entraînant des échecs de connexion même lorsque les identifiants sont corrects.

ROI et impact commercial

Pour les établissements d'enseignement supérieur, le retour sur investissement d'un déploiement eduroam correctement configuré se traduit par une baisse spectaculaire des tickets d'assistance. En éliminant les Captive Portals et la saisie manuelle des mots de passe, les centres d'assistance informatique constatent une diminution significative des appels liés à la connectivité. (L'engagement de Purple envers ce secteur est clair ; voir Purple nomme Tim Peers au poste de VP de l'Éducation, soulignant ses ambitions dans l'enseignement supérieur ).

Pour les sites commerciaux - tels que l' hôtellerie , le commerce de détail , la santé ou les transports - la prise en charge d'eduroam Visitor Access (eVA) ou de fédérations similaires telles que OpenRoaming offre une expérience fluide à un public à forte valeur ajoutée. Cela garantit que les visiteurs académiques se connectent automatiquement et en toute sécurité, améliorant la satisfaction tout en permettant au site de maintenir une segmentation réseau stricte. Si votre site a besoin d'une bande passante dédiée pour répondre à cette demande, pensez à lire Qu'est-ce qu'une ligne dédiée ? Internet conçu pour les entreprises .

Lors de la planification des mises à niveau du réseau, l'intégration de la fonctionnalité 802.1X garantit que votre infrastructure est prête pour les réseaux modernes basés sur l'identité, posant ainsi les bases d'outils avancés de WiFi Analytics et de services géolocalisés.

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC). Elle fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau local ou un WLAN.

Le protocole fondamental pour la sécurité WiFi d'entreprise, remplaçant les mots de passe partagés (PSK) par une authentification individualisée.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Le serveur backend dans un déploiement 802.1X qui vérifie réellement les identifiants de l'utilisateur par rapport à un annuaire (comme Active Directory).

EAP (Extensible Authentication Protocol)

Un framework d'authentification fréquemment utilisé dans les réseaux sans fil et les connexions point à point. Il permet le transport et l'utilisation de divers mécanismes d'authentification.

Le langage parlé entre l'appareil client et le serveur RADIUS lors de l'établissement de la liaison 802.1X.

Supplicant

L'appareil client (par exemple, un ordinateur portable, un smartphone) ou le logiciel sur cet appareil qui tente de s'authentifier auprès d'un réseau à l'aide de 802.1X.

L'entité qui demande l'accès. Sa configuration (notamment en ce qui concerne la validation des certificats) est essentielle pour la sécurité.

Authenticator

L'appareil réseau (par exemple, un point d'accès sans fil, un commutateur Ethernet) qui facilite le processus d'authentification 802.1X en transmettant les messages entre le Supplicant et le serveur d'authentification.

Le contrôleur d'accès qui bloque le trafic réseau jusqu'à ce que le serveur RADIUS donne le feu vert.

PEAP (Protected Extensible Authentication Protocol)

Une méthode EAP qui encapsule la transaction EAP dans un tunnel TLS établi à l'aide d'un certificat côté serveur, protégeant l'authentification interne (généralement un mot de passe).

La méthode d'authentification la plus courante pour eduroam, équilibrant la sécurité et la facilité de déploiement.

RadSec

Un protocole de transmission de données RADIUS sur TCP et TLS, plutôt que sur le traditionnel UDP.

Recommandé pour sécuriser les connexions proxy entre les institutions et la fédération nationale eduroam, empêchant l'interception du trafic d'authentification.

Realm

La partie de l'identité d'un utilisateur qui suit le symbole "@" (par exemple, "university.ac.uk" dans "user@university.ac.uk").

Utilisé par les serveurs proxy RADIUS pour déterminer où acheminer la demande d'authentification dans un environnement fédéré comme eduroam.

Exemples concrets

Un hôtel de conférence de 400 chambres adjacent à une grande université accueille fréquemment des colloques universitaires. Le directeur informatique souhaite permettre aux universitaires de passage de se connecter automatiquement sans utiliser le Captive Portal standard de l'hôtel, tout en veillant à ce que ces visiteurs ne puissent pas accéder au réseau d'entreprise de l'hôtel ni au VLAN du réseau d'invités standard.

L'hôtel doit mettre en œuvre eduroam Visitor Access (eVA) ou rejoindre une fédération commerciale comme OpenRoaming.

  1. L'hôtel configure un nouveau SSID (« eduroam » ou « OpenRoaming ») sur ses points d'accès d'entreprise.
  2. Les points d'accès sont configurés pour utiliser WPA2-Enterprise/802.1X.
  3. L'hôtel déploie un serveur RADIUS local configuré pour relayer les demandes d'authentification des domaines externes vers la fédération nationale (pour eduroam) ou le hub OpenRoaming.
  4. De manière cruciale, le serveur RADIUS local est configuré pour renvoyer un attribut d'ID VLAN spécifique dans le message Access-Accept pour toutes les authentifications relayées.
  5. Les points d'accès placent ces utilisateurs authentifiés sur un VLAN isolé, uniquement destiné à Internet, complètement segmenté du trafic d'entreprise et du trafic d'invités standard de l'hôtel.
Commentaire de l'examinateur : Cette approche exploite correctement l'architecture de proxy RADIUS pour déléguer l'authentification aux institutions d'origine des visiteurs. En utilisant l'affectation dynamique de VLAN via les attributs RADIUS, l'hôtel maintient une segmentation réseau stricte, répondant aux exigences de sécurité tout en offrant une expérience utilisateur sans friction.

Une équipe informatique universitaire constate un pic de comptes d'étudiants compromis. L'enquête révèle que les étudiants se connectent à un point d'accès malveillant diffusant le SSID « eduroam » dans un café local. Le point d'accès malveillant utilise un certificat auto-signé pour récupérer les identifiants via PEAP.

L'équipe informatique doit immédiatement imposer une validation stricte des certificats sur tous les appareils clients.

  1. Elle doit cesser de conseiller aux étudiants de se connecter manuellement au SSID et d'« accepter l'avertissement de certificat ».
  2. Elle déploie l'outil d'assistance à la configuration eduroam (CAT) pour les appareils personnels (BYOD) et met à jour les profils MDM pour les appareils gérés.
  3. Ces profils configurent le client pour qu'il fasse uniquement confiance à l'autorité de certification (CA) spécifique ayant émis le certificat du serveur RADIUS de l'université, et pour qu'il vérifie le nom commun (CN) du serveur.
  4. Une fois configuré, si l'appareil d'un étudiant rencontre le point d'accès malveillant, l'établissement du tunnel EAP échouera car le certificat malveillant ne correspondra pas à la CA/CN définie, empêchant ainsi la transmission des identifiants.
Commentaire de l'examinateur : Ce scénario met en évidence la vulnérabilité la plus critique des déploiements PEAP. La solution identifie correctement que le correctif réside dans la configuration côté client. S'appuyer sur la sensibilisation des utilisateurs pour repérer les faux certificats est inefficace ; des contrôles techniques (définition de profil) sont obligatoires.

Une chaîne de magasins souhaite proposer OpenRoaming dans 50 points de vente en utilisant son infrastructure de WiFi invité existante, qui repose actuellement sur un SSID ouvert avec un Captive Portal.

La chaîne de magasins doit mettre à niveau son réseau pour prendre en charge le 802.1X et le proxying RADIUS.

  1. L'équipe réseau active un nouveau SSID diffusant l'identifiant d'organisation (OI) de l'OpenRoaming Consortium.
  2. Elle configure les points d'accès pour s'authentifier via 802.1X.
  3. Elle configure son serveur RADIUS central pour relayer les requêtes vers le hub de la fédération OpenRoaming.
  4. Elle s'assure que sa connexion Internet peut supporter l'augmentation attendue des connexions automatisées, en passant potentiellement à des lignes louées dédiées si nécessaire.
Commentaire de l'examinateur : Cela montre que le passage d'un Captive Portal à un modèle fédéré 802.1X nécessite des changements architecturaux fondamentaux, en particulier la mise en œuvre du proxying RADIUS et la capacité à gérer un nombre accru de connexions automatisées.

Questions d'entraînement

Q1. Votre université déploie un nouveau réseau sans fil. Le CISO exige que le vol d'identifiants par hameçonnage via des points d'accès malveillants soit mathématiquement impossible. Quelle méthode EAP devez-vous sélectionner ?

Conseil : Réfléchissez à la méthode qui repose sur des mots de passe par rapport à celle qui repose entièrement sur des clés cryptographiques.

Voir la réponse type

Vous devez sélectionner EAP-TLS. Contrairement à PEAP, qui repose sur un mot de passe à l'intérieur d'un tunnel TLS, EAP-TLS nécessite une authentification mutuelle par certificat. Étant donné que l'appareil client s'authentifie à l'aide d'un certificat cryptographique plutôt que d'un mot de passe, il n'y a pas d'identifiants qu'un point d'accès malveillant pourrait hameçonner.

Q2. Un chercheur invité d'une autre université se plaint de ne pas pouvoir se connecter à votre réseau eduroam. Vos utilisateurs locaux se connectent sans problème. Vous vérifiez les journaux de votre serveur RADIUS local et constatez que la demande arrive, mais qu'elle expire avant la réception d'un Access-Accept. Quelle est la cause la plus probable ?

Conseil : Pensez au chemin emprunté par la demande d'authentification pour un utilisateur invité par rapport à un utilisateur local.

Voir la réponse type

La cause la plus probable est un problème de connectivité ou de latence entre votre serveur RADIUS local et le proxy RADIUS national NREN. Comme les utilisateurs locaux s'authentifient directement auprès de votre serveur, ils ne sont pas impactés. La demande de l'utilisateur invité doit être relayée en amont, et une expiration indique que la réponse de l'institution d'origine ne revient pas à temps.

Q3. Vous êtes architecte réseau pour une chaîne de vente au détail située à proximité d'une grande université. Vous souhaitez offrir un WiFi transparent aux étudiants à l'aide d'eduroam Visitor Access (eVA), mais vous devez respecter la norme PCI-DSS pour vos terminaux de point de vente. Comment intégrer eVA en toute sécurité ?

Conseil : Comment le protocole 802.1X permet-il au point d'accès réseau de différencier le trafic après l'authentification ?

Voir la réponse type

Vous intégrez eVA en configurant votre serveur RADIUS pour attribuer toutes les authentifications eVA réussies à un VLAN invité dédié, uniquement connecté à Internet. Le message Access-Accept du serveur RADIUS doit inclure l'ID de VLAN spécifique. Cela garantit que les appareils des étudiants sont complètement segmentés du VLAN conforme aux normes PCI utilisé par les terminaux de point de vente, répondant ainsi aux exigences de conformité.

Continuer la lecture de cette série

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →

Serveur RADIUS : un guide complet pour les entreprises

Ce guide fournit aux responsables informatiques, architectes réseau et directeurs techniques une référence technique définitive sur l'authentification serveur RADIUS pour le WiFi d'entreprise. Il couvre le framework AAA, l'architecture 802.1X, la sélection de la méthode EAP, les arbitrages de déploiement entre cloud et sur site, ainsi que l'attribution dynamique de VLAN. Les exploitants de sites dans l'hôtellerie, le commerce, l'événementiel et le secteur public y trouveront des conseils de mise en œuvre pratiques, des études de cas réelles et les cadres décisionnels nécessaires pour migrer de clés prépartagées non sécurisées vers une architecture de contrôle d'accès réseau sécurisée et basée sur l'identité.

Lire le guide →

Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement

Un guide technique complet détaillant l'architecture de co-déploiement d'Aruba ClearPass et de Purple WiFi. Il traite de la configuration du proxy RADIUS, de l'attribution dynamique de VLAN et des meilleures pratiques pour fournir des réseaux d'invités sécurisés et axés sur l'analyse de données aux côtés du contrôle d'accès réseau (NAC) d'entreprise.

Lire le guide →