Passer au contenu principal
Français

Comment configurer le WiFi d'entreprise sur les appareils Android avec EAP-TLS

Ce guide de référence technique fournit aux responsables informatiques un plan complet pour déployer l'authentification 802.1X EAP-TLS sur les appareils Android. Il couvre les mécanismes architecturaux, les stratégies de mise en œuvre manuelles et pilotées par MDM, ainsi que les méthodologies de dépannage nécessaires pour sécuriser les réseaux sans fil d'entreprise.

📖 5 min de lecture📝 1,161 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Comment configurer le WiFi d'entreprise sur les appareils Android avec EAP-TLS Un briefing technique Purple — Environ 10 minutes --- INTRODUCTION ET CONTEXTE — environ 1 minute Bienvenue dans la série des briefings techniques Purple. Je suis votre hôte, et aujourd'hui nous entrons dans les détails du déploiement de l'authentification 802.1X EAP-TLS sur les appareils Android — que vous gériez un parc hôtelier, une chaîne de magasins, un stade ou un campus du secteur public. Si vous êtes responsable d'un réseau qui doit authentifier des appareils Android d'entreprise ou BYOD sans dépendre de mots de passe partagés, cet épisode est pour vous. EAP-TLS est la référence absolue en matière de sécurité WiFi d'entreprise — il utilise une authentification mutuelle basée sur des certificats, ce qui signifie qu'il n'y a pas d'identifiants à pirater par phishing, pas de mots de passe à renouveler et une posture de conformité qui satisfait aux exigences PCI DSS, ISO 27001 et à la plupart des cadres de sécurité du secteur public. À la fin de ce briefing, vous comprendrez exactement comment fonctionne EAP-TLS sur Android, quelles sont vos options de déploiement et les trois erreurs les plus courantes qui provoquent l'échec des déploiements. C'est parti. --- ANALYSE TECHNIQUE APPROFONDIE — environ 5 minutes Commençons par l'architecture. Le 802.1X est la norme IEEE qui régit le contrôle d'accès réseau basé sur les ports. Lorsqu'un appareil Android se connecte à un réseau WiFi d'entreprise — configuré en WPA2-Enterprise ou WPA3-Enterprise —, le point d'accès agit comme ce que l'on appelle un authentificateur. Il ne prend pas la décision d'authentification lui-même ; il transmet la conversation entre l'appareil et un serveur RADIUS, qui est le véritable serveur d'authentification. EAP-TLS — c'est-à-dire Extensible Authentication Protocol avec Transport Layer Security — est la méthode d'authentification exécutée au sein de ce framework 802.1X. Ce qui la différencie d'EAP-PEAP ou d'EAP-TTLS, qui utilisent un nom d'utilisateur et un mot de passe à l'intérieur d'un tunnel TLS, c'est qu'EAP-TLS utilise des certificats X.509 des deux côtés. Le serveur RADIUS présente un certificat de serveur à l'appareil, et l'appareil présente en retour un certificat de client au serveur RADIUS. Les deux parties se valident mutuellement. C'est l'authentification mutuelle, et c'est ce qui fait d'EAP-TLS l'option la plus sécurisée disponible. Maintenant, sur Android spécifiquement, il y a quelques éléments que vous devez comprendre. Android 11 et les versions ultérieures ont introduit des exigences de validation de certificat plus strictes. Si vous déployez sur Android 11 ou supérieur — ce qui représente aujourd'hui la grande majorité de votre parc —, l'appareil refusera de se connecter à moins que le certificat du serveur RADIUS ne soit explicitement approuvé. Vous ne pouvez pas vous fier uniquement au magasin de confiance du système ; vous devez soit pousser le certificat de l'autorité de certification (CA) racine vers l'appareil, soit configurer le profil WiFi pour y faire explicitement référence.Parlons de la chaîne de certification. Vous devez mettre en place trois composants avant qu'un seul appareil Android puisse s'authentifier via EAP-TLS. Premièrement, une autorité de certification (CA) — soit votre PKI interne, soit Microsoft Active Directory Certificate Services, soit une PKI cloud comme SCEP via Intune. Deuxièmement, un certificat de serveur délivré à votre serveur RADIUS, signé par cette CA. Troisièmement, un certificat client unique délivré à chaque appareil ou utilisateur, également signé par la même CA. L'appareil présente son certificat client lors de la liaison TLS, et le serveur RADIUS le valide par rapport à la liste de révocation de certificats (CRL) de la CA, ou via OCSP (Online Certificate Status Protocol). Pour Android, le certificat client et la clé privée sont généralement regroupés dans un fichier PKCS12 — c'est-à-dire un fichier .P12 ou .PFX — qui contient à la fois le certificat et la clé privée chiffrée. Sur un appareil configuré manuellement, l'utilisateur importe ce fichier via Paramètres, puis Sécurité, puis Installer un certificat. Sur un appareil géré par un MDM, le certificat est poussé silencieusement vers le keystore géré de l'appareil — aucune interaction de l'utilisateur n'est requise. Parlons maintenant du profil WiFi lui-même. Lors de la configuration d'une connexion WiFi d'entreprise sur Android, vous devez spécifier : l'SSID, le type de sécurité — WPA2-Enterprise ou WPA3-Enterprise — la méthode EAP — qui est TLS — le certificat de la CA pour la validation du serveur, le certificat client pour l'authentification de l'appareil, et la chaîne d'identité, qui est généralement le Common Name de l'appareil ou l'UPN de l'utilisateur. Sur Android 11 et versions supérieures, vous devez également spécifier la correspondance du suffixe de domaine ou le sujet du certificat du serveur pour empêcher les attaques de type man-in-the-middle. Pour les déploiements MDM — et c'est là que réside le véritable gain d'échelle — vous poussez tout cela sous forme de profil de configuration structuré. Dans Microsoft Intune, vous créez un profil de certificat SCEP qui demande et installe automatiquement un certificat client unique sur chaque appareil Android enregistré. Vous créez ensuite un profil de configuration WiFi qui fait référence à ce profil de certificat. Lorsque l'appareil se connecte, il reçoit à la fois le certificat et le profil WiFi, et se connecte automatiquement à votre réseau 802.1X. Aucune interaction de l'utilisateur, aucun appel au support. Si vous utilisez Intune pour cela, notre guide d'accompagnement sur la façon d'utiliser Microsoft Intune pour pousser des certificats WiFi vers les appareils détaille les étapes de configuration exactes — je vous recommande de le lire en parallèle de ce briefing. Pour VMware Workspace ONE et Jamf Connect, le processus est identique sur le plan architectural — profil de certificat SCEP ou PKCS, suivi d'un profil WiFi qui y fait référence. L'interface utilisateur spécifique diffère, mais la chaîne de certification et les exigences de configuration RADIUS restent les mêmes. Un point important à signaler concernant RADIUS : si vous utilisez FreeRADIUS, Microsoft NPS ou Cisco ISE, assurez-vous que le certificat de votre serveur inclut les attributs d'utilisation étendue de la clé (EKU) corrects — plus précisément, l'authentification du serveur (Server Authentication), OID 1.3.6.1.5.5.7.3.1. Android est très strict à ce sujet. Un certificat qui fonctionne parfaitement avec des clients Windows peut échouer sur Android si l'EKU est manquant ou mal configuré. --- RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes Abordons maintenant les problèmes concrets rencontrés sur le terrain, car c'est là que la plupart des déploiements rencontrent des difficultés. Le premier échec, et le plus courant, concerne la confiance accordée aux certificats. Android 11 et les versions supérieures ne se connecteront pas si la chaîne de certificats du serveur RADIUS ne peut pas être validée. La solution est simple : déployez le certificat de votre autorité de certification (CA) racine dans le magasin de certificats utilisateur de l'appareil via un MDM, et référencez-le explicitement dans le champ du certificat CA du profil WiFi. Ne laissez pas ce champ sur "Ne pas valider" — c'est une faille de sécurité et cela échouera de toute façon sur certaines versions d'Android. Le deuxième piège est l'expiration des certificats. Les certificats clients ont généralement une durée de validité de un à deux ans. Si vous ne disposez pas d'un renouvellement automatisé via SCEP ou NDES, vous risquez de vous réveiller un matin et de constater que la moitié de votre parc d'appareils a perdu son accès WiFi simultanément. Intégrez l'automatisation du renouvellement des certificats dans votre flux de travail MDM dès le premier jour, et non après coup. Le troisième problème concerne la capacité du serveur RADIUS. Les liaisons EAP-TLS sont plus gourmandes en ressources de calcul que les liaisons PEAP en raison de l'échange mutuel complet de certificats. Dans un stade ou un centre de conférence accueillant des milliers d'authentifications simultanées, un serveur RADIUS sous-dimensionné deviendra un goulot d'étranglement. Dimensionnez votre infrastructure RADIUS pour les pics d'authentification simultanés, et non pour la charge moyenne. Enfin, du côté d'Android, sachez que les différents fabricants — Samsung, Google, Xiaomi — ont des implémentations légèrement différentes de l'API de configuration WiFi. Testez vos profils déployés par MDM sur des appareils représentatifs de chaque fabricant de votre parc avant de procéder à un déploiement à grande échelle. Les appareils Samsung, en particulier, ont historiquement nécessité que le champ d'identité soit explicitement défini, même lorsqu'il peut être déduit du certificat. --- QUESTIONS-RÉPONSES RAPIDES — environ 1 minute Voici quelques questions rapides que l'on me pose régulièrement. Puis-je utiliser EAP-TLS pour les appareils BYOD ? Oui, mais cela nécessite que l'utilisateur installe un certificat client sur son appareil personnel. Pour le BYOD à grande échelle, déterminez si EAP-TTLS avec PAP ou PEAP-MSCHAPv2 constitue un compromis plus pratique, en réservant EAP-TLS aux appareils appartenant à l'entreprise. Est-ce que EAP-TLS fonctionne avec WPA3-Enterprise ? Oui, et le WPA3-Enterprise en mode 192 bits impose d'ailleurs l'utilisation d'EAP-TLS. Si vous déployez le WPA3-Enterprise dans des environnements hautement sécurisés, EAP-TLS est votre seule option conforme. Quelle est la version minimale d'Android que je devrais cibler ? Android 8 et versions ultérieures prennent en charge EAP-TLS de manière native. Pour Android 11 et versions ultérieures, imposez une validation explicite du certificat CA. Pour Android 13 et versions ultérieures, vous pouvez exploiter les API de gestion des certificats améliorées pour un contrôle plus granulaire. La plateforme de Purple peut-elle s'intégrer aux réseaux EAP-TLS ? La plateforme de WiFi invité et d'analyse de Purple fonctionne sur un SSID distinct de votre réseau d'entreprise 802.1X. Vos appareils d'entreprise s'authentifient via EAP-TLS sur le SSID sécurisé, tandis que les appareils invités utilisent le Captive Portal de Purple sur le SSID invité. Les deux coexistent sur la même infrastructure de points d'accès, la séparation VLAN assurant la frontière de sécurité. --- RÉSUMÉ ET PROCHAINES ÉTAPES — environ 1 minute Pour résumer : EAP-TLS sur Android est la méthode d'authentification WiFi d'entreprise la plus sécurisée disponible, et avec les outils MDM modernes, son déploiement à grande échelle est tout à fait réalisable. Les trois éléments à maîtriser sont : une PKI correctement configurée avec renouvellement automatique des certificats, une confiance explicite dans le certificat CA sur Android 11 et versions ultérieures, et une infrastructure RADIUS dimensionnée pour la charge de pointe. Si vous effectuez un déploiement dans un lieu accueillant un trafic mixte d'entreprise et d'invités, la plateforme de Purple vous offre la couche d'analyse et d'engagement sur le réseau invité, tandis que votre infrastructure EAP-TLS sécurise le côté entreprise. Les deux se complètent parfaitement. Pour vos prochaines étapes : consultez notre schéma d'architecture dans le guide complet, suivez le guide de déploiement Intune et menez un projet pilote sur un sous-ensemble d'appareils avant de le déployer sur l'ensemble de votre parc. Commencez par un groupe contrôlé de cinquante appareils, validez la distribution des certificats et la connectivité WiFi, puis passez à l'échelle en toute confiance. Merci d'avoir écouté le briefing technique de Purple. Vous trouverez le guide écrit complet, les schémas et les références de configuration sur purple.ai. À la prochaine.

header_image.png

এক্সিকিউটিভ সামারি

ক্রেডেনশিয়াল চুরি এবং অননুমোদিত অ্যাক্সেস থেকে এন্টারপ্রাইজ ওয়্যারলেস নেটওয়ার্কগুলিকে সুরক্ষিত করতে শেয়ার্ড পাসওয়ার্ডের বাইরে যাওয়া প্রয়োজন। কর্পোরেট পরিবেশে Android ডিভাইসের বহরের জন্য, 802.1X EAP-TLS (এক্সটেনসিবল অথেনটিকেশন প্রোটোকল উইথ ট্রান্সপোর্ট লেয়ার সিকিউরিটি) হলো চূড়ান্ত সিকিউরিটি স্ট্যান্ডার্ড। মিউচুয়াল সার্টিফিকেট-ভিত্তিক অথেনটিকেশন কাজে লাগিয়ে, EAP-TLS পাসওয়ার্ড ফ্যাটিগ, ফিশিং এবং দুর্বল ক্রেডেনশিয়ালের সাথে যুক্ত ঝুঁকিগুলি দূর করে।

এই টেকনিক্যাল রেফারেন্স গাইডটি নেটওয়ার্ক আর্কিটেক্ট, আইটি ম্যানেজার এবং CTO-দের Android ডিভাইসে EAP-TLS ডিপ্লয় করার জন্য কার্যকর কৌশল প্রদান করে। Retail -এ পয়েন্ট-অফ-সেল টার্মিনাল, Healthcare -এ ক্লিনিক্যাল ডিভাইস, বা Hospitality -এ ব্যাক-অফ-হাউস অপারেশন পরিচালনা করা হোক না কেন, এই ডিপ্লয়মেন্ট আয়ত্ত করা এন্ড-ইউজারদের জন্য একটি নিরবচ্ছিন্ন কানেকশন অভিজ্ঞতা প্রদানের পাশাপাশি শক্তিশালী সিকিউরিটি কমপ্লায়েন্স (PCI DSS, GDPR, ISO 27001) নিশ্চিত করে। আমরা BYOD পরিবেশের জন্য ম্যানুয়াল কনফিগারেশন এবং কর্পোরেট-মালিকানাধীন বহরের জন্য জিরো-টাচ MDM প্রভিশনিং উভয়ই কভার করি।

ব্রিফিংটি শুনুন

টেকনিক্যাল ডিপ-ডাইভ

802.1X আর্কিটেকচার এবং EAP-TLS মেকানিক্স

মূলত, 802.1X হলো পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড। ওয়্যারলেস প্রেক্ষাপটে, অ্যাক্সেস পয়েন্টটি অথেনটিকেটর হিসেবে কাজ করে, যা Android ডিভাইস (সাপ্লিক্যান্ট) এবং RADIUS সার্ভারের (অথেনটিকেশন সার্ভার) মধ্যে যোগাযোগের সুবিধা দেয়।

PEAP বা TTLS-এর বিপরীতে যা TLS-এর মধ্যে লিগ্যাসি পাসওয়ার্ড অথেনটিকেশন টানেল করে, EAP-TLS সম্পূর্ণভাবে X.509 সার্টিফিকেটের উপর নির্ভর করে। এটি একটি মিউচুয়াল অথেনটিকেশন প্যারাডাইম তৈরি করে:

  1. নেটওয়ার্কটি বৈধ তা প্রমাণ করতে RADIUS সার্ভার Android ডিভাইসের কাছে তার সার্টিফিকেট উপস্থাপন করে।
  2. এটি একটি অনুমোদিত এন্ডপয়েন্ট তা প্রমাণ করতে Android ডিভাইস RADIUS সার্ভারের কাছে তার ইউনিক ক্লায়েন্ট সার্টিফিকেট উপস্থাপন করে。

eap_tls_architecture_overview.png

Android-নির্দিষ্ট সার্টিফিকেট রিকোয়ারমেন্টস

Android-এ ডিপ্লয় করার ক্ষেত্রে কিছু নির্দিষ্ট সীমাবদ্ধতা রয়েছে, বিশেষ করে Android 11 থেকে। ম্যান-ইন-দ্য-মিডল (MitM) আক্রমণ প্রশমিত করতে Google সার্ভার সার্টিফিকেটের জন্য "Do not validate" বিকল্পটি বাতিল করেছে। ফলস্বরূপ, Android ডিভাইসে অবশ্যই সেই Root CA সার্টিফিকেট থাকতে হবে যা RADIUS সার্ভারের সার্টিফিকেট সাইন করেছে।

অধিকন্তু, RADIUS সার্ভার সার্টিফিকেটে অবশ্যই সঠিক এক্সটেন্ডেড কি ইউসেজ (EKU) অ্যাট্রিবিউট থাকতে হবে—বিশেষ করে Server Authentication (OID 1.3.6.1.5.5.7.3.1)। এটি ছাড়া, Android সাপ্লিক্যান্ট নীরবে TLS হ্যান্ডশেক ড্রপ করবে।

ক্লায়েন্ট সাইডের জন্য, Android-এ প্রাইভেট কি এবং সার্টিফিকেট একসাথে বান্ডেল করা প্রয়োজন, সাধারণত PKCS#12 ফর্ম্যাটে (.p12 বা .pfx)।

Purple-এর ইকোসিস্টেমের সাথে ইন্টিগ্রেশন

যদিও EAP-TLS আপনার কর্পোরেট ডিভাইস এবং অপারেশনাল ইনফ্রাস্ট্রাকচার সুরক্ষিত করে, ভেন্যু অপারেটরদের অবশ্যই ভিজিটর অ্যাক্সেসও পরিচালনা করতে হবে। এখানেই একটি ডুয়াল-SSID কৌশল গুরুত্বপূর্ণ হয়ে ওঠে। আপনার কর্পোরেট SSID 802.1X EAP-TLS ব্যবহার করে, যেখানে আপনার পাবলিক SSID Purple-এর Guest WiFi প্ল্যাটফর্ম কাজে লাগায়। এই বিভাজন অপারেশনাল সিকিউরিটি নিশ্চিত করে এবং একই সাথে মার্কেটিং টিমকে গেস্ট নেটওয়ার্কে WiFi Analytics ব্যবহার করার সুযোগ দেয়। ফিজিক্যাল ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও বিস্তারিত জানতে, Access Point Security: Your 2026 Enterprise Guide দেখুন।

ইমপ্লিমেন্টেশন গাইড

Android-এ EAP-TLS ডিপ্লয়মেন্ট ছোট BYOD সেটআপের জন্য ম্যানুয়ালি বা এন্টারপ্রাইজ স্কেলের জন্য মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM)-এর মাধ্যমে করা যেতে পারে।

mdm_deployment_comparison.png

পদ্ধতি ১: ম্যানুয়াল কনফিগারেশন (BYOD / ছোট স্কেল)

এই পদ্ধতিটি সাপোর্ট-নিবিড় এবং শুধুমাত্র সীমিত রোলআউট বা টেস্টিংয়ের জন্য প্রস্তাবিত।

  1. সার্টিফিকেট ডেলিভারি: .p12 ক্লায়েন্ট সার্টিফিকেট এবং Root CA .cer ফাইলটি নিরাপদে Android ডিভাইসে ডেলিভার করুন (যেমন, সুরক্ষিত পোর্টাল বা এনক্রিপ্ট করা ইমেলের মাধ্যমে)।
  2. ইন্সটলেশন:
    • Settings > Security > Encryption & credentials > Install a certificate-এ নেভিগেট করুন।
    • Root CA-কে "Wi-Fi certificate" হিসেবে ইন্সটল করুন।
    • প্রম্পট করা হলে এক্সট্রাকশন পাসওয়ার্ড প্রদান করে .p12 ফাইলটি ইন্সটল করুন।
  3. নেটওয়ার্ক কনফিগারেশন:
    • Settings > Network & internet > Wi-Fi-এ যান এবং "Add network" নির্বাচন করুন।
    • SSID লিখুন।
    • Security-কে WPA/WPA2/WPA3-Enterprise-এ সেট করুন।
    • EAP method-কে TLS-এ সেট করুন।
    • CA certificate-কে ইন্সটল করা Root CA-তে সেট করুন।
    • Online Certificate Status-কে Request certificate status-এ সেট করুন।
    • RADIUS সার্ভারের সার্টিফিকেটের সাবজেক্ট অল্টারনেটিভ নেম (SAN)-এর সাথে মেলাতে Domain সেট করুন।
    • ইন্সটল করা ক্লায়েন্ট সার্টিফিকেট নির্বাচন করুন।
    • আইডেন্টিটি লিখুন (সাধারণত ইউজারের UPN বা ডিভাইসের MAC)।

পদ্ধতি ২: MDM-পুশড প্রোফাইল (এন্টারপ্রাইজ স্কেল)

বড় এস্টেটের জন্য, যেমন একটি বিশ্ববিদ্যালয় ক্যাম্পাস বা Transport -এর লজিস্টিক হাব, MDM বাধ্যতামূলক। এটি জিরো-টাচ প্রভিশনিং এবং লাইফসাইকেল ম্যানেজমেন্ট প্রদান করে।

  1. PKI ইন্টিগ্রেশন: SCEP বা NDES ব্যবহার করে আপনার MDM (Intune, Workspace ONE, Jamf)-কে আপনার সার্টিফিকেট অথরিটির সাথে কানেক্ট করুন。
  2. সার্টিফিকেট প্রোফাইল: ডিভাইসের ট্রাস্ট স্টোরে Root CA পুশ করার জন্য একটি কনফিগারেশন প্রোফাইল তৈরি করুন। স্বয়ংক্রিয়ভাবে ইউনিক ক্লায়েন্ট সার্টিফিকেটের রিকোয়েস্ট এবং ইন্সটল করার জন্য একটি দ্বিতীয় প্রোফাইল (SCEP) তৈরি করুন।
  3. WiFi প্রোফাইল: ডিপ্লয় করা সার্টিফিকেটগুলিকে লিঙ্ক করে একটি Wi-Fi কনফিগারেশন প্রোফাইল তৈরি করুন।
    • Security Type: WPA2/WPA3 Enterprise
    • EAP Type: EAP-TLS
    • Authentication Method: Certificate
    • Server Trust: Root CA এবং সঠিক সার্ভার ডোমেইন নেম নির্দিষ্ট করুন।

মাইক্রোসফ্ট-নির্দিষ্ট বিস্তারিত নির্দেশাবলীর জন্য, আমাদের গাইডটি দেখুন: How to Use Microsoft Intune to Push WiFi Certificates to Devices

বেস্ট প্র্যাকটিস

  1. WPA3-Enterprise এনফোর্স করুন: যেখানে হার্ডওয়্যার সাপোর্ট করে, সেখানে WPA3-Enterprise বাধ্যতামূলক করুন। 192-বিট সিকিউরিটি স্যুটের জন্য স্পষ্টভাবে EAP-TLS প্রয়োজন, যা সর্বোচ্চ ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ড নিশ্চিত করে।
  2. সার্টিফিকেট লাইফসাইকেল অটোমেট করুন: ক্লায়েন্ট সার্টিফিকেটের মেয়াদ শেষ হয়। আপনি যদি ম্যানুয়াল রিনিউয়ালের উপর নির্ভর করেন, তবে আপনি ব্যাপক আউটেজের সম্মুখীন হবেন। মেয়াদ শেষ হওয়ার ৩০ দিন আগে স্বয়ংক্রিয়ভাবে সার্টিফিকেট রিনিউ করতে SCEP/NDES ইমপ্লিমেন্ট করুন।
  3. শক্তিশালী DNS ইমপ্লিমেন্ট করুন: সার্টিফিকেট রিভোকেশন লিস্ট (CRL) চেক এবং OCSP-এর জন্য এজ থেকে নির্ভরযোগ্য DNS রেজোলিউশন প্রয়োজন। Protect Your Network with Strong DNS and Security -এ আরও পড়ুন।
  4. VLAN সেগমেন্টেশন: Tunnel-Private-Group-Id-এর মতো RADIUS অ্যাট্রিবিউট ব্যবহার করে সার্টিফিকেট অ্যাট্রিবিউটের উপর ভিত্তি করে (যেমন, ম্যানেজার ট্যাবলেট থেকে POS টার্মিনাল আলাদা করা) নির্দিষ্ট VLAN-এ EAP-TLS অথেনটিকেটেড সেশনগুলিকে ম্যাপ করুন।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

যখন Android ডিভাইসগুলি EAP-TLS-এর মাধ্যমে কানেক্ট হতে ব্যর্থ হয়, তখন সমস্যাটি প্রায় সবসময়ই সার্টিফিকেট চেইন বা RADIUS কনফিগারেশনে থাকে।

  • লক্ষণ: Android 11+ ডিভাইসগুলি অবিলম্বে ডিসকানেক্ট হয়ে যায় বা ইউজারকে প্রম্পট না করেই "Authentication error" দেখায়।
    • মূল কারণ: ডিভাইসটি RADIUS সার্ভার সার্টিফিকেটকে ট্রাস্ট করে না। WiFi প্রোফাইলের "Domain" ফিল্ডটি অবশ্যই সার্ভার সার্টিফিকেটের SAN-এর সাথে হুবহু মিলতে হবে এবং Root CA ইন্সটল করা থাকতে হবে।
  • লক্ষণ: TLS হ্যান্ডশেকের সময় কানেকশন টাইম আউট হয়ে যায়।
    • মূল কারণ: ক্লায়েন্ট সার্টিফিকেটের রিভোকেশন স্ট্যাটাস ভেরিফাই করার জন্য RADIUS সার্ভার CRL ডিস্ট্রিবিউশন পয়েন্টে পৌঁছাতে পারে না। নিশ্চিত করুন যে আপনার RADIUS সার্ভারের আপনার PKI-এর CRL এন্ডপয়েন্টগুলিতে আউটবাউন্ড HTTP অ্যাক্সেস রয়েছে।
  • লক্ষণ: Windows ডিভাইস কানেক্ট হয়, কিন্তু Android ডিভাইস ব্যর্থ হয়。
    • মূল কারণ: RADIUS সার্টিফিকেটে Server Authentication EKU অনুপস্থিত, অথবা Android সাপ্লিক্যান্ট একটি অসমর্থিত সাইফার স্যুট ব্যবহার করার চেষ্টা করছে। TLS নেগোসিয়েশন ব্যর্থতার জন্য RADIUS লগ চেক করুন।

ROI এবং ব্যবসায়িক প্রভাব

EAP-TLS-এ ট্রানজিশন করার জন্য PKI এবং MDM ইনফ্রাস্ট্রাকচারে অগ্রিম বিনিয়োগের প্রয়োজন, তবে সিনিয়র আইটি লিডারদের জন্য রিটার্ন অন ইনভেস্টমেন্ট (ROI) যথেষ্ট।

  • হেল্পডেস্ক খরচ হ্রাস: আইটি হেল্পডেস্ক টিকিটের ২০-৩০% হলো পাসওয়ার্ড রিসেট। সার্টিফিকেট-ভিত্তিক অথেনটিকেশন নেটওয়ার্ক অ্যাক্সেসের জন্য পাসওয়ার্ড রোটেশন পলিসি দূর করে, যা সাপোর্ট ওভারহেড ব্যাপকভাবে হ্রাস করে।
  • ঝুঁকি প্রশমন: EAP-TLS ক্রেডেনশিয়াল হার্ভেস্টিং এবং অফলাইন ডিকশনারি অ্যাটাকের বিরুদ্ধে অনাক্রম্যতা প্রদান করে। Healthcare -এর মতো নিয়ন্ত্রিত শিল্পে একটি একক ব্রিচের খরচ একটি PKI-এর ডিপ্লয়মেন্ট খরচের চেয়ে অনেক বেশি।
  • অপারেশনাল কন্টিনিউটি: স্বয়ংক্রিয় সার্টিফিকেট প্রভিশনিং নিশ্চিত করে যে ওয়্যারহাউস স্ক্যানার থেকে শুরু করে রিটেইল POS সিস্টেম পর্যন্ত গুরুত্বপূর্ণ অপারেশনাল ডিভাইসগুলি মেয়াদোত্তীর্ণ ক্রেডেনশিয়ালের কারণে কখনই নেটওয়ার্ক থেকে ড্রপ অফ করবে না। যেহেতু Purple তার পরিধি প্রসারিত করে চলেছে, যা Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers -এর মতো সাম্প্রতিক কৌশলগত পদক্ষেপগুলির দ্বারা হাইলাইট করা হয়েছে, শক্তিশালী ফাউন্ডেশনাল কানেক্টিভিটি অ্যাডভান্সড অ্যানালিটিক্স এবং এনগেজমেন্টের জন্য সহায়ক হয়ে ওঠে।

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC) qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN.

Le cadre fondamental qui empêche les appareils non autorisés d'accéder au réseau de l'entreprise à la périphérie.

EAP-TLS

Extensible Authentication Protocol avec Transport Layer Security. Un cadre d'authentification qui utilise des certificats X.509 pour une authentification mutuelle entre le client et le serveur.

Considéré comme le type d'EAP le plus sécurisé, il élimine la dépendance aux mots de passe, ce qui le rend indispensable pour les environnements hautement sécurisés.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA).

Le composant serveur (par exemple, Cisco ISE, Microsoft NPS) qui valide le certificat de l'appareil Android par rapport à la PKI.

Supplicant

L'appareil client (dans ce cas, le smartphone ou la tablette Android) qui demande l'accès au réseau.

Comprendre les contraintes spécifiques du système d'exploitation du supplicant (comme la validation stricte d'Android 11) est essentiel pour un déploiement réussi.

Authenticator

L'appareil réseau (le point d'accès WiFi) qui facilite le processus d'authentification entre le Supplicant et le serveur RADIUS.

Le point d'accès ne prend pas la décision ; il applique simplement le contrôle des ports en fonction de la réponse du serveur RADIUS.

PKI

Public Key Infrastructure. Un ensemble de rôles, de politiques, de matériel, de logiciels et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques.

La colonne vertébrale d'EAP-TLS. Sans une PKI robuste, l'authentification par certificat est impossible.

SCEP

Simple Certificate Enrollment Protocol. Un protocole conçu pour rendre la délivrance et la révocation de certificats numériques aussi évolutives que possible.

Utilisé par les plateformes MDM pour provisionner automatiquement les certificats clients sur les appareils Android sans intervention de l'utilisateur.

SAN

Subject Alternative Name. Une extension de la norme X.509 qui permet d'associer diverses valeurs à un certificat de sécurité.

Android 11+ exige que le champ "Domaine" du profil WiFi corresponde au SAN du certificat du serveur RADIUS.

Exemples concrets

Une chaîne nationale de vente au détail doit déployer 5 000 tablettes de point de vente (POS) sous Android. L'équipe de sécurité exige que ces appareils n'utilisent pas de mots de passe partagés et soient protégés contre le phishing d'identifiants. Comment l'équipe d'infrastructure doit-elle aborder ce déploiement ?

L'équipe doit déployer une solution de gestion des appareils mobiles (MDM) intégrée à leur infrastructure PKI interne via SCEP. Le MDM poussera un profil de configuration contenant le certificat de l'autorité de certification racine (Root CA), demandera automatiquement un certificat client unique pour chaque tablette POS et configurera le profil WiFi WPA3-Enterprise pour utiliser EAP-TLS. Le serveur RADIUS sera configuré pour affecter ces appareils à un VLAN POS isolé après validation réussie du certificat.

Commentaire de l'examinateur : Il s'agit de l'approche d'entreprise optimale. Tenter une configuration manuelle pour 5 000 appareils est irréalisable sur le plan opérationnel. En utilisant un MDM et SCEP, l'organisation bénéficie d'un provisionnement sans contact et d'un renouvellement automatique des certificats, répondant ainsi aux exigences de sécurité tout en minimisant les contraintes de déploiement.

Un responsable informatique d'un hôpital met à niveau le réseau sans fil. Suite à cette mise à niveau, les anciens appareils Android 9 se connectent avec succès au réseau EAP-TLS, mais les nouveaux appareils Android 12 récemment acquis échouent à s'authentifier, signalant une erreur de confiance.

Le responsable informatique doit mettre à jour le profil de configuration WiFi poussé sur les appareils. Android 11+ impose une validation stricte du certificat du serveur. Le profil doit être mis à jour pour définir explicitement le certificat de l'autorité de certification racine (Root CA) auquel faire confiance et spécifier le "Domaine" exact (correspondant au SAN du serveur RADIUS) afin de prévenir les attaques de type MitM.

Commentaire de l'examinateur : Cela met en évidence un changement critique au niveau du système d'exploitation dans le comportement du demandeur d'Android. Les anciennes configurations "Ne pas valider" représentent un risque de sécurité important et sont définitivement obsolètes dans les versions modernes d'Android. La solution identifie correctement la nécessité d'une configuration de confiance explicite.

Questions d'entraînement

Q1. Votre organisation migre de PEAP-MSCHAPv2 vers EAP-TLS. Pendant la phase pilote, plusieurs appareils Android 13 ne parviennent pas à se connecter. Les journaux RADIUS indiquent que la liaison TLS est initiée mais abandonnée par le client avant l'envoi du certificat client. Quelle est l'erreur de configuration la plus probable ?

Conseil : Prenez en compte les exigences de validation strictes introduites dans les versions récentes d'Android concernant l'identité du serveur.

Voir la réponse type

L'erreur la plus probable est que le profil WiFi poussé sur les appareils Android 13 ne spécifie pas correctement la correspondance du suffixe de « Domaine », ou que l'AC racine n'est pas correctement liée dans le profil. Android interrompt la connexion pour empêcher une attaque de type Man-in-the-Middle car il ne peut pas valider le certificat du serveur RADIUS.

Q2. Vous concevez l'architecture pour un déploiement dans un grand stade. Le client souhaite utiliser EAP-TLS pour tous les appareils du personnel. Quel composant d'infrastructure spécifique doit être dimensionné à la hausse par rapport à un réseau WPA2-PSK standard, et pourquoi ?

Conseil : EAP-TLS implique des opérations cryptographiques complexes pendant la phase de connexion.

Voir la réponse type

L'infrastructure du serveur RADIUS doit être considérablement dimensionnée à la hausse. EAP-TLS nécessite une validation mutuelle complète des certificats (cryptographie asymétrique), ce qui est très exigeant en ressources de calcul. Dans un environnement de stade avec des milliers d'appareils susceptibles d'effectuer une itinérance ou de s'authentifier simultanément, un déploiement RADIUS sous-dimensionné entraînera des expirations de délai d'authentification et des échecs de connexion.

Q3. Un certificat client est compromis sur une tablette Android perdue. Quel est le mécanisme exact par lequel le réseau empêche cet appareil de se connecter via EAP-TLS ?

Conseil : Comment le serveur RADIUS sait-il que le certificat n'est plus valide avant sa date d'expiration ?

Voir la réponse type

L'administrateur informatique révoque le certificat client dans la PKI. La PKI met à jour sa liste de révocation de certificats (CRL) ou son répondeur OCSP. Lorsque la tablette perdue tente de se connecter, le serveur RADIUS vérifie le certificat client par rapport à la CRL/OCSP. Constatant qu'il est révoqué, le serveur RADIUS rejette la demande d'authentification.

Continuer la lecture de cette série

Serveur RADIUS : un guide complet pour les entreprises

Ce guide fournit aux responsables informatiques, architectes réseau et directeurs techniques une référence technique définitive sur l'authentification serveur RADIUS pour le WiFi d'entreprise. Il couvre le framework AAA, l'architecture 802.1X, la sélection de la méthode EAP, les arbitrages de déploiement entre cloud et sur site, ainsi que l'attribution dynamique de VLAN. Les exploitants de sites dans l'hôtellerie, le commerce, l'événementiel et le secteur public y trouveront des conseils de mise en œuvre pratiques, des études de cas réelles et les cadres décisionnels nécessaires pour migrer de clés prépartagées non sécurisées vers une architecture de contrôle d'accès réseau sécurisée et basée sur l'identité.

Lire le guide →

Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement

Un guide technique complet détaillant l'architecture de co-déploiement d'Aruba ClearPass et de Purple WiFi. Il traite de la configuration du proxy RADIUS, de l'attribution dynamique de VLAN et des meilleures pratiques pour fournir des réseaux d'invités sécurisés et axés sur l'analyse de données aux côtés du contrôle d'accès réseau (NAC) d'entreprise.

Lire le guide →

Cisco ISE vs. Purple WiFi : comparaison et complémentarité

Ce guide explique comment Cisco ISE et Purple WiFi remplissent des rôles distincts mais complémentaires au sein des réseaux d'entreprise. Il détaille comment utiliser Cisco ISE pour un accès d'entreprise sécurisé 802.1X tout en tirant parti de Purple pour un WiFi invité conforme au GDPR, des analyses marketing et l'intégration CRM.

Lire le guide →