Passer au contenu principal
Français

Qu'est-ce qu'un supplicant 802.1X ? Types de clients et configuration des appareils

Ce guide explique le rôle du supplicant 802.1X dans l'authentification WiFi d'entreprise. Il couvre l'architecture technique, compare les supplicants natifs des OS avec les clients tiers, et fournit des conseils de configuration pratiques pour les équipes informatiques déployant EAP-TLS et PEAP.

📖 5 min de lecture📝 1,091 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
S'exprimer en anglais britannique avec un ton confiant, autoritaire et conversationnel - comme un consultant senior en sécurité réseau briefant un client. Rythme mesuré, diction claire, professionnel mais pas rigide. Pauses naturelles occasionnelles pour accentuer le propos : Bienvenue dans la série de briefings techniques de Purple. Aujourd'hui, nous abordons un sujet qui est au cœur même de la sécurité WiFi d'entreprise : le supplicant 802.1X. Si vous vous êtes déjà demandé pourquoi certains appareils se connectent à votre réseau d'entreprise sans demander de mot de passe, alors que d'autres affichent des erreurs de certificat et génèrent des tickets d'assistance, cet épisode est fait pour vous. [pause moyenne] Commençons par les bases. Le supplicant 802.1X est le composant logiciel d'un appareil client - un ordinateur portable, un smartphone, une tablette - qui gère le handshake d'authentification lorsque cet appareil tente de rejoindre un réseau protégé par la norme IEEE 802.1X. Considérez-le comme le présentateur de la carte d'identité de l'appareil. Le réseau ne laisse pas entrer n'importe qui. Il demande des identifiants. Le supplicant est celui qui s'avance et dit : "voici qui je suis, voici mon certificat, laissez-moi entrer". La norme elle-même - IEEE 802.1X - définit le contrôle d'accès réseau basé sur les ports. Avant que l'authentification ne réussisse, le point d'accès ou le commutateur ne laisse passer qu'un type de trafic très restreint : les trames EAPOL, qui signifient Extensible Authentication Protocol over LAN. Tout le reste est bloqué. Une fois que le supplicant prouve son identité au serveur RADIUS via l'authentificateur, le port s'ouvre et le trafic normal circule. [pause moyenne] Il y a maintenant trois acteurs dans ce scénario. Premièrement, le supplicant - l'appareil client. Deuxièmement, l'authentificateur - votre point d'accès ou commutateur, du matériel comme Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist. Troisièmement, le serveur d'authentification - presque toujours un serveur RADIUS, qui valide les identifiants par rapport à un annuaire comme Microsoft Entra ID ou Okta. Le supplicant lance le processus en envoyant un message EAPOL-Start. L'authentificateur répond par une demande d'identité EAP-Request. Le supplicant répond avec son identité. Cette identité est transmise au serveur RADIUS, qui défie ensuite le supplicant avec la méthode EAP convenue. Si tout est correct, le serveur RADIUS envoie un message Access-Accept, le port s'ouvre et l'appareil est placé sur le bon VLAN. [pause moyenne] Parlons des méthodes EAP, car c'est là que se prennent la plupart des décisions de déploiement. EAP-TLS - à savoir Extensible Authentication Protocol avec Transport Layer Security - est la référence absolue. Il exige que le client et le serveur présentent tous deux des certificats. Authentification mutuelle. Pas de mots de passe. Le certificat client prouve l'identité de l'appareil ; le certificat serveur prouve que le réseau est légitime, ce qui protège contre les attaques de type « evil twin » (jumeau malveillant) où un point d'accès pirate tente de récupérer des identifiants. EAP-TLS s'exécute en douze étapes et utilise la cryptographie à clé publique-privée d'un bout à l'autre. C'est la méthode requise pour le WPA3-Enterprise dans son mode de sécurité le plus élevé, et elle s'aligne sur les exigences de la norme NIST SP 800-171 pour la vérification de l'identité des appareils. PEAP - Protected EAP - est le point de départ le plus courant pour les organisations qui ne disposent pas encore d'une PKI complète. Le PEAP encapsule une méthode interne basée sur un mot de passe, généralement MSCHAPv2, dans un tunnel TLS. Le serveur présente un certificat ; le client n'en présente pas. Cela signifie que le déploiement est plus simple - vous n'avez pas besoin de fournir de certificats clients - mais qu'il est moins sécurisé. MSCHAPv2 utilise le hachage MD4, considéré comme compromis depuis 1995. Si un utilisateur se connecte à un point d'accès pirate qui présente un certificat d'apparence fiable, ses identifiants peuvent être interceptés. La validation du certificat du serveur côté client est donc non négociable lors de l'utilisation de PEAP. [medium pause] Penchons-nous maintenant sur le supplicant lui-même - et plus particulièrement sur le choix entre les supplicants natifs du système d'exploitation et les logiciels clients tiers. Chaque système d'exploitation majeur est livré avec un supplicant 802.1X intégré. Windows le prend en charge nativement depuis XP, via les services Configuration automatique sans fil et Configuration automatique câblée. macOS et iOS gèrent le 802.1X via leurs profils de configuration réseau. Android le prend en charge via le panneau des paramètres WiFi. Ces supplicants natifs couvrent l'EAP-TLS et le PEAP-MSCHAPv2 sur toutes les plateformes actuelles. L'avantage des supplicants natifs est évident : aucun logiciel supplémentaire à déployer, aucun coût de licence, des mises à jour de sécurité automatiques de l'OS et une intégration étroite avec le magasin de certificats du système d'exploitation. Pour les flottes d'appareils gérés - machines Windows enregistrées dans Microsoft Intune, Mac gérés via Jamf - vous pouvez pousser des profils de configuration 802.1X de manière silencieuse via MDM, et les utilisateurs ne voient jamais d'invite. L'appareil s'authentifie automatiquement chaque fois qu'il se trouve à portée. Les supplicants tiers entrent en jeu dans des scénarios spécifiques. Si vous utilisez une infrastructure Cisco et souhaitez utiliser EAP-FAST - la méthode EAP propriétaire de Cisco - vous avez besoin du logiciel client de Cisco, historiquement le Secure Services Client ou AnyConnect Network Access Manager. Si vous avez besoin d'une gestion de configuration cohérente sur un parc d'OS mixtes et souhaitez verrouiller les paramètres du supplicant afin que les utilisateurs ne puissent pas les configurer de manière incorrecte par accident, un client tiers vous offre ce contrôle. Des outils comme la suite JoinNow de SecureW2 agissent également comme des agents d'onboarding : ils configurent le supplicant natif au lieu de le remplacer, guidant les utilisateurs à travers l'enrôlement des certificats et l'installation des profils. [medium pause] Laissez-moi vous présenter deux scénarios réels pour rendre cela concret. D'abord, un hôtel de 400 chambres. L'établissement exploite aujourd'hui un réseau pour le personnel sur WPA2-Enterprise avec PEAP-MSCHAPv2. L'équipe informatique souhaite migrer vers EAP-TLS pour éliminer l'authentification par mot de passe et réduire le risque de vol d'identifiants. Le défi : les appareils du personnel sont un mélange d'ordinateurs portables Windows gérés via Intune, de téléphones Android personnels utilisés pour le logiciel de gestion de l'établissement, et de quelques anciennes machines Windows 7 dans les bureaux administratifs. L'approche ici est progressive. Commencez par la flotte Windows gérée. Déployez un profil de configuration Intune qui installe le certificat de l'autorité de certification (CA) racine du serveur RADIUS, configure le profil WiFi pour EAP-TLS, et déclenche l'enrôlement de certificat basé sur SCEP depuis la PKI interne. Ces appareils s'authentifient automatiquement dès le premier jour. Pour les appareils Android personnels (BYOD), déployez un portail d'onboarding en libre-service : les utilisateurs visitent une URL, téléchargent un profil de configuration, et le supplicant est configuré pour eux. Les anciennes machines Windows 7 restent sur PEAP avec une validation stricte du certificat de serveur appliquée, isolées dans un VLAN distinct avec un accès limité, jusqu'à leur mise hors service. [medium pause] Deuxième scénario : une grande chaîne de vente au détail de 200 magasins. Chaque magasin dispose d'un mélange de terminaux de point de vente, de tablettes pour le personnel et d'un réseau WiFi invité. La norme PCI DSS exige que les environnements de données des titulaires de cartes soient isolés des autres segments de réseau. Le détaillant utilise le 802.1X sur les réseaux du personnel et des terminaux de point de vente (POS), avec une attribution de VLAN basée sur les attributs des certificats. Un terminal POS présente un certificat d'appareil avec une unité organisationnelle "POS" - la politique RADIUS l'attribue au VLAN PCI. Une tablette du personnel présente un certificat avec "Staff" - elle atterrit sur le VLAN du personnel. Les appareils invités se connectent entièrement à un SSID distinct, géré par une solution de Captive Portal. La configuration du supplicant sur les terminaux POS est verrouillée via MDM. Aucune interaction de l'utilisateur n'est requise. Les terminaux s'authentifient silencieusement au démarrage. Le renouvellement des certificats est automatisé via SCEP, il n'y a donc aucune intervention manuelle à l'expiration des certificats. [medium pause] Maintenant, passons aux pièges de mise en œuvre. Laissez-moi vous présenter les quatre plus courants. Numéro un : l'absence de validation du certificat du serveur sur les déploiements PEAP. Si vous ne configurez pas le supplicant pour valider le certificat du serveur RADIUS et vérifier le nom du serveur, les utilisateurs risquent de se connecter à un point d'accès malveillant. Spécifiez toujours l'AC racine de confiance et le nom du serveur dans le profil du supplicant. Numéro deux : l'expiration des certificats provoquant des échecs d'authentification massifs. Les certificats clients ont une période de validité. Si vous n'avez pas mis en place de renouvellement automatisé via SCEP ou NDES, vous ferez face à un effet de falaise où des centaines d'appareils cesseront de s'authentifier simultanément. Intégrez l'automatisation du renouvellement avant la mise en production. Numéro trois : les appareils BYOD avec un comportement de supplicant incohérent. Android en particulier présente un support 802.1X fragmenté selon les fabricants. Certaines versions nécessitent que l'utilisateur installe manuellement le certificat de l'AC avant que le profil WiFi ne l'accepte. Un portail d'intégration qui gère cette étape réduit considérablement le volume de tickets d'assistance. Numéro quatre : les mises à jour de fonctionnalités de Windows 11 qui perturbent la configuration du supplicant. Microsoft a modifié le comportement du 802.1X dans plusieurs mises à jour de Windows 11. Plus précisément, la mise à jour 24H2 a introduit des changements dans la manière dont le supplicant natif gère le repli EAP-TLS. Testez vos profils de supplicant avec les nouvelles versions du système d'exploitation avant de les déployer en production. [medium pause] Questions-réponses rapides à présent. Les appareils IoT peuvent-ils prendre en charge le 802.1X ? La plupart ne le peuvent pas. Les appareils IoT manquent généralement totalement de supplicant. La solution de repli est le MAC Authentication Bypass - MAB - où le serveur RADIUS authentifie l'appareil en fonction de son adresse MAC. Les adresses MAC pouvant être usurpées, les appareils MAB doivent toujours être placés sur un VLAN IoT isolé avec des règles de pare-feu strictes. Ai-je besoin d'une PKI pour exécuter le 802.1X ? Pour PEAP, non - vous avez seulement besoin d'un certificat serveur sur le serveur RADIUS. Pour EAP-TLS, oui - vous avez besoin d'une PKI pour émettre des certificats clients. Les services PKI basés sur le cloud réduisent considérablement la charge d'infrastructure. Comment le 802.1X interagit-il avec la plateforme d'accès réseau de Purple ? Purple fonctionne comme une surcouche cloud au-dessus de votre matériel existant - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et autres. Sur les réseaux WiFi du personnel, le module complémentaire SecurePass de Purple s'intègre à votre fournisseur d'identité - Microsoft Entra ID, Okta ou Google Workspace - pour appliquer l'authentification 802.1X et les politiques VLAN par utilisateur sans nécessiter d'infrastructure RADIUS sur site. [medium pause] Pour résumer : le supplicant 802.1X est l'agent côté appareil qui permet le fonctionnement du contrôle d'accès réseau basé sur les ports. Votre choix de méthode EAP - EAP-TLS pour une sécurité maximale, PEAP comme option de transition - détermine vos besoins en PKI et votre approche de configuration du supplicant. Les supplicants natifs du système d'exploitation couvrent la majorité des scénarios d'appareils gérés lorsqu'ils sont déployés via MDM. Les clients tiers apportent de la valeur dans des cas spécifiques : méthodes EAP propriétaires, parcs d'OS mixtes nécessitant une configuration cohérente ou intégration BYOD en libre-service. Les trois points à retenir : validez le certificat de votre serveur RADIUS sur chaque profil de supplicant, automatisez le renouvellement des certificats avant de déployer EAP-TLS à grande échelle, et isolez les appareils qui ne prennent pas en charge 802.1X - IoT, matériel hérité - sur des VLAN dédiés avec le MAC Authentication Bypass comme solution de secours. Pour en savoir plus sur la façon dont Purple s'intègre à votre architecture d'accès réseau, visitez purple point ai. Merci pour votre écoute.

header_image.png

执行摘要

当设备连接到企业网络时,802.1X 客户端 (Supplicant) 是负责证明其身份的软件组件。对于大型场馆的 IT 经理和网络架构师而言,了解客户端的工作原理对于在不产生服务台工单的情况下确保网络访问安全至关重要。本指南将揭秘 IEEE 802.1X 认证中的设备端代理,对比原生操作系统功能与第三方客户端软件。我们将研究如何为 EAP-TLS 和 PEAP-MSCHAPv2 配置客户端,探讨酒店和零售行业的实际部署场景,并详细介绍正确的客户端配置如何与基于身份的网络(Identity-Based Networks)集成以优化访问。无论您是管理 200 间客房的酒店,还是管理拥有 80,000 多个座位的活动场馆,正确配置客户端都是构建安全、可靠 WiFi 的基石。

技术深挖

IEEE 802.1X 标准定义了基于端口的网络访问控制。它基于一个简单的原则:在设备证明其身份之前,阻断网络边缘的所有流量。客户端是此过程中的客户端参与者。

802.1X 的三个组成部分

认证需要三个不同的实体:

  1. 客户端 (Supplicant):请求网络访问的客户端设备(笔记本电脑、智能手机或平板电脑)。
  2. 认证器 (Authenticator):网络访问设备,例如 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 接入点。
  3. 认证服务器 (Authentication Server):根据 Microsoft Entra ID 或 Okta 等身份提供商验证凭据的 RADIUS 服务器。

在认证之前,认证器的端口处于未授权状态,仅允许局域网上的可扩展身份验证协议 (EAPOL) 流量。客户端通过 EAPOL-Start 帧发起该过程。认证器请求身份,客户端进行响应。该身份将被转发到 RADIUS 服务器,由其决定要使用的 EAP 方法。验证成功后,RADIUS 服务器会发送 Access-Accept 消息,端口转换为授权状态,设备通常会被分配到特定的 VLAN。

architecture_overview.png

EAP 方法:客户端的语言

客户端和 RADIUS 服务器必须就可扩展身份验证协议 (EAP) 方法达成一致。EAP 方法的选择决定了安全状况以及客户端的配置负担。

EAP-TLS(传输层安全协议) EAP-TLS 需要使用数字证书进行双向身份验证。客户端(Supplicant)提供客户端证书以证明其身份,RADIUS 服务器提供服务器证书以证明网络的合法性。这种无密码方法消除了凭据窃取,并且是 NIST SP 800-171 等严格安全框架所要求的。客户端必须配置为信任颁发证书颁发机构 (CA) 并拥有有效的客户端证书。

PEAP (Protected EAP) 在无法使用完整公钥基础设施 (PKI) 的情况下,PEAP 被广泛使用。它在 TLS 隧道内封装了一个内部身份验证方法(通常是 MSCHAPv2)。RADIUS 服务器提供证书,但客户端只需提供用户名和密码。虽然 PEAP 更易于部署,但如果未严格配置客户端来验证服务器证书,它很容易受到凭据收集攻击。

实施指南

在部署 802.1X 时,IT 团队必须在选择使用操作系统内置的原生客户端,还是部署第三方客户端软件之间做出决定。

原生系统客户端

每个现代操作系统都包含一个原生的 802.1X 客户端。Windows 使用有线自动配置 (Wired AutoConfig) 和无线自动配置 (WLAN AutoConfig) 服务。Apple 设备使用网络配置文件。Android 将其集成在 WiFi 设置中。

原生客户端是托管设备群的理想选择。使用 Microsoft Intune 或 Jamf 等移动设备管理 (MDM) 平台,IT 管理员可以静默推送配置文件,这些文件通过 SCEP 定义了 SSID、EAP 方法、受信任的根 CA 以及证书注册过程。用户体验是无缝的;设备在后台进行身份验证。

第三方客户端软件

在特定场景下,需要使用第三方客户端,例如 Cisco AnyConnect 网络访问管理器或 SecureW2 JoinNow:

  • 专有协议:使用 Cisco EAP-FAST 需要 Cisco 客户端。
  • BYOD 准入:第三方工具通常充当准入助手,引导用户在原生配置较为复杂的非托管设备上安装证书(特别是在碎片化的 Android 环境中)。
  • 严格的配置控制:第三方客户端可以锁定设置,防止用户禁用服务器证书验证。

native_vs_thirdparty_comparison.png

配置服务器证书验证

无论选择哪种客户端,配置服务器证书验证都至关重要,特别是对于 PEAP。如果客户端不验证 RADIUS 服务器的证书,它会毫无防备地将凭据发送给模仿您 SSID 的恶意接入点。

在 Windows 中,这意味着勾选 PEAP 属性中的“验证服务器证书”、选择受信任的根证书颁发机构(Root CA),并指定客户端应期望的确切服务器名称。在 Apple 设备上,配置文件必须明确列出受信任的证书。

最佳实践

  1. 强制服务器验证:部署 PEAP 时,切勿在未配置客户端验证 RADIUS 服务器证书的情况下进行。这是防御“邪恶双胞胎”(evil twin)攻击的首要防线。
  2. 自动化证书生命周期:使用 EAP-TLS 时,应通过 MDM 使用 SCEP 或 NDES 自动执行客户端证书的注册和更新。手动证书管理难以扩展,且会导致突发性的身份验证失败。
  3. 按身份进行隔离:使用 RADIUS 属性根据验证的身份分配 VLAN。员工设备和 POS 终端应验证到同一个 SSID,但最终落在不同的 VLAN 上。
  4. 为物联网(IoT)做好规划:大多数 IoT 设备缺乏 802.1X 客户端。对于这些设备,请使用 MAC 地址绕过认证(MAB),但必须将其严格隔离在专用的 IoT VLAN 上。

故障排查与风险缓解

当设备无法连接时,问题几乎总是出在客户端配置或证书链上。

  • “已连接,无互联网”:这通常表明 VLAN 分配失败或身份验证后出现 DHCP 问题。请检查 RADIUS 日志以确认 Access-Accept 消息中是否包含了正确的 Tunnel-Private-Group-Id。
  • Windows 11 上的静默失败:最近的 Windows 11 功能更新(如 24H2)改变了原生客户端处理 EAP-TLS 回退的方式。在广泛部署之前,请务必针对新的操作系统版本测试配置文件。
  • 证书过期:如果一批设备突然掉网,请检查客户端证书的有效期。确保您的 MDM 在证书过期之前成功对其进行了更新。

投资回报率(ROI)与业务影响

迁移到配置了正确客户端的 802.1X 可以带来可衡量的业务价值。通过消除共享密码(预共享密钥/PSK),您可以彻底免除在员工离职时轮换密码的操作开销。转向 EAP-TLS 可以完全消除密码重置工单,从而为服务台释放大量的生产力时间。

此外,802.1X 允许在单个 SSID 上实现基于身份的网络隔离。无需为 Guest WiFi 、员工和运营广播独立的网络,单个 SSID 即可根据客户端的凭据安全地路由流量。这减少了信道干扰并提高了整体网络性能,直接支持了 Purple 的云端覆盖方法来进行与硬件无关的网络管理。如需更深入地了解分析,请探索我们的 WiFi Analytics 功能。

Définitions clés

Supplicant 802.1X

Le composant logiciel sur un appareil client qui gère le processus d'authentification requis pour rejoindre un réseau protégé par la norme IEEE 802.1X.

Les équipes informatiques configurent le supplicant pour définir comment un appareil prouve son identité au réseau.

Authentificateur

L'appareil réseau (commutateur ou point d'accès) qui bloque le trafic jusqu'à ce que le supplicant s'authentifie avec succès.

Le matériel de fournisseurs comme Cisco Meraki ou HPE Aruba agit comme authentificateur, relayant les messages entre l'appareil et le serveur.

RADIUS

Remote Authentication Dial-In User Service. Le serveur qui vérifie les identifiants fournis par le supplicant.

Le serveur RADIUS vérifie l'identité par rapport à des annuaires comme Okta ou Microsoft Entra ID avant d'accorder l'accès.

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Une méthode d'authentification nécessitant des certificats numériques à la fois du client et du serveur.

Considéré comme la méthode la plus sécurisée pour les réseaux d'entreprise, éliminant le besoin de mots de passe.

PEAP

Protected Extensible Authentication Protocol. Une méthode d'authentification qui crée un tunnel TLS sécurisé pour protéger l'authentification basée sur mot de passe.

Couramment utilisé dans les environnements BYOD où le déploiement de certificats clients sur des appareils non gérés est trop complexe.

EAPOL

Extensible Authentication Protocol over LAN. Le protocole utilisé pour encapsuler les messages EAP entre le supplicant et l'authentificateur.

Avant l'authentification, l'EAPOL est le seul type de trafic que l'authentificateur autorise à travers le port.

MAC Authentication Bypass (MAB)

Une méthode d'authentification de repli par laquelle le réseau utilise l'adresse MAC du terminal comme identité.

Utilisé pour les imprimantes, caméras et terminaux IoT qui ne disposent pas d'un supplicant 802.1X.

Assignation VLAN

Le processus de placement dynamique d'un terminal authentifié sur un segment de réseau virtuel spécifique.

Le serveur RADIUS indique à l'authentificateur quel VLAN assigner en fonction de l'identité du supplicant.

Exemples concrets

Un hôtel de 200 chambres doit sécuriser son réseau destiné au personnel. Utilisant actuellement le WPA2-Personal avec un mot de passe partagé, il souhaite passer au 802.1X. Le personnel utilise un mélange d'ordinateurs portables Windows appartenant à l'entreprise et de téléphones personnels Android pour la planification. Comment doivent-ils configurer les supplicants ?

L'hôtel devrait déployer une approche hybride. Pour les ordinateurs portables Windows de l'entreprise, ils doivent utiliser le supplicant Windows natif configuré via Microsoft Intune. Le profil MDM doit envoyer les paramètres EAP-TLS, installer l'autorité de certification racine (Root CA) et automatiser l'enrôlement des certificats clients via SCEP. Pour les téléphones personnels Android, ils doivent déployer un agent d'intégration tiers (comme SecureW2) via un portail en libre-service. L'employé se connecte au portail à l'aide de ses identifiants Microsoft Entra ID, et l'agent configure automatiquement le supplicant Android natif pour PEAP-MSCHAPv2, garantissant ainsi le verrouillage de la validation du certificat du serveur.

Commentaire de l'examinateur : Cette approche équilibre la sécurité et la réalité opérationnelle. L'EAP-TLS est imposé là où le contrôle MDM existe, offrant une sécurité maximale. Le PEAP est utilisé pour le BYOD où la distribution de certificats clients est complexe, mais l'agent d'intégration garantit que le supplicant est configuré de manière sécurisée, atténuant ainsi le risque de points d'accès malveillants.

Une grande chaîne de vente au détail comptant 50 magasins déploie de nouvelles tablettes de point de vente mobiles (POS). La norme PCI DSS exige une isolation stricte du réseau. Comment la configuration du supplicant doit-elle garantir la conformité ?

Les tablettes doivent être gérées via MDM. Le MDM pousse un profil de configuration de supplicant natif imposant l'EAP-TLS. Chaque tablette reçoit un certificat client unique contenant un attribut l'identifiant comme un appareil POS. Lorsque le supplicant de la tablette s'authentifie, le serveur RADIUS lit cet attribut et renvoie une attribution de VLAN spécifiquement pour le segment de réseau conforme PCI. La configuration du supplicant doit être verrouillée afin que le personnel du magasin ne puisse pas modifier les paramètres réseau.

Commentaire de l'examinateur : L'utilisation d'EAP-TLS avec attribution de VLAN basée sur des certificats est la méthode classique pour assurer la conformité PCI sur les réseaux sans fil. Cela élimine l'erreur humaine de la segmentation du réseau et garantit que l'appareil ne peut pas être connecté accidentellement aux réseaux moins sécurisés du personnel ou des invités de la [Vente au détail](/industries/retail).

Questions d'entraînement

Q1. Votre organisation déploie PEAP-MSCHAPv2 pour un nouveau réseau BYOD destiné au personnel. Lors des tests, vous remarquez que les terminaux peuvent se connecter à un point d'accès de test diffusant le même SSID, alors même qu'il n'est pas connecté à votre serveur RADIUS. Quelle étape de configuration du supplicant a été omise ?

Conseil : Réfléchissez à la manière dont le supplicant vérifie l'identité du réseau avant d'envoyer les identifiants MSCHAPv2.

Voir la réponse type

Le supplicant n'a pas été configuré pour valider le certificat du serveur. Dans PEAP, le supplicant doit être explicitement configuré pour faire confiance à l'autorité de certification (CA) racine spécifique qui a émis le certificat du serveur RADIUS, et pour vérifier le nom de domaine du serveur. Sans cela, le supplicant établira un tunnel TLS avec n'importe quel serveur présentant un certificat, exposant les identifiants de l'utilisateur à un point d'accès malveillant.

Q2. Une université migre son parc d'ordinateurs portables Windows managés de PEAP vers EAP-TLS. Elle déploie le nouveau profil de configuration via MDM, mais tous les terminaux échouent à s'authentifier. Les journaux RADIUS indiquent « EAP-TLS failed SSL/TLS handshake ». Quelle est la cause la plus probable ?

Conseil : EAP-TLS nécessite une authentification mutuelle. De quoi le client a-t-il besoin qu'il n'avait pas besoin pour PEAP ?

Voir la réponse type

Les terminaux clients ne disposent pas d'un certificat client valide. EAP-TLS exige que le supplicant présente un certificat au serveur RADIUS. Le profil MDM doit être configuré non seulement pour définir la méthode EAP sur TLS, mais aussi pour déclencher un protocole comme SCEP afin de demander et d'installer un certificat client à partir de la PKI de l'organisation avant de tenter de s'authentifier.

Q3. Vous devez connecter 50 téléviseurs connectés au réseau dans un environnement [Healthcare](/industries/healthcare). Les téléviseurs ne prennent en charge que le WPA2-Personal (clé prépartagée) et n'ont pas de supplicant 802.1X. Comment sécurisez-vous leur accès tout en maintenant le 802.1X pour les terminaux du personnel ?

Conseil : Si le terminal ne peut pas communiquer en EAP, l'authentificateur doit l'identifier d'une autre manière.

Voir la réponse type

Vous devez utiliser le MAC Authentication Bypass (MAB). L'authentificateur utilisera l'adresse MAC du téléviseur connecté comme identifiant et mot de passe envoyés au serveur RADIUS. Les adresses MAC pouvant être usurpées, le serveur RADIUS doit être configuré pour affecter ces terminaux à un VLAN IoT isolé et hautement restreint qui n'autorise que le trafic nécessaire.

Continuer la lecture de cette série

Serveur RADIUS : un guide complet pour les entreprises

Ce guide fournit aux responsables informatiques, architectes réseau et directeurs techniques une référence technique définitive sur l'authentification serveur RADIUS pour le WiFi d'entreprise. Il couvre le framework AAA, l'architecture 802.1X, la sélection de la méthode EAP, les arbitrages de déploiement entre cloud et sur site, ainsi que l'attribution dynamique de VLAN. Les exploitants de sites dans l'hôtellerie, le commerce, l'événementiel et le secteur public y trouveront des conseils de mise en œuvre pratiques, des études de cas réelles et les cadres décisionnels nécessaires pour migrer de clés prépartagées non sécurisées vers une architecture de contrôle d'accès réseau sécurisée et basée sur l'identité.

Lire le guide →

Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement

Un guide technique complet détaillant l'architecture de co-déploiement d'Aruba ClearPass et de Purple WiFi. Il traite de la configuration du proxy RADIUS, de l'attribution dynamique de VLAN et des meilleures pratiques pour fournir des réseaux d'invités sécurisés et axés sur l'analyse de données aux côtés du contrôle d'accès réseau (NAC) d'entreprise.

Lire le guide →

Cisco ISE vs. Purple WiFi : comparaison et complémentarité

Ce guide explique comment Cisco ISE et Purple WiFi remplissent des rôles distincts mais complémentaires au sein des réseaux d'entreprise. Il détaille comment utiliser Cisco ISE pour un accès d'entreprise sécurisé 802.1X tout en tirant parti de Purple pour un WiFi invité conforme au GDPR, des analyses marketing et l'intégration CRM.

Lire le guide →