Passer au contenu principal

Qu'est-ce que Cloud RADIUS ? Le guide complet du RADIUS-as-a-Service

Ce guide complet explore Cloud RADIUS (RADIUS-as-a-Service), détaillant son architecture, ses méthodes EAP et ses stratégies d'implémentation. Il fournit aux responsables IT des conseils pratiques pour migrer de serveurs sur site vers un modèle d'authentification basé sur le cloud, évolutif, sécurisé et conforme.

📖 5 min de lecture📝 1,077 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Qu'est-ce que Cloud RADIUS ? Un guide complet du RADIUS-as-a-Service. Bienvenue dans le Podcast Purple WiFi Intelligence. Je suis votre hôte et, aujourd'hui, nous faisons un point approfondi sur Cloud RADIUS - ce que c'est, comment cela fonctionne sous le capot et, surtout, comment évaluer si c'est la bonne solution pour votre organisation ce trimestre. Que vous gériez un groupe hôtelier, un parc de points de vente, un stade ou un réseau du secteur public, ce sujet vous concerne. Plantons le décor. Introduction et contexte. Si vous avez déjà dû expliquer à un conseil d'administration pourquoi votre serveur d'authentification réseau est tombé en panne à 2 heures du matin - et pourquoi il a fallu trois heures pour le remettre en service - vous comprenez déjà le problème fondamental que Cloud RADIUS résout. L'infrastructure RADIUS sur site traditionnelle est puissante, mais elle entraîne des coûts opérationnels importants. Du matériel à acquérir, des cycles de correctifs à gérer, une redondance à concevoir manuellement et un point de défaillance unique situé dans votre salle de serveurs. Cloud RADIUS, ou RADIUS-as-a-Service, déplace cette couche d'authentification vers un environnement cloud managé et hautement disponible. Le protocole lui-même - Remote Authentication Dial-In User Service - n'a pas changé. Il reste le pilier du contrôle d'accès réseau IEEE 802.1X, toujours le mécanisme utilisé par vos points d'accès pour valider qui accède à votre réseau. Mais l'infrastructure qui l'exécute est désormais gérée par un tiers. Et dans l'informatique d'entreprise, c'est un changement important. Entrons donc dans les détails techniques. Analyse technique approfondie. RADIUS a été défini à l'origine dans la RFC 2865, publiée en 2000, et il est resté remarquablement durable. Le protocole fonctionne sur un modèle client-serveur. Votre équipement d'accès réseau - qu'il s'agisse d'un point d'accès WiFi, d'un concentrateur VPN ou d'un commutateur filaire - agit en tant que client RADIUS, également appelé serveur d'accès réseau ou NAS. Lorsqu'un utilisateur tente de se connecter, le NAS transmet un paquet Access-Request au serveur RADIUS, qui valide les identifiants par rapport à un annuaire d'utilisateurs - généralement Active Directory, LDAP ou un fournisseur d'identité cloud - et renvoie un Access-Accept ou un Access-Reject. C'est l'échange de base. Mais la véritable complexité réside dans ce qui se passe autour : méthodes EAP, attribution de VLAN, application des règles, enregistrements de comptabilité et gestion des certificats. Dans un déploiement sur site traditionnel, vous exécutez FreeRADIUS ou Microsoft NPS sur du matériel dédié, en gérant vos propres certificats, en configurant votre propre basculement et en maintenant la synchronisation de votre propre base de données utilisateurs. Pour un déploiement sur un seul site avec une équipe informatique compétente, c'est gérable. Pour un parc de points de vente de 50 sites ou un groupe hôtelier possédant des établissements dans plusieurs pays, cela devient une charge opérationnelle importante. Le Cloud RADIUS simplifie tout cela. La logique d'authentification, l'infrastructure de certificats, la redondance et le moteur de politiques sont tous fournis sous forme de service managé. Vos points d'accès pointent vers des terminaux RADIUS hébergés dans le cloud - généralement une adresse IP principale et secondaire - et le service gère tout le reste en arrière-plan. Parlons maintenant des méthodes d'authentification, car c'est là que les décisions techniques importent vraiment. La méthode EAP la plus courante dans le WiFi d'entreprise est PEAP - Protected EAP - qui encapsule MSCHAPv2 dans une session TLS. Elle est largement supportée, fonctionne nativement avec Active Directory et constitue le choix par défaut pour la plupart des appareils Windows et Android. Cependant, PEAP présente des vulnérabilités connues, notamment au niveau de la validation des certificats. Si vos appareils clients ne sont pas configurés pour vérifier le certificat du serveur, vous êtes exposé à des attaques de collecte d'identifiants via des points d'accès malveillants. EAP-TLS est la référence absolue. Il utilise une authentification mutuelle par certificat - le serveur et le client présentant tous deux des certificats - ce qui élimine totalement la surface d'attaque sur les mots de passe. Le compromis réside dans le déploiement des certificats clients, qui nécessite une infrastructure PKI et une intégration MDM. Pour les parcs d'appareils managés, c'est absolument le bon choix. Pour les environnements BYOD, c'est plus complexe. EAP-TTLS et EAP-FAST méritent également d'être connus. Le TTLS est particulièrement courant dans les environnements où vous devez prendre en charge une large gamme d'appareils clients, y compris les systèmes Linux. EAP-FAST a été développé par Cisco comme une alternative à PEAP qui évite la dépendance à la validation des certificats, en utilisant à la place des Protected Access Credentials. Un service Cloud RADIUS bien conçu prend en charge toutes ces méthodes et vous permet de configurer des politiques par SSID - ainsi, votre SSID d'entreprise utilise EAP-TLS avec validation de certificat, votre SSID personnel utilise PEAP avec Active Directory, et votre réseau invité utilise un Captive Portal ou un flux de connexion via les réseaux sociaux entièrement distinct de la pile RADIUS. À ce propos, le RADIUS et le WiFi invité sont souvent confondus, mais ils répondent à des objectifs différents. Le RADIUS est votre couche d'authentification et d'autorisation pour les utilisateurs et appareils connus. Le WiFi invité utilise généralement un flux de Captive Portal, qui est un mécanisme entièrement différent. La plateforme de Purple, par exemple, gère l'authentification des invités via une couche d'identité distincte, capturant des données de première main et permettant l'automatisation du marketing, tandis que RADIUS gère le contrôle d'accès au réseau de l'entreprise et du personnel. Ce sont des systèmes complémentaires et non concurrents. Parlons maintenant de ce que signifie concrètement l'expression "hébergé dans le cloud". Un service RADIUS-as-a-Service correctement architecturé fonctionne sur plusieurs zones de disponibilité, avec basculement automatique. Les requêtes d'authentification sont réparties par équilibrage de charge sur plusieurs nœuds, et le service maintient des temps de réponse inférieurs à 100 millisecondes, même en cas de charge maximale. Pour un stade gérant 40 000 connexions simultanées lors d'un événement, ce profil de latence et de débit est critique. Un simple serveur sur site ne peut tout simplement pas rivaliser avec une telle élasticité. Du point de vue de la conformité, les fournisseurs de RADIUS-as-a-Service opérant au Royaume-Uni et dans l'UE doivent être conformes au GDPR dans leur gestion des journaux d'authentification et des données utilisateur. Pour les environnements de vente au détail et d'hôtellerie qui traitent également des données de cartes de paiement, les exigences PCI-DSS relatives à la segmentation du réseau et au contrôle d'accès sont directement applicables - RADIUS fait partie de votre environnement de contrôle, et votre QSA voudra des preuves de configuration correcte et de journalisation d'audit. Le WPA3 mérite également d'être abordé. La transition du WPA2 au WPA3 introduit l'authentification simultanée d'égaux - SAE - pour les réseaux personnels, et le WPA3-Enterprise pour les environnements d'entreprise. Le WPA3-Enterprise impose un mode de sécurité 192 bits pour la classification la plus élevée, ce qui nécessite des méthodes EAP et des suites de chiffrement spécifiques. Un service RADIUS-as-a-Service doit prendre en charge ces configurations pour être pérenne. Recommandations de mise en œuvre et pièges à éviter. Passons maintenant à la pratique. Si vous évaluez un RADIUS-as-a-Service pour un déploiement ce trimestre, voici les points sur lesquels je me concentrerais. Premièrement, l'intégration avec votre fournisseur d'identité. Votre service RADIUS-as-a-Service doit se synchroniser avec l'emplacement réel de vos utilisateurs, qu'il s'agisse de Microsoft Entra ID (anciennement Azure AD), Google Workspace, Okta ou d'un Active Directory sur site via un proxy LDAP. La qualité de cette intégration détermine votre charge opérationnelle. Un provisionnement natif SAML ou SCIM est bien préférable à des importations manuelles de fichiers CSV. Deuxièmement, la gestion des certificats. Si vous déployez EAP-TLS, vous devez avoir une réponse claire sur la manière dont les certificats clients sont émis, renouvelés et révoqués. Les meilleurs services RADIUS-as-a-Service incluent une PKI intégrée ou s'intègrent proprement avec votre autorité de certification existante. L'expiration des certificats est l'une des causes les plus courantes d'échec d'authentification sur le WiFi d'entreprise - elle est entièrement évitable grâce à une automatisation appropriée. Troisièmement, la compatibilité des équipements réseau. Vos points d'accès doivent prendre en charge l'authentification RADIUS - ce que font pratiquement tous les points d'accès de classe entreprise - mais vous devez vérifier les méthodes EAP spécifiques et les attributs RADIUS pris en charge par le service choisi par rapport à l'implémentation du fournisseur de vos points d'accès. Cisco, Aruba, Juniper Mist et Ruckus ont tous leurs propres nuances dans la gestion des attributs RADIUS et des messages CoA - Change of Authorisation.Quatrièmement, la configuration de la redondance. Configurez toujours une IP de serveur RADIUS principale et secondaire. Le délai d'expiration de basculement sur vos appareils NAS est important - s'il est configuré trop haut, les utilisateurs subiront un retard d'authentification de 30 secondes lorsque le serveur principal est inaccessible. Un délai d'expiration de 3 à 5 secondes avec un basculement immédiat est la bonne configuration pour la plupart des environnements. Cinquièmement - et c'est celui que les gens oublhent - la comptabilisation (accounting). Les enregistrements de comptabilisation RADIUS constituent votre piste d'audit. Ils vous indiquent qui s'est connecté, depuis quel appareil, à quelle heure et pendant combien de temps. À des fins de conformité, en particulier dans les environnements de santé et du secteur public, ces enregistrements doivent être conservés et accessibles. Assurez-vous que votre fournisseur de Cloud RADIUS vous donne accès aux données de comptabilisation, et pas seulement aux journaux d'authentification. Pièges courants : la complexité du secret partagé. Votre secret partagé RADIUS - la clé pré-partagée entre votre NAS et le serveur RADIUS - doit être long et aléatoire. Des secrets partagés courts ou faciles à deviner constituent un véritable vecteur d'attaque. Utilisez au moins 32 caractères, générés de manière aléatoire, et changez-les régulièrement. Faites également attention à la mise sur liste blanche des IP. De nombreux services Cloud RADIUS vous obligent à inscrire sur liste blanche les IP sources de vos appareils NAS. Dans un environnement cloud dynamique où votre plateforme de gestion d'AP peut utiliser le NAT, cela peut provoquer des échecs d'authentification inattendus. Confirmez le comportement NAT de votre réseau avant le déploiement. Questions-réponses rapides. Laissez-moi passer en revue quelques questions que l'on me pose régulièrement. Le Cloud RADIUS peut-il prendre en charge les environnements multi-locataires ? Oui - la plupart des services Cloud RADIUS d'entreprise prennent en charge l'isolation des locataires, de sorte qu'un fournisseur de services gérés peut exécuter des politiques RADIUS distinctes pour plusieurs clients à partir d'une plateforme unique. Quelle est la latence typique pour une authentification Cloud RADIUS ? Moins de 100 millisecondes pour un service bien conçu. La négociation 802.1X elle-même ajoute une certaine surcharge, mais pour la plupart des méthodes EAP, le temps total d'authentification devrait être inférieur à 500 millisecondes de bout en bout. Le Cloud RADIUS fonctionne-t-il avec OpenRoaming ? Oui. OpenRoaming - le cadre de roaming de la Wireless Broadband Alliance - utilise la fédération RADIUS à la base. Un service Cloud RADIUS qui prend en charge Hotspot 2.0 et OpenRoaming permet à vos utilisateurs de s'authentifier automatiquement sur les réseaux participants à l'échelle mondiale. Purple prend en charge OpenRoaming sous sa licence Connect, en agissant comme un fournisseur d'identité dans la fédération. Le Cloud RADIUS est-il adapté aux environnements hautement sécurisés ? Pour la plupart des environnements d'entreprise, oui. Pour les environnements contenant des données classifiées ou des classifications de sécurité gouvernementales spécifiques, vous devrez peut-être évaluer si un service cloud géré répond à vos exigences d'accréditation spécifiques. Résumé et prochaines étapes. Pour résumer : Cloud RADIUS est une approche mature et prête pour la production en matière de contrôle d'accès réseau, qui élimine la charge opérationnelle de l'infrastructure RADIUS sur site sans compromettre la sécurité ni les fonctionnalités. Pour les organisations multi-sites, l'analyse du ROI est simple - vous éliminez les dépenses d'investissement matériel, réduisez les frais généraux informatiques, bénéficiez d'une redondance intégrée et obtenez un service qui s'adapte à l'évolution de votre parc. Les décisions clés sont les suivantes : quelle méthode EAP est la mieux adaptée à votre flotte d'appareils, comment vous intégrer à votre fournisseur d'identité existant, et si le service choisi vous offre les capacités de conformité et d'audit requises par votre organisation. Si vous gérez un groupe hôtelier, une chaîne de magasins ou des réseaux du secteur public, je vous recommande de commencer par une preuve de concept sur un seul site - configurez correctement votre RADIUS, validez l'intégration avec votre fournisseur d'identité et mesurez la latence d'authentification avant de déployer la solution sur l'ensemble de votre parc. Pour en savoir plus sur l'analyse WiFi, la gestion des réseaux invités et la manière dont la plateforme de Purple s'intègre à l'authentification basée sur RADIUS, visitez purple.ai. Merci pour votre écoute.

header_image.png

Synthèse

Pour les réseaux d'entreprise modernes, l'architecture RADIUS (Remote Authentication Dial-In User Service) sur site traditionnelle constitue un goulot d'étranglement opérationnel majeur. La gestion des serveurs physiques, les correctifs des systèmes d'exploitation, la gestion des autorités de certification et la conception de la redondance multi-sites consomment de précieuses ressources informatiques. Le Cloud RADIUS (ou RADIUS-as-a-Service) résout ce problème en migrant la couche d'authentification IEEE 802.1X vers une infrastructure cloud gérée et hautement disponible. Ce guide propose une vue d'ensemble technique complète du Cloud RADIUS pour les responsables informatiques, les architectes réseau et les directeurs de la technologie qui évaluent les stratégies de déploiement. En passant d'un modèle lourd en investissements et géré manuellement à un modèle élastique et distribué à l'échelle mondiale, les entreprises des secteurs du commerce de détail , de l'hôtellerie et des transports peuvent appliquer des politiques d'accès strictes, se mettre en conformité (notamment avec la norme PCI-DSS et le GDPR) et s'intégrer de manière fluide aux fournisseurs d'identité modernes tels que Microsoft Entra ID et Google Workspace.

Analyse Technique Approfondie

L'Évolution de l'Architecture RADIUS

Le protocole RADIUS, défini à l'origine dans la RFC 2865, fonctionne sur un modèle client-serveur dans lequel un serveur d'accès réseau (NAS) - tel qu'un point d'accès WiFi ou un concentrateur VPN - transmet les demandes d'authentification à un serveur central. Historiquement, cela nécessitait le déploiement de FreeRADIUS ou de Microsoft Network Policy Server (NPS) sur du matériel dédié. Bien que cela soit viable pour les déploiements sur un seul site, l'extension de cette architecture à des environnements distribués introduit des défis majeurs en matière de latence et de redondance.

Le Cloud RADIUS masque l'infrastructure sous-jacente. Les demandes d'authentification sont acheminées vers des points de terminaison cloud distribués à l'échelle mondiale, garantissant des temps de réponse inférieurs à 100 millisecondes, même lors des pics de charge. Cette élasticité est essentielle pour les environnements à haute densité tels que les stades ou les centres de conférence.

architecture_overview.png

Méthodes EAP et Niveau de Sécurité

Le choix de la méthode EAP (Extensible Authentication Protocol) détermine fondamentalement votre niveau de sécurité :

  • PEAP (Protected EAP) : Établit un tunnel MSCHAPv2 au sein d'une session TLS. Bien que le PEAP soit largement pris en charge et facile à intégrer avec Active Directory, il reste vulnérable au vol d'identifiants via des points d'accès illicites si les appareils clients ne sont pas rigoureusement configurés pour valider le certificat du serveur.
  • EAP-TLS : La référence absolue pour les entreprises. Il nécessite une authentification mutuelle par certificat - le serveur et le client doivent tous deux présenter des certificats valides. Cela élimine totalement les attaques basées sur les mots de passe, mais exige une infrastructure à clés publiques (PKI) robuste et une intégration de gestion des appareils mobiles (MDM) pour le déploiement des certificats.
  • EAP-TTLS et EAP-FAST : Offrent des alternatives adaptées aux scénarios nécessitant une large compatibilité avec les clients (y compris les systèmes hérités ou Linux), ou lorsque des informations d'identification d'accès protégé (PAC) sont nécessaires pour contourner les dépendances de validation de certificat.

Intégration WPA3 et OpenRoaming

Les déploiements modernes doivent prendre en compte WPA3-Enterprise, qui impose un mode de sécurité 192 bits pour le niveau de sécurité le plus élevé, nécessitant des suites de chiffrement spécifiques. De plus, le RADIUS dans le cloud facilite la participation à des frameworks de fédération tels que OpenRoaming. Par exemple, Purple agit en tant que fournisseur d'identité gratuit pour OpenRoaming sous sa licence Connect, permettant une authentification transparente et sécurisée sur les réseaux participants du monde entier.

Guide de mise en œuvre

Le déploiement de RADIUS dans le cloud nécessite une approche systématique pour garantir une interruption de service nulle pendant la transition.

Étape 1 : Intégration du fournisseur d'identité (IdP)

Votre instance RADIUS dans le cloud doit se synchroniser avec votre annuaire d'utilisateurs faisant foi. Le provisionnement natif SAML ou SCIM avec Microsoft Entra ID, Google Workspace ou Okta est préférable aux proxys LDAP manuels ou aux importations CSV. Cela garantit que lorsqu'un employé est retiré du système RH, son accès au réseau est immédiatement révoqué.

Étape 2 : Stratégie de gestion des certificats

Si vous déployez EAP-TLS, définissez le cycle de vie de vos certificats. Choisissez un fournisseur RADIUS dans le cloud qui inclut une PKI intégrée ou qui s'intègre de manière transparente à votre autorité de certification (CA) existante. Automatisez l'émission et la révocation des certificats via votre plateforme MDM (telle qu'Intune ou Jamf) pour éviter les échecs d'authentification causés par des certificats expirés.

Étape 3 : Configuration des équipements réseau

Configurez vos équipements NAS (points d'accès, commutateurs) pour pointer vers les adresses IP principales et secondaires du RADIUS dans le cloud. Assurez-vous que les secrets partagés sont complexes sur le plan cryptographique (un minimum de 32 caractères aléatoires). Ajustez les paramètres de délai d'attente de basculement ; un délai de 3 à 5 secondes est optimal, évitant ainsi des retards d'authentification prolongés si le nœud principal devient inaccessible.

Étape 4 : Définition des politiques

Établissez des politiques par SSID. Par exemple, imposez EAP-TLS pour le réseau d'entreprise, PEAP pour les appareils IoT existants, et isolez l'accès des invités. Notez que RADIUS gère les utilisateurs connus ; pour les visiteurs, déployez une solution de WiFi invité dédiée avec un Captive Portal pour capturer des données de première main, intégrée à une plateforme de WiFi Analytics . Pour en savoir plus sur l'engagement des visiteurs, consultez Comment améliorer la satisfaction des invités : Le guide ultime . comparison_chart.png

Bonnes pratiques

  • Imposer une validation stricte des certificats de serveur : Pour les déploiements PEAP, appliquez des stratégies de groupe ou des profils MDM qui obligent les clients à valider le certificat du serveur RADIUS et limitent la confiance à une autorité de certification (CA) racine spécifique.
  • Segmenter le trafic de comptabilité (accounting) et d'authentification : Assurez-vous que les données de comptabilité RADIUS sont activement surveillées et conservées. Cette piste d'audit est essentielle pour les rapports de conformité (tels que PCI-DSS et HIPAA).
  • Surveiller la latence d'authentification : Une latence élevée indique souvent un routage sous-optimal ou des problèmes de synchronisation de l'IdP. Utilisez des outils de surveillance pour suivre le temps écoulé entre le paquet Access-Request et le paquet Access-Accept.
  • Optimiser la planification des signaux et des canaux : Une authentification fiable dépend d'une couche physique stable. Consultez des guides tels que Comprendre l'RSSI et la force du signal pour une planification optimale des canaux pour vous assurer que votre environnement RF prend en charge un itinérance 802.1X fluide.

Dépannage et atténuation des risques

Même avec un service géré, une mauvaise configuration peut entraîner des échecs d'accès. Les modes de défaillance courants comprennent :

  • Expiration de certificat : La cause principale des échecs EAP-TLS. Atténuation : Mettez en place des alertes automatisées 30 jours avant l'expiration des certificats de l'autorité de certification ou du serveur.
  • Incompatibilité du secret partagé : Se produit généralement lors de l'ajout de nouveaux points d'accès. Atténuation : Standardisez les modèles de configuration dans votre système de gestion de réseau.
  • Problèmes de NAT et de liste d'autorisation d'adresses IP : Les fournisseurs de Cloud RADIUS exigent généralement une liste d'autorisation des adresses IP du NAS. Si vos sites distants utilisent des adresses IP dynamiques ou des configurations NAT complexes, les demandes d'authentification peuvent être rejetées. Atténuation : Utilisez des adresses IP de sortie statiques ou déployez un proxy RADIUS local si nécessaire.
  • Échecs de synchronisation de l'IdP : Si l'annuaire cloud ne parvient pas à se synchroniser avec l'AD sur site, les nouveaux utilisateurs ne pourront pas s'authentifier. Atténuation : Surveillez de manière proactive l'état du connecteur SCIM/LDAP.

ROI et impact commercial

La transition vers le Cloud RADIUS offre une valeur commerciale mesurable :

  1. Réduction des dépenses d'investissement d'infrastructure (Capex) : Pas besoin d'acheter, de racker et d'alimenter des serveurs RADIUS physiques sur chaque site principal.
  2. Diminution des coûts opérationnels : Les équipes informatiques ne passent plus des heures à corriger les vulnérabilités du système d'exploitation ou à gérer manuellement le basculement des serveurs. Les mises à jour gérées par le fournisseur garantissent une conformité continue.
  3. Amélioration de la posture de sécurité : La transition vers EAP-TLS via une PKI cloud réduit le risque de vol d'identifiants, diminuant ainsi directement le coût potentiel d'une violation de données.
  4. Agilité et évolutivité : Lors de l'ouverture d'un nouveau point de vente ou d'un hôtel, l'authentification réseau peut être provisionnée en quelques minutes plutôt qu'en plusieurs semaines. Pour des stratégies de déploiement pratiques, consultez Configuration du WiFi pour les entreprises : Guide pratique 2026 .

Grâce à un contrôle d'accès centralisé, les entreprises sécurisent non seulement leur périmètre, mais libèrent également du temps pour leurs ingénieurs de haut niveau afin qu'ils se concentrent sur des projets stratégiques à fort impact plutôt que sur la maintenance d'infrastructures existantes obsolètes.

Définitions clés

Cloud RADIUS

Un service géré qui héberge le protocole Remote Authentication Dial-In User Service dans un environnement cloud hautement disponible, éliminant ainsi le besoin de serveurs d'authentification sur site.

Évalué par les équipes IT qui cherchent à réduire les dépenses d'investissement matériel et les coûts opérationnels tout en maintenant un accès réseau 802.1X sécurisé.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Une méthode d'authentification hautement sécurisée exigeant que le client et le serveur présentent tous deux des certificats numériques pour prouver leur identité.

La norme recommandée pour les réseaux d'entreprise afin de prévenir les attaques basées sur les mots de passe, nécessitant une PKI et un MDM pour le déploiement.

NAS (Network Access Server)

L'appareil - tel qu'un point d'accès WiFi, un commutateur ou un concentrateur VPN - qui agit comme client RADIUS, transmettant les identifiants de l'utilisateur au serveur RADIUS.

Les ingénieurs réseau doivent configurer le NAS avec les bonnes adresses IP du serveur RADIUS et les secrets partagés pour activer l'authentification 802.1X.

Secret partagé

Une chaîne de texte cryptographique connue uniquement du NAS et du serveur RADIUS, utilisée pour chiffrer les paquets RADIUS et vérifier l'authenticité de l'expéditeur.

Un secret partagé faible constitue une vulnérabilité de sécurité majeure ; les déploiements d'entreprise doivent utiliser des chaînes longues et générées de manière aléatoire.

SCIM (System for Cross-domain Identity Management)

Un standard ouvert qui automatise l'échange d'informations d'identité d'utilisateur entre les systèmes informatiques ou les applications cloud.

Utilisé pour approvisionner et déprovisionner automatiquement les utilisateurs dans l'annuaire Cloud RADIUS lorsque des modifications sont apportées dans le système d'identité RH ou informatique principal.

OpenRoaming

Un cadre de fédération développé par la Wireless Broadband Alliance qui permet aux utilisateurs de se connecter automatiquement et en toute sécurité aux réseaux WiFi participants dans le monde entier.

Les fournisseurs de Cloud RADIUS qui prennent en charge OpenRoaming (comme Purple) permettent aux sites d'offrir une connectivité fluide et sécurisée aux visiteurs sans Captive Portal.

Journaux d'imputation (Accounting Logs)

Enregistrements générés par le serveur RADIUS détaillant les événements de connexion des utilisateurs, y compris l'heure de début, l'heure de fin, les données transférées et l'adresse IP attribuée.

Essentiels pour les audits de sécurité, le dépannage et la démonstration de la conformité avec des cadres tels que PCI DSS et GDPR.

Changement d'autorisation (CoA - Change of Authorization)

Une fonctionnalité RADIUS qui permet au serveur de modifier dynamiquement la session active d'un utilisateur, comme changer son VLAN ou le déconnecter, sans nécessiter de reconnexion.

Utilisé par les administrateurs réseau pour mettre instantanément en quarantaine un appareil compromis ou appliquer de nouvelles restrictions de politique en milieu de session.

Exemples concrets

Un hôtel de 200 chambres utilise actuellement Microsoft NPS sur site pour l'authentification WiFi du personnel via PEAP. L'établissement subit des délais d'attente d'authentification pendant les heures de pointe d'arrivée et souhaite migrer vers Cloud RADIUS avec EAP-TLS pour une meilleure sécurité et fiabilité. Comment le directeur informatique doit-il orchestrer cette migration ?

  1. Déployer un tenant Cloud RADIUS et l'intégrer avec le Microsoft Entra ID de l'hôtel via SCIM pour une gestion automatisée du cycle de vie des utilisateurs. 2. Configurer la PKI intégrée de Cloud RADIUS pour émettre des certificats clients. 3. Utiliser le MDM existant (par ex., Intune) pour déployer l'autorité de certification racine (Root CA), les certificats clients et un nouveau profil WiFi configuré pour EAP-TLS sur tous les appareils du personnel. 4. Configurer les points d'accès de l'hôtel pour pointer vers les IP primaire et secondaire de Cloud RADIUS, en utilisant un secret partagé complexe de 32 caractères. 5. Faire fonctionner l'ancien NPS et le nouveau Cloud RADIUS en parallèle sur des SSID différents pendant une période de transition de deux semaines avant de décommissionner les serveurs sur site.
Commentaire de l'examinateur : Cette approche minimise les risques en exécutant des SSID en parallèle pendant la transition. Le passage à EAP-TLS élimine les risques de vol d'identifiants associés à PEAP, et l'exploitation du MDM pour le déploiement de certificats garantit une friction nulle pour les utilisateurs finaux. L'intégration SCIM garantit que lorsqu'un membre du personnel s'en va, ses accès sont instantanément révoqués.

Une chaîne nationale de vente au détail comptant 500 points de vente doit garantir la conformité PCI-DSS pour ses terminaux de point de vente (POS) qui se connectent via WiFi. Elle migre vers Cloud RADIUS. Quelles configurations spécifiques sont requises pour respecter cette conformité ?

  1. Mettre en œuvre une segmentation réseau stricte : les terminaux POS doivent s'authentifier sur un SSID masqué et dédié, mappé sur un VLAN isolé. 2. Imposer l'authentification EAP-TLS pour tous les terminaux POS afin de garantir une authentification mutuelle et d'empêcher les appareils non autorisés de rejoindre le réseau POS. 3. Configurer le service Cloud RADIUS pour conserver tous les journaux de comptabilité (Access-Accept, Access-Reject, durée de connexion) pendant un an au minimum, comme l'exige la norme PCI-DSS. 4. Veiller à ce que les secrets partagés RADIUS entre les points d'accès distants et le service Cloud RADIUS soient renouvelés tous les 90 jours à l'aide d'un script automatisé.
Commentaire de l'examinateur : Cette solution répond directement aux exigences PCI-DSS en matière de segmentation logique, de contrôle d'accès fort et d'auditabilité. S'appuyer sur le filtrage par adresse MAC est insuffisant pour la conformité ; EAP-TLS fournit la preuve cryptographique requise de l'identité de l'appareil. La conservation des journaux de comptabilité dans le cloud simplifie le processus d'audit pour le QSA.

Questions d'entraînement

Q1. Votre organisation migre d'un Active Directory sur site vers Google Workspace. Vous utilisez actuellement PEAP-MSCHAPv2 pour l'authentification WiFi. Pourquoi est-ce un problème, et quelle est la solution recommandée ?

Conseil : Considérez comment PEAP valide les identifiants par rapport au protocole d'annuaire.

Voir la réponse type

PEAP-MSCHAPv2 s'appuie sur le hachage NT du mot de passe d'un utilisateur, que Google Workspace ne stocke ni n'expose nativement. La solution recommandée consiste à migrer vers EAP-TLS en utilisant un fournisseur de Cloud RADIUS disposant d'une PKI intégrée. Le service Cloud RADIUS peut synchroniser les identités des utilisateurs depuis Google Workspace via SAML/SCIM, et authentifier les appareils à l'aide de certificats clients plutôt que de mots de passe.

Q2. Une succursale signale que les utilisateurs rencontrent des retards de 30 secondes lors de la connexion au réseau WiFi, suivis d'une connexion réussie. L'IP principale du Cloud RADIUS dans cette région est actuellement en maintenance. Quelle erreur de configuration cause ce retard ?

Conseil : Examinez la communication entre le NAS et les serveurs RADIUS.

Voir la réponse type

Le NAS (point d'accès ou commutateur) a un délai d'attente (timeout) du serveur RADIUS configuré trop haut (par exemple, 30 secondes). Il attend que le serveur principal réponde avant de basculer vers le serveur secondaire. Le délai d'attente doit être réduit à 3 - 5 secondes pour garantir un basculement rapide sans impact sur l'expérience utilisateur.

Q3. Vous déployez Cloud RADIUS pour un hôpital. L'équipe de sécurité exige que seuls les appareils appartenant à l'entreprise puissent se connecter au réseau interne, même si un employé connaît un nom d'utilisateur et un mot de passe valides. Comment appliquez-vous cela ?

Conseil : Quelle méthode EAP vérifie l'identité de l'appareil, et pas seulement la connaissance de l'utilisateur ?

Voir la réponse type

Déployez EAP-TLS. Configurez la solution MDM de l'hôpital pour distribuer un certificat client unique uniquement aux appareils enregistrés appartenant à l'entreprise. Configurez la politique Cloud RADIUS pour rejeter toute demande d'authentification qui ne présente pas un certificat valide signé par la PKI interne de confiance, bloquant ainsi efficacement le BYOD ou les appareils non autorisés, quelle que soit la connaissance du mot de passe.

Continuer la lecture de cette série

Les avantages de sécurité de RADIUS as a Service pour les effectifs hybrides

Ce guide de référence technique explique comment RADIUS as a Service sécurise l'accès au réseau pour les effectifs hybrides au sein des sites distribués. Il présente l'architecture, les avantages de sécurité et les étapes de déploiement pour remplacer une infrastructure RADIUS sur site par un service d'authentification géré dans le cloud. Destiné aux responsables informatiques et aux architectes réseau des hôtels, chaînes de magasins, stades et organisations du secteur public, ce guide fournit les éléments requis pour évaluer et mettre en œuvre une migration vers le RADIUS cloud dès ce trimestre.

Lire le guide →

Intégration de RADIUS as a Service avec les annuaires cloud (Azure AD & Google Workspace)

Ce guide de référence technique détaille comment intégrer RADIUS as a Service avec les annuaires cloud - Microsoft Entra ID et Google Workspace - pour l'authentification WiFi d'entreprise. Il couvre la transition architecturale du NPS sur site vers un RADIUS cloud-native, le déploiement de l'authentification EAP-TLS basée sur des certificats, ainsi que les meilleures pratiques opérationnelles pour sécuriser l'accès sans fil dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Pour les responsables informatiques et les architectes réseau déjà investis dans l'identité cloud, ce guide comble le fossé entre la gestion des annuaires et la sécurité du réseau physique.

Lire le guide →

Comment implémenter l'authentification 802.1X avec Cloud RADIUS

Ce guide de référence technique fournit un cadre complet pour implémenter l'authentification 802.1X avec Cloud RADIUS sur l'ensemble des parcs d'entreprises distribués. Il détaille l'architecture, la sélection de la méthode EAP, le séquençage du déploiement et les stratégies de réduction des risques nécessaires pour sécuriser l'accès au réseau tout en éliminant les coûts opérationnels de l'infrastructure sur site.

Lire le guide →