Passer au contenu principal

Qu'est-ce qu'un supplicant 802.1X ? Types de clients et configuration d'appareil

Ce guide explique le rôle du supplicant 802.1X dans l'authentification WiFi d'entreprise. Il couvre l'architecture technique, compare les supplicants natifs des OS avec les clients tiers et fournit des conseils de configuration pratiques pour les équipes informatiques déployant EAP-TLS et PEAP.

📖 5 min de lecture📝 1,091 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Parlez en anglais britannique avec un ton confiant, autoritaire et conversationnel - comme un consultant principal en sécurité réseau informant un client. Rythme mesuré, diction claire, professionnel mais sans rigidité. Pauses naturelles occasionnelles pour insister : Bienvenue dans la série d'informations techniques de Purple. Aujourd'hui, nous allons aborder un sujet qui se trouve au cœur même de la sécurité WiFi d'entreprise - le suppliant 802.1X. Si vous vous êtes déjà demandé pourquoi certains appareils se connectent à votre réseau d'entreprise sans invite de mot de passe, tandis que d'autres génèrent des erreurs de certificat et des tickets d'assistance, cet épisode est fait pour vous. [pause moyenne] Commençons par les bases. Le suppliant 802.1X est le composant logiciel sur un appareil client - un ordinateur portable, un smartphone, une tablette - qui gère la négociation d'authentification lorsque cet appareil tente de rejoindre un réseau protégé par IEEE 802.1X. Considérez-le comme le présentateur de carte d'identité de l'appareil. Le réseau ne laisse pas entrer n'importe qui. Il demande des identifiants. Le suppliant est ce qui s'avance et dit : voici qui je suis, voici mon certificat, laissez-moi entrer. La norme elle-même - IEEE 802.1X - définit le contrôle d'accès réseau basé sur les ports. Avant que l'authentification ne réussisse, le point d'accès ou le commutateur ne laisse passer qu'un type de trafic très restreint : les trames EAPOL, qui signifie Extensible Authentication Protocol over LAN. Tout le reste est bloqué. Une fois que le suppliant a prouvé son identité au serveur RADIUS via l'authentificateur, le port s'ouvre et le trafic normal circule. [pause moyenne] Maintenant, il y a trois acteurs dans cette pièce. Tout d'abord, le suppliant - l'appareil client. Deuxièmement, l'authentificateur - votre point d'accès ou commutateur, du matériel comme Cisco Meraki, HPE Aruba, Ruckus, ou Juniper Mist. Troisièmement, le serveur d'authentification - presque toujours un serveur RADIUS, qui valide les identifiants par rapport à un annuaire comme Microsoft Entra ID ou Okta. Le suppliant lance le processus en envoyant un message EAPOL-Start. L'authentificateur répond par une demande d'identité EAP-Request. Le suppliant répond avec son identité. Cette identité est transmise au serveur RADIUS, qui défie ensuite le suppliant avec la méthode EAP convenue. Si tout est correct, le serveur RADIUS envoie un Access-Accept, le port s'ouvre et l'appareil est placé sur le bon VLAN. [pause moyenne] Parlons des méthodes EAP, car c'est là que se prennent la plupart des décisions de déploiement. EAP-TLS - c'est-à-dire Extensible Authentication Protocol avec Transport Layer Security - est la référence absolue. Il exige que le client et le serveur présentent tous deux des certificats. Une authentification mutuelle. Pas de mots de passe. Le certificat client prouve l'identité de l'appareil ; le certificat serveur prouve que le réseau est légitime, ce qui protège contre les attaques de type "evil twin" où un point d'accès malveillant tente de récupérer des identifiants. EAP-TLS se déroule en douze étapes et utilise la cryptographie à clé publique-privée tout au long du processus. C'est la méthode requise pour WPA3-Enterprise dans son mode de sécurité le plus élevé, et elle s'aligne sur les exigences de la norme NIST SP 800-171 en matière de vérification de l'identité des appareils. PEAP - Protected EAP - est le point de départ le plus courant pour les organisations qui ne disposent pas encore d'une PKI complète. PEAP enveloppe une méthode interne basée sur un mot de passe, généralement MSCHAPv2, à l'intérieur d'un tunnel TLS. Le serveur présente un certificat ; le client n'en présente pas. Cela signifie que le déploiement est plus simple - vous n'avez pas besoin de fournir de certificats clients - mais il est moins sécurisé. MSCHAPv2 utilise le hachage MD4, considéré comme compromis depuis 1995. Si un utilisateur se connecte à un point d'accès malveillant qui présente un certificat d'apparence fiable, ses identifiants peuvent être capturés. La validation du certificat du serveur du côté client est donc non négociable lors de l'exécution de PEAP. [medium pause] Entrons maintenant dans le vif du sujet avec le supplicant lui-même - en particulier le choix entre les supplicants natifs du système d'exploitation et les logiciels clients tiers. Chaque système d'exploitation majeur est livré avec un supplicant 802.1X intégré. Windows le prend en charge nativement depuis XP, via les services Configuration automatique sans fil et Configuration automatique câblée. macOS et iOS gèrent le 802.1X via leurs profils de configuration réseau. Android le prend en charge via le panneau de configuration WiFi. Ces supplicants natifs couvrent EAP-TLS et PEAP-MSCHAPv2 sur toutes les plateformes actuelles. L'avantage des supplicants natifs est évident : pas de logiciel supplémentaire à déployer, pas de coût de licence, des mises à jour de sécurité automatiques de l'OS et une intégration étroite avec le magasin de certificats du système d'exploitation. Pour les flottes d'appareils gérés - les machines Windows enregistrées dans Microsoft Intune, les Mac gérés via Jamf - vous pouvez pousser des profils de configuration 802.1X de manière transparente via MDM, et les utilisateurs ne voient jamais d'invite. L'appareil s'authentifie automatiquement dès qu'il se trouve à portée. Des supplicants tiers entrent en jeu dans des scénarios spécifiques. Si vous utilisez une infrastructure Cisco et souhaitez utiliser EAP-FAST - la méthode EAP propriétaire de Cisco - vous avez besoin du logiciel client de Cisco, historiquement le Secure Services Client ou AnyConnect Network Access Manager. Si vous avez besoin d'une gestion de configuration cohérente sur un parc de systèmes d'exploitation mixtes et souhaitez verrouiller les paramètres du supplicant afin que les utilisateurs ne puissent pas les configurer de manière erronée par accident, un client tiers vous offre ce contrôle. Des outils comme la suite JoinNow de SecureW2 agissent également comme des agents d'intégration - ils configurent le supplicant natif plutôt que de le remplacer, guidant les utilisateurs à travers l'enrôlement des certificats et l'installation des profils. [medium pause] Laissez-moi vous présenter deux scénarios réels pour rendre cela concret. Tout d'abord, un hôtel de 400 chambres. L'établissement gère aujourd'hui un réseau pour le personnel sur WPA2-Enterprise avec PEAP-MSCHAPv2. L'équipe informatique souhaite migrer vers EAP-TLS pour éliminer l'authentification par mot de passe et réduire le risque de vol d'identifiants. Le défi : les appareils du personnel sont un mélange d'ordinateurs portables Windows gérés via Intune, de téléphones personnels Android utilisés pour le logiciel de gestion de l'établissement, et de quelques anciennes machines Windows 7 dans les bureaux de back-office. L'approche ici est progressive. Commencez par le parc Windows géré. Déployez un profil de configuration Intune qui installe le certificat CA racine du serveur RADIUS, configure le profil WiFi pour EAP-TLS, et déclenche l'enrôlement de certificat basé sur SCEP à partir de la PKI interne. Ces appareils s'authentifient automatiquement dès le premier jour. Pour les appareils BYOD Android, déployez un portail d'intégration en libre-service - les utilisateurs visitent une URL, téléchargent un profil de configuration, et le supplicant est configuré pour eux. Les anciennes machines Windows 7 restent sur PEAP avec une validation stricte du certificat de serveur appliquée, isolées sur un VLAN distinct avec un accès limité, jusqu'à leur mise hors service. [medium pause] Second scénario : une grande chaîne de vente au détail de 200 magasins. Chaque magasin dispose d'un mélange de terminaux de point de vente, de tablettes pour le personnel et d'un réseau WiFi pour les invités. La norme PCI-DSS exige que les environnements de données des titulaires de cartes soient isolés des autres segments de réseau. Le détaillant utilise le 802.1X sur les réseaux du personnel et des points de vente, avec une attribution de VLAN basée sur les attributs des certificats. Un terminal de point de vente présente un certificat d'appareil avec une unité organisationnelle "POS" - la politique RADIUS l'affecte au VLAN PCI. Une tablette du personnel présente un certificat avec "Staff" - elle atterrit sur le VLAN du personnel. Les appareils des invités se connectent à un SSID entièrement distinct, géré par une solution de Captive Portal. La configuration du supplicant sur les terminaux de point de vente est verrouillée via MDM. Aucune interaction de l'utilisateur n'est requise. Les terminaux s'authentifient silencieusement au démarrage. Le renouvellement des certificats est automatisé via SCEP, de sorte qu'il n'y a pas d'intervention manuelle à l'expiration des certificats. [medium pause] À présent, les pièges de mise en œuvre. Laissez-moi vous présenter les quatre plus courants. Numéro un : l'absence de validation du certificat du serveur sur les déploiements PEAP. Si vous ne configurez pas le supplicant pour valider le certificat du serveur RADIUS et vérifier le nom du serveur, les utilisateurs risquent de se connecter à un point d'accès malveillant. Spécifiez toujours l'AC racine de confiance et le nom du serveur dans le profil du supplicant. Numéro deux : l'expiration des certificats provoquant des échecs d'authentification massifs. Les certificats clients ont une période de validité. Si vous ne disposez pas d'un renouvellement automatisé via SCEP ou NDES, vous ferez face à un effet de falaise où des centaines d'appareils cesseront de s'authentifier simultanément. Mettez en place l'automatisation du renouvellement avant la mise en production. Numéro trois : les appareils BYOD avec un comportement de supplicant incohérent. Android en particulier présente un support 802.1X fragmenté selon les fabricants. Certaines versions exigent que l'utilisateur installe manuellement le certificat de l'AC avant que le profil WiFi ne l'accepte. Un portail d'intégration qui gère cette étape réduit considérablement le volume de tickets au support. Numéro quatre : les mises à jour des fonctionnalités de Windows 11 qui perturbent la configuration du supplicant. Microsoft a modifié le comportement de 802.1X dans plusieurs mises à jour de Windows 11. Plus précisément, la mise à jour 24H2 a introduit des changements dans la manière dont le supplicant natif gère le repli EAP-TLS. Testez vos profils de supplicant avec les nouvelles versions du système d'exploitation avant de les déployer en production. [pause moyenne] Questions rapides maintenant. Les appareils IoT peuvent-ils prendre en charge 802.1X ? La plupart ne le peuvent pas. Les appareils IoT manquent généralement de supplicant. La solution de repli est le MAC Authentication Bypass - MAB - où le serveur RADIUS authentifie l'appareil en fonction de son adresse MAC. Les adresses MAC pouvant être usurpées, les appareils MAB doivent toujours être placés sur un VLAN IoT isolé avec des règles de pare-feu strictes. Ai-je besoin d'une PKI pour exécuter 802.1X ? Pour PEAP, non - vous avez seulement besoin d'un certificat de serveur sur le serveur RADIUS. Pour EAP-TLS, oui - vous avez besoin d'une PKI pour émettre des certificats clients. Les services PKI basés sur le cloud réduisent considérablement les coûts d'infrastructure. Comment 802.1X interagit-il avec la plateforme d'accès réseau de Purple ? Purple fonctionne comme une surcouche cloud au-dessus de votre matériel existant - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et autres. Sur les réseaux WiFi du personnel, l'extension SecurePass de Purple s'intègre à votre fournisseur d'identité - Microsoft Entra ID, Okta ou Google Workspace - pour appliquer l'authentification 802.1X et déployer des politiques de VLAN par utilisateur sans nécessiter d'infrastructure RADIUS sur site. [pause moyenne] Pour résumer : le supplicant 802.1X est l'agent côté appareil qui permet le bon fonctionnement du contrôle d'accès réseau basé sur les ports. Votre choix de méthode EAP - EAP-TLS pour une sécurité maximale, PEAP comme option de transition - détermine vos besoins en PKI et votre approche de configuration du supplicant. Les supplicants natifs des systèmes d'exploitation couvrent la majorité des scénarios d'appareils gérés lorsqu'ils sont déployés via MDM. Les clients tiers apportent de la valeur dans des cas spécifiques : méthodes EAP propriétaires, parcs de systèmes d'exploitation mixtes nécessitant une configuration cohérente, ou intégration BYOD en libre-service. Les trois points essentiels à retenir : validez le certificat de votre serveur RADIUS sur chaque profil de demandeur, automatisez le renouvellement des certificats avant de déployer EAP-TLS à grande échelle, et isolez les appareils qui ne peuvent pas prendre en charge le 802.1X - IoT, matériel hérité - sur des VLANs dédiés avec le MAC Authentication Bypass comme solution de repli. Pour en savoir plus sur la manière dont Purple s'intègre à votre architecture d'accès réseau, visitez purple dot ai. Merci pour votre écoute.

header_image.png

Synthèse

Lorsqu'un appareil se connecte à un réseau d'entreprise, le supplicant 802.1X est le composant logiciel chargé de prouver son identité. Pour les responsables informatiques et les architectes réseau des grands espaces, comprendre le fonctionnement du supplicant est essentiel pour sécuriser l'accès au réseau sans générer de tickets d'assistance. Ce guide démystifie l'agent côté appareil dans l'authentification IEEE 802.1X, en opposant les fonctionnalités natives du système d'exploitation aux logiciels supplicants tiers. Nous examinerons comment configurer les supplicants pour EAP-TLS et PEAP-MSCHAPv2, explorerons des scénarios de déploiement réels dans l'hôtellerie et le commerce de détail, et détaillerons comment une configuration correcte du supplicant s'intègre aux réseaux basés sur l'identité pour optimiser l'accès. Que vous gériez un hôtel de 200 chambres ou un espace événementiel de plus de 80 000 places, la configuration correcte du supplicant est la pierre angulaire d'un WiFi sécurisé et fiable.

Analyse technique approfondie

La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports. Elle repose sur un principe simple : bloquer tout le trafic à la périphérie du réseau jusqu'à ce qu'un appareil prouve son identité. Le supplicant est le participant côté client dans ce processus.

Les trois composants de 802.1X

L'authentification nécessite trois entités distinctes :

  1. Supplicant : L'appareil client (ordinateur portable, smartphone ou tablette) demandant l'accès au réseau.
  2. Authentificateur : L'appareil d'accès réseau, tel qu'un point d'accès Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist.
  3. Serveur d'authentification : Le serveur RADIUS qui valide les identifiants par rapport à un fournisseur d'identité comme Microsoft Entra ID ou Okta.

Avant l'authentification, le port de l'authentificateur est dans un état non autorisé, ne permettant que le trafic EAPOL (Extensible Authentication Protocol over LAN). Le supplicant lance le processus avec une trame EAPOL-Start. L'authentificateur demande l'identité, et le supplicant répond. Cette identité est transmise au serveur RADIUS, qui détermine la méthode EAP à utiliser. Une fois la validation réussie, le serveur RADIUS envoie un message Access-Accept, le port passe à un état autorisé et l'appareil est généralement attribué à un VLAN spécifique.

architecture_overview.png

Méthodes EAP : Le langage du supplicant

Le supplicant et le serveur RADIUS doivent s'accorder sur une méthode EAP (Extensible Authentication Protocol). Le choix de la méthode EAP dicte le niveau de sécurité et la charge de configuration du supplicant.

EAP-TLS (Transport Layer Security) EAP-TLS nécessite une authentification mutuelle basée sur des certificats. Le suppliant fournit un certificat client pour prouver son identité, et le serveur RADIUS fournit un certificat serveur pour prouver la légitimité du réseau. Cette méthode sans mot de passe élimine le vol d'identifiants et est requise par des cadres de sécurité stricts tels que la norme NIST SP 800-171. Le suppliant doit être configuré pour faire confiance à l'autorité de certification (CA) émettrice et posséder un certificat client valide.

PEAP (Protected EAP) Dans les scénarios où une infrastructure à clés publiques (PKI) complète n'est pas réalisable, PEAP est largement utilisé. Il encapsule une méthode d'authentification interne (généralement MSCHAPv2) dans un tunnel TLS sécurisé. Le serveur RADIUS fournit un certificat, mais le suppliant n'a besoin de fournir qu'un nom d'utilisateur et un mot de passe. Bien que PEAP soit plus facile à déployer, il est très vulnérable à la collecte d'identifiants si le suppliant n'est pas strictement configuré pour valider le certificat du serveur.

Guide d'implémentation

Lors du déploiement de 802.1X, les équipes informatiques doivent choisir entre l'utilisation du suppliant natif intégré au système d'exploitation ou le déploiement d'un logiciel suppliant tiers.

Suppliants natifs de l'OS

Chaque système d'exploitation moderne comprend un suppliant 802.1X natif. Windows utilise les services Wired AutoConfig et WLAN AutoConfig. Les appareils Apple utilisent des profils réseau. Android intègre cela dans ses paramètres WiFi.

Les suppliants natifs sont idéaux pour les flottes gérées. À l'aide de plateformes de gestion des appareils mobiles (MDM) telles que Microsoft Intune ou Jamf, les administrateurs informatiques peuvent pousser silencieusement des profils de configuration qui définissent l'SSID, la méthode EAP, les autorités de certification racines de confiance et les processus d'inscription de certificats via SCEP. L'expérience utilisateur est fluide ; l'appareil s'authentifie en arrière-plan.

Logiciels suppliants tiers

Les suppliants tiers, tels que Cisco AnyConnect Network Access Manager ou SecureW2 JoinNow, sont nécessaires dans des scénarios spécifiques :

  • Protocoles propriétaires : L'utilisation de Cisco EAP-FAST nécessite un suppliant Cisco.
  • Onboarding BYOD : Les outils tiers agissent souvent comme des assistants de configuration, guidant les utilisateurs pour installer des certificats sur des appareils non gérés où la configuration native est complexe (particulièrement dans les environnements Android fragmentés).
  • Contrôle strict de la configuration : Les suppliants tiers peuvent verrouiller les paramètres, empêchant les utilisateurs de désactiver la validation du certificat du serveur.

native_vs_thirdparty_comparison.png

Configuration de la validation du certificat du serveur

Quel que soit le suppliant choisi, la configuration de la validation du certificat du serveur est essentielle, en particulier pour PEAP. Si le suppliant ne valide pas le certificat du serveur RADIUS, il enverra aveuglément des identifiants à un point d'accès malveillant imitant votre SSID. Sous Windows, cela signifie cocher « Valider l'identité du serveur en validant le certificat » dans les propriétés PEAP, sélectionner l'autorité de certification racine de confiance (Root CA) et spécifier les noms de serveur exacts auxquels le client doit s'attendre. Sur les appareils Apple, le profil de configuration doit explicitement lister les certificats de confiance.

Bonnes pratiques

  1. Imposer la validation du serveur : Lors du déploiement de PEAP, ne le faites jamais sans configurer les supplicants pour valider le certificat du serveur RADIUS. C'est la principale ligne de défense contre les attaques de type « evil twin ».
  2. Automatiser le cycle de vie des certificats : Lors de l'utilisation d'EAP-TLS, automatisez l'enrôlement et le renouvellement des certificats clients via MDM à l'aide de SCEP ou NDES. La gestion manuelle des certificats n'est pas évolutive et entraîne des échecs d'authentification soudains.
  3. Ségréguer par identité : Utilisez les attributs RADIUS pour attribuer des VLAN en fonction de l'identité validée. Les appareils des employés et les terminaux de point de vente doivent s'authentifier sur le même SSID mais aboutir sur des VLAN entièrement différents.
  4. Planifier pour l'IoT : La plupart des appareils IoT ne disposent pas de supplicants 802.1X. Pour ces appareils, utilisez le contournement d'adresse MAC (MAB), mais assurez-vous qu'ils soient strictement isolés sur un VLAN IoT dédié.

Dépannage et atténuation des risques

Lorsqu'un appareil ne parvient pas à se connecter, le problème se situe presque toujours au niveau de la configuration du client ou de la chaîne de certificats.

  • « Connecté, pas d'Internet » : Cela indique généralement un échec d'attribution de VLAN ou des problèmes de DHCP post-authentification. Vérifiez les journaux RADIUS pour vérifier que le message Access-Accept contient le bon Tunnel-Private-Group-Id.
  • Échecs silencieux sous Windows 11 : Les récentes mises à jour de fonctionnalités de Windows 11 (telles que la version 24H2) ont modifié la façon dont le supplicant natif gère le repli EAP-TLS. Testez toujours les profils par rapport aux nouvelles versions du système d'exploitation avant un déploiement à grande échelle.
  • Expiration du certificat : Si un groupe d'appareils se déconnecte soudainement, vérifiez la période de validité des certificats clients. Assurez-vous que votre MDM les renouvelle avec succès avant leur expiration.

ROI et impact commercial

La migration vers le 802.1X avec des supplicants correctement configurés offre une valeur commerciale mesurable. En éliminant les mots de passe partagés (Pre-Shared Keys/PSK), vous supprimez complètement la charge opérationnelle liée à la rotation des mots de passe lors du départ d'employés. Le passage à l'EAP-TLS peut éliminer entièrement les tickets de réinitialisation de mot de passe, libérant ainsi un temps de productivité important pour le centre de services.

De plus, le 802.1X permet une isolation réseau basée sur l'identité sur un seul SSID. Au lieu de diffuser des réseaux distincts pour le Guest WiFi , le personnel et les opérations, un seul SSID peut acheminer le trafic de manière sécurisée en fonction des identifiants des clients. Cela réduit les interférences de canaux et améliore les performances globales du réseau, soutenant directement l'approche de superposition cloud de Purple pour une gestion de réseau indépendante du matériel. Pour des analyses plus approfondies, explorez notre fonctionnalité de WiFi Analytics .

Définitions clés

Supplicant 802.1X

Le composant logiciel sur un appareil client qui gère le processus d'authentification requis pour rejoindre un réseau protégé par la norme IEEE 802.1X.

Les équipes informatiques configurent le supplicant pour définir comment un appareil prouve son identité au réseau.

Authentificateur

L'équipement réseau (commutateur ou point d'accès) qui bloque le trafic jusqu'à ce que le supplicant s'authentifie avec succès.

Le matériel de fournisseurs comme Cisco Meraki ou HPE Aruba agit comme authentificateur, relayant les messages entre l'appareil et le serveur.

RADIUS

Remote Authentication Dial-In User Service. Le serveur qui vérifie les identifiants fournis par le supplicant.

Le serveur RADIUS vérifie l'identité par rapport à des annuaires comme Okta ou Microsoft Entra ID avant d'accorder l'accès.

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Une méthode d'authentification nécessitant des certificats numériques à la fois du client et du serveur.

Considéré comme la méthode la plus sécurisée pour les réseaux d'entreprise, éliminant le besoin de mots de passe.

PEAP

Protected Extensible Authentication Protocol. Une méthode d'authentification qui crée un tunnel TLS sécurisé pour protéger l'authentification basée sur mot de passe.

Couramment utilisé dans les environnements BYOD où le déploiement de certificats clients sur des appareils non gérés est trop complexe.

EAPOL

Extensible Authentication Protocol over LAN. Le protocole utilisé pour encapsuler les messages EAP entre le supplicant et l'authentificateur.

Avant l'authentification, EAPOL est le seul type de trafic que l'authentificateur autorise à travers le port.

MAC Authentication Bypass (MAB)

Une méthode d'authentification de repli où le réseau utilise l'adresse MAC de l'appareil comme identité.

Utilisé pour les imprimantes, les caméras et les appareils IoT qui ne disposent pas d'un supplicant 802.1X.

Attribution de VLAN

Le processus de placement dynamique d'un appareil authentifié sur un segment de réseau virtuel spécifique.

Le serveur RADIUS indique à l'authentificateur quel VLAN attribuer en fonction de l'identité du supplicant.

Exemples concrets

Un hôtel de 200 chambres doit sécuriser le réseau de son personnel. Utilisant actuellement WPA2-Personal avec un mot de passe partagé, il souhaite passer au 802.1X. Le personnel utilise un mélange d'ordinateurs portables Windows appartenant à l'entreprise et de téléphones Android personnels pour la gestion des plannings. Comment doivent-ils configurer les supplicants ?

L'hôtel devrait déployer une approche hybride. Pour les ordinateurs portables Windows de l'entreprise, ils doivent utiliser le supplicant Windows natif configuré via Microsoft Intune. Le profil MDM doit pousser les paramètres EAP-TLS, installer la CA racine et automatiser l'enrôlement des certificats clients via SCEP. Pour les téléphones Android personnels, ils doivent déployer un agent d'intégration tiers (comme SecureW2) via un portail en libre-service. Le membre du personnel se connecte au portail à l'aide de ses identifiants Microsoft Entra ID, et l'agent configure automatiquement le supplicant Android natif pour PEAP-MSCHAPv2, garantissant ainsi le verrouillage de la validation du certificat du serveur.

Commentaire de l'examinateur : Cette approche équilibre la sécurité et la réalité opérationnelle. EAP-TLS est imposé là où le contrôle MDM existe, offrant une sécurité maximale. PEAP est utilisé pour le BYOD où la distribution de certificats clients est complexe, mais l'agent d'intégration garantit que le supplicant est configuré de manière sécurisée, atténuant ainsi le risque de points d'accès illégitimes.

Une grande chaîne de vente au détail comptant 50 magasins déploie de nouvelles tablettes de point de vente (POS) mobiles. La norme PCI-DSS exige une isolation stricte du réseau. Comment la configuration du supplicant doit-elle garantir la conformité ?

Les tablettes doivent être gérées via MDM. Le MDM pousse un profil de configuration de supplicant natif imposant EAP-TLS. Chaque tablette reçoit un certificat client unique contenant un attribut l'identifiant comme un appareil POS. Lorsque le supplicant de la tablette s'authentifie, le serveur RADIUS lit cet attribut et renvoie une attribution de VLAN spécifiquement pour le segment de réseau conforme PCI. La configuration du supplicant doit être verrouillée afin que le personnel du magasin ne puisse pas modifier les paramètres réseau.

Commentaire de l'examinateur : L'utilisation d'EAP-TLS avec une attribution de VLAN basée sur des certificats est la méthode classique pour assurer la conformité PCI-DSS sur les réseaux sans fil. Elle élimine l'erreur humaine de la segmentation du réseau et garantit que l'appareil ne peut pas être connecté accidentellement aux réseaux moins sécurisés du personnel ou des clients de [Retail](/industries/retail).

Questions d'entraînement

Q1. Votre organisation déploie PEAP-MSCHAPv2 pour un nouveau réseau BYOD destiné au personnel. Lors des tests, vous constatez que les appareils peuvent se connecter à un point d'accès de test diffusant le même SSID, alors qu'il n'est pas connecté à votre serveur RADIUS. Quelle étape de configuration du supplicant a été omise ?

Conseil : Réfléchissez à la manière dont le supplicant vérifie l'identité du réseau avant d'envoyer les identifiants MSCHAPv2.

Voir la réponse type

Le supplicant n'a pas été configuré pour valider le certificat du serveur. Avec PEAP, le supplicant doit être explicitement configuré pour faire confiance à l'autorité de certification racine (Root CA) spécifique qui a émis le certificat du serveur RADIUS, et pour vérifier le nom de domaine du serveur. Sans cela, le supplicant établira un tunnel TLS avec n'importe quel serveur présentant un certificat, exposant ainsi les identifiants de l'utilisateur à un point d'accès malveillant.

Q2. Une université migre son parc de PC portables Windows gérés de PEAP vers EAP-TLS. Elle déploie le nouveau profil de configuration via MDM, mais tous les appareils échouent à s'authentifier. Les journaux RADIUS indiquent « Échec de la liaison SSL/TLS EAP-TLS ». Quelle est la cause la plus probable ?

Conseil : EAP-TLS nécessite une authentification mutuelle. De quoi le client a-t-il besoin qu'il n'avait pas besoin avec PEAP ?

Voir la réponse type

Les appareils clients ne disposent pas d'un certificat client valide. EAP-TLS exige que le supplicant présente un certificat au serveur RADIUS. Le profil MDM doit être configuré non seulement pour définir la méthode EAP sur TLS, mais aussi pour déclencher un protocole tel que SCEP afin de demander et d'installer un certificat client à partir de la PKI de l'organisation avant de tenter de s'authentifier.

Q3. Vous devez connecter 50 téléviseurs connectés au réseau dans un environnement de [Santé](/industries/healthcare). Les téléviseurs ne prennent en charge que le WPA2-Personal (clé pré-partagée) et n'ont pas de supplicant 802.1X. Comment sécurisez-vous leur accès tout en maintenant le 802.1X pour les appareils du personnel ?

Conseil : Si l'appareil ne peut pas communiquer en EAP, l'authentificateur doit l'identifier d'une autre manière.

Voir la réponse type

Vous devez utiliser le MAC Authentication Bypass (MAB). L'authentificateur utilisera l'adresse MAC du téléviseur connecté comme nom d'utilisateur et mot de passe envoyés au serveur RADIUS. Les adresses MAC pouvant être usurpées, le serveur RADIUS doit être configuré pour attribuer ces appareils à un VLAN IoT isolé et hautement restreint qui n'autorise que le trafic nécessaire.

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →