RADIUS Accounting : suivi des sessions, de l'utilisation et des journaux d'audit

Ce guide fournit une référence technique complète sur le RADIUS accounting. Découvrez comment il enregistre les données de début, de fin et de mise à jour intermédiaire des sessions WiFi, quels attributs sont capturés et comment exploiter ces données pour l'audit de sécurité, la conformité au GDPR et la planification des capacités. Il s'agit d'une lecture essentielle pour les équipes chargées des opérations réseau et de la sécurité qui ont besoin de pistes d'audit fiables pour les événements d'authentification WiFi, ainsi que pour les exploitants de sites souhaitant intégrer les données de session dans des plateformes SIEM et des tableaux de bord analytiques.

📖 9 min de lecture📝 2,044 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce nouveau point technique Purple. Je suis votre hôte et aujourd'hui, nous plongeons au cœur d'un composant essentiel, mais souvent mal compris, de l'infrastructure WiFi d'entreprise : la comptabilité RADIUS (RADIUS Accounting). Plus précisément, nous allons voir comment nous suivons les sessions, surveillons l'utilisation et créons des journaux d'audit robustes. Si vous êtes responsable informatique, architecte réseau ou directeur des opérations d'un site, cet épisode est pour vous. Nous laissons de côté la théorie académique pour passer directement à l'application pratique.

Commençons par les fondamentaux. Pour le CTO qui a besoin d'une présentation rapide : qu'est-ce que la comptabilité RADIUS et en quoi diffère-t-elle de l'authentification RADIUS ?

Pour faire simple, l'authentification est le videur à l'entrée qui vérifie votre pièce d'identité. La comptabilité est le barman qui enregistre combien de temps vous restez et ce que vous consommez. L'authentification utilise le port UDP 1812 et gère l'identité et les modalités d'accès au réseau. La comptabilité utilise le port UDP 1813 et enregistre minutieusement le quoi, le quand et la quantité. Elle suit le début d'une session, sa fin, le nombre d'octets transférés et l'adresse IP attribuée à l'appareil client.

Il s'agit donc de la piste d'audit. Mais comment capture-t-elle exactement ces données ? Quel est le mécanisme ?

Elle s'appuie sur trois principaux types de paquets envoyés depuis le serveur d'accès réseau (Network Access Server) — généralement votre point d'accès ou votre contrôleur sans fil — vers le serveur RADIUS. Ce sont les paquets Accounting-Request. Tout d'abord, vous avez le paquet Start. Il est envoyé dès qu'un utilisateur se connecte avec succès. Il établit l'enregistrement de base dans la base de données de comptabilité, en capturant l'identité de l'utilisateur, l'adresse MAC de l'appareil, l'adresse IP attribuée et le point d'accès auquel l'utilisateur s'est connecté. Ensuite, vous avez le paquet Stop, envoyé lorsque l'utilisateur se déconnecte, contenant les statistiques cumulées finales pour l'ensemble de la session.

Cela semble simple. Start et Stop. Le travail est fait.

Pas tout à fait. S'en remettre uniquement aux paquets Start et Stop représente un risque opérationnel important. Pensez-y : que se passe-t-il si un client se connecte dans un hôtel et reste connecté pendant trois jours ? Si vous ne comptez que sur le Start et le Stop, vous n'avez aucune visibilité sur son utilisation pendant ces trois jours. Ou pire, que se passe-t-il si le point d'accès subit une coupure de courant ? Il n'envoie jamais le paquet Stop, et vous vous retrouvez avec une session obsolète dans votre base de données qui semble toujours active indéfiniment.

Alors, quelle est la solution ?

Le troisième type de paquet : l'Interim-Update. Celui-ci est crucial, et c'est l'élément le plus fréquemment mal configuré dans les déploiements de comptabilité RADIUS. Vous configurez le contrôleur sans fil pour envoyer une mise à jour, par exemple, toutes les 15 minutes pendant une session active. Cela fonctionne comme un battement de cœur (heartbeat) et fournit un instantané de l'utilisation en cours — octets transférés, durée de la session et nombre de paquets. Si le serveur RADIUS cesse de recevoir les mises à jour intermédiaires d'une session particulière, vous savez que la session est interrompue, même si vous n'avez jamais reçu de paquet Stop. La règle d'or ici est simple : sans mise à jour intermédiaire, pas de visibilité.

Parlons maintenant des données elles-mêmes. Quels sont les attributs spécifiques de ces paquets qui s'avèrent si précieux pour les journaux d'audit et les rapports de conformité ?

Il y en a plusieurs de essentiels. L'Acct-Session-Id est la clé primaire qui lie les paquets Start, Interim-Update et Stop pour former un enregistrement de session cohérent. Sans cela, impossible de corréler ces trois types de paquets. Vient ensuite le Calling-Station-Id, qui correspond généralement à l'adresse MAC du client — l'identifiant matériel de l'appareil. Le Framed-IP-Address est l'adresse IP attribuée au client pour cette session. Les attributs Acct-Input-Octets et Acct-Output-Octets mesurent le volume de données reçues de la part du client et envoyées vers celui-ci. Enfin, l'Acct-Terminate-Cause, inclus dans les paquets Stop, indique la raison de la fin de session — qu'il s'agisse d'une déconnexion manuelle de l'utilisateur, d'une expiration pour inactivité ou d'une perte de signal de l'opérateur.

Comment utilisons-nous ces attributs dans un scénario réel ? Prenons l'exemple de la conformité GDPR ou d'une demande d'interception légale.

C'est précisément là que la comptabilisation RADIUS prouve son retour sur investissement. Supposons que les forces de l'ordre s'adressent à une chaîne de magasins et déclarent : une adresse IP de votre réseau WiFi invités a été utilisée pour accéder à du contenu malveillant mardi dernier à 14 h. De qui s'agissait-il ? Si vous ne disposez que des journaux de pare-feu, vous n'avez qu'une adresse IP. Or, les adresses IP changent constamment avec le DHCP. Vous devez associer cette IP à un appareil spécifique à un instant précis. Vous interrogez donc votre base de données de comptabilisation RADIUS. Vous recherchez une session où le Framed-IP-Address correspond à l'IP du journal de pare-feu, et où l'horodatage de l'incident se situe entre l'heure de début (Start) et de fin (Stop) de la session. Cet enregistrement vous fournira le Calling-Station-Id — l'adresse MAC de l'appareil. Vous venez ainsi de lier la couche réseau à la couche de l'appareil. Voilà votre piste d'audit complète.

Examinons un autre scénario : un grand établissement hôtelier. Le secteur de l'hôtellerie est particulièrement exposé à ce sujet. Un hôtel de 300 chambres équipé de salles de conférence peut enregistrer des milliers de sessions WiFi simultanées. L'équipe opérationnelle doit comprendre les périodes de pointe pour planifier la capacité réseau, tandis que l'équipe de conformité doit démontrer que les données des clients sont traitées de manière appropriée conformément au GDPR.

Dans cet environnement, la comptabilisation RADIUS répond à ces deux besoins. Les données de session alimentent une plateforme d'analyse WiFi, qui traduit les octets bruts et les durées de session en indicateurs de fréquentation et en tendances de consommation de bande passante. Parallèlement, ces mêmes données alimentent un module de rapport de conformité capable de démontrer précisément aux auditeurs quelles données ont été collectées, pendant combien de temps elles ont été conservées et comment elles ont été sécurisées.

Ainsi, pour concrétiser tout cela, nous devons extraire ces données du serveur RADIUS pour les injecter dans des systèmes permettant de les interroger et de les exploiter. Comment les équipes doivent-elles concevoir l'architecture de ce pipeline ?La première règle est la suivante : ne laissez pas les journaux stockés dans des fichiers texte bruts sur le serveur RADIUS. Configurez le serveur pour écrire les données de comptabilisation dans une base de données relationnelle structurée — PostgreSQL ou MySQL sont des choix courants. À partir de là, vous disposez de deux voies d'exploitation principales. Premièrement, transférez les journaux vers votre SIEM — Splunk, Microsoft Sentinel ou IBM QRadar — à l'aide de Syslog ou d'une API REST. Cela permet à votre équipe de sécurité de corréler les événements d'authentification WiFi avec les blocages de pare-feu, les alertes de détection d'intrusion ou les déclencheurs de prévention des pertes de données. Deuxièmement, injectez les données dans votre plateforme d'analyse. Purple's WiFi Analytics, par exemple, peut ingérer ces données de session et les transformer en informations exploitables sur la fréquentation, le temps de visite et l'utilisation de la capacité.

Parlons maintenant des pièges courants. Où les déploiements échouent-ils généralement ?

Deux modes de défaillance principaux. Premièrement, comme nous l'avons vu, le fait de ne pas activer du tout les Interim-Updates. C'est étonnamment courant. Les administrateurs configurent correctement l'authentification mais ne touchent jamais aux paramètres de comptabilisation. Deuxièmement, et c'est tout aussi préjudiciable, définir un intervalle d'Interim-Update trop agressif. Si vous avez 10 000 utilisateurs simultanés et que vous définissez l'intervalle sur 1 minute, vous générez 10 000 opérations d'écriture en base de données par minute uniquement pour les mises à jour de comptabilisation. Cela va saturer la capacité d'E/S de votre serveur RADIUS très rapidement. Le juste milieu pour la plupart des déploiements d'entreprise se situe entre 10 et 15 minutes. Cela offre une granularité suffisante pour la visibilité opérationnelle sans créer une charge d'écriture insoutenable.

Passons en revue une série de scénarios rapides.

Premier scénario : Un gestionnaire de site signale que le tableau de bord d'analyse affiche des utilisateurs connectés pendant 48 heures, alors que le site est fermé la nuit.

Il s'agit d'un problème de session expirée non fermée (stale session). Les points d'accès n'envoient pas de paquets Stop — probablement en raison d'un cycle d'alimentation ou d'une interruption du réseau — et les sessions ne sont jamais clôturées dans la base de données. La solution consiste à implémenter un script de nettoyage des sessions mortes sur le serveur RADIUS. Toute session n'ayant pas reçu de mise à jour intermédiaire dans un délai de deux à trois fois l'intervalle configuré doit être automatiquement fermée.

Deuxième scénario : L'équipe de sécurité d'une chaîne de magasins indique que les journaux du pare-feu n'affichent que des adresses IP, ce qui rend impossible l'audit de l'appareil de point de vente spécifique ayant accédé à une IP externe suspecte.

Assurez-vous que les points d'accès sont configurés pour inclure l'attribut Framed-IP-Address dans les paquets de comptabilisation RADIUS, et intégrez cette base de données de comptabilisation RADIUS avec le SIEM pour corréler l'adresse IP à l'adresse MAC.

Troisième scénario : Le serveur RADIUS subit une charge CPU élevée pendant les heures de pointe, ce qui entraîne des retards d'authentification.

Vérifiez d'abord l'intervalle de mise à jour intermédiaire. S'il est configuré sur 1 ou 2 minutes sur un parc important, augmentez-le à 15 minutes. Vérifiez également que la base de données de comptabilité possède des index appropriés sur les colonnes Acct-Session-Id et User-Name. Les tables non indexées entraîneront des analyses complètes de la table à chaque écriture, ce qui est catastrophique à grande échelle. Et envisagez de séparer vos charges de travail d'authentification et de comptabilité sur des instances de serveur dédiées.

Pour conclure, voici les points clés à retenir pour tout responsable informatique ou architecte réseau qui implémente ou audite son infrastructure de comptabilité RADIUS.

Premièrement : la comptabilité RADIUS est distincte de l'authentification. Elle suit les données de session, pas les décisions d'accès. Les deux sont essentiels, mais ils répondent à des objectifs opérationnels et de conformité différents.

Deuxièmement : activez toujours les Interim-Updates. Sans elles, vous n'avez aucune visibilité sur les sessions actives et aucun mécanisme pour détecter les enregistrements obsolètes.

Troisièmement : les trois attributs que vous devez toujours capturer sont Acct-Session-Id, Framed-IP-Address et Calling-Station-Id. Ces trois éléments constituent le fondement de toute piste d'audit significative.

Quatrièmement : exportez vos données de comptabilité. Ne les laissez pas dans des fichiers plats. Écrivez dans une base de données structurée, transférez-les vers un SIEM et intégrez-les dans une plateforme d'analyse.

Cinquièmement : concevez pour l'évolutivité. Un intervalle de mise à jour intermédiaire de 15 minutes est le bon équilibre pour la plupart des déploiements d'entreprise. Ajustez-le en fonction de vos exigences de conformité spécifiques et de la capacité de votre infrastructure.

En résumé : la comptabilité RADIUS n'est pas une option facultative. Dans tout environnement réglementé — hôtellerie, commerce de détail, santé, secteur public — elle est le fondement de votre piste d'audit WiFi. Configurez-la correctement et vous disposerez d'un outil puissant pour la sécurité, la conformité et l'intelligence opérationnelle. Faites une erreur et vous aurez une lacune dans votre piste d'audit qui pourrait s'avérer très coûteuse.

Merci d'avoir écouté le briefing technique Purple. À la prochaine.

Points clés à retenir

✓La comptabilisation RADIUS (RFC 2866) est distincte de l'authentification : elle enregistre les données d'utilisation de la session — durée, octets transférés, attribution d'IP — plutôt que de prendre des décisions de contrôle d'accès.
✓Les trois types de paquets — Start, Interim-Update et Stop — doivent tous être configurés et opérationnels pour obtenir une piste d'audit complète. Les Interim-Updates constituent la configuration la plus fréquemment oubliée.
✓Les attributs Acct-Session-Id, Framed-IP-Address et Calling-Station-Id constituent la piste d'audit minimale viable, permettant la corrélation entre IP et appareil pour la conformité et les enquêtes de sécurité.
✓Les sessions obsolètes (causées par des paquets Stop manquants) doivent être gérées à l'aide d'un script de nettoyage des sessions inactives basé sur la règle de l'intervalle de mise à jour intermédiaire de 2,5x.
✓Les données de comptabilisation RADIUS doivent être exportées vers une base de données structurée et intégrées à un SIEM et à une plateforme d'analyse pour offrir toute leur valeur opérationnelle et de conformité.
✓Pour la conformité avec la PCI DSS, le GDPR et les interceptions légales, la capacité de lier une adresse IP à une adresse MAC à un instant précis est l'exigence fondamentale que remplit la comptabilisation RADIUS.
✓À grande échelle (plus de 5 000 utilisateurs simultanés), séparez les instances de serveurs d'authentification et de comptabilisation, et envisagez une base de données temporelle pour les écritures de comptabilisation afin d'éviter toute dégradation des performances.

Résumé exécutif

Pour les équipes informatiques et d'exploitation réseau des entreprises, l'authentification des utilisateurs sur un réseau WiFi ne représente que la moitié du chemin. Une fois qu'un appareil est connecté, comprendre ce qu'il fait — combien de temps il reste connecté, quelle quantité de données il consomme et quand il se déconnecte — est crucial pour la sécurité, la planification des capacités et la conformité réglementaire. C'est là que la comptabilisation RADIUS devient indispensable. Alors que l'authentification RADIUS gère le qui et le comment de l'accès au réseau, la comptabilisation RADIUS enregistre méticuleusement le quoi, le quand et le combien.

Ce guide propose une analyse technique approfondie de la comptabilisation RADIUS, en explorant les mécanismes des paquets Start, Stop et Interim-Update, ainsi que les attributs qui font leur valeur. Il explique comment les exploitants de sites dans les secteurs de l' Hôtellerie , du Commerce de détail et d'autres domaines peuvent exploiter ces données pour maintenir des pistes d'audit solides, garantir la conformité GDPR et alimenter des informations exploitables dans des plateformes SIEM ou des systèmes de WiFi Analytics . En maîtrisant la comptabilisation RADIUS, les architectes réseau peuvent transformer les journaux de session bruts en actifs stratégiques qui améliorent l'efficacité opérationnelle et réduisent les risques.

Analyse technique approfondie

Comptabilisation RADIUS vs. Authentification RADIUS

Le protocole RADIUS (Remote Authentication Dial-In User Service), défini dans la norme RFC 2865 et étendu pour la comptabilisation dans la norme RFC 2866 , fonctionne sur un modèle client-serveur. Dans un déploiement WiFi d'entreprise classique, le point d'accès (AP) ou le contrôleur LAN sans fil (WLC) fait office de Network Access Server (NAS) — le client RADIUS. Le serveur RADIUS (par exemple, FreeRADIUS, Cisco ISE, Aruba ClearPass) reçoit et traite les requêtes.

La distinction entre l'authentification et la comptabilisation est fondamentale :

Dimension	Authentification RADIUS	Comptabilisation RADIUS
Objectif	Vérifier l'identité et autoriser/refuser l'accès	Enregistrer l'utilisation et l'activité de la session
Port UDP	1812	1813
Référence RFC	RFC 2865	RFC 2866
Types de paquets	Access-Request, Access-Accept, Access-Reject	Accounting-Request (Start/Stop/Interim)
Données capturées	Identifiants, attribution de VLAN, politique	Durée de session, octets transférés, adresse IP
Rôle de conformité	Contrôle d'accès	Piste d'audit, interception légale

Pour les équipes déployant du Guest WiFi à grande échelle, les deux fonctions sont nécessaires — mais la comptabilisation est celle qui vous maintient en conformité et vous protège juridiquement.

Les trois types de paquets de comptabilisation

La comptabilisation RADIUS s'appuie sur trois principaux types de paquets Accounting-Request, chacun étant défini par l'attribut Acct-Status-Type :

Start (Acct-Status-Type = 1) : Envoyé par le NAS lorsqu'un utilisateur se connecte avec succès et qu'une session commence. Il établit l'enregistrement de référence dans la base de données d'accounting, en capturant l'identité de l'utilisateur, l'adresse MAC de l'appareil, l'adresse IP attribuée et l'AP auquel l'utilisateur s'est connecté.
Interim-Update (Acct-Status-Type = 3) : Envoyé périodiquement au cours d'une session active. Ces paquets fournissent des instantanés en temps réel de l'utilisation actuelle — octets transférés, durée de la session et nombre de paquets. Ils agissent comme un signal de présence pour confirmer que la session est toujours active et offrent une visibilité sur les sessions de longue durée sans attendre la déconnexion.
Stop (Acct-Status-Type = 2) : Envoyé à la fin de la session — que ce soit en raison d'une déconnexion initiée par l'utilisateur, d'un redémarrage de l'AP, d'une expiration pour inactivité ou d'une expiration de session. Il contient les statistiques cumulées finales pour l'ensemble de la session.

Figure 1 : Le cycle de vie des paquets d'accounting RADIUS au cours d'une session WiFi.

Attributs d'Accounting Clés

Pour suivre efficacement les sessions et générer des journaux d'audit robustes, le NAS renseigne les paquets Accounting-Request avec des attributs spécifiques. Voici les plus importants sur le plan opérationnel :

Attribut	Description	Pertinence pour la Conformité
Acct-Session-Id	Identifiant unique de session généré par le NAS	Clé primaire pour corréler les enregistrements Start, Interim et Stop
User-Name	Identité authentifiée (nom d'utilisateur ou adresse MAC)	Associe la session à un utilisateur ou appareil spécifique
NAS-IP-Address	Adresse IP de l'AP ou du WLC émetteur	Identifie le segment réseau et l'emplacement physique
Framed-IP-Address	Adresse IP attribuée à l'appareil client	Essentiel pour la corrélation avec les journaux de pare-feu et de proxy web
Calling-Station-Id	Adresse MAC de l'appareil client	Identité au niveau de la couche appareil pour la piste d'audit
Called-Station-Id	Adresse MAC de l'AP et SSID	Identifie l'antenne radio spécifique et le réseau auquel l'utilisateur s'est connecté
Acct-Input-Octets	Octets reçus du client	Surveillance de la bande passante et planification des capacités
Acct-Output-Octets	Octets envoyés au client	Surveillance de la bande passante et planification des capacités
Acct-Session-Time	Durée de la session en secondes	Analyse du temps de présence et facturation
Acct-Terminate-Cause	Raison de la fin de la session	Dépannage et détection d'anomalies

Pour les équipes travaillant avec l' Authentification 802.1X , l'attribut User-Name contiendra l'identité authentifiée issue de l'échange EAP, offrant une piste d'audit plus riche que le simple contournement de l'authentification MAC (MAB).

Guide d'Implémentation

Le déploiement d'une infrastructure de comptabilisation RADIUS robuste nécessite une configuration minutieuse tant au niveau du NAS qu'à celui du serveur RADIUS. Voici une approche neutre vis-à-vis des fournisseurs pour établir un pipeline de comptabilisation fiable.

Étape 1 : Configurer le NAS (points d'accès / contrôleurs)

La configuration du NAS est le point de départ de nombreux échecs de déploiement. Les administrateurs configurent souvent correctement l'authentification, mais laissent la comptabilisation sur les paramètres par défaut ou la désactivent complètement.

Définir le serveur de comptabilisation : Spécifiez l'adresse IP du serveur RADIUS et le secret partagé pour le port UDP 1813. Dans les déploiements à haute disponibilité, configurez un serveur de comptabilisation secondaire pour éviter toute perte de données si le serveur principal devient injoignable.
Activer les mises à jour intermédiaires : C'est l'étape de configuration la plus importante. Définissez un intervalle approprié — généralement de 10 à 15 minutes pour les déploiements d'entreprise. Des intervalles plus courts (par exemple, 1 minute) fournissent des données plus précises mais génèrent une charge d'écriture insoutenable à grande échelle ; des intervalles plus longs (par exemple, 30 minutes) réduisent la charge mais retardent la visibilité sur les sessions actives.
Assurer la synchronisation de l'heure : Configurez le protocole NTP sur tous les appareils NAS et sur le serveur RADIUS. Des horodatages précis sont indispensables pour les journaux d'audit et la corrélation SIEM. Un décalage d'horloge de 5 minutes peut invalider une piste d'audit dans un scénario d'interception légale.

Étape 2 : Configurer le serveur RADIUS

Intégration de la base de données : Configurez le serveur RADIUS pour enregistrer les données de comptabilisation dans une base de données relationnelle structurée (par exemple, PostgreSQL, MySQL) plutôt que dans des fichiers texte plats. Le stockage structuré permet d'effectuer des requêtes et un indexage efficaces, ainsi qu'une intégration aisée avec les systèmes en aval. Assurez-vous que des index existent sur Acct-Session-Id, User-Name, Framed-IP-Address et l'horodatage de début de session.
Politiques de conservation des données : Mettez en œuvre des scripts d'archivage ou de purge automatisés conformes à vos exigences de conformité. L'article 5(1)(e) du GDPR exige que les données ne soient pas conservées plus longtemps que nécessaire ; cependant, les réglementations relatives à l'interception légale dans de nombreuses juridictions (par exemple, l'Investigatory Powers Act 2016 au Royaume-Uni) peuvent exiger une conservation allant jusqu'à 12 mois.

Étape 3 : Créer le pipeline de données

Pour maximiser la valeur des données de comptabilisation, celles-ci doivent être exportées vers des plateformes d'analyse où elles peuvent être interrogées, corrélées et visualisées.

Intégration SIEM : Configurez le serveur RADIUS ou la base de données sous-jacente pour transférer les journaux vers votre SIEM (par exemple, Splunk, Microsoft Sentinel, IBM QRadar) à l'aide de Syslog ou d'une API REST. Cela permet aux équipes de sécurité de corréler les événements d'authentification WiFi avec les blocages de pare-feu, les alertes de détection d'intrusion ou les déclencheurs de prévention des pertes de données.- Intégration Analytics : Alimentez des plateformes comme l'outil de WiFi Analytics de Purple avec des données de session afin de transformer les octets bruts et les adresses MAC en informations exploitables concernant la fréquentation, le temps de présence et les périodes de pointe. Cela est particulièrement précieux pour les opérateurs du Commerce de détail et de l' Hôtellerie qui doivent aligner la dotation en personnel et les investissements d'infrastructure sur les schémas d'utilisation réels.

Figure 2 : Le pipeline de données d'accounting RADIUS, des points d'accès aux plateformes SIEM et d'analytics.

Bonnes Pratiques

Utilisez toujours les mises à jour intermédiaires (Interim Updates). S'appuyer uniquement sur les paquets Start et Stop crée des zones d'ombre opérationnelles. Une connexion coupée ou une panne de courant du point d'accès peut empêcher l'envoi d'un paquet Stop, laissant indéfiniment une session obsolète dans la base de données. Les mises à jour intermédiaires fournissent le mécanisme nécessaire pour détecter et fermer ces sessions obsolètes. La règle empirique : si une session n'a pas envoyé de mise à jour intermédiaire dans un délai correspondant à deux ou trois fois l'intervalle configuré, considérez-la comme terminée.

Corrélez l'accounting RADIUS avec les journaux DHCP. L'accounting RADIUS fournit le Framed-IP-Address, mais les durées de bail DHCP peuvent être plus courtes que la durée des sessions dans certains environnements. Conserver les journaux DHCP aux côtés des journaux RADIUS offre une piste d'audit plus résiliente, en particulier dans les espaces à haute densité où le recyclage d'adresses IP est fréquent.

Sécurisez le transport avec RadSec. Le trafic RADIUS traditionnel est transmis sur UDP avec un chiffrement minimal — seul le champ de mot de passe utilisateur est obscurci. Dans les déploiements distribués, en particulier ceux qui couvrent plusieurs sites ou des serveurs RADIUS hébergés dans le cloud, utilisez RadSec (RADIUS sur TLS, défini dans la RFC 6614) ou des tunnels IPsec pour protéger les données d'accounting en transit. Il s'agit d'une exigence de la norme PCI DSS 4.0 pour tout réseau traitant des données de titulaires de cartes.

Surveillez la file d'attente d'accounting. Si le serveur RADIUS devient inaccessible, les périphériques NAS mettront les paquets d'accounting en attente localement. Surveillez la taille de cette file d'attente ; une file d'attente pleine entraînera la perte de paquets et de données d'audit. Configurez des alertes sur la profondeur de la file d'attente et implémentez un serveur d'accounting secondaire pour les déploiements à haute disponibilité.

Séparez les serveurs d'authentification et d'accounting à grande échelle. Dans les déploiements dépassant 5 000 utilisateurs simultanés, la charge d'écriture générée par l'accounting peut dégrader les temps de réponse d'authentification. Des serveurs d'accounting dédiés avec des instances de base de données distinctes permettent d'éviter ce conflit.

Dépannage et atténuation des risques

Le problème de la session obsolète (Stale Session)

Symptom : La base de données RADIUS indique qu'un utilisateur est connecté depuis 48 heures, alors que l'établissement a fermé ses portes pour la nuit.

Root Cause : Le NAS n'a pas réussi à envoyer un paquet Stop — généralement en raison d'une panne de courant, d'un redémarrage de l'AP ou d'une interruption du réseau — et le paquet n'a jamais été reçu par le serveur RADIUS.

Mitigation : Implémentez un script de nettoyage des sessions mortes sur le serveur RADIUS. Le script doit scanner périodiquement les sessions actives pour lesquelles le dernier paquet reçu (Start ou Interim-Update) est plus ancien qu'un seuil défini (par exemple, 2,5 fois l'intervalle d'Interim-Update). Les sessions dépassant ce seuil doivent être fermées de force avec un enregistrement Stop synthétique, en indiquant comme cause de résiliation "Lost-Carrier" ou "Admin-Reset".

Charge CPU et E/S élevée du serveur RADIUS

Symptom : Les temps de réponse d'authentification se dégradent pendant les heures de pointe ; le serveur RADIUS signale une utilisation élevée de la CPU et des E/S disque.

Root Cause : Un intervalle d'Interim-Update trop agressif (par exemple, 1 minute) sur des milliers d'AP génère un volume insoutenable d'écritures dans la base de données.

Mitigation : Augmentez l'intervalle d'Interim-Update à 15 minutes. Vérifiez que la base de données de comptabilité possède les index appropriés. Envisagez de séparer l'authentification et la comptabilité sur des instances de serveur dédiées. Évaluez si une base de données de séries chronologiques (par exemple, InfluxDB) est plus appropriée qu'une base de données relationnelle pour les données de comptabilité à volume élevé.

Framed-IP-Address manquante dans les enregistrements de comptabilité

Symptom : Les enregistrements de comptabilité RADIUS existent, mais le champ Framed-IP-Address est vide ou absent, ce qui rend la corrélation IP-vers-MAC impossible.

Root Cause : Le NAS peut envoyer le paquet Start avant que le DHCP n'ait attribué une adresse IP au client. L'IP n'est disponible qu'une fois l'échange DHCP terminé.

Mitigation : Configurez le NAS pour retarder l'envoi du paquet Start jusqu'après l'attribution DHCP, si la plateforme le permet. Alternativement, appuyez-vous sur les paquets Interim-Update, qui sont envoyés après l'attribution DHCP et contiendront la Framed-IP-Address. Assurez-vous que vos requêtes d'audit en tiennent compte en vérifiant les enregistrements Interim-Update si l'enregistrement Start manque d'IP.

ROI & Business Impact

La mise en œuvre d'une comptabilité RADIUS robuste offre une valeur commerciale mesurable sur trois dimensions :

Conformité et atténuation des risques juridiques. En cas d'incident de sécurité, de demande d'accès d'une personne concernée en vertu du GDPR ou d'une ordonnance d'interception légale, des journaux de comptabilité précis fournissent la piste d'audit nécessaire pour identifier quel utilisateur ou appareil détenait une adresse IP spécifique à un moment précis. Sans cela, les organisations s'exposent à d'éventuelles sanctions réglementaires en vertu du GDPR (jusqu'à 4 % du chiffre d'affaires annuel mondial) et à des dommages réputationnels. Le coût de la mise en œuvre d'une infrastructure de comptabilité appropriée ne représente qu'une fraction du coût d'une seule mesure d'application de la réglementation.Planification de la capacité et ROI de l'infrastructure. En analysant les tendances de Acct-Input-Octets et Acct-Output-Octets au fil du temps, les architectes réseau peuvent identifier les schémas de consommation de bande passante, les périodes de pointe d'utilisation et les AP ou SSIDs spécifiques qui génèrent la charge la plus élevée. Ces données orientent directement les décisions de mise à niveau du WAN et les stratégies de placement des AP, garantissant que l'investissement dans l'infrastructure est dirigé là où il a le plus d'impact. Pour les hubs de Transport et les grands espaces, cela peut représenter des économies de dépenses d'investissement significatives.

Analyses améliorées et Venue Intelligence. Lorsque les données de session RADIUS sont combinées avec des plateformes comme WiFi Analytics et Sensors de Purple, les données brutes de comptabilité sont transformées en intelligence de site (venue intelligence). Les indicateurs de temps de séjour dérivés de la durée de la session, l'identification des visiteurs récurrents à partir de l'historique Calling-Station-Id et l'analyse de l'occupation de pointe à partir du nombre de sessions simultanées deviennent ainsi disponibles. Pour les opérateurs de l' Hospitality , ces données éclairent directement les modèles de dotation en personnel, l'emplacement de la restauration et les stratégies de personnalisation du marketing. Pour en savoir plus sur la manière dont l'infrastructure WiFi soutient ces capacités, consultez nos guides sur les Wireless Access Points et les Modern Hospitality WiFi Solutions .

Définitions clés

RADIUS Accounting

Le processus de collecte et d'enregistrement des données sur la consommation des ressources réseau par l'utilisateur, y compris les heures de début et de fin de session, le volume de données transféré et l'attribution de l'adresse IP. Défini dans la RFC 2866.

Essentiel pour la facturation, la planification des capacités, la conformité au GDPR et le maintien des pistes d'audit de sécurité dans tout déploiement WiFi d'entreprise.

Acct-Status-Type

Un attribut RADIUS (ID d'attribut 40) qui indique l'objet d'un paquet de comptabilisation. Les valeurs incluent Start (1), Stop (2) et Interim-Update (3).

Utilisé par le serveur RADIUS pour déterminer s'il faut créer un nouvel enregistrement de session, mettre à jour un enregistrement existant ou le fermer. L'attribut le plus fondamental de tout paquet de comptabilisation.

Interim-Update

Un paquet périodique de comptabilisation RADIUS envoyé par le NAS pendant une session active pour signaler les statistiques d'utilisation actuelles, y compris les octets transférés et la durée de la session.

Critique pour le suivi des sessions de longue durée et la détection des sessions obsolètes si un client se déconnecte de manière inattendue sans envoyer de paquet Stop.

Acct-Session-Id

Une chaîne unique générée par le NAS pour identifier une instance de connexion utilisateur spécifique. Cette valeur est cohérente dans tous les paquets de comptabilisation (Start, Interim-Update, Stop) pour la même session.

La clé primaire utilisée pour corréler tous les enregistrements de comptabilisation appartenant à la même session. Sans cela, il est impossible de reconstituer l'historique complet d'une session.

NAS (Network Access Server)

L'appareil — généralement un point d'accès sans fil ou un contrôleur LAN sans fil — qui contrôle l'accès physique au réseau et agit en tant que client RADIUS, générant et envoyant des paquets de comptabilisation.

Le NAS est responsable de l'exactitude et de l'exhaustivité des données de comptabilisation. Une mauvaise configuration au niveau du NAS (par exemple, comptabilisation désactivée, attributs manquants) ne peut pas être corrigée au niveau du serveur RADIUS.

Framed-IP-Address

L'adresse IP attribuée à l'appareil client pour la durée de la session, incluse dans les paquets de comptabilisation RADIUS.

Critique pour corréler les journaux de comptabilisation RADIUS avec d'autres journaux réseau tels que les pare-feu, les proxys web ou les journaux DNS. L'absence de cet attribut rend impossible la corrélation entre l'IP et l'appareil.

Calling-Station-Id

Généralement l'adresse MAC de l'appareil client se connectant au réseau, formatée sous forme de chaîne hexadécimale séparée par des deux-points (par exemple, AA:BB:CC:DD:EE:FF).

Utilisé pour identifier l'appareil physique spécifique, indépendamment de l'adresse IP qui lui est attribuée. L'ancrage au niveau de la couche de l'appareil pour la piste d'audit.

Acct-Terminate-Cause

Un attribut inclus dans les paquets Stop qui spécifie la raison pour laquelle une session a pris fin. Les valeurs courantes incluent User-Request, Lost-Carrier, Idle-Timeout, Session-Timeout et Admin-Reset.

Précieux pour le dépannage des problèmes de connectivité et pour la détection d'anomalies — par exemple, un taux élevé de déconnexions de type Lost-Carrier sur un point d'accès spécifique peut indiquer un problème matériel ou d'interférences.

RadSec

RADIUS sur TLS (Transport Layer Security), défini dans la RFC 6614. Fournit un transport chiffré et authentifié pour les paquets RADIUS, remplaçant le transport traditionnel basé sur UDP.

Requis dans tout déploiement où le trafic RADIUS traverse des réseaux non sécurisés (par exemple, des serveurs RADIUS cloud connectés à Internet). De plus en plus imposé par la norme PCI DSS 4.0 pour les environnements de données de titulaires de cartes.

Exemples concrets

Un hôtel de 300 chambres disposant de salles de conférence déploie un nouveau réseau WiFi pour ses clients. Le responsable informatique doit s'assurer que le déploiement respecte les exigences du GDPR en matière de minimisation des données et d'exhaustivité de la piste d'audit, tout en fournissant à l'équipe marketing des analyses sur le temps de séjour et les visiteurs récurrents. L'hôtel utilise un serveur RADIUS hébergé dans le cloud et des AP Cisco Meraki.

Le déploiement doit être configuré comme suit. Sur le tableau de bord Meraki, accédez à Network-wide > RADIUS servers et ajoutez le serveur RADIUS cloud sur le port 1813 avec un secret partagé fort. Activez l'accounting et réglez l'intervalle de mise à jour intermédiaire sur 15 minutes. Sur le serveur RADIUS, configurez l'accounting pour qu'il écrive dans une base de données PostgreSQL avec le schéma suivant : session_id (clé primaire), user_name, nas_ip, framed_ip, calling_station_id, called_station_id, session_start, session_end, input_octets, output_octets, terminate_cause. Mettez en œuvre une politique de conservation des données qui archive automatiquement les enregistrements de plus de 12 mois vers un stockage à froid et purge les enregistrements de plus de 24 mois, documentée dans le registre des activités de traitement GDPR de l'hôtel. Configurez une intégration avec Purple WiFi Analytics pour ingérer les données de session, permettant ainsi à l'équipe marketing d'accéder aux rapports sur le temps de séjour et aux tableaux de bord de fréquence des visiteurs récurrents. Assurez-vous que le protocole NTP est synchronisé sur tous les AP Meraki et le serveur RADIUS à moins d'une seconde près.

Commentaire de l'examinateur : Ce scénario démontre la double utilité de l'accounting RADIUS : la conformité et l'analyse. L'intervalle de mise à jour intermédiaire de 15 minutes est adapté à un environnement hôtelier où les sessions peuvent durer plusieurs jours. La conception du schéma PostgreSQL garantit que tous les champs pertinents pour le GDPR sont capturés tout en évitant la collecte de données inutiles. La politique de conservation de 12/24 mois équilibre les exigences de la loi britannique sur les pouvoirs d'enquête (Investigatory Powers Act) avec les principes de minimisation des données du GDPR.

Une chaîne de vente au détail comptant 150 magasins doit se conformer aux exigences de la norme PCI DSS 4.0 en matière de surveillance des accès réseau. Leurs terminaux de point de vente utilisent le MAC Authentication Bypass (MAB) sur le réseau WiFi. L'équipe de sécurité a reçu une demande de leur QSA (Qualified Security Assessor) afin de démontrer qu'ils peuvent identifier quel terminal de paiement spécifique a accédé au réseau de paiement à un moment donné, en utilisant uniquement une adresse IP source et un horodatage provenant d'un journal de pare-feu.

La solution nécessite une intégration en trois volets. Tout d'abord, vérifiez que tous les contrôleurs LAN sans fil sont configurés pour inclure l'attribut Framed-IP-Address dans les paquets d'accounting RADIUS. Cette option n'est pas toujours activée par défaut et doit être configurée explicitement. Deuxièmement, intégrez la base de données d'accounting RADIUS à la plateforme SIEM (par exemple, Splunk). Créez une table de correspondance dans Splunk qui associe l'attribut Framed-IP-Address et les plages horaires de session à l'identifiant Calling-Station-Id (adresse MAC). Troisièmement, créez une recherche enregistrée dans Splunk qui accepte une IP source et un horodatage en entrée et renvoie l'adresse MAC correspondante, l'adresse NAS-IP-Address (identifiant le magasin et l'AP), ainsi que le User-Name à partir des enregistrements d'accounting RADIUS. Le QSA pourra alors assister à cette démonstration de flux de travail : pour une entrée de journal de pare-feu indiquant l'IP source 10.5.12.44 à 14:23:07 à une date précise, la recherche renvoie l'adresse MAC du terminal de point de vente, l'AP auquel il était connecté et l'emplacement du magasin.

Commentaire de l'examinateur : Ce scénario met en évidence le rôle critique de l'attribut Framed-IP-Address pour combler le fossé entre l'identité au niveau de la couche réseau (adresse IP) et l'identité au niveau de la couche périphérique (adresse MAC). L'approche par table de correspondance SIEM est la méthode standard de l'industrie pour ce type de corrélation. Notez que dans les environnements avec des durées de bail DHCP très courtes, la corrélation doit utiliser une requête sur une plage horaire plutôt qu'une recherche à un instant précis, car la même IP a pu être attribuée à plusieurs appareils dans un court intervalle.

Questions d'entraînement

Q1. Un responsable informatique d'un hôtel remarque que le tableau de bord d'analyse WiFi affiche très peu d'utilisateurs actifs pendant la journée, alors que le hall et le restaurant sont visiblement très fréquentés. Cependant, les rapports historiques de la veille montrent un pic massif de consommation de données. Les journaux du serveur RADIUS confirment que les paquets Start sont bien reçus, mais la base de données affiche très peu d'enregistrements Interim-Update. Quelle est la mauvaise configuration la plus probable et comment la résoudriez-vous ?

Conseil : Réfléchissez à la manière dont l'utilisation des données est signalée lors d'une session active par rapport au moment de la déconnexion.

Voir la réponse type

La cause la plus probable est que les Interim-Updates sont désactivés ou non configurés sur le contrôleur LAN sans fil (WLC). Sans ces mises à jour intermédiaires, le serveur RADIUS ne reçoit un paquet Start que lorsque l'utilisateur se connecte, et un paquet Stop lorsqu'il se déconnecte. Le tableau de bord analytique ne peut pas afficher l'utilisation en cours car aucune donnée en cours de session n'est transmise. Une fois que les utilisateurs partent et se déconnectent, les paquets Stop arrivent avec le volume total de données cumulées, ce qui provoque ce pic différé dans les rapports historiques. La solution consiste à activer les Interim-Updates sur le WLC et à définir un intervalle approprié — un intervalle de 15 minutes est recommandé pour un environnement hôtelier. Après activation, vérifiez que le serveur RADIUS reçoit bien les paquets Interim-Update en contrôlant la base de données de comptabilité pour y trouver des enregistrements avec Acct-Status-Type = 3.

Q2. Lors de l'enquête sur un incident de sécurité, votre SIEM a signalé qu'une adresse IP sur le réseau WiFi invité a accédé à un serveur de commande et de contrôle connu à 09:47:23 à une date précise. Vous devez identifier l'appareil physique responsable. La durée de votre bail DHCP est configurée sur 30 minutes. Décrivez la logique de requête exacte que vous utiliseriez sur la base de données de comptabilité RADIUS pour identifier l'appareil.

Conseil : Les adresses IP ne sont pas statiques. Vous devez utiliser une requête sur une plage horaire, et non une recherche à un instant précis, et prendre en compte le recyclage des baux DHCP.

Voir la réponse type

Vous devez interroger la base de données de comptabilité RADIUS pour trouver les sessions pour lesquelles : (1) le Framed-IP-Address correspond à l'adresse IP signalée, ET (2) le timestamp session_start est antérieur ou égal à 09:47:23, ET (3) soit le timestamp session_end est postérieur ou égal à 09:47:23, SOIT le session_end est NULL (session toujours active au moment de la requête). Si plusieurs sessions correspondent (ce qui est possible avec un bail DHCP de 30 minutes), examinez les enregistrements Interim-Update pour confirmer quelle session transmettait activement des données à 09:47:23. L'enregistrement de la session correspondante contiendra le Calling-Station-Id (adresse MAC de l'appareil) et le User-Name (identité authentifiée, si 802.1X a été utilisé). Croisez ensuite l'adresse MAC avec votre inventaire d'appareils ou les journaux du serveur DHCP pour identifier l'appareil physique et son propriétaire.

Q3. Vous êtes l'architecte réseau d'un centre de congrès qui accueille des événements comptant jusqu'à 8 000 utilisateurs WiFi simultanés. Votre serveur RADIUS actuel subit une saturation des écritures en base de données lors des pics d'activité, ce qui entraîne des retards d'authentification de 3 à 5 secondes. Votre intervalle actuel de mise à jour intermédiaire est configuré sur 2 minutes. Décrivez un plan de remédiation en plusieurs étapes qui traite à la fois le problème de performance immédiat et le risque architectural sous-jacent.

Conseil : Prenez en compte à la fois les modifications de configuration et les changements architecturaux. L'objectif est de maintenir l'exhaustivité de la piste d'audit tout en réduisant la charge d'écriture.

Voir la réponse type

Le plan de remédiation doit cibler trois niveaux. Premièrement, comme mesure corrective immédiate, augmentez l'intervalle de mise à jour intermédiaire de 2 à 15 minutes sur tous les contrôleurs sans fil. Cela réduit la charge d'écriture de comptabilité d'environ 87 % (passant d'une écriture toutes les 2 minutes à une toutes les 15 minutes par session), ce qui devrait immédiatement soulager la pression d'E/S sur la base de données. Deuxièmement, séparez les charges de travail d'authentification et de comptabilité sur des instances de serveurs dédiées. Le serveur d'authentification gère les paquets Access-Request/Accept/Reject, tandis qu'un serveur de comptabilité dédié gère les paquets Accounting-Request et écrit dans une base de données distincte. Cela évite que la charge d'écriture de la comptabilité n'affecte les temps de réponse de l'authentification. Troisièmement, pour le risque architectural sous-jacent, évaluez si une base de données de séries chronologiques (par exemple, InfluxDB ou TimescaleDB) est plus appropriée qu'une base de données relationnelle pour la charge de travail de comptabilité. Les bases de données de séries chronologiques sont optimisées pour les écritures séquentielles à grand volume et les requêtes par plages de temps, ce qui correspond exactement au modèle de données de comptabilité. Migrez les écritures de comptabilité vers la base de données de séries chronologiques tout en conservant la base de données relationnelle pour les requêtes de rapports de conformité.

Continuer la lecture de cette série

Mesurer le ROI commercial du WiFi invité et du Location Analytics

Ce guide fournit un cadre technique et opérationnel pour mesurer le ROI commercial du WiFi invité et du location analytics. Il détaille comment calculer la valeur des investissements matériels grâce à l'augmentation du temps de séjour, à l'efficacité opérationnelle et à la collecte de données de première partie (first-party) dans le commerce de détail, l'hôtellerie et les espaces publics. Les responsables informatiques, les architectes réseau, les CTO et les directeurs de l'exploitation des sites y trouveront des cadres de mesure concrets, des études de cas réelles et des conseils de conformité pour justifier et maximiser leur investissement WiFi.

Privacy by Design : Anonymiser les données WiFi pour la conformité GDPR

Ce guide de référence détaille l'architecture technique et les stratégies de mise en œuvre pour anonymiser les données WiFi afin de garantir la conformité GDPR. Il fournit aux responsables informatiques et aux architectes réseau des cadres exploitables pour concilier des analyses de site robustes avec des exigences strictes en matière de confidentialité des données.

Heatmapping vs Presence Analytics : Différences techniques

Ce guide technique de référence détaille les différences architecturales et opérationnelles cruciales entre le heatmapping WiFi et les presence analytics pour les exploitants de sites d'entreprise. Il fournit aux responsables informatiques, architectes réseau et directeurs des opérations des cadres de déploiement exploitables, des scénarios d'implémentation réels et des meilleures pratiques neutres vis-à-vis des fournisseurs pour maximiser le ROI de leur infrastructure sans fil existante.