Passer au contenu principal
Français

RadSec : comment RADIUS sur TLS améliore la sécurité de l'authentification WiFi

Cette référence technique de référence explique comment RadSec (RFC 6614) sécurise l'authentification WiFi d'entreprise en encapsulant le trafic RADIUS traditionnel dans un chiffrement TLS. Conçu pour les responsables informatiques et les architectes réseau, ce document présente l'architecture, les stratégies de déploiement et les étapes pratiques pour atténuer les risques liés au trafic RADIUS UDP non chiffré sur les réseaux d'entreprise et invités.

📖 4 min de lecture📝 871 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
RadSec : Comment RADIUS sur TLS améliore la sécurité de l'authentification WiFi Une note d'information Purple Enterprise WiFi Intelligence Durée approximative : 10 minutes --- [INTRODUCTION & CONTEXTE — env. 1 minute] Bienvenue dans la série Purple Enterprise WiFi Intelligence. Je suis votre hôte, et aujourd'hui nous abordons un sujet qui se situe au carrefour de la sécurité réseau et du risque opérationnel : RadSec — formellement défini dans l'RFC 6614 — et pourquoi il devrait figurer sur votre feuille de route d'infrastructure si ce n'est pas déjà le cas. Si vous êtes responsable informatique, architecte réseau ou CTO en charge du WiFi d'entreprise pour un groupe hôtelier, un parc de points de vente, un stade ou un campus du secteur public, cette note d'information vous est destinée. Nous allons expliquer ce qu'est réellement RadSec, pourquoi le protocole RADIUS traditionnel vous expose à des risques, comment déployer RadSec dans un environnement réel et les pièges qui guettent les équipes. Pas de théorie pour le plaisir de la théorie — uniquement les informations dont vous avez besoin pour prendre une décision ce trimestre. C'est parti. --- [ANALYSE TECHNIQUE APPROFONDIE — env. 5 minutes] Commençons donc par le problème. RADIUS — Remote Authentication Dial-In User Service — est le pilier de l'authentification WiFi d'entreprise depuis les années 1990. Lorsqu'un utilisateur ou un appareil se connecte à votre WiFi d'entreprise ou invité, le point d'accès agit comme un client RADIUS, transmettant les demandes d'authentification à un serveur RADIUS, qui valide les identifiants par rapport à votre annuaire — Active Directory, LDAP ou un fournisseur d'identité cloud — et autorise ou refuse l'accès. Il s'agit du modèle d'authentification 802.1X qui sous-tend les réseaux WPA2-Enterprise et WPA3-Enterprise. Le problème est que le RADIUS traditionnel a été conçu pour une autre époque. Il fonctionne sur UDP — User Datagram Protocol — sur les ports 1812 et 1813. UDP est un protocole sans connexion, ce qui signifie qu'il n'y a pas de handshake, pas d'état de session et, surtout, pas de chiffrement natif. La seule protection entre votre point d'accès et votre serveur RADIUS est un secret partagé — essentiellement un mot de passe — utilisé pour masquer le mot de passe de l'utilisateur en transit à l'aide du hachage MD5. Le MD5, comme la plupart d'entre vous le savent, est cryptographiquement obsolète. Il est cassé depuis des années. Qu'est-ce que cela signifie en pratique ? Cela signifie que sur n'importe quel segment de réseau où un attaquant peut intercepter le trafic RADIUS — ce qui inclut les commutateurs compromis, les appareils malveillants sur votre VLAN de gestion ou tout point situé entre un point d'accès distant et un serveur RADIUS hébergé dans le cloud — il peut potentiellement capturer les échanges d'authentification, tenter des attaques par dictionnaire hors ligne contre le secret partagé et, dans certaines configurations, exposer entièrement les identifiants des utilisateurs. Pour un groupe hôtelier gérant un WiFi invité sur 200 propriétés, ou une chaîne de magasins avec des points d'accès dans chaque boutique renvoyant le trafic vers un serveur RADIUS central via l'internet public, ce n'est pas un risque théorique. C'est une surface d'attaque bien réelle.C'est exactement ce que résout RadSec. RadSec — défini dans la RFC 6614 et mis à jour par la RFC 7360 — encapsule le trafic RADIUS dans un tunnel TLS. Au lieu de l'UDP, il utilise le TCP sur le port 2083. Au lieu d'un secret partagé et de MD5, il utilise une authentification TLS mutuelle avec des certificats X.509. Le client RADIUS et le serveur RADIUS présentent tous deux des certificats, vérifient l'identité de l'autre et établissent une session chiffrée avant tout échange de données d'authentification. TLS 1.3 est la version actuellement recommandée, offrant une confidentialité persistante (forward secrecy) et éliminant une série de vulnérabilités liées aux algorithmes de chiffrement obsolètes. L'effet pratique est significatif. Les données d'identification, les attributs utilisateur et les jetons de session sont chiffrés de bout en bout entre le point d'accès — ou un proxy RadSec — et le serveur RADIUS. Un attaquant interceptant le trafic sur le réseau ne voit que des enregistrements TLS chiffrés. Le secret partagé est toujours présent pour des raisons de compatibilité ascendante, mais il ne joue plus aucun rôle de sécurité significatif — TLS prend tout en charge. Il y a une autre dimension ici qui est de plus en plus pertinente : l'itinérance. La fédération Eduroam, utilisée par les universités et les institutions de recherche à travers l'Europe et au-delà, utilise RadSec depuis des années dans le cadre de son infrastructure d'itinérance interinstitutionnelle. Plus récemment, la norme OpenRoaming de la Wi-Fi Alliance — qui permet une itinérance WiFi transparente entre les sites participants — impose RadSec pour tout le trafic de la fédération. Si vous déployez une infrastructure compatible OpenRoaming, RadSec n'est pas optionnel ; c'est un prérequis. Purple prend en charge OpenRoaming sous sa licence Connect, agissant en tant que fournisseur d'identité au sein de la fédération, et RadSec est au cœur du fonctionnement de cette structure d'itinérance sécurisée. D'un point de vue de la conformité, RadSec est de plus en plus pertinent pour la norme PCI DSS 4.0, qui renforce les exigences relatives à la protection des données d'authentification en transit. Si votre infrastructure WiFi touche à des environnements de cartes de paiement — et c'est fréquemment le cas dans le commerce de détail et l'hôtellerie —, la faille de chiffrement du RADIUS traditionnel est une anomalie qui ne demande qu'à être signalée. Le GDPR exige de la même manière des mesures techniques appropriées pour protéger les données personnelles ; des identifiants d'utilisateurs et des métadonnées de session circulant non chiffrés sur votre réseau sont difficiles à défendre lors d'un audit de protection des données. Parlons maintenant d'architecture. Il existe deux principaux modèles de déploiement pour RadSec. Le premier est le support natif de RadSec sur votre serveur RADIUS et vos points d'accès. FreeRADIUS 3.0 et versions ultérieures prennent en charge RadSec nativement. Microsoft NPS ne prend pas en charge RadSec nativement dans ses versions actuelles, ce qui constitue une contrainte importante pour les organisations exploitant une infrastructure centrée sur Windows. Cisco ISE prend en charge RadSec. Aruba ClearPass prend en charge RadSec. Si votre serveur RADIUS et votre fournisseur de points d'accès prennent tous deux en charge RadSec nativement, c'est la voie la plus simple — configurez les certificats TLS des deux côtés, ouvrez le port TCP 2083 sur votre pare-feu, et vous chiffrez le trafic RADIUS de bout en bout. Le second modèle est un proxy RadSec. Il s'agit du déploiement le plus courant en pratique, en particulier pour les organisations disposant d'une infrastructure RADIUS existante ou d'environnements multi-constructeurs. Un proxy RadSec — radsecproxy étant l'implémentation open-source la plus largement déployée — se positionne entre vos points d'accès et votre serveur RADIUS. Les points d'accès envoient du RADIUS standard sur UDP au proxy sur le réseau local. Le proxy met fin à cette connexion, ré-encapsule le trafic RADIUS dans un tunnel TLS et le transmet au serveur RADIUS en amont via le port TCP 2083. Cette approche vous permet d'ajouter RadSec à une infrastructure existante sans remplacer votre serveur RADIUS, et elle est particulièrement utile lorsque votre serveur RADIUS est hébergé dans le cloud ou accessible via l'internet public. La gestion des certificats est la complexité opérationnelle que vous devez planifier. Vous aurez besoin d'une PKI — Public Key Infrastructure — pour émettre et gérer les certificats X.509 utilisés pour le TLS mutuel. Cela implique une autorité de certification, l'émission de certificats pour chaque client et serveur RADIUS, et un processus de rotation des certificats avant leur expiration. Des certificats qui expirent sans que l'on s'en aperçoive interrompront simultanément l'authentification de tous les utilisateurs de votre réseau — un scénario que vous voulez absolument éviter. Automatisez le renouvellement des certificats à l'aide d'ACME ou de l'API de votre autorité de certification, et configurez des alertes de surveillance bien avant les dates d'expiration. --- [RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER — environ 2 minutes] Laissez-moi vous donner des recommandations pratiques. Premièrement : effectuez un audit avant le déploiement. Cartographiez chaque client RADIUS — points d'accès, concentrateurs VPN, commutateurs faisant du 802.1X — et chaque serveur RADIUS de votre environnement. Identifiez ceux qui prennent en charge RadSec nativement et ceux qui auront besoin d'un proxy. Cet audit met généralement en évidence les équipements obsolètes qui ne prennent pas du tout en charge TLS, et ceux-ci doivent figurer sur votre feuille de route de remplacement. Deuxièmement : commencez par le trafic présentant le risque le plus élevé. Si vous avez du trafic RADIUS qui traverse l'internet public — sites distants, RADIUS hébergé dans le cloud, groupes hôteliers multi-propriétés — c'est votre priorité absolue. Le trafic RADIUS local sur un VLAN de gestion bien segmenté présente un risque plus faible, mais il doit tout de même figurer sur votre feuille de route. Troisièmement : testez minutieusement le TLS mutuel avant la mise en service. Le mode de défaillance le plus courant dans les déploiements RadSec réside dans les erreurs de validation de certificats — Common Names non concordants, certificats intermédiaires expirés ou clients qui ne font pas confiance à l'autorité de certification qui a signé le certificat du serveur. Utilisez openssl s_client pour tester les liaisons TLS avant de basculer le trafic de production. Quatrièmement : ne négligez pas la surveillance. RadSec ajoute une couche de connexion TCP que le RADIUS traditionnel n'a pas. Les échecs de connexion TCP, les dépassements de délai de liaison TLS et les erreurs de certificat se manifesteront par des échecs d'authentification pour vos utilisateurs. Assurez-vous que les journaux de votre serveur RADIUS et de votre proxy alimentent votre SIEM ou votre plateforme de surveillance afin de pouvoir distinguer un problème de connectivité RadSec d'un problème de politique d'authentification. Le piège que je vois le plus souvent est celui des organisations qui déploient RadSec côté serveur mais oublient de mettre à jour leurs règles de pare-feu. Le port TCP 2083 doit être ouvert entre chaque client RADIUS et le serveur ou proxy RADIUS. Si vous avez l'habitude de gérer des règles UDP 1812, le port TCP 2083 peut facilement être oublié lors du processus de modification du pare-feu. --- [Q&A RAPIDE — environ 1 minute] Passons en revue quelques questions que j'entends régulièrement. « Est-ce que RadSec remplace le 802.1X ? » Non. RadSec sécurise la couche de transport entre le point d'accès et le serveur RADIUS. Le 802.1X est le framework d'authentification entre l'appareil client et le point d'accès. Ils fonctionnent à des couches différentes et sont complémentaires. « RadSec est-il pris en charge par tous les fabricants de points d'accès ? » Pas de manière universelle. Cisco, Aruba, Ruckus et Meraki proposent tous différents niveaux de prise en charge de RadSec — vérifiez la version spécifique de votre firmware. En l'absence de support natif, un proxy RadSec est votre solution. « Qu'en est-il de DTLS — RADIUS sur DTLS ? » La RFC 7360 définit RADIUS sur DTLS, qui utilise UDP plutôt que TCP, préservant ainsi certaines des caractéristiques sans connexion du RADIUS traditionnel tout en ajoutant le chiffrement. Il est moins largement déployé que RadSec sur TLS, mais mérite d'être évalué si la latence est une préoccupation dans les environnements à haut débit. « Quel est l'impact sur les performances d'itinérance ? » La connexion TCP de RadSec est persistante, ce qui peut en réalité améliorer les performances d'itinérance dans les environnements fédérés en réduisant la surcharge d'établissement de connexion pour les demandes d'authentification ultérieures. --- [RÉSUMÉ & PROCHAINES ÉTAPES — environ 1 minute] Pour résumer : RadSec est la réponse mature et basée sur des normes à une réelle faille de sécurité du RADIUS traditionnel. Si vous gérez du WiFi d'entreprise à grande échelle — sur plusieurs sites, via Internet ou dans des environnements soumis à la norme PCI DSS ou au GDPR — la question n'est pas de savoir s'il faut déployer RadSec, mais quand et comment. Vos prochaines étapes : auditez votre infrastructure RADIUS cette semaine. Identifiez vos flux de trafic les plus exposés. Vérifiez la documentation de votre serveur RADIUS et de vos points d'accès pour valider le support natif de RadSec. Si vous utilisez FreeRADIUS, vous pouvez mettre en place un déploiement RadSec de test en une journée. Si vous utilisez Microsoft NPS, commencez à évaluer un proxy ou un plan de migration vers un serveur compatible RadSec. La plateforme de Purple est conçue pour s'intégrer aux infrastructures RADIUS d'entreprise, prenant en charge des flux d'authentification sécurisés pour les environnements WiFi d'entreprise et invités. Si vous souhaitez comprendre comment RadSec s'intègre dans votre déploiement spécifique, l'équipe de Purple peut vous accompagner. Merci pour votre écoute. À la prochaine. --- FIN DU SCRIPT

header_image.png

Synthèse

Le RADIUS traditionnel sur UDP (ports 1812/1813) n'a pas été conçu pour faire face aux menaces modernes qui pèsent sur les entreprises. Reposant uniquement sur un secret partagé et un hachage MD5, il laisse les identifiants d'authentification et les attributs de session vulnérables à l'interception, en particulier lors de la traversée de réseaux publics ou de grands parcs distribués comme les chaînes d'hôtellerie et de vente au détail. RadSec (RADIUS sur TLS, RFC 6614) comble cette faille de sécurité fondamentale en encapsulant le trafic RADIUS dans un tunnel TLS 1.3 basé sur TCP via le port 2083.

Pour les directeurs techniques et les architectes réseau, le déploiement de RadSec n'est plus seulement une bonne pratique : c'est une exigence essentielle pour protéger le WiFi d'entreprise , maintenir la conformité PCI DSS 4.0 et participer aux frameworks modernes d'itinérance fédérée comme OpenRoaming. Ce guide détaille l'architecture, les modèles d'implémentation et les exigences opérationnelles pour sécuriser votre infrastructure d'authentification.

Analyse technique approfondie : RADIUS vs. RadSec

La vulnérabilité du RADIUS traditionnel

Dans un déploiement 802.1X standard, le point d'accès (authentificateur) transmet les identifiants du client au serveur RADIUS (serveur d'authentification). Dans le RADIUS traditionnel, cette charge utile est envoyée sur UDP. La seule protection est une clé pré-partagée (PSK) utilisée pour masquer le mot de passe via MD5.

Cette architecture présente trois risques critiques :

  1. Absence de chiffrement du transport : Les attributs de l'utilisateur, les adresses MAC et les données de session sont transmis en clair.
  2. Faiblesse cryptographique : MD5 est vulnérable aux attaques par dictionnaire hors ligne si un attaquant capture le trafic.
  3. Absence d'authentification mutuelle : Le point d'accès ne peut pas vérifier de manière cryptographique qu'il communique avec le serveur RADIUS légitime, ce qui permet des attaques par serveur malveillant.

L'architecture RadSec (RFC 6614)

RadSec corrige ces failles en faisant passer la couche de transport de UDP à TCP et en enveloppant l'intégralité de la charge utile dans TLS.

architecture_overview.png

  • Transport : Le port TCP 2083 garantit une livraison fiable et des connexions avec état, améliorant ainsi les performances dans les environnements à forte latence.
  • Chiffrement : TLS 1.2 ou 1.3 fournit un chiffrement robuste et de bout en bout de tous les attributs RADIUS.
  • Authentification mutuelle : Le client RADIUS (ou proxy) et le serveur doivent tous deux présenter des certificats X.509 valides émis par une autorité de certification (CA) de confiance. Le secret partagé n'est conservé que pour la rétrocompatibilité ; TLS assure la sécurité réelle.

Cette architecture est essentielle pour les environnements distribués, tels que les chaînes de Retail ou les établissements de l'industrie Hospitality , où les points d'accès renvoient les requêtes d'authentification via l'internet public vers un serveur RADIUS centralisé ou hébergé dans le cloud.

Guide d'implémentation

Le déploiement de RadSec suit généralement l'un des deux modèles suivants : le support natif ou l'utilisation d'un proxy.

Modèle 1 : RadSec natif

Si votre infrastructure le prend en charge nativement (par exemple, FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), vous configurez les certificats TLS directement sur le serveur RADIUS et sur les points d'accès/contrôleurs. Cela garantit un véritable chiffrement de bout en bout, de la périphérie jusqu'au cœur du réseau.

Modèle 2 : Le proxy RadSec

De nombreux serveurs RADIUS existants (notamment Microsoft NPS) ne prennent pas en charge RadSec de manière native. Dans ces environnements, un proxy (tel que radsecproxy) est déployé.

  1. Segment local : Le point d'accès envoie des requêtes RADIUS UDP standard au proxy local.
  2. Segment WAN : Le proxy encapsule le trafic dans TLS et l'envoie via TCP 2083 au serveur en amont.

Ce modèle vous permet de sécuriser le trafic sur réseau étendu sans avoir à remplacer votre infrastructure existante.

deployment_checklist.png

Intégration avec Purple

Les plateformes de Guest WiFi et de WiFi Analytics de Purple s'intègrent parfaitement aux infrastructures RADIUS d'entreprise. Sous la licence Connect, Purple agit en tant que fournisseur d'identité gratuit pour OpenRoaming, où RadSec est une exigence obligatoire pour sécuriser le trafic de fédération entre les sites et le hub central.

Bonnes pratiques

  1. Gestion du cycle de vie des certificats : Le TLS mutuel repose sur des certificats valides. Mettez en œuvre un renouvellement automatisé (par exemple, via ACME) et une surveillance stricte. Un certificat expiré entraînera une interruption totale de l'authentification.
  2. Configuration du pare-feu : Assurez-vous que le port TCP 2083 est explicitement autorisé, tant en sortie depuis le site qu'en entrée vers le serveur RADIUS. Ne supposez pas que les règles UDP 1812 existantes s'appliqueront.
  3. Priorisez le trafic à haut risque : Commencez le déploiement sur les liaisons qui traversent l'internet public ou des réseaux WAN non sécurisés avant de passer aux VLAN de gestion locaux.

Pour en savoir plus sur la sécurisation de la périphérie, lisez notre guide sur la Sécurité des points d'accès : Votre guide d'entreprise 2026 .

Dépannage et atténuation des risques

En cas d'échec de RadSec, il s'agit rarement d'un problème d'authentification ; c'est presque toujours un problème de TLS ou de TCP.

  • Symptôme : Les points d'accès apparaissent comme déconnectés du serveur RADIUS.
    • Vérification : Les règles de pare-feu pour le port TCP 2083. Le RADIUS traditionnel utilise l'UDP ; les équipes réseau oublient fréquemment d'ouvrir le port TCP.
  • Symptôme : La connexion TCP s'établit, mais l'authentification échoue immédiatement.
    • Vérification : Validation du certificat. Vérifiez que le Common Name (CN) ou le Subject Alternative Name (SAN) correspond, que le certificat n'a pas expiré et que le client fait confiance à l'AC de signature. Utilisez openssl s_client -connect :2083 pour déboguer le handshake.

Assurez-vous que les bases de votre réseau sont solides. Consultez nos conseils sur Protégez votre réseau avec un DNS fort et la sécurité .

ROI & Impact Business

L'implémentation de RadSec est un investissement d'atténuation des risques. Le ROI se mesure à l'évitement des violations de données, des amendes de conformité (PCI DSS, GDPR) et des dommages réputationnels. De plus, il permet de participer à des fédérations d'itinérance modernes comme OpenRoaming, ce qui peut considérablement améliorer l'expérience des invités dans les environnements de la Santé et du Transport .

Écouter le Briefing

Pour approfondir les réalités opérationnelles du déploiement de RadSec, écoutez notre briefing technique de 10 minutes :

Pour les étapes de configuration spécifiques sur les appareils clients, reportez-vous à Comment configurer le WiFi d'entreprise sur iOS et macOS avec 802.1X ou à la version portugaise Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .

Définitions clés

RadSec

Une extension du protocole RADIUS qui encapsule le trafic RADIUS dans un tunnel TLS via le port TCP 2083.

Utilisé pour sécuriser le trafic d'authentification lors de la traversée de réseaux non sécurisés, empêchant ainsi l'interception des identifiants.

Mutual TLS (mTLS)

Un processus de sécurité dans lequel le client et le serveur présentent tous deux des certificats X.509 pour vérifier l'identité de l'autre avant d'établir une connexion chiffrée.

Le mécanisme d'authentification central de RadSec, remplaçant la dépendance aux secrets partagés statiques.

802.1X

La norme IEEE pour le contrôle d'accès réseau basé sur les ports, utilisée pour authentifier les appareils tentant de se connecter à un LAN ou un WLAN.

Le framework qui s'appuie sur RADIUS (et par extension, RadSec) pour valider les identifiants des utilisateurs par rapport à un annuaire.

radsecproxy

Un démon open-source qui agit comme un proxy, convertissant le trafic RADIUS UDP standard en RadSec (TLS sur TCP) et vice versa.

Déployé lorsque le support natif de RadSec est absent des points d'accès ou des serveurs RADIUS existants comme Microsoft NPS.

OpenRoaming

Une norme de fédération développée par la Wi-Fi Alliance qui permet aux utilisateurs de se connecter de manière transparente et sécurisée aux réseaux WiFi participants dans le monde entier.

OpenRoaming impose l'utilisation de RadSec pour sécuriser le trafic d'authentification entre les sites et les fournisseurs d'identité.

Shared Secret

Une chaîne de texte statique utilisée dans le RADIUS traditionnel pour masquer les mots de passe et vérifier la source des requêtes.

Bien que toujours techniquement présent dans les configurations RadSec pour des raisons de compatibilité ascendante, il est remplacé par le chiffrement TLS.

FreeRADIUS

Un serveur RADIUS open-source largement déployé qui fournit un support natif pour RadSec.

Souvent utilisé dans les environnements d'entreprise et les fédérations d'itinérance en raison de sa flexibilité et de ses capacités TLS natives.

PKI (Public Key Infrastructure)

L'ensemble de rôles, de politiques et de logiciels nécessaires pour créer, gérer, distribuer et révoquer des certificats numériques.

Un prérequis pour le déploiement de RadSec, car vous devez émettre et gérer des certificats pour tous les clients et serveurs RADIUS.

Exemples concrets

Un groupe hôtelier de 200 établissements utilise Microsoft NPS de manière centralisée pour l'authentification du personnel. Les points d'accès de chaque hôtel envoient actuellement des requêtes RADIUS sur l'internet public via UDP 1812. Le CTO impose le chiffrement de tout le trafic d'authentification, mais le remplacement de NPS n'est pas envisageable cette année.

Déployer un proxy RadSec (par exemple, radsecproxy) sur chaque site hôtelier et un proxy correspondant dans le centre de données central devant les serveurs NPS. Les points d'accès locaux envoient le flux UDP RADIUS au proxy local. Le proxy local établit un tunnel TLS mutuel sur TCP 2083 à travers Internet vers le proxy central. Le proxy central met fin au tunnel TLS et transmet le flux UDP RADIUS standard au serveur NPS.

Commentaire de l'examinateur : Cette approche permet d'atteindre l'objectif de sécurité principal (chiffrer les données d'authentification sur le WAN non sécurisé) sans nécessiter un remplacement coûteux et perturbateur de l'infrastructure centrale Microsoft NPS. Elle introduit toutefois une charge de gestion des certificats pour les proxys, qui doit être automatisée.

Une grande université déploie OpenRoaming sur son campus pour permettre un accès transparent aux universitaires de passage. Elle utilise FreeRADIUS 3.0.

Activer le support natif de RadSec au sein de FreeRADIUS. Générer des certificats X.509 à partir d'une autorité de certification (CA) approuvée par la fédération OpenRoaming. Configurer le pare-feu du campus pour autoriser le trafic TCP 2083 entrant et sortant vers les hubs de la fédération. Configurer les contrôleurs LAN sans fil pour utiliser RadSec pour toutes les requêtes d'authentification destinées à la fédération.

Commentaire de l'examinateur : Comme FreeRADIUS prend en charge RadSec de manière native, aucun proxy n'est requis. C'est l'architecture la plus propre. La dépendance critique ici est de s'assurer que les certificats s'alignent avec les exigences PKI spécifiques de la fédération OpenRoaming.

Questions d'entraînement

Q1. Votre équipe a déployé RadSec natif entre les points d'accès de vos filiales distantes et votre serveur FreeRADIUS central. Les APs peuvent pinger le serveur, mais les requêtes d'authentification expirent complètement, et aucun trafic n'apparaît dans les journaux RADIUS.

Conseil : RadSec utilise un protocole de transport et un port différents du RADIUS traditionnel.

Voir la réponse type

Le pare-feu bloque probablement le port TCP 2083. Les équipes réseau habituées au RADIUS traditionnel n'autorisent souvent que les ports UDP 1812/1813. Vous devez explicitement autoriser le port TCP 2083 en sortie depuis la filiale et en entrée vers le serveur RADIUS.

Q2. Vous auditez l'architecture WiFi d'un client du secteur de la distribution. Ils utilisent Microsoft NPS de manière centralisée. Les APs de leurs magasins envoient des requêtes d'authentification via Internet à travers un VPN IPsec. RadSec est-il nécessaire ici ?

Conseil : Pensez aux couches de chiffrement déjà en place.

Voir la réponse type

Bien que RadSec soit une bonne pratique, le VPN IPsec fournit déjà un chiffrement de la couche de transport pour le trafic RADIUS UDP sur l'Internet non sécurisé. Déployer RadSec ici offrirait une défense en profondeur mais est moins urgent que si le trafic traversait Internet de manière native.

Q3. Une semaine après le déploiement réussi d'un proxy RadSec, toutes les authentifications WiFi de l'entreprise échouent simultanément un lundi à 09h00. L'équipe réseau confirme que les règles de pare-feu n'ont pas été modifiées.

Conseil : Quel est le mécanisme d'authentification principal pour le tunnel TLS lui-même ?

Voir la réponse type

Les certificats X.509 utilisés pour l'authentification TLS mutuelle ont probablement expiré. Lorsque les certificats expirent, la liaison TLS échoue, la connexion TCP est coupée et le trafic RADIUS ne peut plus circuler. Mettez en œuvre une surveillance et une rotation automatisées des certificats pour éviter cela.

Continuer la lecture de cette série

Comment configurer SCEP pour l'enrôlement automatisé de certificats WiFi d'entreprise

Ce guide explique comment configurer SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi d'entreprise, couvrant l'architecture complète depuis la PKI et le NDES jusqu'au déploiement de profils MDM et à la validation RADIUS. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de vente au détail, de stades, de centres de conférence et d'organisations du secteur public qui souhaitent dépasser les clés pré-partagées et mettre en œuvre une authentification 802.1X EAP-TLS évolutive et basée sur l'identité. La plateforme cloud overlay de Purple, indépendante du matériel, s'intègre directement à cette architecture, fournissant la couche WiFi pour les invités et le BYOD qui coexiste avec votre réseau d'employés authentifié par certificat.

Lire le guide →

Le guide de l'entreprise pour SCEP : Déployer le protocole SCEP (Simple Certificate Enrollment Protocol) pour la sécurité automatisée du WiFi sur les campus

Ce guide de référence technique fournit un schéma d'architecture définitif et une stratégie d'implémentation étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il présente les différences cruciales entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, ainsi que des stratégies concrètes de mitigation des risques pour les responsables informatiques.

Lire le guide →

Comment implémenter SCEP pour l'enrôlement automatisé de certificats WiFi

Ce guide explique comment implémenter SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi dans les établissements d'entreprise. Il couvre l'ensemble du schéma architectural - de la conception de la PKI et l'intégration MDM à la séquence de déploiement obligatoire en trois étapes - et montre aux responsables informatiques et architectes réseau comment éliminer les identifiants partagés, automatiser la gestion du cycle de vie des certificats et respecter les exigences PCI DSS et GDPR à grande échelle.

Lire le guide →