Comment implémenter l'authentification 802.1X avec Cloud RADIUS

Ce guide de référence technique fournit un cadre complet pour implémenter l'authentification 802.1X avec Cloud RADIUS sur l'ensemble des parcs d'entreprises distribués. Il détaille l'architecture, la sélection de la méthode EAP, le séquençage du déploiement et les stratégies de réduction des risques nécessaires pour sécuriser l'accès au réseau tout en éliminant les coûts opérationnels de l'infrastructure sur site.

📖 5 min de lecture📝 1,189 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Comment implémenter l'authentification 802.1X avec Cloud RADIUS
Un briefing d'information Purple WiFi

--- INTRODUCTION ET CONTEXTE (environ 1 minute) ---

Bienvenue dans ce briefing d'information Purple WiFi. Je suis votre hôte, et aujourd'hui nous allons entrer dans les détails de l'authentification 802.1X avec Cloud RADIUS — ce que c'est, pourquoi c'est crucial aujourd'hui, et comment la déployer concrètement sur un parc multi-sites.

Si vous gérez l'infrastructure WiFi d'un groupe hôtelier, d'une chaîne de magasins, d'un stade ou d'une organisation du secteur public, c'est un sujet qui revient constamment — et pour cause. Le paysage des menaces a évolué. Les réseaux à clé partagée (PSK) sont de plus en plus perçus comme un risque de non-conformité, et plus seulement comme un inconvénient de sécurité. Les régulateurs, les auditeurs et les cyber-assureurs posent tous des questions plus strictes sur le contrôle d'accès au réseau. La bonne nouvelle, c'est que le RADIUS basé sur le cloud a rendu le 802.1X véritablement déployable à grande échelle, sans la lourdeur de l'infrastructure sur site qui le rendait auparavant inapplicable pour les parcs distribués.

Alors, entrons dans le vif du sujet.

--- ANALYSE TECHNIQUE APPROFONDIE (environ 5 minutes) ---

Tout d'abord, assurons-nous que nous partageons tous la même définition. La norme IEEE 802.1X est un standard de contrôle d'accès réseau basé sur les ports. Elle définit un cadre d'authentification qui se situe à la couche 2 du modèle OSI — elle fonctionne donc avant même qu'un appareil ne reçoive la moindre connectivité IP. C'est la distinction clé par rapport à l'authentification au niveau de la couche applicative. Avec le 802.1X, un appareil ne peut pas accéder au réseau tant qu'il n'a pas été formellement authentifié.

Le protocole comporte trois composants. Le suppliant (supplicant) — c'est l'appareil final, qu'il s'agisse d'un ordinateur portable, d'un smartphone ou d'un terminal de point de vente. L'authentificateur — généralement votre point d'accès WiFi ou votre commutateur managé. Et le serveur d'authentification — qui, dans les déploiements modernes, est votre service cloud RADIUS.

Le flux fonctionne de la manière suivante. Un appareil tente de s'associer à un point d'accès. Le point d'accès n'accorde pas immédiatement un accès complet au réseau. À la place, il ouvre un port contrôlé et lance un échange EAP — le protocole d'authentification extensible (Extensible Authentication Protocol) — avec l'appareil. L'appareil présente ses identifiants, qui peuvent être un nom d'utilisateur et un mot de passe, un certificat numérique ou une identité basée sur une carte SIM. Le point d'accès transmet cet échange au serveur RADIUS en utilisant le protocole RADIUS via UDP, généralement sur le port 1812 pour l'authentification et 1813 pour la comptabilisation (accounting). Le serveur RADIUS valide les identifiants par rapport à un annuaire d'identités — Active Directory, Azure AD ou un annuaire LDAP — et renvoie un message Access-Accept ou Access-Reject. S'il est accepté, le point d'accès ouvre le port et l'appareil accède au réseau. S'il est rejeté, il reste bloqué. Simple en principe, mais les détails de mise en œuvre sont d'une importance capitale.

C'est d'ailleurs sur le choix de la méthode EAP que de nombreux déploiements échouent. Plusieurs méthodes EAP sont couramment utilisées, et elles présentent des profils de sécurité et des exigences opérationnelles très différents.

EAP-TLS est la référence absolue. Il nécessite une authentification mutuelle par certificat — le serveur et le client présentent tous deux un certificat. Cela élimine totalement le risque de vol d'identifiants, car il n'y a pas de mots de passe à dérober. Cependant, cela requiert une infrastructure PKI et un mécanisme pour déployer les certificats clients sur les appareils, ce qui implique généralement une solution MDM. Pour les environnements BYOD d'entreprise et les déploiements à haute sécurité, c'est la réponse idéale.

PEAP avec MSCHAPv2 est la méthode la plus largement déployée dans les environnements d'entreprise. Elle ne nécessite qu'un certificat côté serveur et tunnelise l'échange d'identifiants au sein de TLS. Elle est nativement compatible avec Active Directory, ce qui la rend simple à exploiter. Le risque est qu'elle est vulnérable à la collecte d'identifiants si les utilisateurs se connectent à un point d'accès pirate doté d'un certificat auto-signé — la validation du certificat côté client est donc non négociable.

EAP-TTLS est similaire à PEAP mais offre plus de flexibilité dans la méthode d'authentification interne. Il est particulièrement utile dans les environnements d'appareils mixtes où cohabitent des appareils Windows, macOS, iOS et Android avec des capacités de demandeur (supplicant) variables.

Pour la prise en charge des appareils existants — comme le matériel de point de vente plus ancien ou les capteurs IoT — EAP-FAST peut être un choix pragmatique, car il ne nécessite pas de certificats et utilise à la place un identifiant d'accès protégé (PAC).

Abordons maintenant la partie RADIUS cloud. Traditionnellement, RADIUS était un service sur site — FreeRADIUS sur un serveur Linux, ou Microsoft NPS sur Windows Server. Ce modèle fonctionne, mais il engendre de réels coûts opérationnels : maintenance du matériel, configuration de la haute disponibilité, correctifs et nécessité d'une infrastructure locale sur chaque site nécessitant une authentification à faible latence. Le RADIUS cloud change considérablement la donne.

Un service RADIUS cloud est hébergé et géré par le fournisseur. Vos points d'accès envoient des requêtes RADIUS via Internet au service cloud, qui gère l'authentification auprès de votre fournisseur d'identité. La question de la latence est réelle mais gérable — les services RADIUS cloud modernes sont distribués à l'échelle mondiale, et les cycles d'authentification se terminent généralement en moins de 100 millisecondes, ce qui est imperceptible pour les utilisateurs finaux.

L'intégration avec les fournisseurs d'identité est la dépendance critique. La plupart des plateformes RADIUS cloud prennent en charge LDAP, LDAPS, SAML 2.0, ainsi que l'intégration directe avec Azure AD ou Okta. Pour les organisations qui utilisent déjà Microsoft 365, l'intégration d'Azure AD est la voie naturelle — vous bénéficiez de l'authentification unique, des politiques d'accès conditionnel et de l'application du MFA, le tout alimentant votre couche de contrôle d'accès au réseau.

Pour les établissements déployant un WiFi invité aux côtés des réseaux du personnel, l'architecture sépare généralement ces derniers en SSIDs distincts avec des politiques d'authentification différentes. Les réseaux du personnel utilisent le 802.1X avec des identifiants d'entreprise. Les réseaux invités utilisent un Captive Portal ou un flux de connexion sociale. La plateforme de Purple prend en charge ces deux modèles, et la couche d'analyse WiFi se superpose aux deux, vous offrant une visibilité sur le comportement des appareils, le temps de séjour et l'utilisation du réseau sans compromettre la segmentation de la sécurité.

--- RECOMMANDATIONS D'IMPLÉMENTATION ET PIÈGES À ÉVITER (environ 2 minutes) ---

Laissez-moi vous présenter la séquence de déploiement pratique et vous signaler les modes de défaillance que je rencontre le plus souvent.

Commencez par l'intégration de votre fournisseur d'identité. Avant de toucher à un seul point d'accès, confirmez que votre service RADIUS cloud peut s'authentifier auprès de votre annuaire. Testez avec un compte de service, validez la liaison LDAP et confirmez que les attributs d'appartenance aux groupes sont correctement renvoyés — car vous en aurez besoin pour les politiques d'attribution de VLAN.

Deuxièmement, planifiez votre stratégie de certificats. Si vous optez pour l'EAP-TLS, vous avez besoin d'une autorité de certification (CA), vous devez décider si vous utilisez une CA publique ou interne, et vous avez besoin d'un plan de déploiement MDM pour les certificats clients. Si vous optez pour le PEAP, vous avez besoin d'un certificat de serveur provenant d'une CA de confiance — pas auto-signé — et vous devez déployer le certificat de la CA sur tous les appareils clients afin que la validation du certificat fonctionne correctement. C'est l'étape qui est souvent ignorée et qui provoque des incidents de sécurité.

Troisièmement, configurez vos clients RADIUS — c'est-à-dire vos points d'accès et contrôleurs — avec le secret partagé correct et l'IP ou le nom d'hôte du serveur. Utilisez un secret partagé fort, généré de manière aléatoire, et non un mot du dictionnaire. Et si votre fournisseur RADIUS cloud prend en charge le RADIUS sur TLS — RadSec —, utilisez-le. Il chiffre le trafic RADIUS en transit, ce qui est particulièrement important lorsque ce trafic traverse l'internet public.

Quatrièmement, testez avec un groupe pilote avant le déploiement complet. Les échecs d'authentification à grande échelle sont perturbateurs et difficiles à diagnostiquer sous pression. Menez un projet pilote avec dix à vingt appareils, validez les journaux d'authentification, confirmez que l'attribution des VLAN fonctionne et vérifiez que les enregistrements de comptabilité sont correctement rédigés.

Les modes de défaillance que je vois le plus souvent : la validation des certificats désactivée sur les clients, entraînant une vulnérabilité de type "man-in-the-middle" (homme du milieu). Des secrets partagés trop courts ou réutilisés sur plusieurs sites. La liste d'autorisation des IP des serveurs RADIUS non configurée, de sorte que les demandes d'authentification des nouveaux sites sont rejetées silencieusement. Et des profils MDM non mis à jour à l'expiration des certificats, provoquant des échecs d'authentification massifs le jour du renouvellement.

--- QUESTIONS-RÉPONSES RAPIDES (environ 1 minute) ---

Quelques questions que l'on me pose régulièrement.

Puis-je exécuter le 802.1X sur un réseau qui comporte également des appareils IoT ne prenant pas en charge l'EAP ? Oui — utilisez le MAC Authentication Bypass comme solution de repli pour les appareils qui ne peuvent pas exécuter de demandeur (supplicant), mais placez ces appareils sur un VLAN restreint avec des règles de pare-feu strictes.

Le protocole 802.1X remplace-t-il le chiffrement WPA2 ou WPA3 ? Non — le 802.1X gère l'authentification. Le WPA2-Enterprise ou le WPA3-Enterprise gère le chiffrement. Vous avez besoin des deux. Le WPA3-Enterprise avec 802.1X est actuellement la meilleure pratique pour les nouveaux déploiements.

Quel est l'impact de la latence sur l'authentification ? Avec un service RADIUS cloud bien configuré, comptez entre 50 et 150 millisecondes par authentification. Pour les scénarios d'itinérance, la transition BSS rapide 802.11r peut réduire considérablement la surcharge de réauthentification.

Est-ce conforme à la norme PCI DSS ? Le 802.1X avec EAP-TLS ou PEAP sur un réseau correctement segmenté répond aux exigences 1 et 8 de la norme PCI DSS pour le contrôle d'accès au réseau. Impliquez votre QSA dès le départ.

--- RÉSUMÉ ET PROCHAINES ÉTAPES (environ 1 minute) ---

Pour résumer : le 802.1X avec RADIUS cloud est la solution idéale pour toute entreprise qui doit démontrer le contrôle d'accès au réseau aux auditeurs, réduire la surface d'attaque en cas de compromission d'identifiants, ou gérer l'authentification de manière centralisée sur un parc distribué.

Le déploiement n'est pas anodin, mais il est tout à fait gérable avec une bonne préparation. Réussissez d'abord l'intégration de votre fournisseur d'identité. Choisissez votre méthode EAP en fonction de votre parc d'appareils et de votre capacité opérationnelle à gérer les certificats. Utilisez RadSec si votre infrastructure le prend en charge. Et testez avant de déployer à grande échelle.

Si vous gérez un réseau mixte pour les invités et le personnel — ce qui est le cas de la plupart des opérateurs de l'hôtellerie et du commerce de détail — des plateformes comme Purple vous permettent de gérer les deux modèles d'authentification à partir d'une interface unique, avec une couche d'analyse couvrant l'ensemble du parc.

Pour vos prochaines étapes : auditez votre posture actuelle en matière de contrôle d'accès au réseau, identifiez les sites qui utilisent encore des clés PSK partagées, et établissez un plan de migration progressif. Commencez par vos sites les plus exposés — ceux concernés par la norme PCI DSS ou ceux qui traitent des données sensibles — et étendez la démarche.

Merci pour votre écoute. D'autres fiches techniques sont disponibles sur purple.ai.

Points clés à retenir

✓Le 802.1X fournit un contrôle d'accès basé sur les ports, authentifiant les appareils avant que l'accès au réseau ne soit accordé, éliminant ainsi les risques liés aux PSK partagés.
✓Le Cloud RADIUS centralise l'authentification, éliminant le besoin de serveurs sur site distribués et réduisant les frais de maintenance.
✓PEAP-MSCHAPv2 est le plus facile à déployer mais nécessite une validation stricte des certificats côté client pour empêcher l'interception d'identifiants.
✓EAP-TLS offre la sécurité la plus élevée via une authentification mutuelle par certificat, idéale pour les appareils d'entreprise gérés.
✓RadSec doit être utilisé pour chiffrer le trafic RADIUS traversant l'Internet public entre les points d'accès et le service cloud.
✓Les appareils existants ne prenant pas en charge le 802.1X peuvent utiliser le MAC Authentication Bypass (MAB), à condition d'être isolés sur des VLAN restreints.
✓L'intégration du 802.1X avec des fournisseurs d'identité centraux (comme Azure AD) permet l'application de politiques dynamiques telles que l'attribution de VLAN basée sur les rôles.

执行摘要

对于管理酒店、零售和公共部门等分布式网络环境的 IT 决策者而言，保护网络访问已从一种运营偏好转变为严格的合规性强制要求。依赖预共享密钥 (PSK) 会带来不可接受的风险，无法满足 PCI DSS 等现代审计标准，并在凭据泄露时使组织面临横向移动的风险。过渡到基于 IEEE 802.1X 端口的网络访问控制，通过在授予 IP 连接之前对设备进行身份验证，可以有效降低这些风险。

从历史上看，由于需要本地化的 RADIUS 基础设施来管理延迟和可用性，在多站点资产中部署 802.1X 受到阻碍。Cloud RADIUS 架构的成熟从根本上改变了这一现状。通过集中身份验证决策并直接与云身份提供商（如 Azure AD 或 Okta）集成，组织可以在所有位置统一实施强大的访问策略，而无需承担本地服务器的资本支出和维护负担。本指南概述了成功实施基于 Cloud RADIUS 的 802.1X 身份验证的技术架构、部署方法和运营最佳实践，确保企业 Guest WiFi 和企业网络的安全性与可扩展性。

技术深度解析

现代企业无线安全的基础建立在 IEEE 802.1X 标准之上。与应用层身份验证不同，802.1X 运行在 OSI 模型的第 2 层。当设备（客户端）尝试与接入点（认证系统）关联时，端口保持在未授权状态，仅允许通过可扩展身份验证协议 (EAP) 流量。该流量被封装在 RADIUS 数据包中并转发到身份验证服务器（Cloud RADIUS 实例）。只有在收到 Access-Accept 消息后，认证系统才会将端口转换为授权状态，从而授予网络访问权限。

Cloud RADIUS 架构

从本地到 Cloud RADIUS 的架构转变消除了对分布式 FreeRADIUS 或 Microsoft NPS 服务器的需求。在云模式中，接入点或无线局域网控制器通过互联网直接与全球分布的 RADIUS 服务进行通信。为了确保此传输的安全，实施 RadSec (RADIUS over TLS) 至关重要，它对身份验证负载进行加密，防止其被拦截。Cloud RADIUS 服务充当中介，通过 LDAP、SAML 或原生 API 集成，对照中央身份提供商 (IdP) 验证凭据。这实现了动态策略实施，例如基于 Azure AD 组群成员身份分配 VLAN，将网络访问与更广泛的企业身份管理策略无缝集成。

EAP 方法选择

EAP 方法的选择决定了部署的安全态势和运营复杂度。

EAP-TLS (传输层安全): 最安全的方法，需要服务器和客户端证书进行双向身份验证。由于不交换密码，它消除了凭据被盗的风险。但是，它需要公共密钥基础设施 (PKI) 和移动设备管理 (MDM) 来分发客户端证书。强烈推荐用于企业设备。
PEAP-MSCHAPv2 (受保护的 EAP): 由于在 Windows 中获得原生支持且仅依赖服务器端证书，因此部署广泛。它在 TLS 会话中对凭据交换进行隧道传输。虽然更易于部署，但如果未严格执行客户端证书验证，它很容易受到凭据收集攻击。
EAP-TTLS: 类似于 PEAP，但在内部身份验证协议中提供了更大的灵活性，使其适用于具有多种客户端操作系统的环境。

实施指南

使用 Cloud RADIUS 部署 802.1X 需要采用分阶段、系统化的方法，以尽量减少对现有业务的中断。

身份提供商集成: 建立并验证 Cloud RADIUS 服务与企业 IdP 之间的连接。确保目录同步准确，并且必要的用户属性（例如组群成员身份）可用于策略制定。
证书管理: 对于 PEAP 部署，从受信任的公共证书颁发机构 (CA) 获取服务器证书。至关重要的是，通过 MDM 或组策略配置客户端，以明确信任此 CA 并验证服务器证书名称。对于 EAP-TLS，部署内部 CA 基础设施并开始向托管设备颁发客户端证书。
网络基础设施配置: 配置无线控制器和接入点以指向 Cloud RADIUS 端点。如果硬件供应商支持，请实施 RadSec。使用强加密安全字符串定义 RADIUS 共享密钥，确保每个站点或控制器集群的密钥唯一。
策略定义: 在 Cloud RADIUS 平台内构建身份验证策略。根据用户组、设备类型或位置定义条件，以便在成功身份验证后动态分配 VLAN 或应用访问控制列表 (ACL)。
试点和分阶段推广: 选择具有代表性的用户和设备子集进行初始试点。密切监控身份验证日志，以识别延迟问题、证书验证n 次失败，或错误的 VLAN 分配。在试点成功后，执行分阶段部署，优先考虑高风险场所，例如行政办公室或处理敏感数据的场所。

最佳实践

强制执行客户端证书验证： PEAP 部署中最常见的漏洞是未能强制客户端进行服务器证书验证。如果允许客户端盲目信任任何呈现的证书，它们就很容易受到流氓接入点攻击。
谨慎实施 MAC 身份验证绕过 (MAB)： 对于无法运行 802.1X 客户端的无头设备（例如打印机、IoT 传感器），可以使用 MAB。然而，MAC 地址极易被伪造。MAB 设备必须隔离在受到严格限制的 VLAN 上，并配合严格的防火墙规则来限制其网络访问。
利用 802.11r 进行漫游： 在设备频繁在接入点之间移动的环境中，完整的 802.1X 身份验证过程可能会引入不可接受的延迟，从而干扰语音等实时应用。实施 802.11r（快速 BSS 过渡）通过缓存身份验证密钥来简化漫游。
与分析系统集成： 对于同时运营企业 802.1X 网络和公共访问网络的场所，将身份验证基础设施与 WiFi Analytics 集成，可以全面了解整个区域的网络利用率和设备行为。

故障排除与风险缓解

802.1X 环境中的身份验证失败可能导致大范围的连接中断。强大的故障排除流程至关重要。

证书过期： 服务器或客户端证书过期将导致立即的身份验证失败。对证书有效期实施自动化监控和告警，确保在过期前尽早处理更新。
延迟和超时： 如果 Cloud RADIUS 服务或 IdP 出现高延迟，认证器可能会超时并断开连接。在无线控制器上配置适当的超时值（通常为 5-10 秒），并部署备份 RADIUS 服务器以提供冗余。
RADIUS 共享密钥不匹配： 认证器上配置的共享密钥与 RADIUS 服务器上的不匹配将导致数据包被静默丢弃。标准化密钥管理，并尽可能避免手动输入。

ROI 与业务影响

过渡到带有 Cloud RADIUS 的 802.1X 可带来可衡量的业务价值。它通过消除共享密码，极大地减少了攻击面，直接支持符合 PCI DSS（要求 1 和 8）以及 GDPR 数据保护指令。在运营方面，它实现了集中式访问控制，使 IT 团队只需在中央目录中禁用用户帐户，即可立即撤销其在全球所有地点的访问权限。此外，通过停用传统的本地 RADIUS 服务器，企业降低了硬件维护成本、软件许可费用，以及修补和管理分布式基础设施的行政负担。对于 Retail 和 Hospitality 等行业的全面部署，这种集中式的安全态势是实现安全数字化转型的关键推动力。

听听我们关于该主题的全面简报：

Définitions clés

Supplicant

Le client logiciel sur un appareil d'utilisateur final (ordinateur portable, smartphone) qui négocie l'accès au réseau à l'aide d'EAP.

Les équipes informatiques doivent s'assurer que le supplicant est correctement configuré (souvent via MDM) pour valider les certificats de serveur afin d'éviter le vol d'identifiants.

Authentificateur

L'appareil réseau (généralement un point d'accès WiFi ou un commutateur) qui contrôle l'accès physique ou logique au réseau en fonction du statut d'authentification.

L'authentificateur agit comme intermédiaire, relayant les messages EAP entre le supplicant et le serveur RADIUS.

Cloud RADIUS

Un service d'authentification centralisé et hébergé dans le cloud qui traite les requêtes RADIUS provenant d'infrastructures réseau distribuées sans nécessiter de serveurs sur site.

Indispensable pour les organisations multi-sites qui cherchent à mettre en œuvre une sécurité de classe entreprise sans les coûts de maintenance du matériel.

EAP (Extensible Authentication Protocol)

Le framework utilisé pour encapsuler les messages d'authentification entre le supplicant et le serveur d'authentification.

Le choix de la bonne méthode EAP (par exemple, PEAP vs EAP-TLS) détermine le niveau de sécurité et la complexité de déploiement du réseau sans fil.

RadSec

Un protocole qui transmet les données RADIUS via un tunnel TLS, garantissant le chiffrement du trafic d'authentification en transit.

Crucial lors de l'utilisation de Cloud RADIUS, car il protège les échanges d'identifiants sensibles contre l'interception sur l'internet public.

Attribution dynamique de VLAN

Le processus par lequel le serveur RADIUS demande à l'authentificateur de placer un appareil sur un segment de réseau virtuel spécifique en fonction de l'identité de l'utilisateur ou de son appartenance à un groupe.

Permet aux équipes informatiques de diffuser un seul SSID tout en segmentant le trafic de manière sécurisée (par exemple, en plaçant le personnel des RH et de l'informatique sur des sous-réseaux différents).

Authentification mutuelle

Un processus de sécurité dans lequel le client vérifie l'identité du serveur et le serveur vérifie l'identité du client (généralement à l'aide de certificats).

La caractéristique déterminante d'EAP-TLS, ce qui le rend hautement résistant aux attaques de type "man-in-the-middle".

MAC Authentication Bypass (MAB)

Une méthode d'authentification de secours qui utilise l'adresse MAC d'un appareil comme identifiant lorsqu'il ne peut pas prendre en charge un supplicant 802.1X.

Utilisé pour le matériel hérité comme les imprimantes ou les appareils IoT, mais nécessite une segmentation réseau stricte en raison de la facilité d'usurpation d'adresse MAC.

Exemples concrets

Un hôtel de 200 chambres exploitant un réseau PSK hérité pour ses opérations d'arrière-guichet (tablettes du personnel de ménage, terminaux de point de vente, ordinateurs portables des managers) doit se mettre en conformité avec la norme PCI DSS avant un prochain audit. Il ne dispose pas de personnel informatique sur place et ne peut pas déployer de serveurs locaux.

L'hôtel doit déployer une solution Cloud RADIUS intégrée directement à son locataire central Azure AD. Pour les ordinateurs portables des managers (Windows/macOS), il doit implémenter PEAP-MSCHAPv2, en utilisant un profil MDM pour pousser le certificat de serveur approuvé et imposer la validation. Pour les terminaux de point de vente qui peuvent manquer de supplicants robustes, il doit utiliser le contournement d'authentification MAC (MAB) mais affecter strictement ces appareils à un VLAN isolé qui n'autorise que la communication avec la passerelle de paiement. Le déploiement nécessite de configurer les points d'accès existants gérés dans le cloud pour pointer vers les adresses IP de Cloud RADIUS, en sécurisant la connexion avec RadSec.

Commentaire de l'examinateur : Cette approche répond à l'exigence PCI d'identification unique des utilisateurs (PEAP pour le personnel) et de segmentation du réseau (MAB + VLAN isolé pour les points de vente). En utilisant Cloud RADIUS, l'hôtel évite la complexité du déploiement et de la maintenance d'un serveur FreeRADIUS local, qui serait ingérable sans personnel informatique sur place. L'utilisation de RadSec est ici essentielle pour protéger le trafic d'authentification transitant par l'internet public.

Une chaîne nationale de vente au détail déploie une nouvelle flotte de tablettes d'entreprise pour la gestion des stocks dans 500 magasins. Elle souhaite s'assurer que même si une tablette est volée, elle ne puisse pas être utilisée pour accéder au réseau, et elle souhaite éliminer les tickets d'assistance liés aux mots de passe.

Le détaillant doit implémenter EAP-TLS. Il déploiera une autorité de certification (CA) interne et l'intégrera à sa plateforme MDM. Lorsqu'une tablette est provisionnée, le MDM pousse un certificat client unique sur l'appareil. Le service Cloud RADIUS est configuré pour authentifier les appareils uniquement sur la base de la présence d'un certificat client valide. Si une tablette est signalée comme volée, l'équipe informatique révoque simplement ce certificat spécifique dans la CA. Le service Cloud RADIUS, en vérifiant la liste de révocation de certificats (CRL) ou via OCSP, refusera immédiatement l'accès au réseau.

Commentaire de l'examinateur : EAP-TLS est le choix optimal ici. Il offre le plus haut niveau de sécurité et supprime complètement les mots de passe des utilisateurs du flux d'authentification, atteignant ainsi l'objectif de réduction des tickets d'assistance. La capacité de révocation centralisée est essentielle pour gérer le risque de vol de matériel dans un environnement de vente au détail distribué.

Questions d'entraînement

Q1. Votre organisation migre d'un PSK partagé vers 802.1X en utilisant PEAP-MSCHAPv2. Pendant la phase pilote, les utilisateurs signalent qu'ils peuvent se connecter, mais un audit de sécurité révèle que les appareils acceptent silencieusement n'importe quel certificat de serveur qui leur est présenté. Quel est le risque immédiat et comment doit-il être corrigé ?

Conseil : Considérez ce qui se passe si un attaquant configure un point d'accès diffusant le SSID de votre entreprise.

Voir la réponse type

Le risque immédiat est une attaque de type Man-in-the-Middle (MitM) via un point d'accès malveillant. Un attaquant peut diffuser le SSID de l'entreprise, présenter un certificat auto-signé et intercepter les identifiants des utilisateurs lorsque les appareils tentent de s'authentifier. Pour y remédier, l'équipe informatique doit configurer les profils de suppliant (via MDM ou stratégie de groupe) pour valider explicitement le certificat du serveur. Cela implique de spécifier l'autorité de certification racine de confiance (Trusted Root CA) exacte qui a émis le certificat du serveur RADIUS et de définir strictement le nom d'hôte attendu du serveur.

Q2. Une succursale de vente au détail à distance a perdu sa connexion Internet. Les points d'accès locaux sont toujours sous tension. Les appareils du personnel actuellement connectés au réseau 802.1X resteront-ils connectés, et les nouveaux appareils pourront-ils s'authentifier ? Supposez une architecture Cloud RADIUS standard sans nœuds de survie locaux.

Conseil : Pensez au chemin que doit emprunter une demande d'authentification et à l'état des ports déjà autorisés.

Voir la réponse type

Les appareils déjà authentifiés et connectés resteront généralement connectés jusqu'à ce que le délai d'expiration de leur session arrive à terme ou qu'ils se déconnectent, car le port de l'authentificateur est déjà dans l'état autorisé. Cependant, les nouveaux appareils tentant de se connecter, ou les appareils tentant de se réauthentifier, échoueront. La connexion Internet étant interrompue, les points d'accès ne peuvent pas joindre le serveur Cloud RADIUS pour traiter l'échange EAP. Cela souligne l'importance de liaisons WAN résilientes lorsque l'on s'appuie sur une authentification basée sur le cloud.

Q3. Vous devez sécuriser l'accès réseau pour une flotte de lecteurs de codes-barres existants dans un entrepôt. Ces lecteurs ne prennent pas en charge les suppliants 802.1X et ne prennent en charge que le WPA2-Personal (PSK). Vous ne pouvez pas mettre à niveau le matériel. Comment intégrer ces appareils dans une architecture réseau sécurisée aux côtés de vos appareils d'entreprise 802.1X ?

Conseil : Vous avez besoin d'une alternative à 802.1X qui offre toujours un contrôle d'accès, combinée à une isolation au niveau du réseau.

Voir la réponse type

L'approche recommandée consiste à utiliser le MAC Authentication Bypass (MAB) pour les lecteurs de codes-barres. Le point d'accès utilisera l'adresse MAC du lecteur comme identité et l'enverra au serveur RADIUS. Les adresses MAC étant faciles à usurper, cela fournit une authentification faible. Par conséquent, le serveur RADIUS doit être configuré pour renvoyer un attribut VLAN spécifique lors d'une authentification MAB réussie. Ce VLAN doit être fortement restreint via des pare-feux ou des ACL, permettant aux lecteurs de communiquer uniquement avec les serveurs d'inventaire spécifiques dont ils ont besoin, et bloquant tout autre accès réseau latéral.

Continuer la lecture de cette série

Les avantages de sécurité de RADIUS as a Service pour les effectifs hybrides

Ce guide de référence technique explique comment RADIUS as a Service sécurise l'accès au réseau pour les effectifs hybrides au sein des sites distribués. Il présente l'architecture, les avantages de sécurité et les étapes de déploiement pour remplacer une infrastructure RADIUS sur site par un service d'authentification géré dans le cloud. Destiné aux responsables informatiques et aux architectes réseau des hôtels, chaînes de magasins, stades et organisations du secteur public, ce guide fournit les éléments requis pour évaluer et mettre en œuvre une migration vers le RADIUS cloud dès ce trimestre.

Intégration de RADIUS as a Service avec les annuaires cloud (Azure AD & Google Workspace)

Ce guide de référence technique détaille comment intégrer RADIUS as a Service avec les annuaires cloud - Microsoft Entra ID et Google Workspace - pour l'authentification WiFi d'entreprise. Il couvre la transition architecturale du NPS sur site vers un RADIUS cloud-native, le déploiement de l'authentification EAP-TLS basée sur des certificats, ainsi que les meilleures pratiques opérationnelles pour sécuriser l'accès sans fil dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Pour les responsables informatiques et les architectes réseau déjà investis dans l'identité cloud, ce guide comble le fossé entre la gestion des annuaires et la sécurité du réseau physique.

Qu'est-ce que Cloud RADIUS ? Le guide complet du RADIUS as a Service

Ce guide complet explore Cloud RADIUS (RADIUS as a Service), en détaillant son architecture, ses méthodes EAP et ses stratégies de déploiement. Il fournit aux responsables informatiques des conseils pratiques pour migrer de serveurs sur site vers un modèle d'authentification cloud évolutif, sécurisé et conforme.