Passer au contenu principal

Comment implémenter l'authentification 802.1X avec Cloud RADIUS

Ce guide de référence technique fournit un cadre complet pour implémenter l'authentification 802.1X avec Cloud RADIUS sur des parcs d'entreprises distribués. Il détaille l'architecture, la sélection de la méthode EAP, le séquençage du déploiement et les stratégies d'atténuation des risques nécessaires pour sécuriser l'accès au réseau tout en éliminant les coûts opérationnels liés aux infrastructures sur site.

📖 5 min de lecture📝 1,189 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Comment implémenter l'authentification 802.1X avec Cloud RADIUS Un briefing d'information Purple WiFi --- INTRODUCTION ET CONTEXTE (environ 1 minute) --- Bienvenue dans ce briefing d'information Purple WiFi. Je suis votre hôte, et nous allons aujourd'hui aborder en détail l'authentification 802.1X avec Cloud RADIUS - ce que c'est, pourquoi c'est essentiel aujourd'hui et comment la déployer concrètement sur un parc multi-sites. Si vous gérez l'infrastructure WiFi d'un groupe hôtelier, d'une chaîne de magasins, d'un stade ou d'un organisme du secteur public, c'est l'un de ces sujets qui revient constamment, et pour de bonnes raisons. Le paysage des menaces a évolué. Les réseaux à clé PSK partagée sont de plus en plus considérés comme un risque de non-conformité, et non plus seulement comme un inconvénient de sécurité. Les régulateurs, les auditeurs et les cyber-assureurs posent tous des questions de plus en plus pointues sur le contrôle d'accès au réseau. La bonne nouvelle est que le RADIUS fourni via le cloud a rendu le 802.1X véritablement déployable à grande échelle, sans les coûts d'infrastructure sur site qui le rendaient auparavant inapplicable pour les parcs distribués. Entrons donc dans le vif du sujet. --- ANALYSE TECHNIQUE APPROFONDIE (environ 5 minutes) --- Tout d'abord, assurons-nous que nous partageons la même définition. La norme IEEE 802.1X est une norme de contrôle d'accès réseau basée sur les ports. Elle définit un cadre d'authentification qui se situe au niveau de la couche 2 du modèle OSI - elle intervient donc avant même qu'un appareil ne bénéficie de la moindre connectivité IP. C'est la distinction clé par rapport à l'authentification au niveau applicatif. Avec le 802.1X, un appareil ne peut pas accéder au réseau tant qu'il n'a pas été formellement authentifié. Le protocole comporte trois composants. Le supplicant - c'est l'appareil final, qu'il s'agisse d'un ordinateur portable, d'un smartphone ou d'un terminal de point de vente. L'authentificateur - généralement votre point d'accès WiFi ou votre commutateur managé. Et le serveur d'authentification - qui, dans les déploiements modernes, correspond à votre service cloud RADIUS. Le flux fonctionne de la manière suivante. Un appareil tente de s'associer à un point d'accès. Le point d'accès n'accorde pas immédiatement un accès complet au réseau. À la place, il ouvre un port contrôlé et lance un échange EAP - le protocole d'authentification extensible - avec l'appareil. L'appareil présente ses identifiants, qui peuvent être un nom d'utilisateur et un mot de passe, un certificat numérique ou une identité basée sur une carte SIM. Le point d'accès relaye cet échange au serveur RADIUS en utilisant le protocole RADIUS via UDP, généralement sur le port 1812 pour l'authentification et 1813 pour la comptabilisation. Le serveur RADIUS valide les identifiants par rapport à un annuaire d'identités - Active Directory, Azure AD ou un annuaire LDAP - et renvoie un message Access-Accept ou Access-Reject. S'il est accepté, le point d'accès ouvre le port et l'appareil obtient l'accès au réseau. S'il est rejeté, il reste bloqué. Le principe est simple, mais les détails d'implémentation sont extrêmement importants. C'est précisément sur le choix de la méthode EAP que de nombreux déploiements échouent. Il existe plusieurs méthodes EAP couramment utilisées, et elles présentent des profils de sécurité et des exigences opérationnelles très différents. EAP-TLS est la référence absolue. Elle nécessite une authentification mutuelle par certificat - le serveur et le client présentent tous deux un certificat. Cela élimine entièrement le risque de vol d'identifiants, car il n'y a pas de mots de passe à dérober. Cependant, elle requiert une infrastructure PKI et un mécanisme pour déployer les certificats clients sur les appareils, ce qui implique généralement une solution MDM. Pour les environnements BYOD d'entreprise et les déploiements à haute sécurité, c'est la solution idéale. PEAP avec MSCHAPv2 est la méthode la plus largement déployée dans les environnements d'entreprise. Elle ne nécessite qu'un certificat côté serveur et tunnelise l'échange d'identifiants au sein de TLS. Elle est nativement compatible avec Active Directory, ce qui la rend simple à gérer sur le plan opérationnel. Le risque est qu'elle est vulnérable à la collecte d'identifiants si les utilisateurs se connectent à un point d'accès malveillant avec un certificat auto-signé - la validation du certificat côté client est donc non négociable. EAP-TTLS est similaire à PEAP mais offre plus de flexibilité dans la méthode d'authentification interne. Elle est particulièrement utile dans les environnements d'appareils mixtes où vous disposez d'une combinaison d'appareils Windows, macOS, iOS et Android avec des capacités de demandeur variables. Pour la prise en charge des appareils existants - comme le matériel de point de vente plus ancien ou les capteurs IoT - EAP-FAST peut être un choix pragmatique, car elle ne nécessite pas de certificats et utilise à la place un identifiant d'accès protégé (Protected Access Credential). À présent, parlons de la partie RADIUS dans le cloud. Traditionnellement, RADIUS était un service sur site - FreeRADIUS sur un serveur Linux, ou Microsoft NPS sur Windows Server. Ce modèle fonctionne, mais il engendre de réels coûts opérationnels : maintenance du matériel, configuration de la haute disponibilité, correctifs et nécessité d'une infrastructure locale sur chaque site requérant une authentification à faible latence. Le RADIUS dans le cloud change considérablement la donne. Un service RADIUS dans le cloud est hébergé et géré par le fournisseur. Vos points d'accès envoient des requêtes RADIUS via Internet au service cloud, qui gère l'authentification auprès de votre fournisseur d'identité. Le problème de la latence est réel mais gérable - les services RADIUS dans le cloud modernes sont distribués à l'échelle mondiale et les cycles d'authentification se terminent généralement en moins de 100 millisecondes, ce qui est imperceptible pour les utilisateurs finaux. L'intégration avec les fournisseurs d'identité est la dépendance critique. La plupart des plateformes RADIUS dans le cloud prennent en charge LDAP, LDAPS, SAML 2.0 et l'intégration directe avec Azure AD ou Okta. Pour les organisations qui utilisent déjà Microsoft 365, l'intégration Azure AD est la voie naturelle - vous bénéficiez de l'authentification unique, des politiques d'accès conditionnel et de l'application de la MFA, le tout alimentant votre couche de contrôle d'accès au réseau. Pour les établissements qui déploient un WiFi invité parallèlement aux réseaux du personnel, l'architecture sépare généralement ces derniers en SSIDs distincts avec des politiques d'authentification différentes. Les réseaux du personnel utilisent 802.1X avec des identifiants d'entreprise. Les réseaux invités utilisent un Captive Portal ou un flux de connexion via les réseaux sociaux. La plateforme de Purple prend en charge les deux modèles, et la couche d'analyse WiFi s'applique aux deux, vous offrant une visibilité sur le comportement des appareils, le temps de séjour et l'utilisation du réseau sans compromettre la segmentation de la sécurité. - RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER (environ 2 minutes) - Laissez-moi vous présenter la séquence de déploiement pratique et vous signaler les modes de défaillance que je constate le plus souvent. Commencez par l'intégration de votre fournisseur d'identité. Avant de toucher à un seul point d'accès, confirmez que votre service RADIUS-as-a-Service dans le cloud peut s'authentifier auprès de votre annuaire. Testez avec un compte de service, validez la liaison LDAP et confirmez que les attributs d'appartenance aux groupes sont correctement renvoyés - car vous en aurez besoin pour les politiques d'attribution de VLAN. Deuxièmement, planifiez votre stratégie de certificats. Si vous optez pour EAP-TLS, vous avez besoin d'une autorité de certification (CA), vous devez décider si vous utilisez une CA publique ou interne, et vous avez besoin d'un plan de déploiement MDM pour les certificats clients. Si vous optez pour PEAP, vous avez besoin d'un certificat de serveur provenant d'une CA de confiance - pas auto-signé - et vous devez déployer le certificat de la CA sur tous les appareils clients afin que la validation du certificat fonctionne correctement. C'est l'étape qui est souvent ignorée et qui provoque des incidents de sécurité. Troisièmement, configurez vos clients RADIUS - à savoir vos points d'accès et contrôleurs - avec le secret partagé correct et l'adresse IP ou le nom d'hôte du serveur. Utilisez un secret partagé fort, généré de manière aléatoire, et non un mot du dictionnaire. Et si votre fournisseur RADIUS dans le cloud prend en charge RADIUS sur TLS - RadSec - utilisez-le. Il chiffre le trafic RADIUS en transit, ce qui est particulièrement important lorsque ce trafic traverse l'internet public. Quatrièmement, effectuez des tests avec un groupe pilote avant le déploiement complet. Les échecs d'authentification à grande échelle sont perturbants et difficiles à diagnostiquer sous pression. Menez un projet pilote avec dix à vingt appareils, validez les journaux d'authentification, confirmez que l'attribution des VLAN fonctionne et vérifiez que les enregistrements de comptabilité sont correctement écrits. Les modes de défaillance que je vois le plus souvent : la validation des certificats désactivée sur les clients, ce qui entraîne une vulnérabilité de type "man-in-the-middle" (homme du milieu). Des secrets partagés trop courts ou réutilisés sur plusieurs sites. La liste d'autorisation des adresses IP des serveurs RADIUS non configurée, de sorte que les demandes d'authentification des nouveaux sites sont rejetées silencieusement. Et les profils MDM qui ne sont pas mis à jour à l'expiration des certificats, ce qui provoque des échecs d'authentification massifs le jour du renouvellement. - QUESTIONS-RÉPONSES RAPIDES (environ 1 minute) - Quelques questions que l'on me pose régulièrement. Puis-je exécuter 802.1X sur un réseau qui contient également des appareils IoT qui ne prennent pas en charge EAP ? Oui - utilisez le contournement de l'authentification MAC (MAB) comme solution de repli pour les appareils qui ne peuvent pas exécuter de demandeur (supplicant), mais placez ces appareils sur un VLAN restreint avec des règles de pare-feu strictes. Est-ce que le 802.1X remplace le chiffrement WPA2 ou WPA3 ? Non - le 802.1X gère l'authentification. Le WPA2-Enterprise ou WPA3-Enterprise gère le chiffrement. Vous avez besoin des deux. Le WPA3-Enterprise avec 802.1X est la meilleure pratique actuelle pour les nouveaux déploiements. Quel est l'impact de la latence sur l'authentification ? Avec un service cloud RADIUS bien configuré, prévoyez de 50 à 150 millisecondes par authentification. Pour les scénarios d'itinérance, la transition BSS rapide 802.11r peut réduire considérablement la surcharge de réauthentification. Est-ce conforme à la norme PCI-DSS ? Le 802.1X avec EAP-TLS ou PEAP sur un réseau correctement segmenté répond aux exigences 1 et 8 de la norme PCI-DSS pour le contrôle d'accès au réseau. Impliquez votre QSA dès le début. --- RÉSUMÉ ET PROCHAINES ÉTAPES (environ 1 minute) --- Pour résumer : le 802.1X avec cloud RADIUS est la solution idéale pour toute organisation qui doit démontrer un contrôle d'accès au réseau à des auditeurs, réduire la zone d'impact d'une compromission d'identifiants, ou gérer l'authentification de manière centralisée sur un parc distribué. Le déploiement n'est pas anodin, mais il est tout à fait gérable avec une bonne préparation. Réussissez d'abord l'intégration de votre fournisseur d'identité. Choisissez votre méthode EAP en fonction de votre parc d'appareils et de votre capacité opérationnelle à gérer les certificats. Utilisez RadSec si votre infrastructure le prend en charge. Et testez avant de déployer à grande échelle. Si vous gérez un réseau mixte pour les invités et le personnel - ce qui est le cas de la plupart des opérateurs de l'hôtellerie et du commerce de détail - des plateformes comme Purple vous permettent de gérer les deux modèles d'authentification à partir d'une interface unique, avec la couche d'analyse couvrant l'ensemble du parc. Pour vos prochaines étapes : auditez votre posture actuelle en matière de contrôle d'accès au réseau, identifiez les sites qui utilisent encore des clés PSK partagées, et établissez un plan de migration progressif. Commencez par vos sites les plus exposés aux risques - ceux qui entrent dans le champ d'application de la norme PCI-DSS ou qui traitent des données sensibles - et progressez vers l'extérieur. Merci pour votre écoute. D'autres présentations techniques sont disponibles sur purple.ai.

header_image.png

Synthèse décisionnelle

Pour les décideurs informatiques qui gèrent des parcs de réseaux distribués dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public, la sécurisation des accès réseau est passée d'une préférence opérationnelle à un mandat de conformité strict. S'en remettre à des clés pré-partagées (PSK) introduit un risque inacceptable, échoue aux normes d'audit modernes telles que PCI-DSS et expose l'organisation à des mouvements latéraux en cas de compromission des identifiants. La transition vers le contrôle d'accès réseau basé sur les ports IEEE 802.1X atténue efficacement ces risques en authentifiant les appareils avant que la connectivité IP ne soit accordée.

Historiquement, le déploiement de la norme 802.1X sur des parcs multisites était entravé par la nécessité d'une infrastructure RADIUS localisée pour gérer la latence et la disponibilité. La maturation de l'architecture Cloud RADIUS a fondamentalement changé la donne. En centralisant les décisions d'authentification et en s'intégrant directement aux fournisseurs d'identité cloud (tels que Azure AD ou Okta), les organisations peuvent appliquer des politiques d'accès robustes de manière uniforme sur tous les sites, sans les dépenses d'investissement et la charge de maintenance des serveurs sur site. Ce guide présente l'architecture technique, la méthodologie de déploiement et les meilleures pratiques opérationnelles pour mettre en œuvre avec succès l'authentification 802.1X avec Cloud RADIUS, garantissant ainsi la sécurité et l'évolutivité du WiFi invité Guest WiFi d'entreprise et des réseaux d'entreprise.

Analyse technique approfondie

Le fondement de la sécurité sans fil moderne des entreprises repose sur la norme IEEE 802.1X. Contrairement à l'authentification au niveau de la couche applicative, la norme 802.1X fonctionne au niveau de la couche 2 du modèle OSI. Lorsqu'un appareil (le suppliant) tente de s'associer à un point d'accès (l'authentificateur), le port reste dans un état non autorisé, ne permettant que le trafic EAP (Extensible Authentication Protocol). Ce trafic est encapsulé dans des paquets RADIUS et transmis au serveur d'authentification - l'instance Cloud RADIUS. Ce n'est qu'à la réception d'un message Access-Accept que l'authentificateur fait passer le port à un état autorisé, accordant ainsi l'accès au réseau.

Architecture Cloud RADIUS

architecture_overview.png

La transition architecturale du site vers le Cloud RADIUS supprime le besoin de serveurs distribués FreeRADIUS ou Microsoft NPS. Dans le modèle cloud, les points d'accès ou les contrôleurs LAN sans fil communiquent directement sur internet avec un service RADIUS distribué mondialement. Pour sécuriser ce transit, l'implémentation de RadSec (RADIUS sur TLS) est essentielle, chiffrant le contenu de l'authentification et le protégeant contre l'interception. Le service Cloud RADIUS sert d'intermédiaire, validant les identifiants par rapport à un fournisseur d'identité (IdP) central via des intégrations LDAP, SAML ou des API natives. Cela permet une application dynamique des politiques, comme l'attribution de VLANs en fonction de l'appartenance à un groupe Azure AD, intégrant de manière transparente l'accès au réseau à la stratégie globale de gestion des identités de l'entreprise.

Sélection de la méthode EAP

Le choix de la méthode EAP détermine le niveau de sécurité et la complexité opérationnelle du déploiement.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security) : La méthode la plus sécurisée, nécessitant des certificats serveur et client pour une authentification mutuelle. Comme aucun mot de passe n'est échangé, elle élimine le risque de vol d'identifiants. Cependant, elle nécessite une infrastructure à clés publiques (PKI) et une gestion des appareils mobiles (MDM) pour distribuer les certificats clients. Fortement recommandé pour les appareils de l'entreprise.
  • PEAP-MSCHAPv2 (Protected EAP) : Largement déployé grâce à un support natif dans Windows et à sa dépendance exclusive à un certificat côté serveur. Il tunnelise l'échange d'identifiants au sein d'une session TLS. Bien que plus facile à déployer, il est vulnérable aux attaques de collecte d'identifiants si la validation du certificat côté client n'est pas strictement appliquée.
  • EAP-TTLS : Similaire au PEAP mais offrant une plus grande flexibilité dans le protocole d'authentification interne, ce qui le rend adapté aux environnements dotés d'un ensemble diversifié de systèmes d'exploitation clients.

Guide d'implémentation

Le déploiement de 802.1X avec Cloud RADIUS nécessite une approche progressive et systématique afin de minimiser les perturbations pour l'entreprise.

  1. Intégration du fournisseur d'identité : Établissez et validez la connexion entre le service Cloud RADIUS et l'IdP de l'entreprise. Assurez-vous que la synchronisation de l'annuaire est exacte et que les attributs utilisateur nécessaires (tels que l'appartenance à un groupe) sont disponibles pour les décisions relatives aux politiques.
  2. Gestion des certificats : Pour les déploiements PEAP, obtenez un certificat de serveur auprès d'une autorité de certification (CA) publique de confiance. De manière cruciale, configurez les clients via un MDM ou une stratégie de groupe pour faire explicitement confiance à cette CA et valider le nom du certificat du serveur. Pour EAP-TLS, déployez une infrastructure CA interne et commencez à émettre des certificats clients pour les appareils gérés.
  3. Configuration de l'infrastructure réseau : Configurez les contrôleurs sans fil et les points d'accès pour qu'ils pointent vers les terminaux Cloud RADIUS. Implémentez RadSec lorsque le fournisseur de matériel le prend en charge. Définissez des secrets partagés RADIUS à l'aide de chaînes de caractères fortes et sécurisées sur le plan cryptographique, en veillant à ce que le secret soit unique par site ou par cluster de contrôleurs.
  4. Définition des politiques : Créez les politiques d'authentification au sein de la plateforme Cloud RADIUS. Définissez des conditions basées sur le groupe d'utilisateurs, le type d'appareil ou l'emplacement pour attribuer de manière dynamique des VLAN ou appliquer des listes de contrôle d'accès (ACL) après une authentification réussie.
  5. Pilote et déploiement progressif : Sélectionnez un sous-ensemble représentatif d'utilisateurs et d'appareils pour le pilote initial. Surveillez de près les journaux d'authentification pour identifier les problèmes de latence, les échecs de validation de certificat ou les mauvaises attributions de VLAN. Après un pilote réussi, procédez à un déploiement progressif, en donnant la priorité aux zones à haut risque comme les bureaux de direction ou les sites traitant des données sensibles.

Bonnes Pratiques

  • Imposez la validation des certificats côté client : La vulnérabilité la plus courante dans les déploiements PEAP est le défaut de validation du certificat serveur par le client. Si les clients sont autorisés à faire aveuglément confiance à n'importe quel certificat présenté, ils sont vulnérables aux attaques par points d'accès malveillants.
  • Implémentez le contournement d'authentification MAC (MAB) avec prudence : Pour les appareils sans écran qui ne peuvent pas exécuter un requérant 802.1X (comme les imprimantes et les capteurs IoT), le MAB peut être utilisé. Cependant, les adresses MAC sont facilement usurpées. Les appareils utilisant le MAB doivent être isolés sur des VLAN hautement restreints, avec des règles de pare-feu strictes limitant leur accès au réseau.
  • Tirez parti de la norme 802.11r pour l'itinérance : Dans les environnements où les appareils se déplacent fréquemment entre les points d'accès, le processus complet d'authentification 802.1X peut introduire une latence inacceptable qui perturbe les applications en temps réel comme la voix. L'implémentation de la norme 802.11r (Fast BSS Transition) simplifie l'itinérance en mettant en cache les clés d'authentification.
  • Intégrez les outils d'analyse : Pour les établissements qui exploitent à la fois un réseau d'entreprise 802.1X et un réseau d'accès public, l'intégration de l'infrastructure d'authentification avec WiFi Analytics offre une vue complète de l'utilisation du réseau et du comportement des appareils sur l'ensemble du parc.

Dépannage et atténuation des risques

Les échecs d'authentification dans un environnement 802.1X peuvent provoquer des pannes de connectivité généralisées. Un processus de dépannage robuste est essentiel.

  • Expiration des certificats : Un certificat serveur ou client expiré entraînera un échec d'authentification immédiat. Mettez en place une surveillance et des alertes automatisées sur les périodes de validité des certificats, en veillant à ce que les renouvellements soient gérés bien avant l'expiration.
  • Latence et délais d'expiration : Si le service Cloud RADIUS ou l'IdP subit une latence élevée, l'authentificateur peut dépasser le délai d'attente et interrompre la connexion. Configurez des valeurs de délai d'attente appropriées sur les contrôleurs sans fil (généralement 5 à 10 secondes) et déployez des serveurs RADIUS de secours pour assurer la redondance.
  • Incompatibilité du secret partagé RADIUS : Un secret partagé configuré sur l'authentificateur qui ne correspond pas à celui du serveur RADIUS entraînera le rejet silencieux des paquets. Standardisez la gestion des secrets et évitez autant que possible la saisie manuelle.

ROI et impact commercial

La transition vers le 802.1X avec Cloud RADIUS offre une valeur commerciale mesurable. En éliminant les mots de passe partagés, elle réduit considérablement la surface d'attaque, soutenant directement la conformité avec les exigences de PCI-DSS (exigences 1 et 8) et les mandats de protection des données du GDPR. Sur le plan opérationnel, elle permet un contrôle d'accès centralisé, permettant aux équipes informatiques de révoquer instantanément l'accès d'un utilisateur sur tous les sites du monde entier, simplement en désactivant son compte dans l'annuaire central. De plus, en mettant hors service les serveurs RADIUS sur site existants, les organisations réduisent les coûts de maintenance matérielle, les frais de licence logicielle et la charge administrative liée au correctif et à la gestion d'une infrastructure distribuée. Pour les déploiements à l'échelle d'un parc dans des secteurs tels que le Commerce de détail et l' Hôtellerie , cette posture de sécurité centralisée est un catalyseur clé d'une transformation numérique sécurisée.

Écoutez notre briefing complet sur le sujet :

Définitions clés

Supplicant

Le client logiciel sur un appareil d'utilisateur final (ordinateur portable, smartphone) qui négocie l'accès au réseau en utilisant le protocole EAP.

Les équipes informatiques doivent s'assurer que le supplicant est correctement configuré (souvent via un MDM) pour valider les certificats de serveur afin d'éviter le vol d'identifiants.

Authentificateur

L'équipement réseau (généralement un point d'accès WiFi ou un commutateur) qui contrôle l'accès physique ou logique au réseau en fonction du statut d'authentification.

L'authentificateur agit comme un intermédiaire, relayant les messages EAP entre le supplicant et le serveur RADIUS.

Cloud RADIUS

Un service d'authentification centralisé et hébergé dans le cloud qui traite les demandes RADIUS provenant d'infrastructures réseau distribuées sans nécessiter de serveurs sur site.

Essentiel pour les organisations multisites qui cherchent à mettre en œuvre une sécurité de niveau entreprise sans les coûts de maintenance du matériel.

EAP (Extensible Authentication Protocol)

Le framework utilisé pour encapsuler les messages d'authentification entre le suppliant et le serveur d'authentification.

Le choix de la bonne méthode EAP (par exemple, PEAP par rapport à EAP-TLS) détermine le niveau de sécurité et la complexité du déploiement du réseau sans fil.

RadSec

Un protocole qui transmet les données RADIUS sur un tunnel TLS, garantissant le chiffrement du trafic d'authentification en transit.

Crucial lors de l'utilisation de Cloud RADIUS, car il protège les échanges d'identifiants sensibles contre l'interception sur l'internet public.

Dynamic VLAN Assignment

Le processus par lequel le serveur RADIUS ordonne à l'authentificateur de placer un appareil sur un segment de réseau virtuel spécifique en fonction de l'identité de l'utilisateur ou de son appartenance à un groupe.

Permet au service informatique de diffuser un seul SSID tout en segmentant le trafic en toute sécurité (par exemple, en plaçant le personnel des RH et le personnel informatique sur des sous-réseaux différents).

Mutual Authentication

Un processus de sécurité dans lequel le client vérifie l'identité du serveur et le serveur vérifie l'identité du client (généralement à l'aide de certificats).

La caractéristique déterminante de EAP-TLS, ce qui le rend hautement résistant aux attaques de type man-in-the-middle.

MAC Authentication Bypass (MAB)

Une méthode d'authentification de secours qui utilise l'adresse MAC d'un appareil comme identifiant lorsqu'il ne peut pas prendre en charge un suppliant 802.1X.

Utilisé pour le matériel hérité comme les imprimantes ou les appareils IoT, mais nécessite une segmentation réseau stricte en raison de la facilité d'usurpation d'adresse MAC.

Exemples concrets

Un hôtel de 200 chambres exploitant un réseau hérité basé sur des clés PSK pour ses opérations internes (tablettes du personnel de ménage, terminaux de point de vente, ordinateurs portables des responsables) doit se mettre en conformité avec la norme PCI-DSS avant un audit prochain. L'établissement ne dispose pas de personnel informatique sur place et ne peut pas déployer de serveurs locaux.

L'hôtel doit déployer une solution Cloud RADIUS intégrée directement à son tenant Azure AD central. Pour les ordinateurs portables des responsables (Windows/macOS), il convient d'implémenter PEAP-MSCHAPv2, en utilisant un profil MDM pour pousser le certificat de serveur de confiance et imposer sa validation. Pour les terminaux de point de vente qui peuvent manquer de supplicants robustes, il convient d'utiliser le contournement d'authentification MAC (MAB) mais d'assigner strictement ces appareils à un VLAN isolé qui n'autorise que la communication avec la passerelle de paiement. Le déploiement nécessite de configurer les points d'accès gérés par le cloud existants pour qu'ils pointent vers les adresses IP du Cloud RADIUS, en sécurisant la connexion avec RadSec.

Commentaire de l'examinateur : Cette approche répond aux exigences PCI concernant l'identification unique des utilisateurs (PEAP pour le personnel) et la segmentation du réseau (MAB + VLAN isolé pour les points de vente). En utilisant Cloud RADIUS, l'hôtel évite la complexité du déploiement et de la maintenance d'un serveur FreeRADIUS local, qui serait impossible à gérer sans personnel informatique sur place. L'utilisation de RadSec est ici essentielle pour protéger le trafic d'authentification transitant par l'internet public.

Une chaîne nationale de magasins déploie une nouvelle flotte de tablettes d'entreprise pour la gestion des stocks dans 500 points de vente. Elle souhaite s'assurer que même si une tablette est volée, elle ne puisse pas être utilisée pour accéder au réseau, et elle souhaite éliminer les tickets d'assistance liés aux mots de passe.

Le distributeur doit implémenter EAP-TLS. Il déploiera une autorité de certification (CA) interne et l'intégrera à sa plateforme MDM. Lorsqu'une tablette est configurée, le MDM pousse un certificat client unique sur l'appareil. Le service Cloud RADIUS est configuré pour authentifier les appareils uniquement sur la base de la présence d'un certificat client valide. Si une tablette est signalée comme volée, l'équipe informatique révoque simplement ce certificat spécifique dans la CA. Le service Cloud RADIUS, en vérifiant la liste de révocation de certificats (CRL) ou via OCSP, refusera immédiatement l'accès au réseau.

Commentaire de l'examinateur : EAP-TLS est le choix optimal ici. Il offre le plus haut niveau de sécurité et supprime complètement les mots de passe des utilisateurs du processus d'authentification, atteignant ainsi l'objectif de réduction des tickets d'assistance. La capacité de révocation centralisée est indispensable pour gérer le risque lié au matériel volé dans un environnement de vente distribué.

Questions d'entraînement

Q1. Votre organisation migre d'un PSK partagé vers le 802.1X à l'aide de PEAP-MSCHAPv2. Pendant la phase pilote, les utilisateurs signalent qu'ils peuvent se connecter, mais un audit de sécurité révèle que les appareils acceptent silencieusement tout certificat de serveur qui leur est présenté. Quel est le risque immédiat et comment doit-il être corrigé ?

Conseil : Pensez à ce qui se passe si un attaquant configure un point d'accès diffusant le SSID de votre entreprise.

Voir la réponse type

Le risque immédiat est une attaque de type Man-in-the-Middle (MitM) via un point d'accès malveillant. Un attaquant peut diffuser le SSID de l'entreprise, présenter un certificat auto-signé et récupérer les identifiants des utilisateurs lorsque les appareils tentent de s'authentifier. Pour y remédier, l'équipe informatique doit configurer les profils de suppliants (via MDM ou stratégie de groupe) pour valider explicitement le certificat du serveur. Cela implique de spécifier l'autorité de certification racine de confiance exacte qui a émis le certificat du serveur RADIUS et de définir strictement le nom d'hôte attendu du serveur.

Q2. Une succursale de vente au détail à distance a perdu sa connexion internet. Les points d'accès locaux sont toujours sous tension. Les appareils du personnel actuellement connectés au réseau 802.1X resteront-ils connectés et les nouveaux appareils pourront-ils s'authentifier ? Supposez une architecture Cloud RADIUS standard sans nœuds de survie locaux.

Conseil : Pensez au chemin qu'une demande d'authentification doit emprunter et à l'état des ports déjà autorisés.

Voir la réponse type

Les appareils déjà authentifiés et connectés resteront généralement connectés jusqu'à ce que le délai d'expiration de leur session expire ou qu'ils se déconnectent, car le port de l'authentificateur est déjà dans l'état autorisé. Cependant, les nouveaux appareils tentant de se connecter, ou les appareils tentant de se réauthentifier, échoueront. La connexion internet étant coupée, les points d'accès ne peuvent pas joindre le serveur Cloud RADIUS pour traiter l'échange EAP. Cela souligne l'importance de liaisons WAN résilientes lors de l'utilisation d'une authentification basée sur le cloud.

Q3. Vous devez sécuriser l'accès réseau pour un parc de lecteurs de codes-barres existants dans un entrepôt. Ces lecteurs ne prennent pas en charge les suppliants 802.1X et ne prennent en charge que le WPA2-Personal (PSK). Vous ne pouvez pas mettre à niveau le matériel. Comment intégrez-vous ces appareils dans une architecture réseau sécurisée aux côtés de vos appareils d'entreprise 802.1X ?

Conseil : Vous avez besoin d'une alternative au 802.1X qui offre toujours un contrôle d'accès, combinée à une isolation au niveau du réseau.

Voir la réponse type

L'approche recommandée consiste à utiliser le MAC Authentication Bypass (MAB) pour les lecteurs de codes-barres. Le point d'accès utilisera l'adresse MAC du lecteur comme identifiant et l'enverra au serveur RADIUS. Les adresses MAC étant facilement usurpées, cela fournit une authentification faible. Par conséquent, le serveur RADIUS doit être configuré pour renvoyer un attribut VLAN spécifique en cas d'authentification MAB réussie. Ce VLAN doit être fortement restreint via des pare-feux ou des ACL, permettant aux lecteurs de communiquer uniquement avec les serveurs d'inventaire spécifiques dont ils ont besoin, et bloquant tout autre accès réseau latéral.

Continuer la lecture de cette série

Les avantages de sécurité de RADIUS as a Service pour les effectifs hybrides

Ce guide de référence technique explique comment RADIUS as a Service sécurise l'accès au réseau pour les effectifs hybrides au sein des sites distribués. Il présente l'architecture, les avantages de sécurité et les étapes de déploiement pour remplacer une infrastructure RADIUS sur site par un service d'authentification géré dans le cloud. Destiné aux responsables informatiques et aux architectes réseau des hôtels, chaînes de magasins, stades et organisations du secteur public, ce guide fournit les éléments requis pour évaluer et mettre en œuvre une migration vers le RADIUS cloud dès ce trimestre.

Lire le guide →

Intégration de RADIUS as a Service avec les annuaires cloud (Azure AD & Google Workspace)

Ce guide de référence technique détaille comment intégrer RADIUS as a Service avec les annuaires cloud - Microsoft Entra ID et Google Workspace - pour l'authentification WiFi d'entreprise. Il couvre la transition architecturale du NPS sur site vers un RADIUS cloud-native, le déploiement de l'authentification EAP-TLS basée sur des certificats, ainsi que les meilleures pratiques opérationnelles pour sécuriser l'accès sans fil dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Pour les responsables informatiques et les architectes réseau déjà investis dans l'identité cloud, ce guide comble le fossé entre la gestion des annuaires et la sécurité du réseau physique.

Lire le guide →

Qu'est-ce que Cloud RADIUS ? Le guide complet du RADIUS-as-a-Service

Ce guide complet explore Cloud RADIUS (RADIUS-as-a-Service), détaillant son architecture, ses méthodes EAP et ses stratégies d'implémentation. Il fournit aux responsables IT des conseils pratiques pour migrer de serveurs sur site vers un modèle d'authentification basé sur le cloud, évolutif, sécurisé et conforme.

Lire le guide →