Skip to content

Authentification Wi-Fi sécurisée avec RADIUS

Objectifs

Mettre en place une authentification Wi-Fi basée sur 802.1X + RADIUS, permettant :

  • d’authentifier un utilisateur via un annuaire (AD)
  • de sécuriser l’accès (pas de clé partagée)
  • d’assigner dynamiquement un VLAN selon le groupe

Composants du système

flowchart  LR
  U[Utilisateur<br/>PC / Smartphone] --> AP[Point d'accès Wi-Fi]
  AP --> SW[Switch]
  SW --> NPS[Serveur Radius <br> Microsoft NPS <br> Freeradius]

   AP <-->|802.1X / EAP| U
   AP <-->|protocole RADIUS| NPS
   NPS <-->|LDAP / Kerberos| AD[Annuaire AD / openldap]

Rôle de chaque élément

Client (supplicant)

  • Poste utilisateur
  • Lance l’authentification 802.1X

Point d’accès (authenticator)

  • Bloque l’accès réseau tant que l’utilisateur n’est pas authentifié
  • Relais entre client et serveur RADIUS

Serveur RADIUS (NPS)

  • Vérifie l’identité (via AD)
  • Applique des règles (ex : VLAN selon groupe)

Active Directory

  • Contient les comptes utilisateurs et groupes

Modèle AAA

RADIUS implémente le modèle AAA :

  • Authentication : qui es-tu ?
  • Authorization : que peux-tu faire ?
  • Accounting : traçabilité (optionnel ici)

iMPORTANT

RADIUS = UDP (ports 1812/1813) Mot de passe partagé entre AP et serveur RADIUS (secret partagé) À la différence de TACACS+, RADIUS chiffre seulement le mot de passe (pas tout le paquet)

Le protocole 802.1X

sequenceDiagram
    participant C as Client
    participant AP as Point d'accès
    participant NPS as Serveur RADIUS
    participant AD as Active Directory

    C->>AP: Demande accès réseau
    AP->>C: Demande identité (EAP-Request)
    C->>AP: Identité (EAP-Response)
    AP->>NPS: Access-Request (RADIUS)

    NPS->>AD: Vérification utilisateur
    AD-->>NPS: OK / KO

    NPS-->>AP: Access-Accept / Reject
    AP-->>C: Accès autorisé / refusé

EAP et TLS

Dans un réseau entreprise, on utilise souvent :

PEAP (EAP encapsulé dans TLS) → le plus courant avec NPS EAP-TLS → plus sécurisé mais nécessite des certificats côté client

Le certificat sert à :

  • authentifier le serveur RADIUS auprès du client
  • chiffrer le tunnel TLS

Sans certificat valide : le client ne peut pas faire confiance au serveur attaque possible (Attaque rogue AP)

Echange détaillé avec PEAP

sequenceDiagram
    participant C as Client
    participant AP as AP
    participant NPS as NPS

    C->>AP: Association Wi-Fi
    AP->>C: EAP-Request Identity
    C->>AP: EAP-Response Identity

    AP->>NPS: Access-Request

    NPS->>C: Certificat serveur (TLS)
    C->>C: Vérifie certificat

    C->>NPS: Tunnel TLS établi

    C->>NPS: Login / mot de passe (dans TLS)
    NPS->>AD: Vérification

    NPS-->>AP: Access-Accept + VLAN
    AP-->>C: Accès réseau

Attribution dynamique du vlan

Le serveur RADIUS peut envoyer des attributs :

Tunnel-Type = VLAN
Tunnel-Medium-Type = IEEE-802
Tunnel-Private-Group-ID = VLAN_ID

Les erreurs classiques

  • Certificat auto-signé non déployé → échec
  • Nom du certificat incorrect → rejet
  • CA non connue → alerte de sécurité