De façon générale, le protocole de sécurité sans-fil « WiFi Protected Access 3 » (WPA3) a amélioré de manière significative la sécurité des réseaux WiFi, et c’est notamment le cas du protocole WPA-3 Enterprise, dont les modifications ont permis de rendre l'authentification sur le réseau plus sûre. L'une d'entre elles concerne l'authentification 802.1x, qui permet de déterminer si les clients WiFi peuvent avoir accès ou non au réseau d'entreprise. Depuis toujours, le mode entreprise du WPA a permis d’attribuer à chaque utilisateur un nom d'utilisateur/mot de passe unique pour se connecter au WiFi ou d'utiliser des certificats numériques uniques pour chaque utilisateur, certificats qu’ils installent sur leurs appareils pour accroître la sécurité. Mais le protocole WPA3-Enterprise renforce encore plus la sécurité, car elle oblige les clients à communiquer avec le véritable serveur d'authentification avant d'envoyer leurs identifiants de connexion. Avec les deux versions précédentes - WPA et WPA2 - du WPA, cette vérification était facultative. L’autre avantage du protocole WPA3-Enterprise, c’est qu’il améliore aussi la force du cryptage. Cependant, dans la plupart des cas, ces améliorations ne sont pas suffisamment importantes pour justifier une mise à jour de tout son matériel afin de disposer du support WPA3. C'est pourquoi, aujourd’hui encore, le WPA2-Enterprise reste certainement un bon choix de sécurité.
Voici comment déployer le 802.1x dans WPA3-Enterprise.
Ajouter un serveur RADIUS
WPA-Enterprise 802.1x nécessite impérativement la mise en place d’un serveur RADIUS pour authentifier les clients WiFi qui tentent d'accéder au réseau. Plusieurs options sont possibles :
- L’intégration au contrôleur sans-fil ou aux points d'accès (PA) : Certaines plateformes de contrôleurs, y compris celles basées sur le cloud, mais aussi les points d’accès, disposent de serveurs RADIUS intégrés et de répertoires d'utilisateurs capables de procéder à l'authentification. Cependant, la fonctionnalité est limitée et il se peut que vous ne puissiez pas utiliser un répertoire d'utilisateurs tiers comme Active Directory pour les identifiants de connexion. Mais cette solution offre un moyen d’authentification simple et peu coûteux.
- Un routeur, un pare-feu, un dispositif de gestion unifiée des menaces ou un serveur d'accès au réseau : Certains dispositifs réseaux comportent un serveur RADIUS intégré. C’est le cas des contrôleurs ou des points d’accès sans fil. Certes, ils ne peuvent offrir toutes les fonctionnalités d’un serveur RADIUS, mais certains d’entre eux prennent en charge les annuaires d'utilisateurs tiers. Un examen de vos équipements réseaux principaux existants vous permettra de savoir s'ils offrent des fonctionnalités RADIUS et lesquelles.
- Les serveurs existants : Certains serveurs existants incluent un serveur RADIUS en tant que fonctionnalité. Par exemple, les systèmes Windows Servers permettent de disposer d’un serveur RADIUS via les services Network Policy Server (NPS) et d’utiliser Active Directory pour les identifiants de connexion WiFi.
- Des services RADIUS hébergés dans le cloud : Cette option permet d'utiliser facilement RADIUS sans que vous ayez à déployer votre propre matériel. Cette option est également utile si vous avez plusieurs sites où vous souhaitez l'utiliser, car la gestion peut se faire dans le cloud plutôt qu’au niveau de chaque site. En outre, certains services clouds vous permettent de connecter des répertoires d'utilisateurs tiers.
- Installation d’un serveur RADIUS distinct : Une dernière option consiste à déployer un serveur RADIUS complet distinct sur un matériel dédié ou une plate-forme virtuelle. Des éditeurs proposent des logiciels de serveur RADIUS payants, mais vous pouvez aussi utiliser le logiciel open source FreeRADIUS, très populaire.
Mettre en place le serveur RADIUS
Selon la solution choisie, la mise en place d'un serveur RADIUS est plus ou moins difficile, et celle-ci est généralement simplifiée si vous utilisez un contrôleur sans fil ou des points d’accès. Si vous optez pour un serveur externe, vous devrez généralement entrer l'adresse IP du contrôleur sans fil ou de chaque point d’accès et spécifier un secret partagé, à renseigner plus tard dans les paramètres du contrôleur ou de chaque point d’accès. Dans le cas des serveurs RADIUS traditionnels, ces secrets sont généralement saisis dans la liste Network Access Server (NAS). Sur le serveur RADIUS, vous devrez également configurer les informations d'identification de l'utilisateur, soit avec des noms d'utilisateur et des mots de passe dans une base de données locale ou une base de données/un répertoire externe, soit en générant des certificats numériques que vous installerez ensuite sur les appareils.
Certains serveurs RADIUS prennent en charge des attributs optionnels que vous pouvez appliquer à des utilisateurs individuels ou à des groupes d'utilisateurs et qui viennent compléter la politique appliquée aux clients individuels. Parmi les attributs courants pris en charge par les serveurs RADIUS, on peut citer l'heure de connexion, qui vous permet de définir les jours et heures exacts auxquels ils peuvent se connecter ; l'ID de la station appelée, qui permet de spécifier les points d'accès à partir desquels ils peuvent se connecter ; et l'ID de la station appelante, qui permet de spécifier les appareils clients à partir desquels ils peuvent se connecter. Certains serveurs RADIUS prennent également en charge en option les affectations dynamiques de VLAN. Au lieu d'attribuer un SSID à un seul VLAN, il est possible de définir les attributions de VLAN dans le serveur RADIUS en fonction de l'utilisateur, et son ID VLAN particulier sera appliqué lors de la connexion au WiFi pendant l'authentification 802.1x.
Configurer les points d’accès pour la sécurité d’entreprise
Au moment de la configuration des points d'accès sans fil, il est nécessaire de saisir l'adresse IP et le port du serveur RADIUS ainsi que le secret partagé que vous avez spécifié précédemment, si vous utilisez un serveur RADIUS externe. Si les points d'accès prennent en charge plusieurs protocoles d'authentification d'entreprise (EAP), vous devrez également sélectionner celui que vous utilisez, par exemple l’EAP protégé (PEAP) si vous utilisez les noms d'utilisateurs/mots de passe ou l’EAP-TLS si vous avez opté pour les certificats numériques. L’EAP permet au client et au serveur RADIUS de communiquer entre eux en tant que proxy par l'intermédiaire du point d’accès. Si vos points d’accès prennent en charge le WPA3, vous aurez probablement aussi la possibilité de choisir l'une des trois options WPA : WPA2-Entreprise uniquement, WPA3-Entreprise uniquement ou WPA2/WPA3-Entreprise. La troisième option est la plus probable, si tous vos appareils clients ne prennent pas en charge le WPA3. La plupart des contrôleurs et des points d’accès sans fil prennent également en charge la comptabilité RADIUS, c’est-à-dire le renvoie des données d'utilisation au serveur RADIUS qui vous permet de conserver les journaux de connexion. Pour les serveurs RADIUS externes, vous devrez saisir l'adresse IP et le port de comptabilité de votre serveur RADIUS ainsi que le secret partagé que vous avez précédemment spécifié.
Se connecter à la sécurité d'entreprise
Si vous choisissez d'utiliser des noms d'utilisateur et des mots de passe, comme pour le PEAP, les utilisateurs doivent simplement sélectionner le SSID sur les appareils, et il leur demandera de se connecter. Vous pouvez également pousser des paramètres prédéfinis sur leurs appareils et utiliser la fonctionnalité d'authentification unique. Dans ce cas, l'utilisateur n'a pas à fournir d'informations d'identification. Si vous utilisez des certificats numériques (comme avec l’EAP-TLS), le certificat de chaque utilisateur doit être installé sur chaque terminal final. La procédure peut être réalisée manuellement, mais il existe aussi de nombreuses solutions pour automatiser le processus. Là encore, un examen de votre serveur RADIUS ou de votre service cloud vous permettra de savoir ce qui est possible.
Commentaire