Nous avons travaillé avant l’été sur la transformation numérique d’un établissement scolaire. L’objet de ce projet de transformation était de permettre au personnel de l’établissement d’avoir accès à un réseau Wi-Fi performant et aux applications métier de manière sécurisée.

J’ai à cette occasion découvert ce qu’était un RADIUS et participé à sa mise en place. Je vous propose de découvrir les avantages en terme de sécurité qu’apporte un RADIUS.

Si vous souhaitez avoir des informations sur la manière dont ISLEAN peut vous aider à faire évoluer et sécuriser votre architecture réseau

CONTACTEZ NOUS :

01 84 76 24 50 / [email protected]

Rappel de mauvaises pratiques en sécurité réseau

Vous vous demandez peut-être comment RADIUS peut améliorer la sécurité Wi-Fi ? Posez-vous la question de quelles sont vos pratiques actuelles en matière de diffusion des mots de passe Wi-Fi, et de leur fréquence de changement. Ce point va nous permettre d’illustrer le problème et les raisons pour lesquelles un RADIUS est utile.

  • Votre mot de passe Wi-Fi est-il écrit sur le tableau blanc de la salle de conférence ou l’open space ?
  • Partagez-vous l’identifiant de connexion par e-mail à chaque nouvel arrivant ?
  • Peut-être avez-vous des personnes qui vont et viennent dans votre organisation, ce qui vous oblige à distribuer constamment le mot de passe Wi-Fi sur des notes autocollantes ou du papier ?

Bien sûr, ces pratiques sont… pratiques, mais elles ne sont pas sûres. Le problème avec ces méthodes est qu’il peut être facile pour un intrus de s’introduire dans votre réseau Wi-Fi, de s’en servir sans en avoir le droit, voire de mettre en danger les systèmes d’information et les données de votre organisation.

Voyons plus en avant ce qu’est un RADIUS et comment il participe à la protection de votre réseau.

Un nouvel outil pour moi, mais pas si nouveau pour l’humanité

RADIUS est l’acronyme de Remote Authentication Dial In User Service. La partie « Dial In » du nom indique l’âge de RADIUS : il existe depuis 1991, soit un dinosaure dans le monde de l’informatique. C’est un outil largement utilisé pour authentifier et autoriser les utilisateurs à accéder à un réseau Wi-Fi à distance mais peut aussi être utilisé pour accéder aux VPN ou tout autres équipements d’infrastructure réseau.

Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d’identification (base de données, annuaire LDAP, etc.) et un client RADIUS faisant office d’intermédiaire entre l’utilisateur final et le serveur (un Routeur UniFi USG par exemple). L’ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé appelé passphrase.

Il est complété lors de sa mise en place par le protocole WPA2 Enterprise sur les points d’accès sans fil – c’est-à-dire le processus de partage du SSID (le nom du réseau, par exemple « wifi_ecoleX_public ») et de la passphrase.

Pour accéder à un réseau sans fil sécurisé par RADIUS, l’utilisateur doit fournir un ensemble d’informations d’identification unique, soit un identifiant et un mot de passe.

Ces informations d’identification peuvent être utilisées sur plusieurs appareils afin d’être comparées aux informations d’identification stockées dans le service d’annuaire ou la base de données. Il est également possible de stocker les informations d’identification de l’utilisateur final de manière native dans le RADIUS.

Les organisations qui souhaitent mettre en place un RADIUS disposent d’un grand nombre d’options : FreeRADIUS, Microsoft NPS, Cisco ISA et bien d’autres.

Alors, un RADIUS c’est le pied ?

Vous le comprenez, avec un RADIUS en place, vous n’avez plus à craindre que des acteurs malveillants volent les informations de connexion que vous exposer sur le tableau blanc de l’open space. Sans informations d’identification uniques authentifiées par le service, un utilisateur ne peut pas accéder au réseau. Il est plus simple d’invalider un compte d’accès et de le renouveler que de changer le mot de passe d’un Wi-Fi pour tout le monde. Certes, il faut diffuser individuellement ces accès. Et installer et gérer un service supplémentaire. A ce prix, le résultat final est une sécurité réseau considérablement améliorée.

Pour plus de sécurité, vous pouvez également utiliser un RADIUS pour mettre en œuvre le marquage VLAN par utilisateur. Le marquage VLAN consiste à segmenter un réseau Wi-Fi en autant de réseaux virtuels que vous le souhaitez. Ensuite, les utilisateurs individuels ou les groupes (pensez aux départements de votre organisation) sont affectés à un ou plusieurs VLAN spécifiques. Ainsi, même si l’un de vos utilisateurs ou de vos VLAN était compromis, l’ensemble de votre infrastructure réseau ne serait pas en danger.