rss logo

Mise en place du WPA Enterprise (802.1X et RADIUS) avec PEAP-MS-CHAP v2 sur les points d'accès WiFi UniFi

WiFi Logo

De nos jours, l'accès au WiFi devient une norme courante dans un grand nombre d'entreprises. Malheureusement, cela soulève de nombreuses préoccupations concernant la sécurité. En effet, lorsque l'on définit un mot de passe WPA unique pour un grand nombre d'utilisateurs, cela nécessite de changer fréquemment le mot de passe de l'accès au WiFi (j'ai déjà écrit un article à ce sujet pour le faire via GPO ici), mais cela peut être fastidieux à mettre en place.

Nous allons donc voir ici comment mettre en œuvre l'accès WPA Enterprise afin de renforcer la sécurité et répondre aux préoccupations énoncées ci-dessus.

⚠️Note : Veuillez noter que le protocole PEAP-MSCHAPv2 semble sentir des fesses et ne pas être totalement sécurisé. Sources : https://www.youtube.com/. Envisagez d'utiliser EAP-TLS à la place (voir par exemple la) ! ⚠️

Note II : PEAP-MSCHAPv2 utilise un login et un mot de passe traditionnels pour authentifier les utilisateurs (basés ici sur les comptes Active Directory), alors que EAP-TLS utilise des certificats X.509.

Schéma réseau montrant les trames EAP et RADIUS échangées entre un supplicant WiFi, un authenticateur et un serveur RADIUS

Serveur d'authentification

Installation du rôle NPS

Nous avons deux options pour installer le rôle NPS : en utilisant PowerShell ou via l'interface graphique.

PowerShell

  • Pour une installation rapide en utilisant PowerShell, exécutez la commande suivante :
PS C:\Users\administrator.STD> Install-WindowsFeature NPAS -Restart -IncludeManagementTools

Interface graphique utilisateur (GUI)

  • Depuis le Gestionnaire de serveur, accéder à Ajouter des rôles et des fonctionnalités :
Windows Server | Tableau de bord du Gestionnaire de serveur - Ajouter des rôles et des fonctionnalités
  • Sélectionner Installation basée sur un rôle ou une fonctionnalité :
Ajouter des rôles et des fonctionnalités | Sélectionner le type d'installation
  • Sélectionner le serveur :
Ajouter des rôles et des fonctionnalités | Sélectionner le serveur de destination
  • Sélectionner le rôle Network Policy Server :
Ajouter des rôles et des fonctionnalités | Sélectionner les rôles du serveur
  • Cliquer simplement sur Suivant :
Ajouter des rôles et des fonctionnalités | Sélectionner les fonctionnalités
  • Cochez Redémarrer le serveur de destination et cliquez sur Installer :
Ajouter des rôles et des fonctionnalités | Confirmer les sélections d'installation

Génération d'un certificat auto-signé

Comme vu précédemment sur le schéma, un tunnel TLS est établi entre le supplicant et le serveur NPS. Pour ce faire, nous avons le choix entre créer un certificat sur un serveur ADCS (méthode abordée dans le tutoriel EAP-TLS) ou en générer un auto-signé. Dans cette option, nous devrons déployer le certificat sur chaque supplicant qui se connectera aux Points d'accès.

PowerShell

  • À partir du serveur NPS, ouvrez une console PowerShell :
PS C:\Users\administrator.STD> New-SelfSignedCertificate -DnsName "nps.std.local" -KeyLength 2048 -CertStoreLocation cert:\LocalMachine\My -NotAfter (Get-Date).AddYears(20)

Exporter le certificat

Afin d'être reconnu en tant qu'entité de confiance par les Supplicants Windows, le certificat doit être exporté et ajouté à la liste de certificats de confiance. Je montrerai comment faire cela ultérieurement pour le Supplicant.

  • Ouvrir la Console de gestion Microsoft :
Fenêtre Exécuter de Windows avec 'mmc' dans le champ Ouvrir
  • Cliquer sur Ajouter ou supprimer des extensions… :
Console MMC avec l'option 'Ajouter ou supprimer des extensions...' sélectionnée dans le menu 'Fichier'
  • Sélectionner Certificats et cliquer sur OK :
Console Ajouter ou supprimer des extensions avec l'extension 'Certificats' ajoutée
  • Sélectionner Compte de l'ordinateur :
Fenêtre de l'extension Certificats avec 'Compte de l'ordinateur' sélectionné
  • Sélectionner Ordinateur local :
Fenêtre Sélectionner un ordinateur avec l'option 'Ordinateur local' choisie
  • Enfin, cliquer sur OK :
Console Ajouter ou supprimer des extensions avec l'extension 'Certificats' ajoutée
  • Le certificat généré devrait apparaître sous Certificats > Personnel > Certificats :
Certificat dans le dossier Certificats personnels d'une console MMC certificat d'ordinateur
  • Faire un clic droit sur le certificat et sélectionner Exporter… :
Exportation d'un certificat dans le dossier Certificats personnels à partir d'une console MMC certificat d'ordinateur
  • Cliquer sur Suivant :
Écran d'accueil de l'Assistant d'exportation de certificat dans Windows.
  • Ne pas exporter la clé privée :
Écran demandant d'exporter la clé privée dans l'Assistant d'exportation de certificat.
  • Sélectionner le format du certificat, par exemple DER :
Exportation du certificat au format DER à l'aide de l'Assistant d'exportation de certificat.
  • Spécifier le chemin où l'on souhaite exporter le certificat :
Spécification du chemin pour exporter le certificat dans l'Assistant d'exportation de certificat.
  • Cliquer sur Terminer pour terminer :
Dernière étape de l'Assistant d'exportation de certificat, proposant de terminer l'exportation.
  • Le certificat exporté devrait apparaître dans le répertoire spécifié :
Image d'un certificat sur un bureau Windows.

Configurer NPS

  • Ouvrir la Console du serveur Network Policy (NPS) :
Fenêtre Exécuter de Windows avec 'nps.msc' dans le champ Ouvrir

Déclarer les points d'accès en tant que clients RADIUS

  • Naviquer dans NPS > Clients et serveurs RADIUS > Client RADIUS et cliquez sur Nouveau :
Capture d'écran de l'ajout d'un nouveau client RADIUS dans la console NPS
  • Pour chaque point d'accès, donner un nom, définir l'adresse IP et donner un mot de passe fort (il faut utiliser le même pour chaque point d'accès) :
Capture d'écran de la configuration d'un client RADIUS avec nom, adresse IP et mot de passe
  • Les points d'accès précédemment ajoutés devraient être visibles dans le dossier Clients RADIUS :
Capture d'écran montrant tous les points d'accès ajoutés dans le dossier Clients RADIUS

Créer une politique réseau

Nous devons maintenant créer une politique réseau où nous définirons quel groupe d'utilisateurs pourra se connecter et les protocoles à utiliser.

  • Cliquer sur Nouveau dans le dossier Politiques réseau :
Capture d'écran de la création d'une nouvelle politique réseau dans la console NPS
  • Donner un nom à la politique :
Capture d'écran de la création d'une politique réseau avec un nom
  • Cliquer sur Ajouter pour spécifier la condition :
Capture d'écran de la configuration de la condition pour la politique réseau
  • Sélectionner Groupes d'utilisateurs et cliquer sur Ajouter des groupes… :
Capture d'écran de l'ajout de groupes d'utilisateurs à la condition de la politique réseau
  • Ajouter un groupe d'utilisateurs Active Directory, par exemple Utilisateurs du domaine :
Capture d'écran de l'ajout du groupe d'utilisateurs Domain Users à la condition de la politique réseau
  • Cliquer sur Suivant :
Capture d'écran de la suite de la configuration de la politique réseau
  • Sélectionner Accès accordé :
Capture d'écran de la sélection de l'accès accordé pour la politique réseau
  • Choisir Protected EAP (PEAP) comme type EAP et modifier sa configuration :
Capture d'écran de la configuration du type EAP pour la politique réseau
  • Sélectionnez le certificat nouvellement créé et choisir Secured password (EAP-MSCHAP v2) comme type EAP :
Capture d'écran de la sélection du certificat et du type EAP pour la politique réseau
  • Cliquer sur Suivant :
Capture d'écran de la suite de la configuration de la politique réseau
  • Cliquer sur Suivant :
Capture d'écran de la suite de la configuration de la politique réseau
  • Enfin, cliquer sur Terminer pour créer la politique :
Capture d'écran de la fin de la configuration de la politique réseau

Configuration du serveur UniFi Network

Nous devons maintenant configurer notre serveur UniFi Network.

  • Accéder au menu Profils et créer un nouveau profil RADIUS :
Capture d'écran du menu des profils UniFi Network
  • Cliquez sur Create New :
Capture d'écran de la création d'un nouveau profil RADIUS dans UniFi Network
  • Donner un nom au profil RADIUS et ajouter l'adresse IP du serveur NPS pour le serveur d'authentification et le serveur RADIUS de comptabilité. Ne pas oublier d'ajouter le mot de passe précédemment configuré sur le serveur NPS, définir les ports, puis cliquer sur les boutons Ajouter pour valider la configuration :
Capture d'écran de la configuration du profil RADIUS dans UniFi Network
  • Maintenant, accéder au menu WiFi et ajouter un nouveau profil WiFi ou modifier-en un existant :
Capture d'écran du menu WiFi dans UniFi Network
  • Définir le protocole de sécurité et le profil RADIUS :
Capture d'écran de la configuration du protocole de sécurité et du profil RADIUS dans UniFi Network

Supplicant

Dernière étape, comme expliqué précédemment, nous devons déclarer le certificat précédemment créé comme étant légitime. Pour ce faire, nous devons déployer le certificat exporté sur chaque ordinateur Supplicant qui doit se connecter au WiFi. Nous pouvons le faire manuellement ou via GPO.

Manuellement

Tout d'abord, copier le certificat sur le Supplicant.

  • Ouvrir ou cliquer sur Installer un certificat :
Capture d'écran de l'assistant d'installation de certificat
  • Choisir Utilisateur actuel ou Ordinateur local; les deux devraient fonctionner :
Capture d'écran de l'assistant d'installation de certificat
  • Cliquer sur Parcourir, puis sélectionner Autorités de certification racines de confiance :
Capture d'écran de l'assistant d'installation de certificat
  • Ensuite, cliquer sur Suivant :
Capture d'écran de l'assistant d'installation de certificat
  • Cliquer sur Terminer pour terminer l'importation :
Capture d'écran de l'assistant d'installation de certificat
  • Cliquer sur Oui sur la fenêtre d'avertissement de sécurité :
Capture d'écran de l'assistant d'installation de certificat

GPO

  • Créer une nouvelle GPO et importer le certificat dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies relatives aux clés publiques > Autorités de certification racines de confiance :
Capture d'écran des paramètres de stratégie de groupe (GPO) pour les Autorités de certification racines de confiance

References