L’authentification des utilisateurs
L’authentification des utilisateurs dans un réseau est très importante pour garantir la sécurité et le contrôle d’accès. Elle permet de confirmer l’identité d’un utilisateur avant de lui donner l’accès aux ressources du réseau. Par exemple, dans un contexte éducatif comme le réseau Wi-Fi “eduroam” d’une école, cette authentification se fait généralement avec une adresse mail et un mot de passe fournis par l’établissement.
Le serveur RADIUS traite les demandes d’authentification des utilisateurs souhaitant accéder au réseau. Le serveur interagit avec la base de données d’authentification, où sont stockés les identifiants des utilisateurs (comme les adresses mail) et leurs mots de passe. Lorsqu’un utilisateur tente de se connecter au réseau, sa demande d’authentification est envoyée au serveur RADIUS. Le serveur vérifie ensuite si les informations fournies correspondent à un utilisateur valide dans la base de données. Si les informations sont correctes, l’utilisateur est authentifié et le serveur RADIUS informe le dispositif de réseau (par exemple, un commutateur ou un point d’accès Wi-Fi) que l’utilisateur peut accéder au réseau. En cas d’échec de l’authentification, l’accès est refusé.
En plus de l’authentification, le serveur RADIUS peut aussi gérer l’autorisation et la comptabilité, formant un système complet AAA. Après l’authentification, l’autorisation spécifie à quelles ressources réseau l’utilisateur peut accéder et quelles actions il peut réaliser. Par exemple, un étudiant pourrait avoir accès à des ressources différentes de celles d’un membre du personnel enseignant. La comptabilité implique l’enregistrement des activités de l’utilisateur sur le réseau, telles que la durée de la connexion, les services utilisés et la quantité de données transférées, fournissant des données utiles pour la surveillance du réseau, la facturation et l’analyse de l’utilisation des ressources.
Ce système offre plusieurs avantages, notamment la centralisation de la gestion de l’authentification des utilisateurs, ce qui simplifie l’administration de la sécurité réseau et maintient un haut niveau de contrôle d’accès. L’utilisation d’un serveur RADIUS, en offrant une authentification solide ainsi qu’une intégration avec des systèmes d’autorisation et de comptabilité, donne une vue d’ensemble précise de l’utilisation du réseau, renforçant la sécurité en permettant une réponse rapide et appropriée aux comportements inhabituels ou malveillants.
Commencez par ajouter un serveur au réseau et attribuez-lui une adresse IP statique. Une fois le serveur en place, accédez à l’onglet service et sélectionnez le service AAA. L’étape suivante consiste à configurer les clients RADIUS, c’est-à-dire les équipements réseau autorisés à communiquer avec le serveur RADIUS. Après avoir configuré les clients, passez à la configuration des utilisateurs dans le serveur RADIUS. Cela implique de définir les identifiants des utilisateurs finaux, typiquement sous forme d’adresses e-mail, et de leurs mots de passe correspondants.
L’authentification des utilisateurs en Wi-Fi
Pour sécuriser le Wi-Fi dans un environnement réseau utilisant un serveur RADIUS, il est faut reconfigurer le WLC pour qu’il utilise WPA2 en version entreprise.
Lors de la configuration du WLC, sélectionnez WPA2 comme méthode d’authentification. Cette option active l’utilisation de l’authentification basée sur un serveur RADIUS, contrairement à WPA2-PSK qui utilise une clé partagée fixe. La sélection de WPA2 implique la nécessité de fournir des détails supplémentaires, notamment l’adresse IP du serveur RADIUS. Cette adresse IP permet au WLC de communiquer avec le serveur RADIUS pour l’authentification des utilisateurs. Un mot de passe doit également être configuré à la fois sur le WLC et le serveur RADIUS. Ce mot de passe est utilisé pour sécuriser les communications entre le WLC et le serveur RADIUS, garantissant que les informations d’authentification sont transmises de manière sécurisée.
Il faut également ajouter le WLC dans la liste des clients autorisés sur le serveur RADIUS. Cette étape garantit que le serveur RADIUS reconnaîtra les demandes d’authentification provenant du WLC et pourra traiter ces demandes en conséquence. Sans cette configuration, le serveur RADIUS ne reconnaîtra pas le WLC comme un client valide, ce qui entraînerait l’échec des tentatives d’authentification des utilisateurs tentant de se connecter au Wi-Fi.
Pour clarifier la configuration entre le WLC et le serveur RADIUS dans un réseau Wi-Fi sécurisé :
- Configuration du WLC : Lorsque vous configurez le WLC pour utiliser WPA2 en mode entreprise, vous devez spécifier l’adresse IP du serveur RADIUS. Cette étape permet de définir où le WLC doit envoyer les demandes d’authentification des utilisateurs
- Configuration du serveur RADIUS : Sur le serveur RADIUS, il est nécessaire d’ajouter l’adresse IP du WLC à la liste des clients autorisés. Cela permet au serveur RADIUS de reconnaître et de traiter les demandes d’authentification provenant du WLC.
En résumé, la configuration du WLC doit pointer vers le serveur RADIUS, tandis que le serveur RADIUS doit être configuré pour reconnaître le WLC comme un client autorisé. Cette configuration bidirectionnelle assure une communication sécurisée pour l’authentification des utilisateurs dans le réseau Wi-Fi.
L’authentification des utilisateurs en Ethernet
Pour mettre en place l’authentification des utilisateurs via un serveur RADIUS sur un switch, comme le Cisco Catalyst 2960 équipé de firmwares récents, plusieurs étapes sont nécessaires pour assurer une communication correcte entre le switch et le serveur RADIUS.
D’abord, il est impératif d’assigner une adresse IP au VLAN du switch. Cette adresse IP sert d’identifiant pour le switch lors de sa communication avec le serveur RADIUS. Elle doit être unique et précisée dans la liste des clients autorisés sur le serveur RADIUS pour permettre une interaction sécurisée. Sans cette étape, le serveur RADIUS ne reconnaîtra pas les demandes provenant du switch, empêchant ainsi toute authentification.
Ensuite, il faut activer et configurer le service RADIUS sur le switch. Cette configuration implique la saisie des informations du serveur RADIUS, telles que son adresse IP et le secret partagé, pour établir une liaison sécurisée entre le switch et le serveur.
Pour configurer un switch avec radius:
Switch(config)# aaa new-model
Switch(config)# radius-server host [ip_du_serveur] key [mot_de_passe]
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Pour utiliser cette commande :
- Entrez dans le menu de configuration général
- Connectez le switch au serveur radius à l’aide de la commande
radius-server host [ip.du.serveur] key [mot.de.passe], en remplaçantip_du_serveurpar l'adresse IP du serveur Radius, etmot_de_passepar la clé partagée assignée sur le serveur Radius. - Tapez ensuite
aaa authentication dot1x default group radiuspour définir que le switch doit utiliser le protocole radius lorsqu'une interface réseau négocie avec le protocoledot1x - Enfin, activez le protocole dot1x à l'aide de la commande
dot1x system-auth-control
Exemple d’utilisation :
Switch(config)# aaa new-model
Switch(config)# radius-server host 192.168.0.2 key MySecretKey
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-controlUne fois le service RADIUS configuré, il est nécessaire de spécifier quels ports du switch utiliseront l’authentification 802.1X (dot1x) via RADIUS. L’authentification 802.1X permet de contrôler l’accès au réseau au niveau des ports, assurant que seuls les utilisateurs authentifiés peuvent accéder au réseau via ces ports. Pour chaque port concerné, le mode d’authentification 802.1X doit être activé, et le switch doit être configuré pour communiquer avec le serveur RADIUS pour l’authentification des utilisateurs connectés à ces ports.
Pour activer dot1x sur une interface réseau
Switch(config)# interface [type_dinterface] [numero_de_linterface]
Switch(config-if-range)# authentication port-control auto
Switch(config-if-range)# dot1x pae authenticator
Pour utiliser cette commande :
- Entrez dans la configuration d’une interface réseau à l’aide de la commande
interface [type_dinterface] [numero_de_linterface], en remplaçanttype_dinterfacepar le type d’interface (fast ou gig), etnumero_de_linterfacepar son numéro. - Tapez
authentication port-control autopour imposer l'authentification sur le port concerné - Tapez ensuite
dot1x pae authenticatorpour définir le protocole dot1x comme système d'authentification.
Exemple d’utilisation :
Switch(config)# interface range fastEthernet 0/1-24
Switch(config-if-range)# authentication port-control auto
Switch(config-if-range)# dot1x pae authenticatorEn résumé, la configuration de l’authentification des utilisateurs via un serveur RADIUS sur un switch nécessite l’assignation d’une adresse IP au VLAN, l’ajout du switch à la liste des clients autorisés sur le serveur RADIUS, la configuration du service RADIUS sur le switch, et la définition des ports qui utiliseront l’authentification 802.1X. Cette approche garantit que l’accès au réseau est sécurisé et contrôlé efficacement.