rss logo
Informatique
Accueil
Tutos
Zik
Le groupe
mp3
Autres
Liens
UK Flag En

Mise en œuvre du WPA Enterprise (802.1X et RADIUS) avec EAP-TLS sur les points d'accès WiFi UniFi

WiFi Logo

J'ai précédement montré comment configurer une architecture WPA Enterprise avec PEAP-MSCHAPv2. L'article est disponible ici. Cependant, comme mentionné, et bien que cela soit relativement simple à configurer, cela peut ne pas être considéré comme la manière la plus sécurisée de protéger son WiFi. Si la sécurité est une priorité pour vous ou votre entreprise, je vous recommande vivement d'utiliser EAP-TLS à la place. Et bonne nouvelle, c'est précisément de cela dont nous allons discuter ici !

Dans ce guide, nous allons voir comment mettre en œuvre un accès WPA Enterprise en utilisant le protocole le plus sécurisé pour les connexions WiFi : EAP-TLS.

Nous nous concentrerons sur la configuration d'une architecture orientée Microsoft et Ubiquiti. Comme EAP-TLS repose sur une PKI, il nécessite une Autorité de Certification (CA). Par conséquent, nous configurerons également les Services de Certificats Active Directory (AD CS) pour distribuer des certificats à la fois aux Supplicants (stations utilisateurs) et au serveur d'authentification, qui sera un serveur NPS (le serveur RADIUS de Microsoft).

Schéma réseau montrant les trames EAP-TLS et RADIUS échangées entre un supplicant WiFi, un authentificateur et un serveur RADIUS

Services de Certificats Active Directory (AD CS)

Les Services de certificats Active Directory (AD CS) permettent la délivrance et la gestion des certificats d'infrastructure à clé publique (PKI). Dans cette configuration, il facilitera la fourniture de certificats qui permettront à chaque utilisateur dans un Active Directory de s'authentifier de manière sécurisée auprès d'un serveur RADIUS.

Installation du rôle AD CS

Nous avons deux options pour installer le rôle AD CS : en utilisant une console PowerShell ou via l'interface graphique.

PowerShell

  • Pour une installation rapide en utilisant PowerShell, exécuter la commande suivante :
PS C:\Users\administrator.STD> Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

Interface Utilisateur Graphique (GUI)

  • Utilisant le tableau de bord du Gestionnaire de serveur, accéder à Ajouter des rôles et des fonctionnalités :
Gestionnaire de serveur Windows | Tableau de bord - Ajouter des rôles et des fonctionnalités
  • Cliquer sur Suivant :
Fenêtre Avant de commencer dans l'Assistant Ajouter des rôles et des fonctionnalités
  • Sélectionner Installation basée sur un rôle ou basée sur une fonction dans le menu Type d'installation, puis cliquer sur Suivant :
Capture d'écran du menu Type d'installation lors de l'installation basée sur un rôle ou basée sur une fonction
  • Sélectionner votre serveur AD CS et cliquer sur Suivant :
Fenêtre Windows d'installation de roles lors de l'étape de selection du serveur
  • Cocher la case Services de certificats Active Directory et cliquer sur Suivant :
Fenêtre Windows d'installation de roles lors de l'étape d'ajout du role Active Directory Certificate Services
  • Cliquer sur Suivant dans le menu Fonctionnalités :
Fenêtre Windows d'installation de roles lors de l'étape d'ajout des fonctionnalités
  • Lire la description des Services de certificats Active Directory si on est mautivé, puis cliquer sur Suivant :
Fenêtre Windows d'installation de roles lors de l'étape qui décris le role ADCS
  • Cocher la case Autorité de certification et cliquer sur Suivant :
Fenêtre Windows d'installation de roles lors de l'étape d'ajout du role de service : authorité de certification
  • Cliquer sur Suivant pour continuer :
Fenêtre Windows d'installation de roles lors de l'étape de confirmation d'installation et avec la case de redémarrage cochée
  • Ouvrer le tableau de bord du Gestionnaire de serveur et accéder à la Configuration après déploiement :
popup de post-deploiment d'un role dans un serveur windows
  • Modifier les informations d'identification par défaut si nécessaire, puis cliquer sur Suivant :
Fenêtre Windows de la configuration du role ADCS lors de l'indication du compte utilisateur pour configurer ce role
  • Sélectionner le rôle Autorité de certification et cliquer sur Suivant pour continuer :
Capture d'écran de la sélection du rôle Autorité de certification lors de l'installation dans la configuration Ubiquiti Wi-Fi EAP-TLS
  • Choisir Autorité de certification Enterprise et cliquer sur Suivant :
Fenêtre Windows de la configuration du role ADCS lors du choix du type d'installation du CA (ici Enterprise CA est coché)
  • Sélectionner Root CA :
Fenêtre Windows de la configuration du role ADCS lors du choix du type d'installation du CA (ici Root CA est coché)
  • Nous créons une toute nouvelle clé privée :
Fenêtre Windows de la configuration du role ADCS lors du choix du type de clé privé
  • Choisir les options cryptographiques appropriées :
Fenêtre Windows de la configuration du role ADCS lors de la configuration de la taille de la clé et de l'algorithme cryptographique
  • Spécifier le nom de l'Autorité de certification :
Fenêtre Windows de la configuration du role ADCS lors du paramétrage du nom du CA
  • Indiquer la période de validité du certificat, 10 ans semble être une bonne durée, étant donné que nous serons probablement tous morts d'ici là :
Fenêtre Windows de la configuration du role ADCS lors de la paramétrage de la durée de validité du certificat
  • Spécifier les emplacements de la base de données :
Fenêtre Windows de la configuration du role ADCS lors de la configuration de l'emplacement des base de données
  • Vérifier la configuration globale et cliquer sur Configurer pour exécuter la configuration :
Fenêtre Windows de la configuration du role ADCS lors de l'étape de confirmation
  • Une fois la configuration réussie, cliquer sur Fermer :
Fenêtre Windows de la configuration du role ADCS lors la confirmation de la bonne installation du role

Configuration du rôle AD CS

À partir du serveur ADCS, nous devons créer deux modèles de certificat : l'un pour le Serveur d'authentification (NPS), qui permettra de générer un certificat Ordinateur, et l'autre pour les Supplicants, qui permettra aux Utilisateurs du domaine de s'authentifier.

  • Ouvrir la console de gestion de l'Autorité de certification :
fenêtre windows d'exécution de programme avec certsrv.msc de renseigné
  • Accéder au menu Modèles de certification et supprimer les modèles dont vous n'avez pas besoin (dans mon cas, j'ai tout supprimé car j'utiliserai l'ADCS ai besoin uniquement pour l'authentification EAP-TLS) :
fenêtre windows de l'outil de configuration du service ADCS lors de la suppression des modèle de création de certificats

Création des modèles de certificat

  • Ouvrir la Console des modèles de certificat en faisant un clic droit sur le dossier Modèles de certificat et en sélectionnant Gérer :
fenêtre windows de l'outil de configuration du service ADCS avec un clic droit sur le dossier de modèles de certificats
Modèle de certificat pour l'authentification des utilisateurs (Pour les Supplicants)
  • Faire un clic droit sur Modèle utilisateur et sélectionner Dupliquer le modèle :
fenêtre windows de la gestion des modèles de certificats lors de la duplication du modèle utilisateur
  • Facultatif, mais si l'on dispose d'une architecture récente, on pourra configurer les systèmes les plus récents dans les Paramètres de compatibilité :
onglet compatibilité de la fenêtre windows de propriétés d'un nouveau modèle
  • Donner un nom au Modèle :
onglet général de la fenêtre windows de propriétés d'un nouveau modèle
  • Mettre à jour la taille de la clé :
onglet cryptographie de la fenêtre windows de propriétés d'un nouveau modèle
  • Pour permettre le déploiement automatique des certificats via GPO, cocher la case Autoenroll pour Utilisateurs du Domaine :
onglet sécurité de la fenêtre windows de propriétés d'un nouveau modèle
  • Bien noter que l'adresse mail est requise pour les utilisateurs AD qui demanderont des certificats. Cela signifie qu'une adresse e-mail doit être saisie dans le champ utilisateur de l'Active Directory :
correspondance entre les fenêtre windows de propriétés d'un nouveau modèle onglet Subject Name et les propriété de la fenêtre d'un utilisateur active directory

Enfin, cliquer sur OK pour créer le modèle.

  • Depuis la console de gestion de l'Autorité de certification, faire un clic droit sur Modèles de certificat et sélectionner Modèle de certificat à délivrer :
fenêtre windows de l'outil de configuration du service ADCS lors de la demande de création d'un nouveau modèle de certificat à délivrer
  • Sélectionner le modèle EAP-TLS précédemment créé :
fenêtre windows lors de la sélection d'un modèle de certificat ADCS
  • Le modèle EAP-TLS devrait apparaître dans le dossier Modèles de certificat :
fenêtre windows de l'outil de configuration du service ADCS avec seulement le modèle EAP-TLS dans le dossier modèle de certificat
Modèle de certificat pour le serveur d'authentification (serveur NPS)
  • Ouvrir la Console des modèles de certificat en faisant un clic droit sur le dossier Modèles de certificat et en sélectionnant Gérer :
Capture d'écran de l'ouverture de la Console des modèles de certificat
  • Faire un clic droit sur Modèle d'ordinateur et sélectionner Dupliquer le modèle :
Capture d'écran de la duplication du modèle d'ordinateur
  • Facultatif, mais sur une architecture récente, on pourra configurer les systèmes les plus récents dans les Paramètres de compatibilité :
Capture d'écran de la configuration des paramètres de compatibilité
  • Donner un nom au Modèle :
Capture d'écran de la fourniture d'un nom pour le modèle
  • Facultatif, on peut encore améliorer la sécurité en mettant à jour la taille de la clé :
Capture d'écran de la mise à niveau de la taille de la clé
  • Pour permettre le déploiement automatique des certificats via GPO, cocher la case Autoenroll pour Ordinateurs du Domaine :
onglet sécurité dans la fenêtre windows de propriétés d'un nouveau modèle de certificat

Enfin, cliquer sur OK pour créer le modèle.

  • Depuis la console de gestion de l'Autorité de certification, faire un clic droit sur Modèles de certificat et sélectionner Modèle de certificat à délivrer :
fenêtre windows de l'outil de configuration du service ADCS lors de l'ajout d'un nouveau modèle de certificat à distribuer
  • Sélectionner le modèle NPS précédemment créé :
fenêtre windows de sélection de modèle de certificat
  • Le modèle NPS devrait apparaître dans le dossier Modèles de certificat :
fenêtre windows de l'outil de configuration du service ADCS avec seulement les modèles EAP-TLS et NPS dans le dossier modèle de certificat

Serveur d'authentification (NPS)

Installation du rôle NPS

Nous avons deux options pour installer le rôle NPS : depuis une console PowerShell ou via l'interface graphique.

PowerShell

  • Pour une installation rapide en utilisant PowerShell, exécuter la commande suivante :
PS C:\Users\administrator.STD> Install-WindowsFeature NPAS -Restart -IncludeManagementTools

Interface Graphique

  • Utiliser le tableau de bord Server Manager et naviguer jusqu'à Add Roles and Features :
Windows Server | Tableau de bord Server Manager - Ajouter des rôles et des fonctionnalités
  • Sélectionner Installation basée sur un rôle ou sur une fonctionnalité :
Add Roles and Features | Sélectionner le type d'installation
  • Sélectionner le serveur :
Add Roles and Features | Sélectionner le serveur de destination
  • Sélectionner le rôle Network Policy Server :
Add Roles and Features | Sélectionner les rôles du serveur
  • Cliquer simplement sur Next :
Add Roles and Features | Sélectionner les fonctionnalités
  • CocheW Redémarrer le serveur de destination et cliquer sur Install :
Add Roles and Features | Confirmer les sélections d'installation

Distribution de certificats pour le serveur NPS

Avec l'AD CS maintenant correctement configuré, nous pouvons demander un certificat d'ordinateur depuis le serveur NPS.

Manuellement via la console de gestion des certificats

  • Depuis le serveur NPS, ouvrir la Console de gestion des certificats de l'ordinateur :
Capture d'écran de l'ouverture de la Console de gestion des certificats
  • Faire un clic droit sur le dossier Personnel et sélectionner Demande de nouveau certificat… :
Capture d'écran de la demande de nouveau certificat
  • Cliquer sur Next pour démarrer le processus d'enrôlement du certificat :
Capture d'écran du processus d'enrôlement du certificat
  • Sélectionner la Stratégie d'enrôlement Active Directory et cliquer sur Next pour continuer :
Capture d'écran de la sélection de la stratégie d'enrôlement Active Directory
  • Sélectionner la Stratégie NPS définie précédemment et cliquer sur Enroll :
Capture d'écran de la sélection de la stratégie NPS pour l'enrôlement
  • Cliquer simplement sur Terminer une fois le processus d'enrôlement terminé :
Capture d'écran de la fin du processus d'enrôlement du certificat
  • Après avoir cliqué sur Rafraichir, devrait apparaître le certificat d'ordinateur :
Capture d'écran de l'affichage du certificat ordinateur après l'enrôlement

Automatiquement via la stratégie de groupe (GPO)

Pour automatiser le processus de renouvellement du certificat, nous pouvons créer une GPO.

  • Aller dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Stratégies de sécurité > Stratégies de clé publique et éditer la stratégie Client de services de certificats - Inscription automatique :
Capture d'écran de l'édition de la stratégie Client de services de certificats - Inscription automatique
  • Activer le Modèle de configuration et cocher les cases pour activer l'automatisation du renouvellement du certificat :
Capture d'écran de l'activation du Modèle de configuration et de l'automatisation du renouvellement du certificat
  • Effectuer une commande gpupdate pour obtenir un certificat :
C:\> gpupdate

Configurer le rôle NPS

  • Ouvrir la console NPS :
Fenêtre Exécuter de Windows avec 'nps.msc' dans le champ Ouvrir

Déclarer les points d'accès en tant que clients RADIUS

  • Se déplacer dans NPS > Clients et serveurs RADIUS > Client RADIUS et cliquer sur Nouveau :
Capture d'écran de l'ajout d'un nouveau client RADIUS dans la configuration NPS
  • Pour chaque point d'accès, donner un Nom, définir l'adresse IP et créer un mot de passe fort (utiliser le même pour chaque point d'accès) :
Capture d'écran de la configuration des paramètres du client RADIUS avec Nom, adresse IP et mot de passe
  • Devraient être présents tous les points d'accès précédemment ajoutés dans le dossier Clients RADIUS :
Capture d'écran de l'affichage de tous les points d'accès précédemment ajoutés dans le dossier Clients RADIUS

Créer une politique réseau

Nous devons maintenant créer une politique réseau où nous définirons quel groupe d'utilisateurs pourra se connecter et les protocoles utilisés.

  • Cliquer sur Nouveau dans le dossier Politiques réseau :
Capture d'écran de l'ajout d'une nouvelle politique réseau dans la configuration Ubiquiti Wi-Fi RADIUS
  • Donner un nom à la politique :
Capture d'écran du nommage de la politique réseau dans la configuration Ubiquiti Wi-Fi RADIUS
  • Cliquer sur Ajouter pour spécifier la condition :
Capture d'écran de l'ajout d'une condition à la politique réseau dans la configuration Ubiquiti Wi-Fi RADIUS
  • Sélectionner Groupes d'utilisateurs et cliquer sur Ajouter des groupes… :
Capture d'écran de la sélection de Groupes d'utilisateurs et de l'ajout de groupes à la politique réseau dans la configuration Ubiquiti Wi-Fi RADIUS
  • Ajouter un groupe d'utilisateurs Active Directory, tel que Domain Users :
Capture d'écran de l'ajout d'un groupe Active Directory à la politique réseau dans la configuration Ubiquiti Wi-Fi RADIUS
  • Cliquer sur Suivant :
Capture d'écran de la poursuite vers l'étape suivante dans la configuration de la politique réseau
  • Sélectionner Accès autorisé :
Capture d'écran de la sélection d'Accès autorisé dans la configuration de la politique réseau
  • Choisir Microsoft : Carte à puce ou autre certificat comme type EAP et modifier la configuration :
Capture d'écran de la sélection de Microsoft : Carte à puce ou autre certificat comme type EAP dans la configuration Ubiquiti Wi-Fi EAP-TLS
  • Sélectionner le certificat nouvellement déployé :
Capture d'écran de la sélection du certificat nouvellement déployé dans la configuration Ubiquiti Wi-Fi EAP-TLS
  • Cliquer sur Suivant :
Capture d'écran de la poursuite vers l'étape suivante dans la configuration de la politique réseau
  • Cliquer sur Suivant :
Capture d'écran de la poursuite vers l'étape suivante dans la configuration de la politique réseau
  • Enfin, cliquer sur Terminer pour créer la politique :
Capture d'écran du clic sur Terminer pour créer la politique dans la configuration Ubiquiti Wi-Fi EAP-TLS

Serveur UniFi Network

Nous devons maintenant configurer notre Serveur UniFi Network afin d'y intégrer le serveur RADIUS (NPS).

  • Accéder au menu Profils et créer un nouveau profil RADIUS :
Création d'un nouveau profil RADIUS depuis l'interface Web Unifi Server
  • Cliquer sur Créer Nouveau :
Ajout d'un nouveau serveur RADIUS depuis l'interface Web Unifi Server
  • Attribuer un Nom au profil RADIUS et ajouter l'adresse IP du serveur NPS au niveau de Authentication Servers et du RADIUS Accounting Servers. Ajouter le mot de passe précédemment configuré sur le serveur NPS, préciser les ports réseau, puis cliquer sur les boutons Ajouter pour valider la configuration :
Les différents paramétres du profil RADIUS de l'interface Web Unifi Server avec le serveur d'authentification et de comptabilité
  • Maintenant, aller dans le menu WiFi et ajouter un nouveau profil WiFi ou modifier un profil existant :
Page de paramétrage du WiFi de l'interface Web Unifi Server
  • Configurez le Protocole de sécurité et le Profil RADIUS :
Paramétrage avancé du WiFi depuis l'interface Web Unifi Server

Supplicant (Stations Windows)

Nous allons maintenant voir comment, depuis un supplicant, obtenir le certificat qui sera utilisé pour l'authentification.

Distribution du certificat du supplicant

Manuellement via la Console de gestion des certificats

  • Ouvrir la Console de gestion des certificats pour l'utilisateur actuel sur la machine du supplicant :
Capture d'écran de l'ouverture de la Console de gestion des certificats pour l'utilisateur actuel sur la machine du supplicant
  • Faire un clic droit sur Personnel et sélectionner Demander un nouveau certificat… :
Capture d'écran du clic droit sur Personnel et de la sélection de Demander un nouveau certificat dans la Console de gestion des certificats
  • Cliquer sur Suivant pour démarrer le processus d'enrôlement du certificat :
Capture d'écran du clic sur Suivant pour démarrer le processus d'enrôlement du certificat
  • Sélectionner la stratégie d'enrôlement Active Directory et cliquer sur Suivant pour continuer :
Capture d'écran de la sélection de la stratégie d'enrôlement Active Directory et du clic sur Suivant pour continuer le processus d'enrôlement du certificat
  • Sélectionner la stratégie EAP-TLS que nous avons configurée précédemment et cliquer sur Enrôler :
Capture d'écran de la sélection de la stratégie EAP-TLS et du clic sur Enrôler pour continuer le processus d'enrôlement du certificat
  • Cliquer simplement sur Terminer une fois le processus d'enrôlement terminé :
Capture d'écran du clic sur Terminer pour terminer le processus d'enrôlement du certificat
  • Après actualisation, le certificat d'authentification du client devrait apparaitre :
Capture d'écran du certificat d'authentification du client après actualisation de la Console de gestion des certificats

Automatiquement via la stratégie de groupe (GPO)

  • Accéder à Configuration utilisateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de clés publiques et modifiez la stratégie Client des services de certificats - Inscription automatique :
Capture d'écran de la navigation vers la stratégie Client des services de certificats - Inscription automatique dans la stratégie de groupe
  • Activer le Modèle de configuration et cocher les cases pour activer l'automatisation du renouvellement des certificats :
Capture d'écran de l'activation du Modèle de configuration et de la coche des cases pour l'automatisation dans la stratégie de groupe
  • Effectuer une mise à jour des stratégies (gpupdate) pour obtenir un certificat :
C:\> gpupdate

Les supplicants peuvent maintenant se connecter au réseau WiFi WPA Enterprise en utilisant EAP-TLS.

References

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :

contact mail address