Mise en place du WPA Enterprise (802.1X et RADIUS) avec PEAP-MS-CHAP v2 sur les points d'accès WiFi UniFi

Mise à jour le 29 juil. 2023

De nos jours, l'accès au WiFi devient une norme courante dans un grand nombre d'entreprises. Malheureusement, cela soulève de nombreuses préoccupations concernant la sécurité. En effet, lorsque l'on définit un mot de passe WPA unique pour un grand nombre d'utilisateurs, cela nécessite de changer fréquemment le mot de passe de l'accès au WiFi (j'ai déjà écrit un article à ce sujet pour le faire via GPO ici), mais cela peut être fastidieux à mettre en place.

Nous allons donc voir ici comment mettre en œuvre l'accès WPA Enterprise afin de renforcer la sécurité et répondre aux préoccupations énoncées ci-dessus.

⚠️Note : Veuillez noter que le protocole PEAP-MSCHAPv2 semble sentir des fesses et ne pas être totalement sécurisé. Sources : https://www.youtube.com/. Envisagez d'utiliser EAP-TLS à la place (voir par exemple la) ! ⚠️

Note II : PEAP-MSCHAPv2 utilise un login et un mot de passe traditionnels pour authentifier les utilisateurs (basés ici sur les comptes Active Directory), alors que EAP-TLS utilise des certificats X.509.

Les améliorations et avantages de WPA Enterprise sont :
- Authentification utilisateur plus robuste par rapport au WPA standard : grâce à l'utilisation d'(EAP).
- Identifiants d'utilisateur individuels : chaque utilisateur dispose de ses propres identifiants, généralement sous forme de nom d'utilisateur et de mot de passe ou de certificats numériques.
- Authentification et gestion centralisées : par exemple en utilisant le protocole RADIUS.
- Contrôle précis des accès des utilisateurs : il est plus facile d'ajouter ou de supprimer l'accès des utilisateurs.

Schéma réseau montrant les trames EAP et RADIUS échangées entre un supplicant WiFi, un authenticateur et un serveur RADIUS

Serveur d'authentification

Installation du rôle NPS

Nous avons deux options pour installer le rôle NPS : en utilisant PowerShell ou via l'interface graphique.

PowerShell

Pour une installation rapide en utilisant PowerShell, exécutez la commande suivante :

PS C:\Users\administrator.STD> Install-WindowsFeature NPAS -Restart -IncludeManagementTools

Interface graphique utilisateur (GUI)

Depuis le Gestionnaire de serveur, accéder à Ajouter des rôles et des fonctionnalités :

Windows Server | Tableau de bord du Gestionnaire de serveur - Ajouter des rôles et des fonctionnalités

Sélectionner Installation basée sur un rôle ou une fonctionnalité :

Ajouter des rôles et des fonctionnalités | Sélectionner le type d'installation

Sélectionner le serveur :

Ajouter des rôles et des fonctionnalités | Sélectionner le serveur de destination

Sélectionner le rôle Network Policy Server :

Ajouter des rôles et des fonctionnalités | Sélectionner les rôles du serveur

Cliquer simplement sur Suivant :

Ajouter des rôles et des fonctionnalités | Sélectionner les fonctionnalités

Cochez Redémarrer le serveur de destination et cliquez sur Installer :

Ajouter des rôles et des fonctionnalités | Confirmer les sélections d'installation

Génération d'un certificat auto-signé

Comme vu précédemment sur le schéma, un tunnel TLS est établi entre le supplicant et le serveur NPS. Pour ce faire, nous avons le choix entre créer un certificat sur un serveur ADCS (méthode abordée dans le tutoriel EAP-TLS) ou en générer un auto-signé. Dans cette option, nous devrons déployer le certificat sur chaque supplicant qui se connectera aux Points d'accès.

PowerShell

À partir du serveur NPS, ouvrez une console PowerShell :

PS C:\Users\administrator.STD> New-SelfSignedCertificate -DnsName "nps.std.local" -KeyLength 2048 -CertStoreLocation cert:\LocalMachine\My -NotAfter (Get-Date).AddYears(20)

Exporter le certificat

Afin d'être reconnu en tant qu'entité de confiance par les Supplicants Windows, le certificat doit être exporté et ajouté à la liste de certificats de confiance. Je montrerai comment faire cela ultérieurement pour le Supplicant.

Ouvrir la Console de gestion Microsoft :

Fenêtre Exécuter de Windows avec 'mmc' dans le champ Ouvrir

Cliquer sur Ajouter ou supprimer des extensions… :

Console MMC avec l'option 'Ajouter ou supprimer des extensions...' sélectionnée dans le menu 'Fichier'

Sélectionner Certificats et cliquer sur OK :

Console Ajouter ou supprimer des extensions avec l'extension 'Certificats' ajoutée

Sélectionner Compte de l'ordinateur :

Fenêtre de l'extension Certificats avec 'Compte de l'ordinateur' sélectionné

Sélectionner Ordinateur local :

Fenêtre Sélectionner un ordinateur avec l'option 'Ordinateur local' choisie

Enfin, cliquer sur OK :

Le certificat généré devrait apparaître sous Certificats > Personnel > Certificats :

Certificat dans le dossier Certificats personnels d'une console MMC certificat d'ordinateur

Faire un clic droit sur le certificat et sélectionner Exporter… :

Exportation d'un certificat dans le dossier Certificats personnels à partir d'une console MMC certificat d'ordinateur

Cliquer sur Suivant :

Écran d'accueil de l'Assistant d'exportation de certificat dans Windows.

Ne pas exporter la clé privée :

Écran demandant d'exporter la clé privée dans l'Assistant d'exportation de certificat.

Sélectionner le format du certificat, par exemple DER :

Exportation du certificat au format DER à l'aide de l'Assistant d'exportation de certificat.

Spécifier le chemin où l'on souhaite exporter le certificat :

Spécification du chemin pour exporter le certificat dans l'Assistant d'exportation de certificat.

Cliquer sur Terminer pour terminer :

Dernière étape de l'Assistant d'exportation de certificat, proposant de terminer l'exportation.

Le certificat exporté devrait apparaître dans le répertoire spécifié :

Image d'un certificat sur un bureau Windows.

Configurer NPS

Ouvrir la Console du serveur Network Policy (NPS) :

Fenêtre Exécuter de Windows avec 'nps.msc' dans le champ Ouvrir

Déclarer les points d'accès en tant que clients RADIUS

Naviquer dans NPS > Clients et serveurs RADIUS > Client RADIUS et cliquez sur Nouveau :

Capture d'écran de l'ajout d'un nouveau client RADIUS dans la console NPS

Pour chaque point d'accès, donner un nom, définir l'adresse IP et donner un mot de passe fort (il faut utiliser le même pour chaque point d'accès) :

Capture d'écran de la configuration d'un client RADIUS avec nom, adresse IP et mot de passe

Les points d'accès précédemment ajoutés devraient être visibles dans le dossier Clients RADIUS :

Capture d'écran montrant tous les points d'accès ajoutés dans le dossier Clients RADIUS

Créer une politique réseau

Nous devons maintenant créer une politique réseau où nous définirons quel groupe d'utilisateurs pourra se connecter et les protocoles à utiliser.

Cliquer sur Nouveau dans le dossier Politiques réseau :

Capture d'écran de la création d'une nouvelle politique réseau dans la console NPS

Donner un nom à la politique :

Capture d'écran de la création d'une politique réseau avec un nom

Cliquer sur Ajouter pour spécifier la condition :

Capture d'écran de la configuration de la condition pour la politique réseau

Sélectionner Groupes d'utilisateurs et cliquer sur Ajouter des groupes… :

Capture d'écran de l'ajout de groupes d'utilisateurs à la condition de la politique réseau

Ajouter un groupe d'utilisateurs Active Directory, par exemple Utilisateurs du domaine :

Capture d'écran de l'ajout du groupe d'utilisateurs Domain Users à la condition de la politique réseau

Cliquer sur Suivant :

Capture d'écran de la suite de la configuration de la politique réseau

Sélectionner Accès accordé :

Capture d'écran de la sélection de l'accès accordé pour la politique réseau

Choisir Protected EAP (PEAP) comme type EAP et modifier sa configuration :

Capture d'écran de la configuration du type EAP pour la politique réseau

Sélectionnez le certificat nouvellement créé et choisir Secured password (EAP-MSCHAP v2) comme type EAP :

Capture d'écran de la sélection du certificat et du type EAP pour la politique réseau

Cliquer sur Suivant :

Cliquer sur Suivant :

Enfin, cliquer sur Terminer pour créer la politique :

Capture d'écran de la fin de la configuration de la politique réseau

Configuration du serveur UniFi Network

Nous devons maintenant configurer notre serveur UniFi Network.

Accéder au menu Profils et créer un nouveau profil RADIUS :

Capture d'écran du menu des profils UniFi Network

Cliquez sur Create New :

Capture d'écran de la création d'un nouveau profil RADIUS dans UniFi Network

Donner un nom au profil RADIUS et ajouter l'adresse IP du serveur NPS pour le serveur d'authentification et le serveur RADIUS de comptabilité. Ne pas oublier d'ajouter le mot de passe précédemment configuré sur le serveur NPS, définir les ports, puis cliquer sur les boutons Ajouter pour valider la configuration :

Capture d'écran de la configuration du profil RADIUS dans UniFi Network

Maintenant, accéder au menu WiFi et ajouter un nouveau profil WiFi ou modifier-en un existant :

Capture d'écran du menu WiFi dans UniFi Network

Définir le protocole de sécurité et le profil RADIUS :

Capture d'écran de la configuration du protocole de sécurité et du profil RADIUS dans UniFi Network

Supplicant

Dernière étape, comme expliqué précédemment, nous devons déclarer le certificat précédemment créé comme étant légitime. Pour ce faire, nous devons déployer le certificat exporté sur chaque ordinateur Supplicant qui doit se connecter au WiFi. Nous pouvons le faire manuellement ou via GPO.

Manuellement

Tout d'abord, copier le certificat sur le Supplicant.

Ouvrir ou cliquer sur Installer un certificat :

Capture d'écran de l'assistant d'installation de certificat

Choisir Utilisateur actuel ou Ordinateur local; les deux devraient fonctionner :

Cliquer sur Parcourir, puis sélectionner Autorités de certification racines de confiance :

Ensuite, cliquer sur Suivant :

Cliquer sur Terminer pour terminer l'importation :

Cliquer sur Oui sur la fenêtre d'avertissement de sécurité :

GPO

Créer une nouvelle GPO et importer le certificat dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies relatives aux clés publiques > Autorités de certification racines de confiance :

Capture d'écran des paramètres de stratégie de groupe (GPO) pour les Autorités de certification racines de confiance

Informatique

Zik

Autres

Mise en place du WPA Enterprise (802.1X et RADIUS) avec PEAP-MS-CHAP v2 sur les points d'accès WiFi UniFi

Serveur d'authentification

Installation du rôle NPS

PowerShell

Interface graphique utilisateur (GUI)

Génération d'un certificat auto-signé

PowerShell

Exporter le certificat

Configurer NPS

Déclarer les points d'accès en tant que clients RADIUS

Créer une politique réseau

Configuration du serveur UniFi Network

Supplicant

Manuellement

GPO

References