Configuration du réseau Wifi avec authentification du serveur NPS

Dans ce document, nous allons essayer d’expliquer comment établir un niveau de sécurité dans notre réseau wifi, pour un accès contrôlé et sécurisé aux équipements, sur la base de l’authentification par les utilisateurs de notre Active Directory,

La première chose dont nous aurons besoin est d’installer une autorité de certification d’entreprise dans notre domaine afin de sécuriser l’accès Wi-Fi de nos clients.

Une fois l’autorité de certification installée, nous générerons un certificat d’ordinateur que nous utiliserons pour notre validation Radius. Pour ce faire, nous ouvrons une console MMC et ajoutons la console de certificat.

Nous allons maintenant faire une demande pour un nouveau certificat, dans ce cas de type Contrôleur de domaine puisqu’il s’agit d’un contrôleur de domaine où nous installerons notre serveur NPS. Dans le cas où il s’agit d’un changement de matériel, nous vous demanderons un certificat d’équipement.

Nous appuyons sur S’inscrire.

Une fois le certificat effectué, nous allons procéder à la configuration d’un groupe Active Directory qui contiendra les utilisateurs et les ordinateurs auxquels nous voulons accorder des autorisations d’accès.

Pour eux, nous ouvrons les utilisateurs et les ordinateurs Active Directory et créons un groupe universel dans l’Active Directory qui contiendra les utilisateurs et les ordinateurs auxquels nous voulons donner des autorisations dans l’authentification de notre réseau WIFI.

À ce groupe, nous ajouterons les utilisateurs et les ordinateurs auxquels nous autorisons l’accès.

Nous avons maintenant la base pour commencer à travailler sur notre serveur NPS. Nous allons maintenant installer le rôle “Politique de réseau et services d’accès”,

Nous laissons une trace “Serveur de stratégie réseau”, “Services de routage et d’accès à distance”, “Service d’accès à distance” & “Routage”

Passons maintenant au NPS et créons une configuration Standard: “RADIUS pour le sans fil 802.1X” et appuyez sur la touche “Configurer 802.1X”,

Marque “Connexions sans fil sécurisées” Et nous lui donnons un nom,

Nous ajoutons nos clients Radius qui seront nos points d’accès

Nous donnons un nom à l’AP, votre adresse IP et nous créons un mot de passe que vous partagerez avec le point d’accès

Nous ajouterons autant de points d’accès que nous devons nous authentifier par Radius.

Explication des différentes méthodes d’authentification existantes:
– PAE (Protocole d’authentification extensible) utilise une méthode d’authentification arbitraire, tels que les certificats, Cartes à puce, ou d’accréditation.
– EAP-TLS (EAP-Sécurité de la couche de transport) est un type EAP utilisé dans les environnements de sécurité basés sur des certificats, Et il fournit la méthode d’authentification et de détermination de clé la plus forte.
– EAP-MS-CHAP v2 (Version du protocole d’authentification EAP-Microsoft Challenge Handshake 2) est une méthode d’authentification mutuelle qui prend en charge l’authentification par mot de passe de l’utilisateur ou de l’ordinateur.
– PEAP (PAE protégé) est une méthode d’authentification qui utilise TLS pour améliorer la sécurité des autres protocoles d’authentification EAP.

Lors de la sélection du mécanisme d’authentification, Vous devez trouver un équilibre entre les niveaux de sécurité requis et l’effort requis pour le déploiement. Pour le plus haut niveau de sécurité, choisissez PEAP avec des certificats (EAP-TLS). Pour une facilité de déploiement maximale, choisir PEAP avec des mots de passe (EAP-MS-CHAP v2).

Elegimos el tipo de autenticación “PAE protégé par Microsoft (PEAP)” et cliquez sur “Poser” pour choisir le certificat que nous avons précédemment généré à partir de notre CA.

Nous choisissons le certificat généré précédemment par notre autorité de certification et dans ce cas, nous allons utiliser la méthode d’authentification EAP-MSCHAPv2

Ok et suivant

Maintenant, nous spécifions les groupes Active Directory auxquels nous donnons accès, Je veux dire, Le groupe que nous avons créé précédemment “Utilisateurs sans fil”. “Prochain”,

Suivant,

Fin.

Nous enregistrons le serveur NPS dans l’Active Directory. Faites un clic droit sur NPS et enregistrez le serveur dans Active Directory.

“D’ACCORD”,

Accepter.

Avec cela, nous avons terminé l’assistant et nous avons déjà configuré notre serveur NPS de manière rapide pour accepter les connexions des points d’accès et des clients..

Pour modifier la configuration, nous pouvons modifier dans Politiques réseau la stratégie créée dans l’Assistant

Ou incluez de nouveaux points d’accès, par exemple dans Clients RADIUS

Configuration du point d’accès,

Dans cette partie du document, nous allons voir la configuration de notre point d’accès,

Nous configurons le point d’accès pour qu’il tire contre le serveur NPS avec les paramètres suivants:

– WPA2 Entreprise
– Chiffrement: AES
– IP de notre serveur RADIUS
– Mot de passe partagé avec le serveur NPS

Politique d’équipement de domaine,

Nous avons créé une nouvelle politique pour les ordinateurs du domaine afin que le réseau Wi-Fi soit configuré via un GPO si nous sommes intéressés.

Pour ce faire, nous allons dans la gestion de la politique de groupe et créons une nouvelle politique que nous appliquerons à l’équipement que nous avons mis dans le groupe créé au début du document 'Utilisateurs sans fil'’ dans lequel nous configurerons les éléments suivants.

Allons-y “Configuration de l’équipement” > “Réseau sans fil” > “Créer une nouvelle stratégie de réseau sans fil pour Windows Vista et les versions ultérieures”,

Nous donnons un nom à la politique, une description, et “Ajouter…” > “Infrastructure”,

Nous donnons un nom et ajoutons le réseau Wi-Fi.

Nous configurons tous les paramètres au fur et à mesure que nous avons fait notre réseau et nous allons à “PAE protégé par Microsoft (PEAP)” > “Propriétés”