Utiliser un serveur RADIUS avec une Airport

Vous savez sans doute – si vous êtes sur cette page – que le WEP , le WPA et le WPA2 ont tous des faiblesses même si le WPA2 est encore le moyen le « plus sûr » par défaut. Et là vous avez commencé à vous interroger sur cette option « WPA2 Enterprise » dans votre ordinateur et à vouloir essayer. Sauf que ça nécessite un serveur RADIUS tout ce petit bricolage !

Alors le truc cool pour faire des essais à très petite échelle c’est qu’un site fournit le service de « Hosted RADIUS » gratuitement. Il ne permet d’enregistrer qu’un utilisateur mais au moins ça marche ! Ce tutoriel , si vous l’adaptez, peut bien sûr marcher avec tout autre matériel qu’une Airport : un routeur (les Netgear ProSafe supportent le RADIUS par exemple), des boîtiers Open-Mesh OM1P, le système Meraki etc..

Utiliser un serveur RADIUS hébergé – Configuration rapide

Pour commencer avec ça (ignorez cette étape si vous avez votre serveur RADIUS), inscrivez vous sur ce site (formule gratuite pour un utilisateur, payante pour plus).

Si vous êtes très certain de déployer du RADIUS dans votre organisation, vous pouvez y aller les yeux fermés ce service est fiable et gère l’accounting, les sites multiples etc. Dans certaines configurations il peut être utilisé pour contrôler le Wifi d’un hôtel par exemple (gestion de l’expiration des comptes). Il ne manque qu’une API… PS : si vous créez un compte dans l’optique d’une installation durable, pensez à bien choisir votre nom d’utilisateur car il déterminera la seconde moitié de tous vos logins. Par exemple si votre nom d’utilisateur est banquemagique.fr , les utilisateurs auront des usernames sous la forme : [email protected]

Une fois votre compte créé le site vous affiche les paramètres du serveur :

Server Configuration
RADIUS IP Address:
98.102.112.86 on port 1812
Accounting IP Address:
98.102.112.86 on port 1813
EAP Protocol:
PEAP with EAP-MSCHAP v2

Il faut ensuite que vous cliquiez sur « Access Points » et que vous alliez ajouter votre AirPort (ou Airport Express) :

ajout d'un Access Point au serveur RADIUS hébergé

Pour remplir le champ « MAC Address » il faut que vous alliez chercher l’adresse MAC Ethernet de votre Airport dans l’utilitaire Airport par exemple :

Adresse MAC AirPort Apple

Notez bien le secret, il va falloir l’entrer dans les paramètrages de l’AirPort après.

Ensuite vous allez ajouter un compte utilisateur en cliquant sur User Accounts :

ajout de compte utilisateur au serveur RADIUS hébergé

Notez que le format de nom d’utilisateur sera [email protected] sur NoWiresSecurity qui fournit le service de RADIUS hébergé (en SaaS en gros). Sur votre propre serveur RADIUS ce serait [email protected] Si votre société s’appelle Tartanpion, créez un compte utilisateur tartanpion.fr pour que vos utilisateurs aient des logins sous la forme [email protected] comme expliqué plus haut.

Paramétrage de l’AirPort avec un serveur RADIUS

Apple a rendu les choses assez simples au niveau du contrôle d’accès sur ses bornes AirPort, pour mettre en place les paramètres que vous désirez rendez vous dans l’utilitaire AirPort (disponible nativement sur Mac OS et en téléchargement pour Windows).

Une fois le logiciel lancé vous allez voir votre borne dans la liste à droite, pour changer les paramètres il est recommandé de s’y connecter en Ethernet (en la connectant sur votre réseau Ethernet) pour éviter de perdre l’accès si vous vous trompez en changeant des choses au niveau du Wifi. Cliquez ensuite sur Configuration manuelle.

Dans « Sans fil » choisissez créer un réseau sans fil, nommez le comme bon vous semble et respectez grosso merdo les options suivantes :

Utilitaire Airport - Section Sans fil

Dans « Options de réseau sans fil » si vous avez du matériel récent et situé pas trop loin de la borne vous pouvez mettre le taux de multidiffusion à 11 Mpbs. Vous pouvez réduire le délai de la clef de groupe WPA jusqu’à 10 minutes pour plus de sécurité. L’option « Créer un réseau fermé » masque le SSID de votre réseau mais ça n’est pas réellement de la protection : tout personne sachant lancer un simple Wifi Stumbler verra votre réseau immédiatement..

Choisissez WPA2 Entreprise pour une sécurité maximum puis cliquez sur « Configurer RADIUS » :

Contrôle d'accès sur Airport Express - RADIUS

Vient le moment où vous devez entrer l’adresse IP du serveur (on ne peut pas utiliser de FQDN sur les Airport) à savoir 98.102.112.86 pour NoWiresSecurity. A adapter si vous avez votre propre serveur.
Entrez le secret partagé principal dans les deux champs suivants et ne touchez pas le port. Cliquez sur mettre à jour.

L’AirPort va redémarrer et exigera désormais des logins en 802.1X (WPA2 Enterprise + RADIUS). Pour tester que votre jolie installation marche, il reste à s’y connecter !

Pour ce faire , sous Mac OS allez dans Préférences Système -> Réseau puis dans la partie AirPort cliquez dans le menu déroulant qui liste les réseaux et cliquez sur Se connecter à un autre réseau puis Afficher les réseaux. Choisissez votre réseau. Si vous avez bien configuré votre petite borne … vous allez voir ceci :

Fenêtre Selection Réseau 802.1x

Entrez votre nom d’utilisateur (ex : [email protected]) et votre mot de passe. Puis cliquez sur Se Connecter.

Si vous avez tout réussi comme un grand vous verrez ceci :

A noter : le WPA2 Entreprise est une meilleure sécurité mais n’est pas parfait et ne protège pas d’une attaque type Man-in-the-middle qui consisterait à faire un faux réseau Wifi du même nom que le votre, avec un serveur RADIUS modifié pour accepter tout type de requête et tenter de trouver le mot de passe de votre utilisateur. Pensez à utiliser des mots de passe forts et à bien briefer vos salariés concernant le fait qu’il ne faut pas se connecter à n’importe quel réseau wifi.

Tags: , , ,

  • thethe

    mais comment faire ça sans carte de crédit ?