RADIUS est un protocole central d’authentification Wi-Fi et de gestion de l’infrastructure réseau qui fournit l’authentification, l’autorisation et la comptabilité (AAA). Ce protocole a été conçu à l’époque de la connexion commutée, mais continue d’évoluer pour répondre aux demandes des petites et moyennes entreprises (PME) d’aujourd’hui.
La manière dont il est fourni aux clients a changé, de nombreuses organisations optant pour l’efficacité et la sécurité d’un service cloud plutôt que sur des serveurs autogérés. Les serveurs RADIUS restent une option viable pour les PME, mais plusieurs tâches sont nécessaires pour les installer et les configurer, ainsi que des étapes supplémentaires pour les intégrer aux piles d’identités.
Cet article examine chacune de ces options de déploiement en mettant l’accent sur leurs avantages et différences respectifs. Il explique également comment les migrations vers le cloud peuvent ajouter de la valeur pour permettre une informatique unifiée et intégrer RADIUS dans une stratégie de cybersécurité zéro confiance.
Qu’est-ce que Cloud RADIUS ?
Les services Cloud RADIUS sont gérés par un tiers qui garantit une haute disponibilité et des normes de conformité en matière de sécurité qui sont généralement impossibles à atteindre pour les PME. Par exemple, JumpCloud a mené des évaluations indépendantes pour l’examen SOC 2 Type 2.
JumpCloud Cloud RADIUS est pré-intégré aux services d’annuaire et à l’authentification multifacteur (MFA). RADIUS utilise généralement PEAP ou EAP-TTLS pour l’authentification non MFA. L’authentification multifacteur est une exigence du NIST (conformité 800-171) pour l’accès local et réseau aux comptes privilégiés et pour l’accès réseau aux comptes non privilégiés. En d’autres termes, utilisez MFA autant que possible.
Contrôles de sécurité Zero Trust
L’efficacité de la MFA est renforcée par d’autres contrôles de sécurité, tels que les politiques d’accès conditionnel. Ces stratégies spécifient où le client peut accéder aux ressources, peuvent autoriser l’authentification multifacteur pour des groupes d’utilisateurs et restreindre l’accès aux appareils gérés. La plateforme JumpCloud rend ces fonctionnalités de sécurité immédiatement disponibles, sans aucune installation supplémentaire requise.
Il comprend également des fonctionnalités de gestion des appareils fonctionnant avec tous les principaux systèmes d’exploitation de bureau et mobiles via des politiques de gestion des appareils mobiles (MDM) et de type GPO. MDM configure, contrôle et gère les appareils. La gestion des correctifs est une autre fonctionnalité.
Identités de tiers
Le service RADIUS de JumpCloud permet également l’utilisation d’identités tierces via un nom d’utilisateur et un mot de passe. Cela permet aux utilisateurs d’accéder aux réseaux Wi-Fi avec les mêmes informations d’identification qu’ils utilisent partout ailleurs.
Les options d’authentification intégrées évitent aux administrateurs informatiques d’avoir à se connecter à un annuaire externe tel que Microsoft Azure, qui peut ne pas être pris en charge et nécessiter un développement personnalisé ou une licence provenant d’une solution tierce conçue sur mesure. Un serveur RADIUS autonome ne peut pas effectuer cette tâche sans un serveur LDAP associé spécifiquement configuré pour Azure AD (ou une autre plateforme d’annuaire cloud).
Comment fonctionne Cloud RADIUS ?
Les administrateurs informatiques consomment et configurent un service au lieu de configurer des serveurs. Cet exemple décrit comment les points d’accès sans fil sont configurés pour utiliser l’authentification RADIUS, mais le processus est le même pour n’importe quel serveur d’accès réseau (NAS).
- La solution Cloud RADIUS est un serveur RADIUS intégré à un service d’annuaire cloud. L’accès peut être accordé aux groupes d’utilisateurs de l’annuaire associés à la connexion RADIUS.
- Les administrateurs informatiques pointent simplement leurs WAP vers le serveur virtuel RADIUS en saisissant l’une de ses adresses IP.
- Choisissez d’utiliser PEAP ou EAP-TTLS pour l’authentification et déterminez si l’authentification MFA doit être requise. Les administrateurs génèrent également un secret partagé fort qui reste privé.
- Le serveur RADIUS vérifie ensuite automatiquement les informations d’identification de l’utilisateur par rapport au service d’annuaire intégré basé sur le cloud.
Du point de vue de l’utilisateur final, il y a très peu de choses à faire. L’utilisateur saisit ses informations d’identification – celles utilisées comme informations d’identification principales. L’utilisateur n’a alors plus besoin de saisir ses informations d’identification jusqu’à ce qu’il modifie son mot de passe.
L’appareil de l’utilisateur transmet les informations d’identification au WAP lorsqu’il accède au réseau. Le WAP transmet automatiquement les informations d’identification au serveur RADIUS, puis l’identité est vérifiée par l’annuaire cloud.
Qu’est-ce que le RAYON local ?
Les premières implémentations de RADIUS ont été développées à la fin des années 1990 et fonctionnaient sur des serveurs locaux. FreeRADIUS est un exemple gratuit et open source populaire qui est encore largement utilisé aujourd’hui. Le rôle de serveur NPS de Microsoft pour Windows Server est une autre option adoptée par de nombreux administrateurs informatiques.
Les serveurs RADIUS sont parfois accompagnés d’un VPN IPSec ou WireGuard pour garantir la confidentialité des informations d’identification utilisateur hachées MD5 et des attributs spécifiques à l’utilisateur (tels que l’appartenance au VLAN). La sécurité relève de la seule responsabilité de l’administrateur.
Comment fonctionne le système RADIUS sur site ?
Les serveurs RADIUS sur site nécessitent des bibliothèques de logiciels supplémentaires pour répliquer les fonctionnalités d’un service RADIUS basé sur le cloud. Il est nécessaire de mettre en œuvre FreeRADIUS, Active Directory® et souvent une passerelle entre les deux. La surveillance, la disponibilité, la sauvegarde et la sécurité doivent être prises en compte. Un client local peut également nécessiter une installation sur chaque appareil.
Microsoft NPS est installé sur les contrôleurs de domaine pour optimiser le temps de réponse du réseau. Il peut être installé sur un autre serveur, mais cette configuration peut nécessiter la commande de licences d’accès client supplémentaires (CALS) pour les utilisateurs ou les appareils. Un environnement de système d’exploitation distinct entraîne des frais de licence plus élevés. L’accès aux répertoires cloud fédérés nécessite des intégrations avec Azure AD ou AD FS.
Différences entre les systèmes sur site et cloud.
Les administrateurs conservent davantage de contrôle sur leur environnement lorsqu’ils implémentent eux-mêmes RADIUS. Cependant, la charge administrative est beaucoup plus élevée et il est possible que le serveur devienne un point de défaillance unique dans la chaîne d’authentification.
Les fonctionnalités et la sécurité supplémentaires de gestion des identités et des accès (IAM) incluent l’achat de logiciels, la configuration de serveurs supplémentaires et éventuellement la synchronisation de votre répertoire local avec les services cloud.
JumpCloud RADIUS offre sécurité, haute disponibilité et facilité d’utilisation. La combinaison intégrée de RADIUS et des services de référence permet aux administrateurs informatiques de se décharger du gros du travail tout en bénéficiant de tous les avantages de RADIUS. De plus, la plateforme cloud RADIUS prend en charge les protocoles RADIUS courants.
Apprenez-en davantage sur les différentes solutions de serveur RADIUS.
Essayez JumpCloud RADIUS
Pour en savoir plus sur le service Hosted RADIUS de JumpCloud et comment il peut vous aider à sécuriser votre réseau Wi-Fi, inscrivez-vous gratuitement pour un maximum de 10 utilisateurs et 10 appareils. Profitez également de 10 jours d’assistance gratuite par chat dans l’application pour tirer le meilleur parti des premiers jours de votre nouveau compte.