J'essaie de configurer un serveur RADIUS pour l'authentification d'entreprise WPA2. Je suis nouveau dans tout ça. Je comprends que le serveur a un "certificat de serveur" qui, je suppose, joue un rôle similaire à celui joué par les certificats de serveur HTTPS et SSH. Existe-t-il un concept de "certificat client"? Est-ce une notion significative ici? Si oui, comment sont-ils utilisés et à quoi servent-ils?
Réponses:
La version courte
Oui, il existe un concept de "certificats client" ou "certificats d'utilisateur". Ils existent réellement dans le monde TLS (le TLS étant le successeur moderne de SSL, le système de sécurité pour HTTPS), mais ils ne sont pas couramment utilisés là-bas.
EAP-TLS est la méthode d'authentification au sein du monde WPA2 Enterprise / 802.1X / EAP / RADIUS qui utilise des certificats pour l'authentification dans les deux sens. Il s’agit des éléments d’authentification de TLS présentés sous forme de méthode d’authentification EAP.
En raison de la difficulté de provisionner et de gérer les certificats pour chaque utilisateur ou chaque ordinateur client, la plupart des entreprises n'utilisent pas les certificats utilisateur pour l'authentification. Notez cependant que l'authentification par "carte à puce" utilise en réalité des certificats d'utilisateur en arrière-plan. Donc, si votre organisation distribue déjà des cartes à puce à tous, EAP-TLS est fait pour vous. C'est la raison pour laquelle l'interface utilisateur Windows pour sélectionner EAP-TLS (dans l'interface utilisateur du client Windows Wi-Fi) l'appelle "Carte à puce ou autre certificat".
Certains sites utilisent des certificats de client TLS en tant que certificats "machine" / "périphérique" / "système", afin qu'une machine puisse accéder au réseau sans interaction de l'utilisateur. Ceci est utile si vous souhaitez que la machine reste sur le réseau sans fil pour la gestion à distance et les sauvegardes, même si aucun utilisateur n'est connecté.
La version longue
Si vous connaissez HTTPS, alors vous savez que cela implique SSL ou TLS, et vous savez probablement que TLS est le successeur moderne de SSL. Vous savez probablement déjà comment TLS utilise les certificats de serveur X.509 pour permettre à un navigateur client d'authentifier un serveur, mais saviez-vous que TLS peut utiliser des certificats dans les deux sens? Oui, vous pouvez émettre des certificats X.509 à vos utilisateurs et les faire installer sur leurs ordinateurs clients (ou dans leurs navigateurs), puis votre serveur Web pourrait authentifier vos utilisateurs via un certificat au lieu d'un mot de passe.
Si vous avez déjà utilisé l'authentification "Smart Card", vous avez en réalité utilisé les contrôles utilisateur X.509 dans les coulisses sans vous en rendre compte. Les cartes à puce permettent aux certificats utilisateur, en particulier aux clés privées associées aux clés publiques des certificats, d'être stockés de manière sécurisée dans la carte.
Parlons maintenant de WPA2-Enterprise. WPA2-Enterprise utilise une technologie appelée "Protocole EAP (Extensible Authentication Protocol) sur réseaux locaux" (LAN) ou "EAPoL". EAPoL a été normalisé dans IEEE 802.1X et appliqué à IEEE 802.11 avec d'autres correctifs de sécurité et mises à jour dans IEEE 802.11i. Ensuite, la Wi-Fi Alliance a créé un programme de certification et de licences de logo basé sur 802.11i, baptisé "WPA2". Lorsque vous utilisez les composants 802.1X en option de WPA2, celui-ci s'appelle WPA2-Enterprise.
EAP existait déjà EAPoL. Le PAE était une technologie qui venait des jours de connexion PPP, lorsque les méthodes d'authentification intégrées au PPP étaient plutôt faibles et difficiles à modifier. Le secteur a donc proposé un type de schéma d'authentification enfichable pour PPP et l'a appelé EAP. . RADIUS était déjà utilisé pour conserver les informations d'identification PPP sur un serveur central. Les serveurs RADIUS ont donc constitué le côté "authentificateur" (serveur) de l'EAP. En passant, étant donné que de nombreuses technologies VPN utilisent PPP dans un tunnel crypté, l'EAP est également répandu dans le monde des VPN.
Ainsi, lorsque vous connectez WPA2 Enterprise à RADIUS, vous connectez réellement 802.1X (EAPOL) à RADIUS et effectuez une authentification acheminée par EAP entre le client Wi-Fi et le serveur RADIUS.
Comme EAP est extensible (connectable), il existe de nombreuses méthodes d'authentification (méthodes EAP) que vous pouvez connecter à EAP. Par exemple, si vous aimez les éléments d’authentification de TLS, vous pouvez les utiliser dans EAP, l’appeler EAP-TLS. Ou vous pouvez utiliser une méthode EAP appelée "PEAP (Protected EAP)" qui est en réalité "EAP-Within-EAP". En tant que méthode EAP interne dans PEAP, de nombreuses personnes choisissent d'utiliser EAP-MSCHAPv2 ou EAP-GTC, mais certaines personnes utilisent EAP-TLS à l'intérieur.
De nombreuses entreprises, notamment Microsoft et Cisco, ont essayé de faciliter l'obtention de certificats d'utilisateur ou de machine sur les périphériques des utilisateurs. Il existe donc des moyens de configurer votre environnement Windows Server ou votre environnement réseau Cisco de manière à ce que le réseau tente de pousser certificats sur les ordinateurs de vos utilisateurs lors de leur première connexion au réseau. Un de ces efforts s'appelle SCEP, le "protocole simple d'inscription de certificat".
Certains sites aiment pouvoir authentifier en toute sécurité un ordinateur portable sur le réseau Wi-Fi, même si aucun utilisateur n'est connecté (à des fins de gestion du système, de sauvegardes nocturnes sans surveillance, etc.). Comme aucun utilisateur n'est connecté, les certs des utilisateurs (ou au moins leurs clés privées) ne sont pas accessibles au système. Ainsi, les machines Windows, les Mac, la plupart des smartphones et d’autres périphériques disposent de moyens permettant d’installer un certificat «machine / périphérique / système» sur la machine, de sorte que la machine utilise son propre certificat (pas celui de ses utilisateurs) pour s’authentifier auprès du serveur. réseau lorsque aucun utilisateur n'est connecté. Certains sites utilisent même des certificats de machine pour authentifier la machine sur le réseau même lorsqu'un utilisateur est connectés, car ils ne veulent pas déranger leurs utilisateurs de devoir se connecter eux-mêmes au réseau Wi-Fi.