🔐 Authentification 802.1X sur un réseau sans fil

📝 Introduction
La mise en place du contrôle d'accès sur les réseaux sans fil va dépendre de votre matériel. Dans mon cas, j'ai du matériel Ubiquiti. La documentation de PacketFence étant obsolète, j'ai mis pas mal de temps pour comprendre et réussir à atteindre mon objectif.
🎯 Objectif
L'objectif est de mettre en place l'authentification 802.1X afin que les utilisateurs (les employés par exemple) soient placés dans le VLAN approprié et q'une personne externe connectant son appareil au wifi soit placée dans un VLAN Guests.
J'en profiterai également pour empêcher l'enregistrement des appareils filaires.
🛜 Configuration de l'AP Wifi
Configuration réseau
Dans cet exemple, j'utilise un point d'accès Ubiquiti AP AC Lite. La borne est controlée par l'application Unifi Controller. Le règlage de la borne se fait donc depuis cette application.
C'est la borne qui taguera les VLAN sur lesquels seront placés les appareils. Il faut donc configurer le port du switch sur lequel est branchée la borne.
Rappel VLAN et adressage réseau
ID | Nom | Réseau | Passerelle/DHCP | DNS |
---|---|---|---|---|
2 | Registration | 192.168.2.0/24 | PacketFence | PacketFence |
3 | Isolation | 192.168.3.0/24 | PacketFence | PacketFence |
4 | Machines | 192.168.4.0/24 | OPNSense | AD |
10 | Administration | 192.168.10.0/24 | OPNSense | AD |
20 | LAN | 192.168.20.0/24 | OPNSense | AD |
30 | AD | 192.168.30.0/24 | OPNSense | AD |
40 | Guests | 192.168.40.0/24 | OPNSense | OPNSense |
Connexion réseau
Hôte | Port si plss | SW | Port | VLAN TYPE |
---|---|---|---|---|
AP AC Lite | sw01 | P3 | UNTAG 10 / TAG 2,3,4,20,40 |
Configuration du contrôleur Unifi
Connectez-vous sur l'interface web du contrôleur Unifi (https://192.168.10.252:8181 dans mon cas)
Configuration du serveur RADIUS :


Créez les réseaux virtuels pour les VLAN :

Nous reviendrons plus tard sur la création des réseaux WiFi.
🛡️ Configuration de PacketFence
Ajout du contrôleur

Après différents tests, il apparait que vous pouvez laisser vide la partie "Méthode de désauthentification" :


Ici nous renseignons l'adresse IP du contrôleur et non de l'AP :


Renseignez les credentials du contrôleur Unifi puis terminez en cliquant sur Créer.

Configuration du profil de connexion
Si la methode d'authentification 802.1X avec EAP provient d'un réseau sans fil, on applique alors le profil de connexion 802.1X créé précédemment pour la partie filaire.


🔑 Création de l'accès WiFi WPA Entreprise
WPA Entreprise (ou WPA-Enterprise) est une méthode sécurisée pour se connecter à un réseau Wi-Fi. Contrairement au WiFi classique (dit aussi WiFi Personnel) qui s'appuie sur un mot de passe partagé, chaque utilisateur a son identifiant et mot de passe personnels. Si un employé quitte l'entreprise, plus besoin de changer la clé WiFi, il suffit juste de désactiver son compte.
Rendez-vous sur le contrôleur Unifi et créez un nouvel accès WiFi :



Sauvegardez la configuration en cliquant sur le bouton "Ajouter un réseau WiFi"
🖥️ Connexion d'un PC au WiFi Entreprise
J'utilise le même PC configuré précédemment pour l'authentification 802.1X sur le réseau filaire. Rappel : ce PC est déjà intégré dans le domaine AD labo.lan.
Configuration de l'auth. 802.1X











Une fois la configuration validée, redémarrez le PC.
Connexion au réseau WiFi Employes
Une fois le PC rebooté, cliquez sur l'icône WiFi. Cette partie est encore mystérieuse pour moi mais cela doit certainement s'expliquer.
Si je lance une connexion manuelle en cliquant sur "se connecter", la connexion ne se fait pas :


En effet on constate sur PacketFence sur la partie Audit que l'authentification a été rejetée.


Si par contre je coche Se connecter automatiquement


De nouveau sur la partie Audit de PacketFence, on constate que la connexion a bien été établie mais le nom d'uilisateur est différent (le compte machine)

Ensuite si nous nous connectons avec un utilisateur du domaine, nous constatons la bascule de l'appareil du VLAN MACHINES vers le VLAN LAN sur PacketFence :

Le "bug" de la connexion manuelle ne se produit que sur la mire de connexion de Windows. Si l'utilisateur est déjà authentifié, la connexion manuelle au Wifi se fait sans problème. Si l'utilisateur se déconnecte de sa session, le PC bascule alors sur le VLAN MACHINES.
📡 Création de l'accès WiFi Guests
Configuration sur le controleur Unifi
Rendez-vous sur l'interface web du contrôleur, puis créez le réseau WiFi. On peut créer un réseau complètement ouvert mais j'ai préféré limiter l'ouverture du réseau en renseignant un mot de passe pour se connecter au réseau Guests.


Configuration sur PacketFence
Nous allons mettre en place un profil de connexion qui renvoie les demandes de connexion non EAP vers un portail captif leur demandant de s'enregistrer avec leur mail.
Il y a deux possibilités pour ça :
- Soit utiliser l'authentification web
- Soit utiliser le VLAN d'enregistrement (VLAN 2 REGISTRATION dans notre cas)
J'ai choisi la deuxième option.
Nous allons créer un profil de connexion nommé "Guests".


Ce profil de connexion est appliqué uniquement au type de connexion sans fil NoEAP.



Enregistrez la configuration en cliquant sur Créer
Ne désirant pas mettre en place un profil invité sur le réseau filaire, il faut modifier le profil par défaut pour isoler les machines. Dans la logique de PacketFence, si la connexion d'un appareil ne correspond à aucun profil de connexion alors c'est le profil par défaut qui est appliqué.
Il faut créer en premier lieu une source d'authentfication afin de bloquer les accès.
Créez une nouvelle source externe de type Null.


Rendez-vous ensuite sur le profil de connexion default :

On déclare la source d'authentification "Blocage"

Connexion d'un appareil au WiFi Guests
Pour se faire, je vais commencer par un iPhone. Le portail captif se lance automatiquement lors de la connexion au réseau WiFi Guests :



- Note : Dans mon cas j'ai du de nouveau vous connecter au wifi Guests car après la bascule temporaire dans le VLAN 40, l'iPhone ne se reconnectait pas automatiquement. Sur mon PC portable, tout a été transparent et je n'ai pas eu besoin de me reconnecter au WiFi Guests.
On récupère l'email d'activation :


On peut aussi voir le dréoulé de la connexion dans le logs de PacketFence.
L'appareil est placé d'abord dans le VLAN 2 :

Une fois inscrit, l'appareil passe alors sur le VLAN 40


👉 La suite
Maintenant que les employés peuvent se connecter au réseau filaire et sans fil, nous verrons comment affiner le placement dans les VLAN suivant le groupe d'appartenance de ceux-ci.