Aller au contenu

🔐 Authentification 802.1X sur un réseau sans fil

PacketFence, Wifi et AD

📝 Introduction

La mise en place du contrôle d'accès sur les réseaux sans fil va dépendre de votre matériel. Dans mon cas, j'ai du matériel Ubiquiti. La documentation de PacketFence étant obsolète, j'ai mis pas mal de temps pour comprendre et réussir à atteindre mon objectif.

🎯 Objectif

L'objectif est de mettre en place l'authentification 802.1X afin que les utilisateurs (les employés par exemple) soient placés dans le VLAN approprié et q'une personne externe connectant son appareil au wifi soit placée dans un VLAN Guests.

J'en profiterai également pour empêcher l'enregistrement des appareils filaires.

🛜 Configuration de l'AP Wifi

Configuration réseau

Dans cet exemple, j'utilise un point d'accès Ubiquiti AP AC Lite. La borne est controlée par l'application Unifi Controller. Le règlage de la borne se fait donc depuis cette application.

C'est la borne qui taguera les VLAN sur lesquels seront placés les appareils. Il faut donc configurer le port du switch sur lequel est branchée la borne.

Rappel VLAN et adressage réseau

ID Nom Réseau Passerelle/DHCP DNS
2 Registration 192.168.2.0/24 PacketFence PacketFence
3 Isolation 192.168.3.0/24 PacketFence PacketFence
4 Machines 192.168.4.0/24 OPNSense AD
10 Administration 192.168.10.0/24 OPNSense AD
20 LAN 192.168.20.0/24 OPNSense AD
30 AD 192.168.30.0/24 OPNSense AD
40 Guests 192.168.40.0/24 OPNSense OPNSense

Connexion réseau

Hôte Port si plss SW Port VLAN TYPE
AP AC Lite sw01 P3 UNTAG 10 / TAG 2,3,4,20,40

Configuration du contrôleur Unifi

Connectez-vous sur l'interface web du contrôleur Unifi (https://192.168.10.252:8181 dans mon cas)

Configuration du serveur RADIUS :

Configuration RADIUS Unifi
Configuration RADIUS Unifi

Créez les réseaux virtuels pour les VLAN :

Configuration RADIUS Unifi

Nous reviendrons plus tard sur la création des réseaux WiFi.

🛡️ Configuration de PacketFence

Ajout du contrôleur

Configuration PacketFence AP Unifi

Après différents tests, il apparait que vous pouvez laisser vide la partie "Méthode de désauthentification" :

Configuration PacketFence AP Unifi
Configuration PacketFence AP Unifi

Ici nous renseignons l'adresse IP du contrôleur et non de l'AP :

Configuration PacketFence AP Unifi
Configuration PacketFence AP Unifi

Renseignez les credentials du contrôleur Unifi puis terminez en cliquant sur Créer.

Configuration PacketFence AP Unifi

Configuration du profil de connexion

Si la methode d'authentification 802.1X avec EAP provient d'un réseau sans fil, on applique alors le profil de connexion 802.1X créé précédemment pour la partie filaire.

Profil de connexion WiFi
Profil de connexion WiFi

🔑 Création de l'accès WiFi WPA Entreprise

WPA Entreprise (ou WPA-Enterprise) est une méthode sécurisée pour se connecter à un réseau Wi-Fi. Contrairement au WiFi classique (dit aussi WiFi Personnel) qui s'appuie sur un mot de passe partagé, chaque utilisateur a son identifiant et mot de passe personnels. Si un employé quitte l'entreprise, plus besoin de changer la clé WiFi, il suffit juste de désactiver son compte.

Rendez-vous sur le contrôleur Unifi et créez un nouvel accès WiFi :

Config WiFi Ets
Config WiFi Ets
Config WiFi Ets

Sauvegardez la configuration en cliquant sur le bouton "Ajouter un réseau WiFi"

🖥️ Connexion d'un PC au WiFi Entreprise

J'utilise le même PC configuré précédemment pour l'authentification 802.1X sur le réseau filaire. Rappel : ce PC est déjà intégré dans le domaine AD labo.lan.

Configuration de l'auth. 802.1X

Config WiFi PC
Config WiFi PC
Config WiFi PC
Config WiFi PC
Config WiFi PC
Config WiFi PC
Config WiFi PC
Config WiFi PC
Config WiFi PC
Config WiFi PC
Config WiFi PC

Une fois la configuration validée, redémarrez le PC.

Connexion au réseau WiFi Employes

Une fois le PC rebooté, cliquez sur l'icône WiFi. Cette partie est encore mystérieuse pour moi mais cela doit certainement s'expliquer.

Si je lance une connexion manuelle en cliquant sur "se connecter", la connexion ne se fait pas :

Conexion WiFi PC
Conexion WiFi PC

En effet on constate sur PacketFence sur la partie Audit que l'authentification a été rejetée.

Conexion WiFi PC
Conexion WiFi PC

Si par contre je coche Se connecter automatiquement

Conexion WiFi PC
Conexion WiFi PC

De nouveau sur la partie Audit de PacketFence, on constate que la connexion a bien été établie mais le nom d'uilisateur est différent (le compte machine)

Conexion WiFi PC

Ensuite si nous nous connectons avec un utilisateur du domaine, nous constatons la bascule de l'appareil du VLAN MACHINES vers le VLAN LAN sur PacketFence :

Conexion WiFi PC

Le "bug" de la connexion manuelle ne se produit que sur la mire de connexion de Windows. Si l'utilisateur est déjà authentifié, la connexion manuelle au Wifi se fait sans problème. Si l'utilisateur se déconnecte de sa session, le PC bascule alors sur le VLAN MACHINES.

📡 Création de l'accès WiFi Guests

Configuration sur le controleur Unifi

Rendez-vous sur l'interface web du contrôleur, puis créez le réseau WiFi. On peut créer un réseau complètement ouvert mais j'ai préféré limiter l'ouverture du réseau en renseignant un mot de passe pour se connecter au réseau Guests.

Configuration WiFi Guest
Configuration WiFi Guest

Configuration sur PacketFence

Nous allons mettre en place un profil de connexion qui renvoie les demandes de connexion non EAP vers un portail captif leur demandant de s'enregistrer avec leur mail.

Il y a deux possibilités pour ça :

  • Soit utiliser l'authentification web
  • Soit utiliser le VLAN d'enregistrement (VLAN 2 REGISTRATION dans notre cas)

J'ai choisi la deuxième option.

Nous allons créer un profil de connexion nommé "Guests".

Configuration WiFi Guest Profil de connexion PacketFence
Configuration WiFi Guest Profil de connexion PacketFence

Ce profil de connexion est appliqué uniquement au type de connexion sans fil NoEAP.

Configuration WiFi Guest Profil de connexion PacketFence
Configuration WiFi Guest Profil de connexion PacketFence
Configuration WiFi Guest Profil de connexion PacketFence

Enregistrez la configuration en cliquant sur Créer

Ne désirant pas mettre en place un profil invité sur le réseau filaire, il faut modifier le profil par défaut pour isoler les machines. Dans la logique de PacketFence, si la connexion d'un appareil ne correspond à aucun profil de connexion alors c'est le profil par défaut qui est appliqué.

Il faut créer en premier lieu une source d'authentfication afin de bloquer les accès.

Créez une nouvelle source externe de type Null.

Configuration default profile
Configuration default profile

Rendez-vous ensuite sur le profil de connexion default :

Configuration default profile

On déclare la source d'authentification "Blocage"

Configuration default profile

Connexion d'un appareil au WiFi Guests

Pour se faire, je vais commencer par un iPhone. Le portail captif se lance automatiquement lors de la connexion au réseau WiFi Guests :

Configuration default profile
Configuration default profile
Configuration default profile
  • Note : Dans mon cas j'ai du de nouveau vous connecter au wifi Guests car après la bascule temporaire dans le VLAN 40, l'iPhone ne se reconnectait pas automatiquement. Sur mon PC portable, tout a été transparent et je n'ai pas eu besoin de me reconnecter au WiFi Guests.

On récupère l'email d'activation :

Configuration default profile
Configuration default profile

On peut aussi voir le dréoulé de la connexion dans le logs de PacketFence.

L'appareil est placé d'abord dans le VLAN 2 :

Connexion WiFi Guest Profil de connexion PacketFence

Une fois inscrit, l'appareil passe alors sur le VLAN 40

Connexion WiFi Guest Profil de connexion PacketFence
Connexion WiFi Guest Profil de connexion PacketFence

👉 La suite

Maintenant que les employés peuvent se connecter au réseau filaire et sans fil, nous verrons comment affiner le placement dans les VLAN suivant le groupe d'appartenance de ceux-ci.