RADIUS est un protocole central dans la gestion de l’infrastructure réseau et l’authentification Wi-Fi, fournissant l’authentification, l’autorisation et la comptabilité (AAA). Ce protocole a été conçu à l’époque de l’accès commuté, mais il continue d’évoluer pour répondre aux exigences des petites et moyennes entreprises (PME) modernes.
La manière dont il est fourni aux clients a changé, de nombreuses organisations optant pour l’efficacité et la sécurité d’un service en cloud plutôt que pour des serveurs autogérés. Les serveurs RADIUS restent une option viable pour les PME, mais il y a une multitude de tâches requises pour leur installation et leur configuration, ainsi que des étapes supplémentaires pour l’intégration avec les piles d’identité.
Cet article examine chacune de ces options de déploiement en mettant l’accent sur leurs avantages et différences respectifs. Il aborde également la manière dont les migrations vers le cloud peuvent apporter une valeur ajoutée pour permettre l’unification de l’informatique et inclure RADIUS dans une stratégie de cybersécurité de type « Zero Trust ».
Qu’est-ce que Cloud RADIUS ?
Les services Cloud RADIUS sont gérés par un tiers qui assure une haute disponibilité et des normes de conformité en matière de sécurité qui sont généralement impossibles à obtenir par une PME. Par exemple, JumpCloud a réalisé des évaluations indépendantes pour l’examen SOC 2 de type 2.
JumpCloud Cloud RADIUS est pré-intégré aux services d’annuaire et à l’authentification multifactorielle (MFA). RADIUS a généralement utilisé PEAP ou EAP-TTLS pour l’authentification sans MFA. L’authentification multifactorielle est une exigence du NIST (conformité 800-171) pour l’accès local et réseau aux comptes privilégiés et pour l’accès réseau aux comptes non privilégiés. En d’autres termes, utilisez la MFA chaque fois que cela est possible.
Contrôles de sécurité de la Zero Trust
L’efficacité de MFA est renforcée par d’autres contrôles de sécurité tels que les politiques d’accès conditionnel. Ces politiques précisent à partir de quel endroit un client peut accéder à des ressources, peuvent rendre la MFA obligatoire pour des groupes d’utilisateurs et peuvent restreindre l’accès aux appareils gérés. La plateforme JumpCloud rend ces capacités de sécurité immédiatement disponibles, sans installation supplémentaire.
Elle comprend également des fonctions qui permettent de gérer les appareils fonctionnant sous tous les principaux systèmes d’exploitation de bureau et mobiles grâce à la gestion des appareils mobiles (MDM) et à des politiques de type GPO. MDM configure, contrôle et gère les appareils. La gestion des correctifs est une autre fonctionnalité.
Identités de tiers
Le service RADIUS de JumpCloud permet également de consommer des identités tierces via un nom d’utilisateur et un mot de passe. Les utilisateurs peuvent ainsi accéder aux réseaux Wi-Fi avec les mêmes informations d’identification que celles qu’ils utilisent partout ailleurs.
Le fait de disposer d’options d’authentification intégrées épargne aux administrateurs informatiques la difficulté de se connecter à un annuaire externe tel que Microsoft Azure, qui peut ne pas être pris en charge et nécessiter un développement personnalisé ou la licence d’une solution tierce spécialement conçue. Un serveur RADIUS autonome ne peut accomplir cette tâche sans un serveur LDAP associé, spécialement configuré pour Azure AD (ou une autre plateforme d’annuaire en cloud).
Comment fonctionne Cloud RADIUS ?
Les administrateurs informatiques consomment et configurent un service plutôt que de configurer des serveurs. Cet exemple décrit comment les points d’accès sans fil sont configurés pour utiliser l’authentification RADIUS, mais le processus est le même pour chaque serveur d’accès réseau (NAS).
- La solution Cloud RADIUS est un serveur RADIUS intégré à un service d’annuaire cloud. L’accès peut être accordé à des groupes d’utilisateurs au sein de l’annuaire qui sont liés à la connexion RADIUS.
- Les administrateurs informatiques font simplement pointer leurs WAP vers le serveur RADIUS virtuel en saisissant l’une de ses adresses IP.
- Choisissez d’utiliser PEAP ou EAP-TTLS pour l’authentification et déterminez si le MFA doit être requis. Les administrateurs génèrent également un secret partagé fort qui reste confidentiel.
- Le serveur RADIUS vérifie alors automatiquement les informations d’identification de l’utilisateur auprès du service d’annuaire intégré basé sur le cloud.
Du point de vue de l’utilisateur final, il y a très peu à faire. L’utilisateur saisit ses informations d’identification – celles qui sont utilisées comme informations d’identification de base. Ensuite, l’utilisateur n’a plus besoin de saisir ses informations d’identification jusqu’à ce qu’il change son mot de passe.
L’appareil de l’utilisateur transmet les informations d’identification au WAP lorsqu’il accède au réseau. Le WAP transmet automatiquement les informations d’identification au serveur RADIUS, puis l’identité est validée par l’annuaire en cloud.
Qu’est-ce que le RADIUS sur site ?
Les premières implémentations de RADIUS ont été développées à la fin des années 1990 et s’exécutaient sur des serveurs locaux. FreeRADIUS est un exemple populaire gratuit et open source qui est encore largement utilisé aujourd’hui. Le rôle de serveur NPS de Microsoft pour Windows Server est une autre option qui a été adoptée par de nombreux administrateurs informatiques.
Les serveurs RADIUS sont parfois accompagnés de VPN IPSec ou WireGuard pour garantir la confidentialité des informations d’identification des utilisateurs hachées en MD5 et des attributs spécifiques aux utilisateurs (tels que l’appartenance à un VLAN). La sécurité relève de la seule responsabilité de l’administrateur.
Comment fonctionne le système RADIUS sur site ?
Les serveurs RADIUS sur site nécessitent des bibliothèques logicielles supplémentaires pour reproduire la fonctionnalité d’un service RADIUS en cloud. Il est nécessaire de mettre en œuvre FreeRADIUS, Active Directory® et, souvent, une passerelle entre les deux. La surveillance, le temps de fonctionnement, les sauvegardes et la sécurité doivent tous être pris en compte. Un client local peut également nécessiter une installation sur chaque appareil.
Microsoft NPS est installé sur les contrôleurs de domaine pour optimiser les temps de réponse du réseau. Il peut être installé sur un autre serveur, mais cette configuration peut nécessiter la commande d’un plus grand nombre de licences CALS (Client Access Licenses) pour les utilisateurs ou les appareils. Un environnement de système d’exploitation distinct entraîne des frais de licence plus élevés. L’accès aux annuaires en cloud fédérés nécessite des intégrations avec Azure AD ou AD FS.
Différences entre le système sur site et en cloud.
Les administrateurs conservent un meilleur contrôle sur leur environnement lorsqu’ils mettent eux-mêmes en œuvre RADIUS. Cependant, les frais généraux d’administration sont beaucoup plus élevés et il est possible qu’un serveur devienne un point de défaillance unique dans la chaîne d’authentification.
Des capacités et une sécurité supplémentaires en matière de gestion des identités et des accès (IAM) impliquent l’achat de logiciels, la mise en place d’autres serveurs et éventuellement la synchronisation de votre annuaire sur site avec des services en cloud.
JumpCloud RADIUS offre sécurité, haute disponibilité et facilité d’utilisation. Une combinaison intégrée de RADIUS et de services d’annuaire permet aux administrateurs informatiques de se décharger des tâches les plus lourdes tout en bénéficiant de tous les avantages de RADIUS. En outre, la plateforme RADIUS en cloud prend en charge les protocoles RADIUS courants.
En savoir plus sur les différentes solutions de serveur RADIUS.
Essayez JumpCloud RADIUS
Pour en savoir plus sur le service RADIUS hébergé de JumpCloud et sur la manière dont il peut vous aider à sécuriser votre réseau Wi-Fi, inscrivez-vous gratuitement pour un maximum de 10 utilisateurs et 10 appareils. Profitez également de 10 jours d’assistance par chat gratuite dans l’application pour tirer le meilleur parti des premiers jours de votre nouveau compte.