Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe

Chapitre 5 : Création de l'infrastructure de sécurité des réseaux locaux sans fil

Dernière mise à jour le 02 avril 2004

Afficher toutes les rubriques d'aide consacrées à la sécurité 

Sur cette page

Présentation
Conditions requises pour suivre ce chapitre
Préparation de l'implémentation
Vérification de l'état de préparation de l'environnement
Installation d'IAS
Enregistrement d'IAS dans Active Directory
Configuration du serveur IAS principal
Déploiement des paramètres sur plusieurs serveurs IAS
Configuration des points d'accès sans fil
Résumé
Références

Présentation

Ce chapitre présente des informations et des conseils sur l'installation et la configuration d'IAS (Internet Authentication Service) pour fournir des services RADIUS (Remote Access Dial-In User Service) à un réseau local sans fil (WLAN), ainsi que la configuration de points d'accès sans fil (AP) pour qu'ils utilisent les services RADIUS IAS.

Les principales rubriques du chapitre sont les suivantes :

• préparation et installation d'IAS ;

• configuration du premier serveur IAS ;

• réplication des paramètres sur d'autres serveurs IAS ;

• ajout de points d'accès sans fil en tant que clients RADIUS d'IAS ;

• configuration des points d'accès sans fil.

Les procédures décrites dans ce chapitre sont moins automatisées que les procédures des chapitres précédents. Bien qu'IAS puisse être configuré par programme, nombre de paramètres ne peuvent pas être configurés à l'aide de l'hôte de script de Windows® ni des outils de ligne de commande disponibles. Le code d'application compilé est généralement moins accessible aux non développeurs que les scripts. Par conséquent, lorsqu'une procédure ne pouvait pas être établie sous forme de scripts, les opérations manuelles à accomplir pour réaliser la procédure ont été décrites. Si vous souhaitez automatiser la configuration d'IAS à l'aide de l'interface SDO (Server Data Objects), reportez-vous à MSDN® à l'adresse https://msdn.microsoft.com. Pour connaître l'emplacement exact des informations relatives au sujet, consultez les références fournies à la fin de ce chapitre.

Les étapes de configuration décrites dans ce chapitre sont essentiellement manuelles, mais cela présente certains avantages. Tout d'abord, l'interface d'administration d'IAS est facile à utiliser et souvent dotée d'assistants de configuration. En deuxième lieu, vous allez normalement effectuer les étapes de configuration sur un seul serveur, puis répliquer ces paramètres sur les autres serveurs IAS à l'aide de commandes simples. Enfin, le fait de réaliser ces opérations manuellement vous aidera à mieux comprendre l'installation et la configuration d'IAS. Ce dernier point est plus important ici que pour les autres composants de la solution. IAS est le noyau autour duquel gravite toute la solution ; il est donc souhaitable d'avoir quelque expérience de son administration et de sa configuration.

Conditions requises pour suivre ce chapitre

Avant de commencer à appliquer les instructions de ce chapitre, lisez et appliquez les conseils du chapitre 3, « Préparation de votre environnement », et du chapitre 4, « Création de l'autorité de certification réseau ». Vous devez également lire le chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil » et comprendre l'architecture et la conception de cette solution.

D'autre part, une bonne connaissance des sujets suivants vous sera utile :

• IAS et RADIUS

• Concepts des réseaux locaux sans fil

Préparation de l'implémentation

Autorisations requises

Pour réaliser les procédures décrites dans ce chapitre, vous devez ouvrir une session avec un compte appartenant au groupe Administrateurs du domaine dans lequel vous installez les serveurs IAS.

Remarque : si vous n'installez pas IAS sur des contrôleurs de domaine, vous devrez seulement vous connecter en tant que membre du groupe Administrateurs local sur chaque serveur IAS afin d'installer et de configurer IAS. Vous devrez également avoir l'autorisation de modifier l'appartenance au groupe Serveurs RAS et IAS pour le domaine dans lequel vous installez le serveur IAS.

Outils nécessaires

Vous aurez besoin des outils ci-dessous pour réaliser les procédures décrites dans ce chapitre.

Tableau 5.1 : Outils nécessaires

Outil	Description	Source
Scripts MSS Secure WLAN	L'ensemble des scripts et des outils fournis avec cette solution.	Fourni au chapitre 3, « Préparation de votre environnement ».
Service d'authentification Internet	Outil MMC (Microsoft® Management Console) servant à gérer les stratégies et les paramètres d'IAS.	Fourni avec Windows Server™ 2003.
Utilisateurs et ordinateurs Active Directory	Outil MMC servant à gérer les utilisateurs, les groupes, les ordinateurs qui utilisent les services d'annuaire Microsoft Active Directory®, ainsi que les autres objets Active Directory.	Fourni avec Windows Server 2003.

Paramètres IAS

Le tableau suivant répertorie les principaux paramètres utilisés dans le cadre de l'installation et de la configuration du serveur IAS.

Tableau 5.2 : Paramètres de configuration du serveur IAS

Élément de configuration	Paramètre
Journalisation IAS dans le journal d'événements Windows
Demandes d'authentification rejetées	Activé
Demandes d'authentification traitées	Activé
Journalisation RADIUS IAS	Désactivé
Stratégie d'accès distant
Nom de la stratégie d'accès distant	Autoriser l'accès au réseau local sans fil
Groupe de sécurité auquel autoriser l'accès	Accès au réseau local sans fil
Type EAP utilisé	Protocole PEAP (Protected Extensible Authentication Protocol)
Type EAP PEAP utilisé	EAP MS-CHAP v2
Reconnexion rapide	Activée
Profil de stratégie d'accès distant
Minutes clients can be connected (Session-Timeout)	60 minutes Ce délai peut être ramené à 15 minutes pour les réseaux locaux sans fil 802.11a/g de 54 Mbits/s
Attributs RADIUS	Ignore-User-Dialin-Properties = « True » Termination-Action = « RADIUS-Request »
Stratégie de demande de connexion
Nom de la stratégie	Utiliser l'authentification Windows pour tous les utilisateurs
Conditions de la stratégie	Day-and-Time-Restrictions = All times

Important : ces paramètres ont été utilisés lors de la phase de test de la solution réalisée en interne ; ils sont donc réputés fonctionner tels qu'ils sont documentés. Bien qu'il soit possible de modifier la plupart de ces valeurs, il est conseillé de ne modifier un paramètre que si vous comprenez parfaitement son rôle et mesurez les implications d'une telle modification.

Vérification de l'état de préparation de l'environnement

Pour fonctionner correctement, IAS a besoin d'une bonne configuration réseau et d'une bonne connectivité Active Directory. L'installation et la maintenance d'IAS nécessitent plusieurs outils.

Validation de l'environnement IAS

Avant d'installer IAS sur le serveur, vous devez effectuer une série de contrôles pour vous assurer que le contrôleur de domaine peut être contacté et que tous les outils nécessaires ont été installés en suivant les procédures décrites au chapitre 3, « Préparation de votre environnement ». La procédure suivante utilise un script pour effectuer ces contrôles automatiquement.

Pour vérifier l'environnement IAS

1. Lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools sur le serveur sur lequel vous allez installer IAS.

2. Exécutez la commande suivante :

   MSSSetup CheckIASEnvironment

3. Le script confirme le nom du domaine auquel le serveur appartient. Cliquez sur OK pour accepter.

4. Une fois les vérifications effectuées, une boîte de dialogue s'affiche pour signaler la réussite ou l'échec de chaque vérification. Cliquez sur OK pour fermer la boîte de dialogue.

5. Si tous les contrôles se sont déroulés avec succès, passez à la procédure suivante. Sinon, examinez le journal d'installation (%systemroot%\debug\MSSWLAN-Setup.log) pour trouver la cause de l'échec et corrigez le problème avant de relancer le script.

Vérification des paramètres DHCP

Le protocole DHCP (Dynamic Host Configuration Protocol) sera utilisé pour affecter automatiquement des adresses IP aux clients du réseau local sans fil. Vérifiez que les étendues DHCP affectées à chaque site comportent suffisamment d'adresses IP pour couvrir le nombre maximum de clients du réseau local sans fil pouvant être actifs sur le site. Si l'étendue est partagée avec des clients filaires, elle doit être suffisamment grande pour couvrir les deux ensembles de clients.

Les organisations qui possèdent un grand nombre de clients de réseau local sans fil ou qui possèdent des clients qui se déplacent régulièrement d'un site à l'autre doivent configurer des étendues distinctes pour les clients de réseau local sans fil. Le fait de configurer des étendues séparées vous permet de spécifier des délais de bail d'adresse IP très courts pour ces clients (par exemple, huit heures ou moins), ce qui évite que les clients de réseau local sans fil épuisent rapidement les adresses IP disponibles. Pour ce faire, placez les clients de réseau local sans fil sur un sous-réseau séparé du reste du réseau et configurez un routeur ou un commutateur de niveau 3 pour connecter les sous-réseaux.

Dans les environnements de taille plus réduite ou relativement statiques, il reste possible de partager le même sous-réseau IP et de configurer une seule étendue DHCP entre les clients filaires et les clients de réseau local sans fil.

Pour plus d'informations, consultez le chapitre « Deploying a Wireless LAN » du Kit de déploiement de Windows Server 2003. La référence de l'ouvrage est fournie à la fin de ce chapitre.

Installation d'IAS

Cette section décrit l'installation d'IAS sur le serveur.

Installation des composants logiciels IAS

Vous pouvez installer les composants logiciels IAS à l'aide d'un script fourni avec ce guide. Ce script utilise le gestionnaire d'installation des composants facultatifs de Windows pour installer IAS ; il crée tous les fichiers de configuration requis au cours de son exécution.

Pour installer IAS

1. Lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools.

2. Exécutez la commande suivante pour installer les composants logiciels IAS :

   MSSSetup InstallIAS

3. Le script crée alors le fichier de paramètres nécessaire à l'installation. Une fois qu'il a terminé, il vous demande si vous souhaitez poursuivre l'installation. Le CD d'installation de Windows Server 2003 (ou le chemin réseau d'une source d'installation Windows) est requis pour effectuer l'installation. Cliquez sur OK pour poursuivre ou sur Cancel pour arrêter l'installation avant la fin.

   Remarque : si vous choisissez d'annuler l'installation, le fichier de paramètres des composants facultatifs d'IAS (OC_IAS.txt) restera dans le dossier de travail actuel. Vous pourrez modifier ce fichier et l'utiliser dans une installation personnalisée si vous ne souhaitez pas appliquer les paramètres par défaut de la solution.

4. A l'issue de l'installation, un message de confirmation s'affiche. Cliquez sur OK.

Vérification de l'installation

Pour vérifier l'installation, cliquez sur Démarrer, pointez sur Tous les programmes, Outils d'administration, puis cliquez sur Service d'authentification Internet. IAS doit apparaître comme étant installé et exécuté sur le serveur.

Enregistrement d'IAS dans Active Directory

Chaque serveur IAS doit être enregistré dans Active Directory. L'enregistrement consiste à ajouter le compte ordinateur du serveur IAS au groupe de sécurité Serveurs RAS et IAS, afin que les serveurs IAS aient l'autorisation de lire les propriétés d'accès distant des comptes d'utilisateur et d'ordinateur dans Active Directory.

Vous pouvez enregistrer les serveurs de l'une des façons suivantes :

• Ajoutez les serveurs manuellement au groupe (en utilisant Utilisateurs et ordinateurs Active Directory).

• Utilisez la commande Inscrire le serveur dans Active Directory du menu Action de la console MMC Service d'authentification Internet.

• Utilisez la commande Netsh.

C'est cette dernière méthode (l'utilisation de la commande Netsh) qui est appliquée ici car elle est facile à établir sous forme de scripts et autorise l'enregistrement du serveur dans d'autres domaines.

Pour enregistrer IAS dans le domaine par défaut

1. Connectez-vous au serveur IAS et lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools.

2. Exécutez la commande suivante :

   netsh ras add registeredserver

Si vous avez plusieurs domaines, suivez la procédure suivante pour chaque domaine possédant des utilisateurs ou des ordinateurs qui seront authentifiés par ce serveur IAS. Par exemple, si vos serveurs IAS sont installés dans le domaine A et que vous avez des utilisateurs de réseau local sans fil dans le domaine B, vous devez enregistrer les serveurs IAS dans le domaine B comme dans le domaine A. Pour ce faire, vous devez avoir l'autorisation de modifier l'appartenance au groupe Serveurs RAS et IAS dans le domaine cible.

Pour enregistrer IAS dans des domaines autres que le domaine par défaut

1. À l'invite de commande, tapez ce qui suit, en remplaçant NomDomaine par le nom du domaine dans lequel le serveur IAS doit être enregistré :

   netsh ras add registeredserver domain = NomDomaine

   Remarque : vous pouvez également ajouter l'objet d'ordinateur du serveur IAS directement au groupe de sécurité Serveurs RAS et IAS dans le domaine cible en utilisant Utilisateurs et ordinateurs Active Directory.

Configuration du serveur IAS principal

Cette section explique comment configurer le premier serveur IAS. Les serveurs IAS suivants seront configurés en répliquant les paramètres de ce serveur à l'aide des procédures décrites plus loin dans ce chapitre.

Inscription automatique d'un certificat de serveur IAS

Le chapitre 4, « Création de l'autorité de certification réseau », vous a indiqué les étapes à suivre pour installer un objet de stratégie de groupe (GPO) en vue de permettre aux membres du groupe Serveurs RAS et IAS d'inscrire automatiquement les certificats d'ordinateur. L'enregistrement du serveur IAS dans Active Directory entraîne l'ajout du compte du serveur à ce groupe. Toutefois, le serveur doit être redémarré pour que l'appartenance au groupe soit ajoutée au jeton de connexion de l'ordinateur et que celui-ci puisse inscrire un certificat.

Remarque : comme dans le cas des utilisateurs, le jeton de connexion des ordinateurs ne reflète pas le changement d'appartenance aux groupes tant qu'ils n'ouvrent pas de nouvelle session sur le domaine. Pour les ordinateurs, cela se produit au moment du démarrage.

Avant de passer à la procédure suivante, redémarrez le serveur.

Avertissement : avant de redémarrer le serveur, assurez-vous qu'aucune tâche n'est réalisée sur celui-ci. Si le serveur est un contrôleur de domaine, assurez-vous que les utilisateurs disposent d'un autre contrôleur de domaine avant de redémarrer celui-ci. Évitez également de redémarrer le serveur pendant une tâche système critique telle que la sauvegarde serveur.

Vérification du déploiement d'un certificat de serveur IAS

Après avoir redémarré le serveur, assurez-vous que le certificat du serveur IAS a bien été inscrit.

Pour vérifier le certificat d'authentification du serveur IAS

1. Lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools.

2. Exécutez la commande suivante pour ouvrir la console MMC Certificats :

   ComputerCerts.msc

3. Dans l'arborescence de la console, double-cliquez sur Certificats (Ordinateur local), puis sur Personnel. Ensuite, cliquez sur Certificats.

4. Vous devez voir au moins un certificat portant le nom de ce serveur dans la colonne Délivré à, ainsi que le nom de l'autorité de certification (CA) dans la colonne Délivré par. Faites défiler la liste (vers la droite) pour visualiser la colonne Modèle de certificat. Le certificat doit avoir la valeur Ordinateur dans cette colonne.

   Remarque : s'il s'agit du premier serveur IAS et qu'il est installé sur le même serveur que l'autorité de certification, vous verrez également un autre certificat portant le nom de l'autorité de certification dans les deux colonnes ; il s'agit du certificat d'autorité de certification auto-signé.

5. Si le certificat requis n'apparaît pas dans la console Certificats,sélectionnez Certificats (Ordinateur local) dans l'arborescence de la console (dans le volet de gauche), cliquez sur Toutes les tâches dans le menu Action, puis cliquez sur Inscrire automatiquement les certificats. Ensuite, actualisez l'affichage de la console Certificats.

Configuration du premier serveur IAS

Tous les serveurs IAS seront configurés quasiment de la même manière dans cette solution (mais l'ensemble des points d'accès sans fil installés sur chaque serveur différera généralement d'un serveur à l'autre). Pour conserver la synchronisation de la configuration des serveurs, et pour éviter d'avoir à gérer plusieurs serveurs, vous allez effectuer la plupart des tâches de configuration sur le premier serveur IAS installé, puis répliquer les paramètres du serveur sur les autres serveurs de l'organisation.

Les procédures décrites dans cette section vous aideront à configurer les types de paramètres suivants sur le premier serveur IAS :

• enregistrement des requêtes ;

• stratégie d'accès distant ;

• paramètres de demande de connexion.

Ces paramètres seront ensuite répliqués sur les autres serveurs IAS. Vous devez également ajouter à IAS une entrée de client RADIUS pour chaque point d'accès sans fil traité par ce serveur IAS (cette opération est expliquée à la section « Configuration des points d'accès sans fil » plus loin dans ce chapitre).

Configuration de l'enregistrement dans les journaux d'événements Windows

IAS consigne dans le journal système de Windows les informations système importantes telles que le démarrage et l'arrêt des services, ou des problèmes tels que les erreurs de configuration et les interruptions de service. Il peut éventuellement consigner les tentatives d'authentification ayant abouti et échoué.

Pour activer la journalisation des demandes d'authentification par IAS

1. Pour ouvrir la console MMC Service d'authentification Internet, cliquez sur Démarrer, pointez sur Tous les programmes, Outils d'administration, puis cliquez sur Service d'authentification Internet.

2. Cliquez avec le bouton droit de la souris sur Service d'authentification Internet (local), puis sélectionnez Propriétés.

3. Vérifiez que Demandes d'authentification rejetées et Demandes d'authentification traitées sont activées.

4. Cliquez sur OK.

Configuration de l'enregistrement des requêtes d'authentification et de gestion de compte dans les journaux RADIUS

IAS peut également consigner les informations d'authentification et de gestion de compte dans les journaux RADIUS. Par défaut, IAS ne crée pas de journaux RADIUS et la journalisation RADIUS n'est pas activée dans cette solution afin d'en simplifier la gestion.

Si vous avez besoin de la journalisation RADIUS à des fins d'audit ou de gestion de compte, vous pouvez activer l'un ou l'autre de ces journaux de requêtes (ou les deux à la fois). IAS peut écrire ces journaux dans des fichiers texte ou dans une base de données SQL. Vous pouvez fournir ces journaux à des systèmes de contrôle de sécurité pour qu'ils vous aident à détecter les violations de sécurité potentielles. Il arrive que certaines organisations utilisent les journaux de gestion à des fins de facturation, mais cette utilisation est généralement réservée aux fournisseurs d'accès Internet et de services réseau. Si vous souhaitez implémenter la journalisation RADIUS ou simplement en savoir plus à ce sujet, reportez-vous aux références fournies à la fin de ce chapitre.

Remarque : n'activez pas la journalisation des informations d'authentification et de gestion de compte à moins d'en avoir spécifiquement besoin. Cela peut nuire aux performances du serveur et vous oblige à nettoyer régulièrement les fichiers journaux pour éviter qu'ils remplissent les disques du serveur.

Création d'une stratégie d'accès distant IAS pour le réseau local sans fil

Suivez la procédure suivante pour créer une stratégie d'accès distant sur le serveur IAS.

Pour créer une stratégie d'accès distant sur IAS

1. Ouvrez la console MMC Service d'authentification Internet. Pour ce faire, cliquez sur Démarrer, pointez sur Tous les programmes, Outils d'administration, puis cliquez sur Service d'authentification Internet.

2. Cliquez avec le bouton droit de la souris sur le dossier Stratégies d'accès distant, puis sélectionnez Nouvelle stratégie d'accès distant. Cliquez sur Suivant pour continuer.

3. Sélectionnez Une stratégie typique pour un scénario commun en tant que type de stratégie et nommez-la Allow Wireless LAN Access. Cliquez sur Suivant.

4. Choisissez la méthode d'accès Sans fil.

5. Sélectionnez l'option Groupe pour Accorde l'accès selon le choix suivant et entrez (ou allez chercher) le groupe de sécurité Accès au réseau local sans fil. Cliquez sur Suivant pour continuer.

6. Sélectionnez PEAP (Protected EAP) dans la liste des types EAP.

7. Cliquez sur le bouton Configurer.... Le certificat du serveur IAS émis précédemment doit s'afficher dans le champ Certificat émis (si ce n'est pas le cas, sélectionnez-le dans la liste des certificats disponibles). Mot de passe sécurité (EAP MSCHAP version 2) doit s'afficher dans la liste des Types EAP. Activez la case à cocher Activerla reconnexion rapide.

   Important : si vous utilisez des clients sans fil Pocket PC 2003, vous ne devez pas activer la case à cocher Activer la reconnexion rapide à moins de disposer d'une version de Pocket PC prenant en charge cette option (consultez la référence à l'article de la Base de connaissances à la fin de ce chapitre). Si vous activez la reconnexion rapide, les clients Pocket PC ne pourront pas se reconnecter au réseau après l'expiration de leur authentification initiale.

8. Cliquez sur OK, puis sur Suivant. Cliquez sur Terminer pour terminer la procédure.

   Important : la nouvelle stratégie Autoriserl'accès au réseaulocalsans fil peut coexister avec les autres stratégies d'accès distant que vous avez créées ou fournies par défaut. Vous devez toutefois vérifier que les autres stratégies d'accès distant par défaut ont été supprimées ou sont répertoriées en dessous (à un niveau de priorité inférieur) de la stratégie Autoriser l'accès au réseau local sans fil dans le dossier Stratégies d'accès distant d'IAS.

Modification des paramètres du profil de stratégie d'accès au réseau local sans fil

L'Assistant Nouvelle stratégie d'accès distant (le même que celui utilisé lors de la procédure précédente) crée une stratégie d'accès distant valide, mais vous devez configurer manuellement deux paramètres. Le premier paramètre ajoute l'attribut RADIUS Ignore-User-Dialin-Properties. Il indique à IAS d'ignorer le paramètre d'autorisation d'accès distant défini dans l'onglet Appel entrant de l'objet utilisateur Active Directory. Il empêche également IAS d'envoyer cette information aux points d'accès sans fil par l'intermédiaire des réponses RADIUS, car cela pose parfois des problèmes de compatibilité.

La seconde catégorie permet au serveur IAS de mettre fin à la connexion client après un certain délai et de forcer le client à s'authentifier à nouveau. Ces paramètres sont particulièrement importants lorsque vous utilisez la protection des données WEP (Wired Equivalent Privacy) dynamique (la protection par défaut pour cette solution). Le délai d'attente de la session contrôle la fréquence à laquelle de nouvelles clés de cryptage des données sont générées.

Remarque : le cryptage WPA (Wi-Fi Protected Access) possède son propre mécanisme de génération de clés pour chaque paquet transmis. Les explications qui suivent ne s'appliquent pas aux réseaux locaux sans fil WPA.

La valeur de délai d'attente de la session est un compromis entre sécurité et fiabilité. Un délai d'attente de 60 minutes assure un niveau de sécurité suffisant dans la plupart des circonstances, notamment pour les réseaux 802.11b à 11 Mbits/s. Normalement, les clients sans fil ne peuvent pas transmettre suffisamment de données en 60 minutes pour permettre à un pirate de retrouver une clé WEP dynamique. Dans les réseaux locaux sans fil plus rapides, reposant sur les normes 802.11a ou 802.11g à 54 Mbits/s, il est possible de transmettre davantage de paquets en un temps donné ; dans ces conditions, il est conseillé d'appliquer un délai d'attente de session de 15 minutes. Toutefois, la réduction de cette valeur peut avoir une incidence négative sur la fiabilité du réseau local sans fil et augmenter la charge pesant sur les serveurs IAS.

Lisez la section « Options de sécurité du cryptage WEP dynamique » du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil » pour obtenir des informations plus détaillées sur la configuration du délai d'attente de la session client.

Vous devez attribuer au délai d'attente de session client et à l'attribut Termination-Action de RADIUS la valeur appropriée pour que le serveur IAS puisse forcer le client à s'authentifier à nouveau à l'intervalle requis. Pour plus d'informations sur les paramètres de stratégie d'accès distant, consultez la section « Stratégies RADIUS » du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ».

Pour modifier les paramètres du profil de stratégie d'accès sans fil

1. Dans la console MMC Service d'authentification Internet, cliquez avec le bouton droit de la souris sur la stratégie Autoriser l'accès au réseau local sans fil et sélectionnez Propriétés. Cliquez ensuite sur Modifier le profil.

2. Cliquez sur l'onglet Contraintes d'appel entrant, puis sélectionnez l'option Minutes clients can be connected (Session-Timeout) et entrez la valeur 60 (minutes) si vous utilisez un réseau local sans fil 802.11b (11 Mbits/s) ou 15 (minutes) si vous utilisez un réseau sans fil plus rapide, de type 802.11a ou g (54 Mbits/s).

   Remarque : si vous protégez le réseau local sans fil à l'aide du cryptage WPA au lieu du cryptage WEP dynamique, fixez cette valeur à 8 heures. Un délai de huit heures permet de s'assurer que les clients disposent d'informations d'identification valides et à jour pendant une période raisonnable. Il permet également de garantir que les clients ne peuvent pas rester connectés pendant trop longtemps après la désactivation de leurs comptes. Cependant, dans les environnements sous très haute sécurité, où le délai entre la désactivation d'un compte et la déconnexion du client doit être réduit au maximum, vous pouvez ramener cette valeur à une heure.

3. Cliquez sur l'onglet Avancé, ajoutez l'attribut Ignore-User-Dialin-Properties et attribuez-lui la valeur True. Ajoutez ensuite l'attribut Termination-Action et attribuez-lui la valeur RADIUS-Request.

Vérification de la stratégie de requête de connexion du réseau local sans fil

La stratégie de requête de connexion IAS par défaut est configurée pour demander à IAS d'authentifier les utilisateurs et les ordinateurs directement à l'aide d'Active Directory. Pour vérifier la configuration de la stratégie de requête de connexion par défaut, suivez la procédure ci-dessous.

Pour vérifier la configuration de la stratégie de requête de connexion par défaut

1. Ouvrez la console MMC Service d'authentification Internet ; allez jusqu'au dossier Requête de connexion en cours de traitement\Stratégies de demande de connexion et cliquez avec le bouton droit de la souris sur la stratégie de demande de connexion Utiliser l'authentification Windows pour tous les utilisateurs. Sélectionnez ensuite Propriétés.

2. Vérifiez que les conditions de la stratégie incluent Date-And-Time-Restrictions matches« Sun 00:00-24:00; Mon 00:00-24:00; Tue 00:00-24:00; Wed 00:00-24:00; Thu 00:00-24:00; Fri 00:00-24:00; Sat 00:00-24:00 ».

3. Cliquez sur le bouton Modifier le profil et vérifiez que Authentifier les demandes sur ce serveur est sélectionné dans l'onglet Authentification.

4. Vérifiez qu'aucune règle n'est spécifiée dans l'onglet Attribut.

Déploiement des paramètres sur plusieurs serveurs IAS

Une fois le serveur IAS principal configuré, vous pouvez répliquer la configuration sur les autres serveurs IAS.

Appliquez les procédures « Installation d'IAS » et « Enregistrement d'IAS dans Active Directory », décrites précédemment dans ce chapitre, sur tous les autres serveurs. Vous devez également suivre la procédure « Vérification du déploiement d'un certificat de serveur IAS » pour vous assurer que tous les nouveaux serveurs ont bien inscrit un certificat. Une fois ces procédures effectuées, vous être prêt à exporter les paramètres IAS du premier serveur afin de les importer dans les autres serveurs, en appliquant les procédures indiquées à la section suivante.

Important : vous pouvez uniquement répliquer les paramètres à d'autres serveurs IAS Windows Server 2003. Ces procédures ne permettent pas de répliquer les paramètres d'IAS sous Windows Server 2003 vers des serveurs IAS sous Windows 2000.

Réplication des paramètres à partir du premier serveur IAS

Vous pouvez utiliser la commande Netsh pour exporter des sections de la configuration IAS dans des fichiers texte. Les scripts des procédures qui suivent utilisent Netsh.exe pour exporter les paramètres d'un serveur IAS et les importer dans un autre.

Les catégories suivantes de paramètres IAS peuvent être exportées et importées séparément :

• paramètres du serveur ;

• configuration d'enregistrement des événements ;

• stratégies d'accès distant ;

• stratégies de demande de connexion ;

• clients RADIUS ;

• configuration complète (inclut tous les paramètres ci-dessus).

Les paramètres exportés sont stockés dans des fichiers texte, mais les données sont codées. Ces fichiers texte peuvent être utilisés pour transférer les paramètres de configuration courants sur des serveurs IAS multiples afin de garantir une configuration cohérente et un déploiement rapide.

La plupart des catégories de configuration seront communes aux serveurs IAS ayant un rôle similaire (à l'exception, généralement, de la catégorie des clients RADIUS). Dans cette solution, les serveurs IAS n'authentifieront que des clients de réseau local sans fil. Si vous envisagez d'utiliser un ou plusieurs autres serveurs IAS à d'autres fins (par exemple, pour authentifier des clients distants), vous devez effectuer séparément la configuration et la réplication des paramètres de ces serveurs, ou les configurer manuellement. Sinon, vous risquez d'écraser et de perdre les paramètres de stratégie et d'autres paramètres de configuration.

La configuration des éléments suivants doit être effectuée sur le premier serveur IAS uniquement (comme indiqué dans la section précédente, « Configuration d'IAS ») :

• configuration du serveur ;

• paramètres d'enregistrement des événements ;

• stratégies d'accès distant ;

• stratégies de demande de connexion.

Les procédures de cette section permettent d'exporter les paramètres et de les répliquer sur les autres serveurs IAS.

Conseil : afin de suivre les modifications apportées à la configuration IAS, incluez un numéro de version dans le nom de la stratégie d'accès distant. À chaque fois que vous modifiez les paramètres IAS, changez le numéro de version dans le nom de la stratégie. Cela facilitera le suivi des modifications apportées sur les différents serveurs IAS et permettra de vérifier qu'ils utilisent tous les mêmes paramètres.

Désignez le premier serveur IAS en tant que serveur IAS « principal ». Ensuite, utilisez les procédures ci-dessous pour répliquer les paramètres de ce serveur vers les autres serveurs IAS de l'organisation. La réplication des paramètres client RADIUS est expliquée à la section « Réplication de la configuration du client RADIUS vers d'autres serveurs IAS » plus loin dans ce chapitre.

Remarque : l'appellation de serveur « principal » n'a pas de signification particulière dans IAS. Elle sert uniquement à indiquer le serveur que vous allez utiliser pour effectuer la configuration initiale, avant de la répliquer sur les autres serveurs IAS.

Exportation des paramètres à partir du serveur IAS principal

Cette procédure enregistre les paramètres actuels du serveur IAS sur des fichiers disque.

Pour exporter la configuration IAS sur des fichiers disque

1. Connectez-vous au serveur IAS principal et lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools.

2. Si nécessaire, indiquez le dossier dans lequel stocker les fichiers de sortie ou insérez une disquette vierge formatée dans le lecteur du serveur.

3. Exécutez la commande suivante pour exporter la configuration IAS :

   MSSTools ExportIASSettings [**/path:**DossierSortie]

   DossierSortie est un paramètre facultatif permettant de spécifier le dossier dans lequel les fichiers exportés seront placés. Le chemin doit être indiqué entre guillemets s'il contient des espaces. Si vous spécifiez un dossier, celui-ci doit exister, sinon les fichiers seront placés dans le répertoire courant.

4. Le script crée les fichiers suivants :

   • IAS_Server_Settings.txt

   • IAS_Logging.txt

   • IAS_Rem_Access_Policies.txt

   • IAS_Con_Request_Policies.txt

5. Stockez les fichiers pour les importer dans les autres serveurs.

Importation des paramètres dans d'autres serveurs IAS

Cette procédure utilise le fichier des paramètres exporté dans la procédure précédente pour configurer les autres serveurs IAS en leur appliquant les mêmes paramètres. Cette procédure n'importe pas les clients RADIUS (l'importation des clients RADIUS est traitée dans une section ultérieure).

Avertissement : lorsque vous importez les paramètres IAS dans un serveur IAS, tous les paramètres IAS déjà présents sur le serveur sont écrasés (à l'exception des informations relatives au client RADIUS). Si vous avez créé des paramètres différents sur un serveur donné (par exemple, des stratégies d'accès distant différentes afin de prendre en charge des clients VPN), n'utilisez pas cette procédure pour importer les paramètres de réseau local sans fil IAS sur ce serveur. Configurez plutôt les paramètres manuellement en suivant les procédures décrites à la section « Configuration du serveur IAS principal » plus haut dans ce chapitre.

Pour importer la configuration IAS à partir de fichiers disque

1. Connectez-vous au serveur IAS cible et lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools.

2. Identifiez le dossier contenant les fichiers de configuration préalablement exportés depuis le serveur IAS principal.

3. Exécutez la commande suivante pour importer la configuration IAS :

   MSSTools ImportIASSettings [**/path:**DossierEntrée]

   DossierEntrée est un paramètre facultatif permettant de spécifier le dossier dans lequel le script trouvera les fichiers de paramètres à importer. Le chemin doit être indiqué entre guillemets s'il contient des espaces. Si vous ne spécifiez aucun dossier, le script recherchera les fichiers de paramètres dans le répertoire courant.

Vérifiez que les paramètres ont été correctement importés en ouvrant la console MMC Service d'authentification Internet et en vérifiant les paramètres de stratégie d'accès distant et de demande de connexion.

Configuration des points d'accès sans fil

Cette section décrit la marche à suivre pour ajouter des points d'accès sans fil en tant que clients RADIUS des serveurs IAS.

Ajout de points d'accès à IAS en tant que clients RADIUS

Vous devez ajouter les points d'accès sans fil à IAS en tant que clients RADIUS pour qu'ils puissent exploiter les services d'authentification et de comptabilité RADIUS. Pour plus d'informations sur l'affectation de points d'accès sans fil à différents serveurs IAS, consultez les procédures du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ».

Les points d'accès sans fil sur un site donné seront généralement configurés pour utiliser un serveur IAS situé sur le même site pour leur serveur RADIUS principal, et un autre serveur IAS situé sur le même site ou sur un autre site en tant que serveur RADIUS secondaire. Les termes « principal » et « secondaire » n'impliquent ici aucun ordre hiérarchique, ni aucune différence de configuration, entre les serveurs IAS eux-mêmes. Ces termes s'appliquent uniquement aux points d'accès sans fil, qui désignent tous un serveur RADIUS principal et un serveur RADIUS secondaire (ou de sauvegarde). Avant de configurer les points d'accès sans fil, vous devez choisir le serveur RADIUS principal et le serveur RADIUS secondaire pour chaque point d'accès sans fil.

Les procédures qui suivent décrivent l'ajout de clients RADIUS aux deux serveurs IAS. Au cours de la première procédure, un secret RADIUS est généré pour le point d'accès sans fil ; ce secret (ou « clé ») permettra à IAS et au point d'accès de s'authentifier mutuellement. Les détails du client, ainsi que son secret, sont consignés dans un fichier. Ce fichier est utilisé au cours de la deuxième procédure, en vue d'importer le client dans le deuxième IAS.

Important : vous ne devez pas utiliser cette première procédure pour ajouter le même client aux deux serveurs IAS. Si vous le faites, différents secrets RADIUS seront configurés dans les entrées du client sur chaque serveur et le point d'accès sans fil ne pourra pas s'authentifier auprès des deux serveurs.

Ajout de points d'accès au premier serveur IAS

Cette section décrit l'ajout de points d'accès sans fil au premier serveur IAS. Un script est fourni pour automatiser la génération d'un secret RADIUS aléatoire sûr (mot de passe) et ajouter le client à IAS. Le script crée également un fichier (par défaut, Clients.txt) dont lequel il consigne les détails de chaque point d'accès sans fil ajouté. Ce fichier contient le nom, l'adresse IP et le secret RADIUS généré pour chaque point d'accès sans fil. Vous aurez besoin de ces informations pour configurer le deuxième serveur IAS et les points d'accès sans fil.

Si vous préférez ajouter les clients manuellement, suivez la procédure « Génération des entrées client des points d'accès sans fil » décrite plus loin dans ce chapitre, afin de générer les secrets des points d'accès sans fil.

Important : les clients RADIUS sont ajoutés à IAS en tant que clients « RADIUS Standard ». Cela convient à la plupart des points d'accès sans fil, bien que certains puissent demander la configuration d'attributs spécifiques au fournisseur (VSA) sur le serveur IAS. Vous pouvez configurer les attributs spécifiques au fournisseur en sélectionnant un dispositif spécifique au fournisseur dans les propriétés des clients RADIUS de la console MMC Service d'authentification Internet ou (si le dispositif n'est pas répertorié) en indiquant les attributs spécifiques au fournisseur dans la stratégie d'accès distant d'IAS. Pour plus d'informations sur la configuration des attributs spécifiques au fournisseur, consultez les références à la fin du chapitre.

Reportez-vous également à la documentation du point d'accès sans fil pour obtenir des informations sur les attributs qui lui sont spécifiques sur les serveurs RADIUS.

Pour ajouter un client RADIUS au premier serveur IAS

1. Connectez-vous au serveur IAS dans lequel vous souhaitez ajouter les points d'accès sans fil et lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools.

2. S'il existe un fichier de sortie des clients RADIUS dans le répertoire courant (ou si vous spécifiez un fichier existant dans le paramètre du chemin), la nouvelle entrée de client sera annexée à ce fichier. Si vous ne le souhaitez pas, supprimez le fichier existant ou spécifiez un autre nom de fichier dans la commande.

3. Exécutez la commande suivante pour ajouter un point d'accès sans fil à IAS :

   MSSTools AddRADIUSClient [**/path:**FichierSortie.txt]

   Remarque : le paramètre path est facultatif. Vous pouvez spécifier le nom du fichier (ainsi que le chemin d'accès au dossier, éventuellement) dans lequel le résultat de la commande sera stocké. Le chemin doit être indiqué entre guillemets s'il contient des espaces. Si vous ne spécifiez aucun paramètre path, le résultat de la commande sera enregistré dans le fichier Clients.txt, dans le répertoire courant.

4. Lorsque vous y êtes invité, entrez le nom du point d'accès sans fil. Il doit s'agir d'une référence simple dans la console MMC Service d'authentification Internet ; vous ne devez pas nécessairement reprendre le nom qui lui a été attribué lors de la configuration du point d'accès sans fil. Choisissez un nom DNS (Domain Name System) ou toute autre chaîne.

5. Entrez l'adresse IP du point d'accès sans fil (en notation décimale séparée par des points, par exemple 10.20.1.153).

6. Un mot de passe est automatiquement généré pour le client (il s'agit d'une chaîne cryptographique de 23 caractères imprimables, générée de façon aléatoire, que le serveur IAS et le point d'accès sans fil utilisent pour s'authentifier mutuellement). Ces paramètres permettent d'ajouter le client RADIUS à IAS. Le nom, l'adresse IP et le secret sont également ajoutés au fichier de sortie (par défaut : Clients.txt) dans le répertoire courant. Le fichier de sortie est un fichier texte séparé par des virgules comprenant un client RADIUS par ligne, ce qui le rend facile à utiliser dans les scripts et permet aussi de l'importer et de le manipuler à l'aide d'un outil comme Microsoft Excel.

7. Répétez les étapes 3 à 6 pour tous les autres points d'accès sans fil que vous souhaitez ajouter à ce serveur IAS.

Vous utiliserez ensuite le fichier de sortie en référence lorsque vous configurerez les secrets RADIUS sur les points d'accès sans fil. Pour plus d'informations, consultez la section « Configuration des points d'accès sans fil » plus loin dans ce chapitre.

Important : ne laissez pas le fichier de sortie des clients RADIUS sur le serveur. Il contient les secrets du client RADIUS sous forme non cryptée. Après avoir ajouté les points d'accès sans fil, déplacez le fichier sur une disquette (ou sur tout autre support inscriptible amovible) et gardez-le en lieu sûr.

La procédure « Ajout d'un client RADIUS au premier serveur IAS » décrite ci-dessus utilise un exemple d'outil fourni avec la solution (AddRADIUSClient.exe*)*. Il s'agit d'une application Visual Basic.NET simple, qui utilise l'interface SDO (Server Data Objects) pour configurer un serveur IAS. Vous pouvez l'utiliser pour écrire votre propre script d'ajout de clients au serveur IAS.

Cet outil n'est pas pris en charge par Microsoft et n'a pas été testé de manière approfondie. Toutefois, le code source de l'application est fourni pour vous permettre de l'examiner ou de le modifier avant de l'utiliser.

Remarque : contrairement à la plupart des scripts utilisés dans les procédures de configuration, ce script ne consigne aucune information d'avancement dans le fichier journal MSSWLAN-setup.log. Cela permet d'éviter que les secrets du client RADIUS soient stockés dans ce fichier, car cela présenterait un risque de sécurité. Les informations d'avancement apparaissent néanmoins à l'écran.

Rédaction de scripts pour l'ajout de points d'accès au serveur IAS (procédure alternative)

Si vous ne voulez pas ajouter les points d'accès au serveur IAS de manière interactive avec la procédure ci-dessus, vous pouvez simplement générer les fichiers de sortie des entrées du client RADIUS pour chaque point d'accès sans fil, sans les ajouter à IAS. Vous pouvez ensuite utiliser la procédure « Importation des clients RADIUS dans le deuxième serveur IAS » décrite plus loin dans cette section pour importer les entrées du client RADIUS à la fois dans le premier et le deuxième serveur IAS. Comme l'ensemble de l'opération peut être rédigé sous forme de scripts, vous préférerez peut-être ajouter vos clients RADIUS de cette manière si vous devez ajouter un grand nombre de points d'accès sans fil.

Important : cette procédure est une méthode alternative permettant d'ajouter les clients RADIUS par script plutôt que de façon interactive. Si vous avez suivi la procédure précédente (« Ajout d'un client RADIUS au premier serveur IAS »), vous n'avez pas à effectuer celle-ci.

Utilisez la procédure suivante pour générer des secrets RADIUS sûrs. Le script, comme la procédure précédente, utilise une fonction CryptoAPI pour générer une valeur réellement aléatoire pour chaque secret RADIUS. Cela permet d'obtenir des valeurs suffisamment sûres pour résister aux attaques par recherche de mot de passe et au dictionnaire.

Pour générer le fichier des entrées client des points d'accès sans fil

1. Lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools.

2. Exécutez la commande décrite ci-après. Remplacez le paramètre NomClient du point d'accès sans fil par un nom simple et le paramètre AdresseIP par l'adresse IP du point d'accès sans fil. (Vous pouvez éventuellement fournir un chemin et un nom de fichier alternatifs pour indiquer l'emplacement auquel le résultat doit être enregistré. Si vous ne spécifiez aucun paramètre path, le résultat de la commande sera enregistré dans le fichier Clients.txt, dans le répertoire de travail courant.) Si le fichier de sortie existe déjà, la nouvelle valeur lui est annexée. S'il n'existe pas, il est créé.

   MSSTools GenRADIUSPwd /client: NomClient /IP: AdresseIP [**/path:**chemin\nomfichier]

   Les paramètres « client » et « path » peuvent contenir des espaces ; si tel est le cas, vous devez placer le paramètre entre guillemets. La commande peut apparaître sur plusieurs lignes, mais vous devez la taper en entier sur la même ligne.

3. Répétez l'étape 2 pour tous les points d'accès sans fil pour lesquels vous devez générer des secrets RADIUS. Chaque entrée de client sera annexée au fichier de sortie (par défaut : Clients.txt). Il s'agit d'un fichier texte séparé par des virgules comprenant un client RADIUS par ligne, ce qui le rend facile à utiliser dans les scripts et permet aussi de l'importer et de le manipuler à l'aide d'un outil comme Microsoft Excel.

   Attention : ne laissez pas le fichier de sortie sur le serveur. Il contient les secrets du client RADIUS en clair. Après avoir ajouté les points d'accès sans fil, déplacez le fichier sur une disquette (ou sur tout autre support inscriptible amovible) et gardez-le en lieu sûr.

   Remarque : contrairement à la plupart des scripts utilisés dans les procédures de configuration, ce script ne consigne aucune information d'avancement dans le fichier journal MSSWLAN-setup.log. Cela permet d'éviter que les secrets du client RADIUS soient stockés dans ce fichier, car cela présenterait un risque de sécurité. Les informations d'avancement apparaissent néanmoins à l'écran.

Importation des points d'accès dans le deuxième serveur IAS

Une fois que vous avez ajouté les points d'accès sans fil au premier serveur IAS, vous devez les ajouter au deuxième serveur avant de configurer les points d'accès sans fil pour qu'ils utilisent RADIUS.

Pour importer les clients RADIUS dans le deuxième serveur IAS

1. Copiez les fichiers de sortie des clients créés lors des procédures précédentes (pour des raisons de sécurité, supprimez complètement ce fichier du premier serveur IAS–il n'a plus lieu d'être sur ce serveur).

2. Vérifiez que le fichier contient les bonnes entrées en l'ouvrant dans le Bloc-notes ou Microsoft Excel (cette étape est importante car le fichier peut contenir d'anciennes entrées résultant d'une exécution précédente de la procédure). Supprimez les entrées de client inutiles.

3. Exécutez la commande suivante pour importer ces clients dans le deuxième serveur IAS :

   MSSTools AddSecRADIUSClients [**/path:**InputFile.txt]

   Remarque : le paramètre path est facultatif. Vous pouvez utiliser un paramètre de chemin différent pour lire l'entrée à partir d'un autre fichier ou dossier. Le chemin doit être indiqué entre guillemets s'il contient des espaces. Si vous ne spécifiez aucun paramètre path, la commande recherchera l'entrée dans le fichier Clients.txt, dans le répertoire courant.

4. Si le fichier contient des entrées de client mal formées, le script les rejettera et affichera le nombre d'entrées acceptées et rejetées une fois son exécution terminée.

5. Vérifiez que les clients ont été ajoutés correctement en ouvrant la console MMC Service d'authentification Internet et en regardant dans le dossier Clients RADIUS.

   Remarque : contrairement à la plupart des scripts utilisés pour l'installation et la configuration de la solution, ce script ne consigne aucune information d'avancement dans le fichier journal MSSWLAN-setup.log. Cela permet d'éviter que les secrets du client RADIUS soient stockés dans ce fichier, car cela présenterait un risque de sécurité. Les informations d'avancement apparaissent néanmoins à l'écran.

Configuration des points d'accès sans fil

Maintenant que vous avez ajouté à IAS les entrées de client RADIUS pour les points d'accès sans fil, vous devez configurer les points d'accès sans fil eux-mêmes. Vous devez ajouter les adresses IP des serveurs IAS et les secrets du client RADIUS que chaque point d'accès utilisera pour communiquer en toute sécurité avec les serveurs IAS. Chaque point d'accès sans fil sera configuré avec un serveur IAS principal et secondaire (ou de sauvegarde). Vous devez appliquer les procédures de cette section aux points d'accès sans fil de chacun des sites de votre organisation. Pour plus d'informations sur l'affectation de points d'accès sans fil aux serveurs IAS, reportez-vous au chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ».

La procédure de configuration de points d'accès sans fil varie selon la marque et le modèle du périphérique. Néanmoins, les constructeurs de points d'accès sans fil fournissent en général des instructions détaillées permettant de configurer le périphérique. Ces instructions sont parfois également disponibles en ligne.

Avant de configurer les paramètres de sécurité de vos points d'accès sans fil, vous devez définir les paramètres de base du réseau. Ces paramètres incluent notamment :

• l'adresse IP et le masque de sous-réseau du point d'accès sans fil ;

• la passerelle par défaut ;

• le nom convivial du point d'accès sans fil ;

• le nom du réseau sans fil (SSID).

Vous devrez également configurer un certain nombre d'autres paramètres qui affectent le déploiement de plusieurs points d'accès sans fil : les paramètres qui assurent une bonne couverture radio sur le site, par exemple le canal radio 802.11, le taux de transmission, la puissance de transmission, etc. La description de ces paramètres n'entre pas dans le cadre de ce guide. Pour les définir, reportez-vous à la documentation du fabricant ou consultez un fournisseur de services réseau. Pour plus d'informations sur le déploiement de points d'accès sans fil, consultez les références à la fin du chapitre.

Les informations fournies dans ce chapitre supposent que vous avez configuré ces éléments correctement et que vous pouvez vous connecter au point d'accès sans fil avec un client de réseau local sans fil utilisant une connexion non authentifiée. Vérifiez cela avant de configurer les paramètres d'authentification et de sécurité décrits dans les sections qui suivent.

Activation de l'authentification sécurisée du réseau local sans fil sur les points d'accès

Vous devez configurer chaque point d'accès sans fil avec un serveur RADIUS principal et secondaire. Le point d'accès sans fil utilisera normalement le serveur principal pour toutes les demandes d'authentification et passera au serveur secondaire si le serveur principal n'est pas disponible. Comme expliqué au chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil », il est nécessaire de planifier l'affectation des points d'accès sans fil et de bien réfléchir au choix du serveur principal et du serveur secondaire. En résumé :

• Si le site comporte deux serveurs IAS (ou plus), répartissez les points d'accès sans fil entre les serveurs disponibles pour qu'environ la moitié des points d'accès sans fil utilisent le serveur 1 en tant que serveur principal et le serveur 2 en tant que serveur secondaire, l'autre moitié utilisant le serveur 2 en tant que serveur principal et le serveur 1 en tant que serveur secondaire.

• Si le site ne comporte qu'un seul serveur IAS, celui-ci doit toujours être le serveur principal. Vous devez configurer un serveur distant (situé sur le site présentant la connectivité la plus fiable avec votre site) en tant que serveur secondaire.

• Si le site ne comporte aucun serveur IAS, répartissez les points d'accès sans fil entre les serveurs distants, en choisissant le serveur le plus résilient et présentant la connectivité de plus faible latence. Dans l'idéal, ces serveurs doivent se trouver sur des sites différents à moins que vous ne disposiez d'une connectivité résiliente de réseau étendu (WAN).

Le tableau suivant répertorie les paramètres que vous devez configurer sur les points d'accès sans fil. Bien que les noms et les descriptions de ces paramètres puissent varier d'un fabricant à l'autre, consultez la documentation de votre point d'accès pour déterminer ceux qui correspondent aux éléments du tableau.

Tableau 5.3 : Configuration du point d'accès sans fil

Élément	Paramètre
Paramètres d'authentification
Mode d'authentification	Authentification 802.1X
Nouvelle authentification	Activer
Régénération de clés rapide/dynamique	Activer
Délai d'actualisation de clé	60 minutes
Paramètres de cryptage (ces paramètres font généralement référence au cryptage WEP statique)	(Les paramètres de cryptage peuvent être désactivés ou ignorés lorsque la régénération rapide de clés est activée)
Activer le cryptage	Activer
Refuser non crypté	Activer
Authentification RADIUS
Activer l'authentification RADIUS	Activer
Serveur d'authentification RADIUS principal	Adresse IP IAS principale
Port du serveur RADIUS principal	1812 (valeur par défaut)
Serveur d'authentification RADIUS secondaire	Adresse IP IAS secondaire
Port du serveur RADIUS secondaire	1812 (valeur par défaut)
Secret partagé d'authentification RADIUS	XXXXXX (à remplacer par le secret généré)
Nombre maximal de tentatives	5
Délai d'attente de nouvelle tentative	5 secondes
Comptabilisation RADIUS
Activer la comptabilisation RADIUS	Activer
Serveur de comptabilisation RADIUS principal	Adresse IP IAS principale
Port du serveur RADIUS principal	1813 (valeur par défaut)
Serveur de comptabilisation RADIUS secondaire	Adresse IP IAS secondaire
Port du serveur RADIUS secondaire	1813 (valeur par défaut)
Secret partagé de comptabilisation RADIUS	XXXXXX (à remplacer par le secret généré)
Nombre maximal de tentatives	5
Délai d'attente de nouvelle tentative	5 secondes

Important : le paramètre Délai d'actualisation de clé est fixé à 60 minutes pour une utilisation avec le cryptage WEP dynamique. La valeur Délai d'attente de session client définie dans la stratégie d'accès distant d'IAS est équivalente ou plus courte. Pour plus d'informations, consultez la section précédente, « Modification des paramètres du profil de stratégie d'accès au réseau local sans fil ». La valeur la plus courte l'emporte ; il vous suffit donc de modifier ce paramètre dans IAS. Si vous utilisez le cryptage WPA, augmentez la valeur de ce paramètre dans le point d'accès, pour atteindre huit heures. Reportez-vous à la documentation du fabricant pour obtenir plus d'informations.

Utilisez les mêmes secrets RADIUS que ceux générés au cours de la procédure « Ajout d'un client RADIUS au premier serveur IAS » pour ajouter des points d'accès sans fil à IAS. Même si vous n'avez pas encore configuré un serveur IAS secondaire en tant que serveur de sauvegarde du serveur principal, vous pouvez ajouter maintenant l'adresse IP du serveur au point d'accès sans fil (pour éviter d'avoir à le reconfigurer plus tard). La configuration d'autres serveurs IAS est décrite dans une section ultérieure de ce chapitre.

Selon le modèle du point d'accès sans fil, il est possible que vous ne puissiez pas configurer d'entrées séparées pour les serveurs RADIUS d'authentification et de comptabilisation. Si vous disposez d'entrées configurables séparément, définissez-les sur le même serveur à moins d'avoir une raison particulière de procéder autrement.

Le nombre maximal de tentatives et le délai d'attente de session fournis dans ce tableau sont les valeurs généralement adoptées par défaut, mais elles ne sont pas obligatoires.

Remarque : si vous utilisez actuellement des points d'accès sans fil sans options de sécurité ou seulement protégés par le cryptage WEP statique, vous devez planifier une migration vers un réseau local sans fil 802.1X. Pour plus d'informations sur la migration à partir d'un réseau local sans fil existant, consultez la section « Migration à partir d'un réseau sans fil existant » du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ».

Paramètres supplémentaires de sécurisation des points d'accès sans fil

En plus d'activer les paramètres 802.1X, vous devez configurer les points d'accès sans fil pour qu'ils garantissent la sécurité la plus élevée possible. La plupart des équipements réseau sont fournis avec des protocoles de gestion non sécurisés et des mots de passe d'administrateur très connus, ce qui constitue un risque de sécurité. Vous devez configurer les paramètres répertoriés dans le tableau suivant ; cette liste n'est cependant pas exhaustive. Consultez la documentation du fabricant pour obtenir des informations précises à ce sujet. Pour définir les mots de passe et les noms de communauté du protocole SNMP (Simple Network Management Protocol), utilisez des valeurs complexes comprenant des lettres majuscules et minuscules, des chiffres et des signes de ponctuation. Évitez tout ce qui pourrait être deviné facilement à partir d'informations telles que le nom de domaine, le nom de l'entreprise et l'adresse du site.

Tableau 5.4 : Configuration de la sécurité du point d'accès sans fil

Élément	Paramètre recommandé	Notes
General
Mot de passe Administrateur	XXXXXX	Définissez-le en tant que mot de passe complexe.
Autres mots de passe de gestion	XXXXXX	Certains périphériques utilisent plusieurs mots de passe de gestion pour mieux protéger l'accès avec différents protocoles de gestion ; veillez à remplacer toutes les valeurs par défaut par des valeurs sécurisées.
Protocoles de gestion
Console série	Activer	Si aucun protocole crypté n'est disponible, il s'agit de la façon la plus sûre de configurer les points d'accès sans fil, bien qu'elle nécessite des connexions par câble série entre les points d'accès sans fil et le terminal, ce qui l'empêche d'être utilisée à distance.
Telnet	Désactiver	Toutes les transmissions Telnet s'effectuent en clair : les mots de passe et les secrets du client RADIUS seraient visibles sur le réseau. Si vous pouvez crypter le trafic Telnet à l'aide d'IPsec (Internet Protocol security) ou de SSH, activez-le et utilisez-le en toute confiance.
HTTP	Désactiver	Les données de gestion HTTP sont généralement en clair et présentent les mêmes vulnérabilités que le Telnet non crypté. Si HTTPS est disponible, utilisez-le de préférence.
HTTPS (SSL ou TLS)	Activer	Suivez les instructions du fabricant pour configurer les clés/les certificats HTTPS.
Communautés SNMP		SNMP est le protocole de gestion réseau par défaut. Utilisez SNMP v3 avec protection par mot de passe pour une sécurité maximale. C'est généralement le protocole adopté par les outils de configuration de l'interface graphique et les systèmes de gestion de réseau. Vous pouvez néanmoins le désactiver si vous ne l'utilisez pas.
Nom de la communauté 1	XXXXXX	La valeur par défaut est généralement « public ». Remplacez-la par une valeur complexe.
Nom de la communauté 2	Désactivé	Désactivez tous les noms de communauté inutiles ou attribuez-leur des valeurs complexes.

Ne désactivez pas la diffusion du SSID (nom du réseau local sans fil) car cela risquerait d'empêcher Windows XP de se connecter au bon réseau. Bien que la désactivation de la diffusion du SSID soit souvent recommandée par mesure de sécurité, elle ne présente en fait que peu d'intérêt en termes de sécurité si vous utilisez une méthode d'authentification 802.1X sécurisée. Même lorsque la diffusion du SSID par le point d'accès est désactivée, un pirate peut assez facilement déterminer le SSID en interceptant les paquets de connexion des clients. Si vous souhaitez garder secrète l'existence de votre réseau local sans fil, vous pouvez donner un nom générique au SSID, pour qu'il n'apparaisse pas en rapport avec votre organisation.

Réplication de la configuration de client RADIUS sur d'autres serveurs IAS

Les points d'accès sans fil d'un site donné sont généralement associés à un serveur IAS présent sur le même site. Par exemple, le serveur IAS du site A sert les points d'accès sans fil du site A ; le serveur du site B sert les points d'accès sans fil du site B, et ainsi de suite. Cependant, d'autres paramètres serveur, tels que les stratégies d'accès distant, seront souvent communs à de nombreux serveurs IAS. C'est la raison pour laquelle l'exportation et l'importation des informations relatives au client RADIUS sont traitées séparément, au moyen des procédures décrites dans cette section.

Bien que les situations dans lesquelles il est nécessaire de répliquer les informations de client RADIUS soient assez rares, une telle réplication peut s'avérer utile dans certaines circonstances (par exemple, lorsqu'il y a deux serveurs IAS sur le même site, jouant le rôle de serveurs RADIUS principaux et secondaires pour tous les points d'accès sans fil du site).

Pour exporter les paramètres du client RADIUS dans un fichier

1. Connectez-vous au serveur IAS source et lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools.

2. Si nécessaire, indiquez le dossier dans lequel stocker le fichier de sortie ou insérez une disquette vierge formatée dans le lecteur du serveur.

3. Exécutez la commande suivante pour exporter la configuration du client RADIUS :

   MSSTools ExportIASClients [**/path:**DossierSortie]

   DossierSortie est un paramètre facultatif permettant de spécifier le dossier dans lequel le fichier exporté sera placé. Si vous ne spécifiez pas ce paramètre, le fichier de sortie est placé dans le répertoire courant. Si vous le spécifiez, vous devez indiquer un dossier existant.

4. Le script crée le fichier IAS_Clients.txt.

   Attention : vous devez supprimer ce fichier du serveur et le garder en lieu sûr car il contient les secrets RADIUS de tous les points d'accès sans fil configurés sur le serveur. Une fois les paramètres du client RADIUS exportés, vous pouvez les importer dans les autres serveurs. Cette opération vous servira généralement à créer un serveur secondaire pour un ensemble donné de points d'accès sans fil.

Pour importer les paramètres du client RADIUS à partir d'un fichier

1. Connectez-vous au serveur IAS cible et lancez une invite de commandes à l'aide du raccourci MSS WLAN Tools.

2. Indiquez le dossier (ou la disquette) contenant le fichier des secrets RADIUS exportés, IAS_Clients.txt.

3. Exécutez la commande suivante pour importer la configuration du client RADIUS :

   MSSTools ImportIASClients [**/path:**DossierEntrée]

   DossierEntrée est un paramètre facultatif permettant de spécifier le dossier à partir duquel le fichier sera lu. Si vous le spécifiez, vous devez indiquer un dossier existant. Si vous ne spécifiez aucun dossier, le fichier est recherché dans le répertoire courant.

   Avertissement : si vous avez copié le fichier IAS_CLients.txt sur le serveur cible, vous devez le supprimer du serveur et le garder en lieu sûr car il contient les secrets RADIUS de tous les points d'accès sans fil configurés sur le serveur.

   L'importation des informations relatives au client RADIUS n'est pas un processus cumulatif. Les paramètres de client RADIUS importés remplaceront toutes les entrées de client existantes sur le serveur.

Vous pouvez créer une méthode plus souple d'importation de clients RADIUS en utilisant l'outil AddRADIUSClient.exe fourni avec cette solution. Il vous permet de rédiger sous forme de scripts l'ajout sélectif de clients RADIUS à différents serveurs.

Résumé

Ce chapitre vous a fourni des conseils dans les domaines suivants :

• Installation et configuration du premier serveur IAS.

• Installation de serveurs IAS supplémentaires et réplication de la configuration du premier serveur.

• Ajout de points d'accès sans fil à IAS en tant que clients RADIUS.

• Configuration des points d'accès sans fil pour qu'ils utilisent les serveurs IAS et modification de leurs paramètres par défaut pour améliorer la sécurité.

Vous êtes maintenant prêt à configurer vos clients de réseau local sans fil. La procédure à suivre est indiquée au chapitre 6, « Configuration des clients d'un réseau local sans fil ».

Lisez le chapitre 8, « Gestion de la solution de réseau local sans fil sécurisée ». Il contient des informations essentielles pour savoir comment faire fonctionner votre infrastructure RADIUS d'une manière fiable et sûre.

Références

Cette section fournit les références d'importants compléments d'informations et d'autres informations générales pertinentes pour ce chapitre.

• La section « Service d'authentification Internet » de la documentation de Windows Server 2003, à l'adresse suivante :

  https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
  proddocs/standard/sag_IAStopnode.mspx 

• Pour plus d'informations sur le déploiement d'IAS, consultez le chapitre « Deploying IAS » du Kit de déploiement de Windows Server 2003 à l'adresse suivante :

  https://go.microsoft.com/fwlink/?LinkId=4716

• Pour plus d'informations sur la programmation d'IAS à l'aide de l'interface SDO (Server Data Objects), consultez la page « Server Data Objects » de MSDN à l'adresse suivante :

  https://msdn.microsoft.com/library/en-us/sdo/sdo/server_data_objects_.asp 

• Pour plus d'informations sur la journalisation IAS et RADIUS, consultez la section « Remote Access Logging » de la documentation d'IAS à l'adresse suivante :

  https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
  proddocs/standard/sag_ias_log_conc.mspx 

• Pour plus d'informations sur la prise en charge de la fonction de reconnexion rapide PEAP par Pocket PC, consultez l'article 827824, « FIX: Wireless Clients Cannot Connect When the PEAP Fast Reconnect Authentication Option is Turned On » de la Base de connaissances Microsoft à l'adresse suivante :

  https://support.microsoft.com/default.aspx?scid=kb;en-us;827824

• Pour plus d'informations sur la configuration d'une prise en charge spécifique des points d'accès par RADIUS, consultez la page « Vendor-Specific Attributes » de la documentation d'IAS à l'adresse suivante :

  https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
  proddocs/standard/sag_ias_attributes_conc_top.mspx 

• Pour plus d'informations sur le déploiement d'un réseau local sans fil, consultez le chapitre « Deploying a Wireless LAN » du Kit de déploiement de Windows Server 2003 à l'adresse suivante :

  https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
  proddocs/deployguide/DNSBM_WIR_OVERVIEW.mspx 

• Pour plus d'informations sur la technologie sans fil de Windows XP, consultez le livre blanc « Windows XP Wireless Deployment Technology and Component Overview » à l'adresse :

  https://www.microsoft.com/windowsxp/pro/techinfo/administration/
  networking/default.asp 

Télécharger la solution complète

Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe