Comment configurer le routeur WiFi avec WPA2 ou WPA3 Enterprise et RADIUS

24 août 2021 Matt Mills Matériel, Comment 0

Configurer le routeur WiFi avec WPA2 ou WPA3 Enterprise et RADIUS

Normalement dans nos maisons, nous utilisons la sécurité WPA2-Personal ou WPA3-Personal, ce type de sécurité consiste à configurer une clé "maître" que tous les clients sans fil utiliseront, cette clé est appelée clé pré-partagée, et tous les clients qui souhaitent connect doit le connaître et le mettre sur vos appareils pour se connecter. Dans de nombreux routeurs domestiques, nous avons la possibilité de configurer WPA2-Enterprise ou WPA3-Enterprise, dans ce cas, l'authentification se fait par nom d'utilisateur et mot de passe, et il est nécessaire d'utiliser un serveur RADIUS pour authentifier les clients. Aujourd'hui, dans cet article, nous allons vous montrer comment configurer WPA2 / WPA3-Enterprise sur n'importe quel routeur utilisant un NAS pour authentifier les clients Wi-Fi.

Localisez et configurez l'IP du NAS qui aura le serveur RADIUS

La première chose que nous devons faire est de localiser le serveur NAS sur le réseau, il est très important de connaître son adresse IP privée, car dans la configuration du réseau sans fil, nous devrons entrer cette adresse IP pour authentifier les clients sans fil. Il est fortement recommandé que cette adresse IP privée ne change jamais, nous avons donc deux options possibles :

  • Mettre une IP fixe sur le serveur NAS
  • Configurez le DHCP statique du routeur et définissez une adresse IP statique à tout moment.

De cette façon, nous forcerons ce serveur NAS à ne jamais changer son adresse IP privée, chose très importante pour que tout fonctionne correctement.

Une fois que nous avons correctement configuré le NAS ou le routeur pour que le serveur NAS ne change jamais son adresse IP, nous allons configurer le serveur.

Configurer le serveur FreeRADIUS

FreeRADIUS est le logiciel par excellence pour configurer un serveur RADIUS avec des options très avancées, ce logiciel prend en charge différents types d'authentification et il fonctionne très bien. Une caractéristique très importante est qu'il est compatible avec n'importe quel système d'exploitation, ce qui est essentiel pour une compatibilité maximale.

La configuration de ce serveur est très complexe, vous devez configurer les fichiers de configuration de manière avancée, créer une autorité de certification et plus encore. Si nous utilisons un serveur NAS comme le QNAP, cela facilitera grandement la tâche de ne pas avoir à configurer un serveur sur un ordinateur, sur un Linux/Unix-basé sur un serveur ou sur un Raspberry Pi. Tous les serveurs NAS QNAP prennent en charge la possibilité de configurer facilement et rapidement un serveur.

Tout ce que nous avons à faire est d'aller à la section ” Panneau de configuration / Applications / Serveur RADIUS ". Une fois à l'intérieur, ce que nous devons faire est d'activer le serveur et d'autoriser l'accès aux comptes d'utilisateurs du système, bien que ce dernier soit facultatif et non nécessaire.

Une fois le serveur activé, dans la section « Clients RADIUS », nous devons enregistrer directement le routeur qui transmettra toute l'authentification au serveur. Les données que nous devrons mettre sont les suivantes :

  • Nom : nous mettons un nom au client
  • adresse IP : on met l'adresse IP privée du routeur, dans notre cas, 192.168.50.1
  • Longueur du préfixe : on met 32, indiquant que seule cette adresse IP sera le client.
  • Clef secrète : on définit un mot de passe fort, c'est la clé d'authentification entre le routeur et le serveur FreeRADIUS. Ce mot de passe n'est pas celui du client.

La configuration serait la suivante:

Une fois que nous avons configuré le client, nous devrons maintenant créer les utilisateurs. Dans ce cas, nous devrons créer un utilisateur pour chaque WiFi client que nous allons connecter au réseau sans fil, nous devrons indiquer le nom de l'utilisateur ainsi que son mot de passe. Tous les clients figurant dans cette liste d'« utilisateurs » auront la permission de s'authentifier sur le serveur et, par conséquent, d'obtenir une connectivité WiFi sans aucune limitation.

Une fois que nous avons configuré le serveur, nous devons aller au routeur pour le configurer correctement, car nous devons définir l'authentification WPA2-Enterprise ou WPA3-Enterprise et indiquer différentes données.

Configurer le routeur avec l'authentification WPA2 / WPA3-Enterprise et RADIUS

La première chose que nous devons faire est d'aller au " Paramètres avancés/sans fil " section. Dans ce menu nous devrons sélectionner le type de cryptage WPA2-Enterprise et plusieurs menus supplémentaires s'afficheront automatiquement que nous devrons compléter :

  • Méthode d'authentification : WPA2-Entreprise
  • Cryptage WPA : Aes
  • Adresse IP du serveur : 192.168.50.141
  • Port de serveur : 1812
  • Secret de connexion : 123456789 (dans notre cas, il s'agit du mot de passe que nous avons mis sur le serveur dans la rubrique « RADIUS Clients »).

Ensuite, vous pouvez voir à quoi cela ressemblerait dans notre cas :

Toutes ces informations que nous avons indiquées doivent être reflétées dans la section « Configuration RADIUS » avec la bande de fréquence que nous avons configurée. Ici, nous verrons l'adresse IP privée du serveur, le port et aussi le secret de la connexion.

Une fois que nous avons correctement configuré le routeur, nous pouvons maintenant authentifier les différents clients WiFi avec leur nom d'utilisateur et leur mot de passe correspondants que nous avons créés précédemment. Nous allons vous montrer comment connecter un Windows 10 ordinateurs et un Android appareil.

Connectez un PC Windows au WiFi à l'aide de WPA2-Enterprise

Afin de configurer un réseau WiFi avec WPA2-Enterprise, nous devrons configurer manuellement la connexion au réseau. Nous devons aller au " Panneau de commande / Réseau et centre de partage " section. Dans ce menu, nous devons cliquer sur « Configurer une connexion ou un réseau «.

Dans la liste des options disponibles, il faut cliquer sur ” Se connecter manuellement à un réseau sans fil " et cliquez sur suivant.

Maintenant, nous devrons entrer le nom du réseau WiFi auquel nous allons nous connecter, ce nom de réseau ou SSID doit être exactement le même que dans le routeur. En type de sécurité on choisit « WPA2-Enterprise », le type de cryptage sera AES obligatoirement, il ne permet pas de le changer. Les "Sécurité key” sera désactivé, c'est tout à fait normal.

Maintenant, nous cliquons sur « Démarrez cette connexion automatiquement » pour le désactiver, et de même avec l'option « Se connecter même si le réseau ne diffuse pas son nom «.

En cliquant sur suivant, nous devons cliquer sur ” Modifier les paramètres " comme indiqué par l'assistant Windows. Nous obtiendrons un menu avec tout ce que nous avons configuré jusqu'à présent.

Dans l'onglet "Sécurité", nous choisissons l'option "Microsoft: EAP protégé (PEAP) » et cliquez sur « Configuration » :

Dans ce menu, nous devrons cliquer sur « Vérifier l'identité du serveur en validant le certificat » pour désactiver cette option. Nous laissons le reste des options telles qu'elles viennent par défaut.

Lorsque nous nous connecterons au réseau sans fil WiFi, il nous demandera maintenant de nous connecter, nous devrons entrer le nom d'utilisateur et le mot de passe que nous avons enregistrés sur le serveur dans le menu « Utilisateurs RADIUS ».

Une fois que nous avons saisi les informations d'identification, si nous ne nous sommes pas trompés lors de la saisie des informations d'identification de l'utilisateur, nous pouvons parfaitement voir que nous nous sommes connectés et que nous avons une connexion Internet sans problème.

Une fois que nous avons configuré avec succès un PC Windows, voyons comment connecter un smartphone Android.

Connectez un smartphone Android au WiFi avec WPA2-Enterprise

Dans les smartphones Android, nous devons cliquer sur le réseau WiFi auquel nous voulons nous connecter, il n'est pas nécessaire d'ajouter manuellement un réseau sans fil comme dans les systèmes d'exploitation Windows. Dans ce cas, dès que nous cliquons sur le réseau sans fil WiFi, différentes options de configuration apparaîtront. Nous devons le remplir de la manière suivante :

  • Méthode EAP : PEAP
  • Authentification de phase 2: MSCHAPv2
  • Certificat CA : Ne pas valider

Dans la section "Identité", nous devrons entrer notre nom d'utilisateur que nous avons enregistré sur le serveur, et dans "Mot de passe", nous devrons entrer le code d'accès. Nous nous connecterons automatiquement au réseau sans fil WiFi et nous pourrons surfer sur Internet sans aucun problème, en utilisant WPA2-Enterprise et le type de cryptage EAP 802.1x que notre smartphone nous indique.

Une autre configuration possible sur ces smartphones serait la suivante :

  • Méthode EAP : TTLS
  • Authentification de phase 2: MSCHAPv2
  • Certificat CA : Ne pas valider

Dans la section « Identité » et « Mot de passe », nous devrons également entrer nos informations d'identification, comme auparavant.

Comme vous l'avez vu, configurer l'authentification WPA2-Enterprise sur un routeur est très simple, et bien plus si l'on utilise un serveur d'authentification comme celui intégré aux QNAPs. Cependant, nous ne pouvons pas télécharger le CA pour l'installer dans chacun des clients sans fil WiFi, par conséquent, nous pourrions toujours subir une attaque Rogue AP où un cybercriminel usurpe l'identité du point d'accès légitime, quelque chose que si nous avions le CA dans notre système ne passerait pas car il est validé avant d'établir une connexion. Afin d'avoir cette sécurité, il sera nécessaire de configurer notre propre serveur FreeRADIUS à partir de zéro, ou dans un système comme pfSense où nous avons toutes les options de configuration disponibles.