You are currently viewing Serveur Radius : Fonctionnement et Sécurité Réseau

Serveur Radius : Fonctionnement et Sécurité Réseau

  • Auteur/autrice de la publication :
  • Post category:Article
  • Temps de lecture :8 mins read

Qu’est-ce qu’un serveur Radius et pourquoi en avez-vous besoin ? Un serveur Radius (Remote Authentication Dial-In User Service) est le composant central qui gère l’authentification, l’autorisation et la traçabilité des connexions à votre réseau d’entreprise. Avec l’explosion du télétravail et de la mobilité, il est devenu indispensable pour savoir avec certitude qui se connecte à votre réseau, depuis où, et à quelles ressources. Ce guide complet vous explique comment le Radius renforce concrètement la sécurité de votre infrastructure.

Qu’est-ce qu’un serveur Radius et comment fonctionne-t-il ?

Le protocole Radius (Remote Authentication Dial-In User Service) a été développé en 1991 par Merit Network. Malgré son ancienneté, il reste le standard de facto pour la gestion des accès réseau en entreprise, car il repose sur trois fonctions complémentaires que l’on résume par l’acronyme AAA.

Le protocole AAA : Authentication, Authorization, Accounting

  • Authentication (Authentification) : vérifie l’identité de l’utilisateur ou de l’équipement qui tente de se connecter. Le serveur Radius consulte sa base de données (ou Active Directory) et accepte ou refuse la connexion selon les identifiants fournis.
  • Authorization (Autorisation) : définit ce que l’utilisateur authentifié a le droit de faire une fois connecté. Par exemple, un commercial aura accès au CRM et à sa messagerie, mais pas aux serveurs de production. Le Radius peut attribuer dynamiquement des VLAN, des règles de filtrage et des quotas de bande passante selon le profil.
  • Accounting (Comptabilité) : enregistre tout — heure de connexion, durée, volume de données échangé, ressources accédées, adresse IP. Ces journaux sont précieux pour la sécurité (détection d’anomalies), la conformité RGPD et la facturation dans les environnements multi-tenant.

Architecture : NAS, client Radius, serveur Radius

Dans une infrastructure Radius, trois acteurs interagissent :

  1. Le NAS (Network Access Server) : votre borne WiFi, votre routeur VPN ou votre switch — c’est l’équipement qui reçoit la demande de connexion de l’utilisateur.
  2. Le client Radius : intégré au NAS, il transmet la demande d’authentification au serveur Radius via UDP (ports 1812 pour l’auth, 1813 pour l’accounting).
  3. Le serveur Radius : vérifie les identifiants, consulte sa base de données, et retourne un Access-Accept ou Access-Reject au NAS.

Quels sont les avantages d’un serveur Radius pour votre entreprise ?

Authentification centralisée et sécurisée

Finies les listes de mots de passe WiFi partagés sur des Post-its. Le Radius donne à chaque utilisateur ses propres identifiants. Quand un collaborateur quitte l’entreprise, son accès est révoqué en quelques secondes, sans impacter les autres. L’authentification forte (WPA2/WPA3-Enterprise + EAP) est incomparablement plus sûre qu’un simple mot de passe partagé.

Gestion fine des autorisations par utilisateur et par groupe

Le Radius permet une segmentation dynamique des accès. Vous pouvez définir des politiques différentes selon le profil : les employés accèdent au réseau interne, les prestataires sont limités à un VLAN isolé avec accès Internet uniquement, les clients WiFi sont cantonnés au réseau invité. Cette segmentation s’applique automatiquement à la connexion, sans configuration manuelle.

Traçabilité et audit des connexions

Les journaux Radius permettent de répondre à des questions critiques pour la sécurité et la conformité : Qui s’est connecté au réseau le 15 janvier à 3h du matin ? Depuis quelle adresse IP ? Quelles ressources a-t-il consultées ? Ces informations sont essentielles pour détecter une intrusion, mener une investigation forensique ou démontrer la conformité RGPD.

Redondance et haute disponibilité

Un serveur Radius peut être déployé en cluster redondant. Si le serveur principal tombe en panne, le serveur secondaire prend immédiatement le relais — les utilisateurs ne remarquent aucune interruption. Le load balancing permet de répartir la charge entre plusieurs serveurs en cas de pic de connexions (rentrée, événement, réouverture d’établissement).

Comment le serveur Radius sécurise-t-il votre WiFi d’entreprise ?

La sécurité WiFi en entreprise ne peut pas reposer sur un simple mot de passe partagé. Le standard WPA2/WPA3-Enterprise avec authentification Radius (IEEE 802.1X) est la référence pour les réseaux WiFi professionnels.

Les protocoles EAP supportés par Radius offrent différents niveaux de sécurité :

  • EAP-TLS : le niveau le plus élevé — authentification mutuelle par certificats numériques (client + serveur). Aucun mot de passe en transit. Recommandé pour les environnements très sensibles.
  • PEAP (Protected EAP) : crée un tunnel TLS chiffré, puis authentifie l’utilisateur par identifiant/mot de passe. Plus simple à déployer qu’EAP-TLS, compatible avec Active Directory. C’est la méthode la plus répandue en entreprise.
  • EAP-TTLS : similaire à PEAP mais plus flexible dans les méthodes d’authentification internes. Utile pour les environnements hétérogènes (Linux, macOS, Windows).

Associé à un réseau WiFi managé professionnel, le serveur Radius garantit que chaque connexion WiFi est authentifiée, autorisée et tracée.

Radius et Active Directory : comment les intégrer ?

La plupart des entreprises utilisent déjà Active Directory (AD) pour gérer les comptes utilisateurs Windows. La bonne nouvelle : le serveur Radius s’intègre nativement avec AD via le protocole LDAP ou via NPS (Network Policy Server) sous Windows Server.

L’intégration apporte plusieurs bénéfices :

  • Identifiants uniques : vos collaborateurs utilisent le même login/password pour le WiFi, le VPN et Windows — pas de gestion de bases séparées
  • Gestion centralisée : créer/désactiver un compte AD impacte immédiatement tous les accès réseau
  • Groupes AD → politiques Radius : les membres du groupe « Commerciaux » accèdent automatiquement au VLAN Sales, les membres de « Direction » accèdent au VLAN Finance, etc.
  • Double facteur (2FA) : le Radius peut ajouter une authentification par SMS ou token en complément d’AD, pour les accès sensibles

Nota : Active Directory seul n’est pas compatible avec tous les équipements réseau (notamment les bornes WiFi non-Microsoft). Le Radius agit comme une couche d’interopérabilité universelle.

Serveur Radius et VPN : comment renforcer la sécurité du télétravail ?

Le télétravail a multiplié les accès VPN. Sans Radius, votre VPN utilise souvent un groupe d’identifiants partagés ou des certificats sans granularité. Avec Radius, chaque collaborateur dispose d’une authentification individuelle forte pour son accès VPN :

  • Vérification des identifiants avant toute connexion au réseau d’entreprise
  • Possibilité d’imposer le 2FA pour les accès distants
  • Attribution automatique des droits selon le profil (commercial vs technicien vs dirigeant)
  • Journalisation de chaque session VPN (heure, durée, volume de données)
  • Révocation immédiate si compromission d’un compte

Découvrez comment combiner Radius et VPN d’entreprise pour sécuriser vos accès distants.

Quels sont les cas d’usage du serveur Radius en entreprise ?

WiFi professionnel multisites

Pour une chaîne de restaurants, un réseau de concessions automobiles ou toute entreprise avec plusieurs agences, le Radius permet de déployer une politique WiFi uniforme sur tous les sites depuis un point central. Chaque employé s’authentifie avec ses identifiants d’entreprise, quel que soit le site où il se connecte.

Accès VPN sécurisé pour le télétravail

Les collaborateurs en télétravail accèdent au réseau d’entreprise via VPN. Le Radius authentifie chaque connexion, impose le 2FA si nécessaire, et journalise l’ensemble des sessions distantes — essentiel pour la sécurité et la conformité.

Établissements de santé et données RGPD

Dans un cabinet médical ou une clinique, les dossiers patients sont ultra-sensibles (données de santé RGPD). Le Radius permet de restreindre l’accès à ces données aux seuls praticiens autorisés, avec une traçabilité complète de chaque consultation du dossier — indispensable pour démontrer la conformité en cas de contrôle CNIL.

Hôtellerie et portail captif

Dans un hôtel, camping ou résidence de tourisme, le Radius crée des comptes WiFi temporaires pour chaque client (durée du séjour, quota de bande passante), déploie un portail captif personnalisé avec les CGU, et maintient les journaux de connexion exigés par la loi française pour les hotspots WiFi publics. CityPassenger propose des solutions WiFi managées incluant Radius pour l’hôtellerie et la restauration.

Quelles erreurs éviter lors de la mise en place d’un serveur Radius ?

Voici les 7 erreurs les plus fréquentes que CityPassenger observe chez ses clients avant notre intervention :

  1. ❌ Déployer le Radius sans redondance — un seul serveur = point de défaillance unique
  2. ❌ Ne pas chiffrer la communication entre le NAS et le serveur Radius (utiliser toujours un secret partagé fort)
  3. ❌ Utiliser EAP-MD5 (obsolète et vulnérable) — privilégiez PEAP ou EAP-TLS
  4. ❌ Négliger la rotation régulière des secrets partagés entre équipements
  5. ❌ Ne pas tester le failover vers le serveur secondaire régulièrement
  6. ❌ Conserver les logs Radius moins de 12 mois (la loi française exige 1 an pour les hotspots)
  7. ❌ Ne pas surveiller les tentatives d’authentification échouées (signe d’une attaque par force brute)
Critère Radius seul Active Directory seul Radius + AD
Compatibilité WiFi ✅ Universelle ⚠️ Partielle ✅ Universelle
Compatibilité VPN ✅ Oui ⚠️ Selon client ✅ Oui
Gestion centralisée ✅ Oui ✅ Oui ✅ Optimale
2FA possible ✅ Oui ⚠️ Limité ✅ Oui
Journaux connexions ✅ Détaillés ⚠️ Basiques ✅ Complets
RGPD traçabilité ✅ Oui ⚠️ Partiel ✅ Oui

La solution Radius managée de CityPassenger

CityPassenger vous accompagne pour déployer et gérer votre serveur Radius, en l’intégrant à votre infrastructure existante (Active Directory, bornes WiFi, VPN). Notre approche :

  1. Audit de votre infrastructure : inventaire des équipements, identification des besoins d’authentification
  2. Architecture sur mesure : Radius on-premise ou Cloud, intégration AD, définition des politiques d’accès
  3. Déploiement et configuration : installation, configuration EAP, intégration Active Directory
  4. Tests et validation : test de failover, simulation d’attaques, audit des journaux
  5. Supervision continue : monitoring des alertes, mises à jour, support technique

Notre solution Radius s’intègre parfaitement avec nos offres de WiFi professionnel managé, de pare-feu UTM et de SD-WAN pour une infrastructure réseau complète, sécurisée et centralisée. Consultez également nos 10 conseils pour sécuriser votre infrastructure informatique.

Sécurisez les accès réseau de votre entreprise avec un serveur Radius managé

CityPassenger réalise un audit de votre infrastructure et vous propose une solution Radius adaptée à vos besoins et votre budget.

Demander mon audit gratuit →