Un serveur Radius permet de protéger votre réseau informatique d’entreprise de manière efficace contre les intrusions, en centralisant les accès et en instaurant une authentification forte des utilisateurs. Cependant, pour qu’il fonctionne avec efficacité, sa mise en place doit éviter certaines erreurs classiques comme l’utilisation de protocoles de communication peu sécurisés, l’autorisation d’accès à tous les profils sans distinction, l’absence de surveillance des tentatives de connexion, un mauvais paramétrage des NAS, une mauvaise gestion des certificats de sécurité, etc. Voici le détail des 7 principales erreurs à éviter et les bonnes pratiques à adopter pour un déploiement réussi de votre Radius informatique.
Une mauvaise sécurisation des communications avec le serveur Radius
Le serveur Radius échange des informations d’authentification sensibles avec le périphérique réseau auquel un utilisateur tente de se connecter. Si ces échanges ne sont pas suffisamment sécurisés, un pirate informatique peut intercepter les informations d’authentification Radius et les utiliser pour s’introduire dans le réseau. Il accède alors à des données sensibles hébergées sur les serveurs et peut même prendre le contrôle du système informatique. On parle alors d’attaque de type « man-in-the-middle ».
Pour éviter ce problème, mis en évidence par les chercheurs ayant découvert la faille Blast-Radius, il faut privilégier l’utilisation de protocoles de communication sûrs. Cela signifie qu’il faut sécuriser les échanges lors de l’authentification Radius avec des certificats TLS et des protocoles comme EAP-TLS ou PEAP. Leur niveau de sécurité élevé protège efficacement le système des attaques de type « man-in-the-middle » comme Blast-Radius.
Une mauvaise gestion des utilisateurs et des politiques d’accès via le serveur Radius
Le serveur Radius permet de sécuriser efficacement le réseau informatique d’une entreprise en contrôlant les accès et en définissant des droits d’accès spécifiques en fonction du statut de chaque utilisateur. Un mauvais paramétrage ou l’absence d’une politique de sécurité parfaitement définie peut fragiliser le réseau de l’entreprise et compromettre la confidentialité de certaines données sensibles. C’est notamment le cas si chaque utilisateur a accès à l’ensemble des ressources, sans segmentation en fonction de son rôle dans l’organisation.
Pour une protection efficace du réseau, il est donc important de définir des profils d’accès en fonction du statut de chaque utilisateur. Ainsi, un employé, un cadre, un invité ou encore un partenaire doivent pouvoir accéder uniquement aux ressources qui les concernent. Pour réussir cette segmentation, l’administrateur doit mettre en place une gestion centralisée des accès, via Active Directory ou un annuaire LDAP.
L’absence de surveillance des logs et des alertes Radius
Un serveur Radius a aussi une fonction de comptabilité qui permet de suivre toutes les connexions au réseau de l’entreprise ou au wifi (à noter qu’il est également possible de mettre en place un radius wifi pour sécuriser une connexion sans fil). Cette fonctionnalité permet à l’administrateur de s’apercevoir d’éventuels incidents de sécurité et de réagir rapidement. Cependant, s’il ne vérifie pas régulièrement les logs Radius, il ne peut détecter les tentatives d’intrusion et les erreurs de configuration. Aussi, l’administrateur réseau doit organiser le suivi des logs en activant la journalisation avancée des connexions et en intégrant les logs Radius dans un SIEM. Grâce à ces outils, il pourra effectuer une analyse proactive.
Une mauvaise configuration des NAS (Network Access Servers)
Une autre erreur classique lors de la mise en place d’un serveur Radius est une mauvaise configuration des NAS. Si ces équipements sont mal paramétrés, des erreurs d’authentification peuvent se produire lorsque les utilisateurs tentent de se connecter. De plus, la connexion peut aussi prendre plus de temps, perturbant le bon fonctionnement du réseau.
Pour éviter ces problèmes, il est important de vérifier la bonne configuration des NAS, pour leur permettre de communiquer efficacement avec le serveur RADIUS. L’administrateur doit aussi tester régulièrement les connexions et vérifier que les règles d’authentification sont conformes à la politique de sécurité définie pour le réseau.
La redondance et la haute disponibilité d’un serveur Radius
Avoir un seul serveur Radius pour contrôler l’accès au réseau d’une entreprise est une erreur. En effet, cela revient à créer un point de défaillance critique. En cas de panne du serveur, l’accès au réseau peut alors devenir impossible pour les utilisateurs.
La solution est de mettre en place un serveur Radius secondaire, pour assurer une redondance et prendre le relais en cas de défaillance du premier serveur. De plus, en configurant l’équilibrage des charges, ou Load Balancing, il devient possible de répartir les demandes de connexion en cas de pic d’activité, pour une meilleure fluidité. La disponibilité du serveur Radius est alors assurée.
Ne pas mettre en place les bonnes méthodes d’authentification pour le serveur Radius
Certains protocoles utilisés par les serveurs Radius sont plus vulnérables aux attaques. De plus, l’utilisation de mots de passe faibles accroît les risques d’intrusion de cybercriminels. Aussi, l’administrateur doit privilégier l’authentification forte et l’utilisation de protocoles de communication sûrs comme EAP-TLS ou PEAP. Il doit aussi imposer aux utilisateurs des politiques de mots de passe robustes pour éviter toute intrusion dans le réseau.
La gestion des certificats
Il est aussi possible d’utiliser des certificats de sécurité pour la sécurisation du réseau par un serveur Radius. Cependant, ils ont une durée de vie limitée et des certificats de sécurité expirés peuvent bloquer l’authentification des utilisateurs. De plus, il faut également être vigilant en ce qui concerne le stockage de ces certificats. En effet, si leur espace de stockage n’est pas bien sécurisé, des pirates peuvent y accéder et les utiliser pour s’infiltrer dans le réseau.
Aussi, il est important pour l’administrateur d’un serveur Radius d’automatiser la gestion du renouvellement des certificats. Il doit aussi veiller à les stocker dans un emplacement sécurisé et à restreindre leurs accès.
Diverses erreurs courantes lors du déploiement d’un serveur Radius peuvent impacter la sécurité et les performances du réseau de votre entreprise. De nombreux administrateurs réseau oublient en effet de sécuriser correctement les connexions avec le serveur Radius, de définir des restrictions d’accès en fonction du type d’utilisateur, ou encore, de surveiller les logs, d’imposer une authentification forte ou de mettre à jour les certificats de sécurité. Ces erreurs peuvent avoir de graves conséquences en laissant la porte ouverte à une intrusion. Aussi, il est important de mettre en place des protocoles de tests réguliers et une veille sécuritaire. Pour trouver une solution de Radius Informatique clé en main, adaptée à votre réseau et parfaitement configurée, vous pouvez aussi contacter City Passenger. Nous vous proposons un accompagnement sur mesure pour la mise en place d’un serveur Radius qui vous permettra de contrôler et centraliser les accès à votre réseau, afin de renforcer sa sécurité et garantir ses performances.
City passenger propose diverses solutions de connectivité et de sécurité managées pour les réseaux d’entreprise, telles que la mise en place d’un pare-feu managé, une architecture SD-WAN ou encore un Wifi managé pour libérer les entreprises des contraintes techniques tout en améliorant leur connectivité et sécurité.
Citypassenger est votre partenaire pour protéger votre réseau d'entreprise des Cybermenaces !
Citypassenger vous accompagne dans le déploiement de solutions réseau performantes.
Bruno DUVAL
CEO Citypassenger
Nous fournissons des outils managés pour la gestion de vos besoins de connectivité digitale
