Publié le
3 avril 2024
Dans le paysage numérique actuel, garantir une sécurité réseau robuste est primordial pour les organisations de toutes tailles. Le Network Access Control (NAC) joue un rôle déterminant dans la sécurisation des réseaux en régulant les accès selon des politiques prédéfinies. Dans le schéma qui suit, nous vous guiderons pas à pas dans le processus de configuration de FreeRADIUS pour le NAC.
Mais avant de plonger dans le processus de configuration, il est essentiel de s'assurer que les prérequis suivants sont remplis :
Prérequis :
Accès root : assurez-vous d'un accès root à la machine Linux, octroyant les permissions nécessaires pour les configurations système.
Installation de FreeRADIUS : installez FreeRADIUS en tant que service Linux, communément appelé « radiusd ».
Configuration du pare-feu : ouvrez les ports UDP 1812 et 1813 pour autoriser les communications d'authentification RADIUS.
Téléverser et configurer le script « getcrls » : adaptez et configurez le script bash « getcrls » pour faciliter la récupération de la Certificate Revocation List (CRL).
À noter : cette procédure a été adaptée pour les distributions EL 7/8/9. Pour d'autres distributions Linux comme Ubuntu, certains paramètres peuvent nécessiter une adaptation.
Ensuite,
Pour activer l'authentification EAP-TLS, suivez ces étapes :
Ouvrez le fichier « /etc/raddb/mods-available/eap ».
Changez le type EAP par défaut en TLS dans la configuration.
Pour mettre en place TLS pour des communications sécurisées, effectuez les étapes suivantes :
Ouvrez le fichier « /etc/raddb/radiusd.conf ».
Ajoutez un paramètre de répertoire de certificats personnalisé.
Générez une clé, signez une Certificate Signing Request (CSR) et téléversez le certificat signé.
Définissez les permissions appropriées pour les fichiers de clé et de certificat du serveur.
Envie de mettre en pratique ces bonnes pratiques PKI ?
Bénéficiez des conseils de nos experts pour déployer des solutions PKI sécurisées au sein de votre organisation.
Demander de l'aideÉditez le fichier « /etc/raddb/mods-enabled/eap » pour configurer les paramètres TLS.
Pour configurer la récupération de la Certificate Revocation List (CRL) comme suit :
Importez et adaptez le script bash « getcrl.sh » pour qu'il corresponde au contexte client.
Éditez le fichier « /etc/raddb/mods-enabled/eap » pour activer la vérification CRL.
Pour configurer les paramètres du client RADIUS :
Éditez le fichier « /etc/raddb/clients.conf ».
Adaptez les blocs client selon vos besoins, en renseignant les adresses IP et les clés secrètes.
Pour configurer la politique d'accès :
Personnalisez les politiques d'accès en fonction des besoins du client en éditant le fichier « /etc/raddb/sites-enabled/default ».
Structurez le fichier en sections correspondant à l'authentification, à l'autorisation et à la comptabilité.
Enfin, pour le niveau de logs :
Activez les logs d'authentification en modifiant le fichier « /etc/raddb/radiusd.conf ».
Ajustez les paramètres de journalisation pour préciser quels événements doivent être consignés dans le fichier de log.
En conclusion, la mise en œuvre rigoureuse de FreeRADIUS sur une machine Linux, en suivant les procédures décrites, renforce considérablement l'infrastructure de sécurité réseau de votre organisation. Avec des mécanismes robustes d'authentification, d'autorisation et de journalisation en place, l'accès sécurisé aux ressources réseau est garanti tout en s'alignant sur les politiques de sécurité.
En adaptant méticuleusement les procédures aux distributions Linux spécifiques, les administrateurs déploient efficacement FreeRADIUS pour le NAC, renforçant ainsi la sécurité et le contrôle du réseau. À noter que si FreeRADIUS permet d'authentifier les terminaux et les utilisateurs, l'émission de certificats pour ces derniers reste primordiale. Pour cette tâche, nos solutions Horizon et Stream offrent l'approche la plus fiable et la plus complète.
