Il est possible de configurer des pare-feu pour autoriser ou bloquer des types de trafics IP entrants et sortants de l’ordinateur ou du périphérique sur lequel est exécuté le pare-feu. Si les pare-feu ne sont pas correctement configurés pour autoriser le trafic RADIUS entre les clients, proxy et serveurs RADIUS, l’authentification d’accès réseau peut échouer et empêcher ainsi l’accès des utilisateurs aux ressources réseau.
Deux types de pare-feu devront peut-être être configurés pour autoriser le trafic RADIUS :
-
Le Pare-feu Windows sur le serveur local exécutant NPS (Network Policy Server).
-
D’autres pare-feu s’exécutant sur d’autres ordinateurs ou périphériques matériels.
Pare-feu Windows sur le serveur NPS local
Par défaut, NPS envoie et reçoit le trafic RADIUS sur les ports UDP (User Datagram Protocol) 1812, 1813, 1645 et 1646. Le Pare-feu Windows sur le serveur NPS local est automatiquement configuré avec des exceptions (lors de l’installation de NPS) pour autoriser l’envoi et la réception de ce trafic RADIUS.
Si vous utilisez les ports UDP par défaut, il n’est donc pas nécessaire de modifier la configuration du Pare-feu Windows pour autoriser le trafic RADIUS entrant et sortant des serveurs NPS.
Dans certains cas, vous souhaiterez peut-être modifier les ports utilisés par NPS pour le trafic RADIUS. Si vous configurez NPS et les serveurs d’accès réseau de sorte qu’ils envoient et reçoivent le trafic RADIUS sur des ports autres que ceux par défaut, vous devez effectuer les opérations suivantes :
-
Supprimez les exceptions autorisant le trafic RADIUS sur les ports par défaut.
-
Créez des exceptions autorisant le trafic RADIUS sur les nouveaux ports.
Pour plus d’informations, voir Configurer les informations de port UDP de NPS.
Autres pare-feu
Dans la configuration la plus courante, le pare-feu est connecté à Internet et le serveur NPS est une ressource intranet connectée au réseau de périmètre.
Pour atteindre le contrôleur de domaine sur l’intranet, le serveur NPS peut posséder :
-
une interface sur le réseau de périmètre et une interface sur l’intranet (le routage IP n’est pas activé) ;
-
une interface unique sur le réseau de périmètre. Dans cette configuration, NPS communique avec les contrôleurs de domaine par l’intermédiaire d’un autre pare-feu qui relie le réseau de périmètre à l’intranet.
Configuration du pare-feu Internet
Le pare-feu relié à Internet doit être configuré avec des filtres d’entrée et de sortie sur son interface avec Internet (et, éventuellement, sur son interface avec le réseau de périmètre) afin d’autoriser le transfert des messages RADIUS entre le serveur NPS et les clients ou proxy RADIUS sur Internet. Des filtres supplémentaires peuvent être utilisés pour permettre au trafic d’accéder aux serveurs Web, aux serveurs VPN et à d’autres types de serveurs situés sur le réseau de périmètre.
Il est possible de configurer des filtres de paquets d’entrée et de sortie distincts sur l’interface Internet et l’interface du réseau de périmètre.
Filtres sur l’interface Internet
Configurez les filtres de paquets d’entrée suivants sur l’interface Internet du pare-feu pour autoriser les types de trafics ci-dessous :
-
Adresse IP de destination de l’interface du réseau de périmètre et port de destination UDP 1812 (0x714) du serveur NPS.
Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS Internet au serveur NPS. Il s’agit du port UDP par défaut utilisé par NPS (tel que défini dans le document RFC 2865). Si vous utilisez un autre port, remplacez ce numéro de port par 1812.
-
Adresse IP de destination de l’interface du réseau de périmètre et port de destination UDP 1813 (0x715) du serveur NPS.
Ce filtre autorise le trafic de gestion de comptes RADIUS des clients RADIUS Internet au serveur NPS. Il s’agit du port UDP par défaut utilisé par NPS (tel que défini dans le document RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1813.
-
(Facultatif) Adresse IP de destination de l’interface du réseau de périmètre et port de destination UDP 1645 (0x66D) du serveur NPS.
Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS Internet au serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
-
(Facultatif) Adresse IP de destination de l’interface du réseau de périmètre et port de destination UDP 1646 (0x66E) du serveur NPS.
Ce filtre autorise le trafic de gestion de comptes RADIUS des clients RADIUS Internet au serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
Configurez les filtres de sortie suivants sur l’interface Internet du pare-feu pour autoriser les types de trafics ci-dessous :
-
Adresse IP source de l’interface du réseau de périmètre et port source UDP 1812 (0x714) du serveur NPS.
Ce filtre autorise le trafic d’authentification RADIUS du serveur NPS aux clients RADIUS Internet. Il s’agit du port UDP par défaut utilisé par NPS (tel que défini dans le document RFC 2865). Si vous utilisez un autre port, remplacez ce numéro de port par 1812.
-
Adresse IP source de l’interface du réseau de périmètre et port source UDP 1813 (0x715) du serveur NPS.
Ce filtre autorise le trafic de gestion de comptes RADIUS du serveur NPS aux clients RADIUS Internet. Il s’agit du port UDP par défaut utilisé par NPS (tel que défini dans le document RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1813.
-
(Facultatif) Adresse IP source de l’interface du réseau de périmètre et port source UDP 1645 (0x66D) du serveur NPS.
Ce filtre autorise le trafic d’authentification RADIUS du serveur NPS aux clients RADIUS Internet. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
-
(Facultatif) Adresse IP source de l’interface du réseau de périmètre et port source UDP 1646 (0x66E) du serveur NPS.
Ce filtre autorise le trafic de gestion de comptes RADIUS du serveur NPS aux clients RADIUS Internet. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
Filtres sur l’interface du réseau de périmètre
Configurez les filtres d’entrée suivants sur l’interface du réseau de périmètre du pare-feu pour autoriser les types de trafics ci-dessous :
-
Adresse IP source de l’interface du réseau de périmètre et port source UDP 1812 (0x714) du serveur NPS.
Ce filtre autorise le trafic d’authentification RADIUS du serveur NPS aux clients RADIUS Internet. Il s’agit du port UDP par défaut utilisé par NPS (tel que défini dans le document RFC 2865). Si vous utilisez un autre port, remplacez ce numéro de port par 1812.
-
Adresse IP source de l’interface du réseau de périmètre et port source UDP 1813 (0x715) du serveur NPS.
Ce filtre autorise le trafic de gestion de comptes RADIUS du serveur NPS aux clients RADIUS Internet. Il s’agit du port UDP par défaut utilisé par NPS (tel que défini dans le document RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1813.
-
(Facultatif) Adresse IP source de l’interface du réseau de périmètre et port source UDP 1645 (0x66D) du serveur NPS.
Ce filtre autorise le trafic d’authentification RADIUS du serveur NPS aux clients RADIUS Internet. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
-
(Facultatif) Adresse IP source de l’interface du réseau de périmètre et port source UDP 1646 (0x66E) du serveur NPS.
Ce filtre autorise le trafic de gestion de comptes RADIUS du serveur NPS aux clients RADIUS Internet. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
Configurez les filtres de paquets de sortie suivants sur l’interface du réseau de périmètre du pare-feu pour autoriser les types de trafics ci-dessous :
-
Adresse IP de destination de l’interface du réseau de périmètre et port de destination UDP 1812 (0x714) du serveur NPS.
Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS Internet au serveur NPS. Il s’agit du port UDP par défaut utilisé par NPS (tel que défini dans le document RFC 2865). Si vous utilisez un autre port, remplacez ce numéro de port par 1812.
-
Adresse IP de destination de l’interface du réseau de périmètre et port de destination UDP 1813 (0x715) du serveur NPS.
Ce filtre autorise le trafic de gestion de comptes RADIUS des clients RADIUS Internet au serveur NPS. Il s’agit du port UDP par défaut utilisé par NPS (tel que défini dans le document RFC 2866). Si vous utilisez un autre port, remplacez ce numéro de port par 1813.
-
(Facultatif) Adresse IP de destination de l’interface du réseau de périmètre et port de destination UDP 1645 (0x66D) du serveur NPS.
Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS Internet au serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
-
(Facultatif) Adresse IP de destination de l’interface du réseau de périmètre et port de destination UDP 1646 (0x66E) du serveur NPS.
Ce filtre autorise le trafic de gestion de comptes RADIUS des clients RADIUS Internet au serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
Pour une sécurité accrue, vous pouvez utiliser les adresses IP de chaque client RADIUS qui envoie les paquets à travers le pare-feu pour définir des filtres pour le trafic entre le client et l’adresse IP du serveur NPS sur le réseau de périmètre.
Configuration du pare-feu d’intranet
Le pare-feu relié à l’intranet doit être configuré avec des filtres d’entrée et de sortie sur son interface avec le réseau de périmètre (et, éventuellement, sur son interface avec l’intranet) afin d’autoriser le transfert des messages RADIUS entre le serveur NPS du réseau de périmètre et les contrôleurs de domaine de l’intranet. Des filtres supplémentaires peuvent autoriser le trafic à accéder aux serveurs Web, aux serveurs VPN et à d’autres types de serveurs situés sur le réseau de périmètre.
Il est possible de configurer des filtres de paquets d’entrée et de sortie distincts sur l’interface du réseau de périmètre et l’interface intranet.
Filtres sur l’interface du réseau de périmètre
Configurez les filtres de paquets d’entrée suivants sur l’interface du réseau de périmètre du pare-feu d’intranet pour autoriser les types de trafics ci-dessous :
-
Adresse IP source de l’interface du réseau de périmètre du serveur NPS.
Ce filtre autorise le trafic du serveur NPS sur le réseau de périmètre.
Configurez les filtres de sortie suivants sur l’interface du réseau de périmètre du pare-feu d’intranet pour autoriser les types de trafics ci-dessous :
-
Adresse IP de destination de l’interface du réseau de périmètre du serveur NPS.
Ce filtre autorise le trafic vers le serveur NPS sur le réseau de périmètre.
Filtres sur l’interface intranet
Configurez les filtres d’entrée suivants sur l’interface intranet du pare-feu pour autoriser les types de trafics ci-dessous :
-
Adresse IP de destination de l’interface du réseau de périmètre du serveur NPS.
Ce filtre autorise le trafic vers le serveur NPS sur le réseau de périmètre.
Configurez les filtres de paquets de sortie suivants sur l’interface intranet du pare-feu pour autoriser les types de trafics ci-dessous :
-
Adresse IP source de l’interface du réseau de périmètre du serveur NPS.
Ce filtre autorise le trafic du serveur NPS sur le réseau de périmètre.