Configurer des pare-feu pour le trafic RADIUS

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Les pare-feu peuvent être configurés pour autoriser ou bloquer les types de trafic IP vers et depuis l’ordinateur ou l’appareil sur lequel le pare-feu s’exécute. Si les pare-feux ne sont pas correctement configurés pour autoriser le trafic RADIUS entre les clients RADIUS, les proxys RADIUS et les serveurs RADIUS, l’authentification de l’accès réseau peuvent échouer, empêchant les utilisateurs d’accéder aux ressources réseau.

Vous devrez peut-être configurer deux types de pare-feu pour autoriser le trafic RADIUS :

  • Windows Defender pare-feu avec sécurité avancée sur le serveur local exécutant le serveur NPS (Network Policy Server).
  • Pare-feu s’exécutant sur d’autres ordinateurs ou périphériques matériels.

Pare-feu Windows sur le serveur NPS local

Par défaut, le serveur NPS envoie et reçoit le trafic RADIUS à l’aide des ports protocole UDP (User Datagram Protocol) 1812, 1813, 1645 et 1646. Le pare-feu Windows Defender sur le serveur NPS doit être configuré automatiquement, avec des exceptions, lors de l’installation du serveur NPS, pour permettre l’envoi et la réception de ce trafic RADIUS.

Avec Server 2019, cette exception de pare-feu nécessite une modification de l’identificateur de sécurité du compte de service pour détecter et autoriser efficacement le trafic RADIUS. Si cette modification de l’identificateur de sécurité n’est pas exécutée, le pare-feu supprime le trafic RADIUS. À partir d’une invite de commandes avec élévation de privilèges, exécutez sc sidtype IAS unrestricted. Cette commande modifie le service IAS (RADIUS) pour qu’il utilise un SID unique au lieu de le partager avec d’autres services SERVICE RÉSEAU.

Par conséquent, si vous utilisez les ports UDP par défaut, vous n’avez pas besoin de modifier la configuration du pare-feu Windows Defender pour autoriser le trafic RADIUS vers et à partir des serveurs NPS.

Dans certains cas, vous pouvez modifier les ports utilisés par NPS pour le trafic RADIUS. Si vous configurez NPS et vos serveurs d’accès réseau pour envoyer et recevoir le trafic RADIUS sur des ports autres que les ports par défaut, vous devez effectuer les opérations suivantes :

  • Supprimez les exceptions qui autorisent le trafic RADIUS sur les ports par défaut.
  • Créez de nouvelles exceptions qui autorisent le trafic RADIUS sur les nouveaux ports.

Pour plus d’informations, consultez Configurer les informations de port UDP de serveur NPS.

Autres pare-feu

Dans la configuration la plus courante, le pare-feu est connecté à Internet et le serveur NPS est une ressource intranet connectée au réseau de périmètre.

Pour atteindre le contrôleur de domaine dans l’intranet, le serveur NPS peut avoir :

  • Une interface sur le réseau de périmètre et une interface sur l’intranet (le routage IP n’est pas activé).
  • Une interface unique sur le réseau de périmètre. Dans cette configuration, le serveur NPS communique avec les contrôleurs de domaine via un autre pare-feu qui connecte le réseau de périmètre à l’intranet.

Configuration du pare-feu Internet

Le pare-feu connecté à Internet doit être configuré avec des filtres d’entrée et de sortie sur son interface Internet (et, éventuellement, son interface de périmètre réseau), pour permettre le transfert de messages RADIUS entre les clients de serveur NPS et RADIUS ou les proxys sur Internet. Des filtres supplémentaires peuvent être utilisés pour permettre le passage du trafic vers des serveurs web, des serveurs VPN et d’autres types de serveurs sur le réseau de périmètre.

Des filtres de paquets d’entrée et de sortie distincts peuvent être configurés sur l’interface Internet et l’interface réseau de périmètre.

Configurer des filtres d’entrée sur l’interface Internet

Configurez les filtres de paquets d’entrée suivants sur l’interface Internet du pare-feu pour autoriser les types de trafic suivants :

  • Adresse IP de destination de l’interface réseau de périmètre et du port de destination UDP de 1812 (0x714) du serveur NPS. Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP par défaut utilisé par le serveur NPS, tel que défini dans RFC 2865. Si vous utilisez un autre port, remplacez ce numéro de port par 1812.
  • Adresse IP de destination de l’interface réseau de périmètre et du port de destination UDP de 1813 (0x715) du serveur NPS. Ce filtre autorise le trafic de gestion des comptes RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP par défaut utilisé par le serveur NPS, tel que défini dans RFC 2866. Si vous utilisez un autre port, remplacez ce numéro de port par 1813.
  • Adresse IP de destination (facultative) de l’interface réseau de périmètre et du port de destination UDP de 1645 (0x66D) du serveur NPS. Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
  • Adresse IP de destination (facultative) de l’interface réseau de périmètre et du port de destination UDP de 1646 (0x66E) du serveur NPS. Ce filtre autorise le trafic de gestion des comptes RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.

Configurer des filtres de sortie sur l’interface Internet

Configurez les filtres de sortie suivants sur l’interface Internet du pare-feu pour autoriser les types de trafic suivants :

  • Adresse IP source de l’interface réseau de périmètre et du port source UDP de 1812 (0x714) du serveur NPS. Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP par défaut utilisé par le serveur NPS, tel que défini dans RFC 2865. Si vous utilisez un autre port, remplacez ce numéro de port par 1812.
  • Adresse IP source de l’interface réseau de périmètre et du port source UDP de 1813 (0x715) du serveur NPS. Ce filtre autorise le trafic de gestion des comptes RADIUS depuis le serveur NPS vers les clients RADIUS basés sur Internet. Il s’agit du port UDP par défaut utilisé par le serveur NPS, tel que défini dans RFC 2866. Si vous utilisez un autre port, remplacez ce numéro de port par 1813.
  • Adresse IP source de l’interface réseau de périmètre et du port source UDP de 1645 (0x66D) du serveur NPS. Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
  • Adresse IP source (facultative) de l’interface réseau de périmètre et du port source UDP de 1646 (0x66E) du serveur NPS. Ce filtre autorise le trafic de gestion des comptes RADIUS depuis le serveur NPS vers les clients RADIUS basés sur Internet. Il s’agit du port UDP utilisé par les anciens clients RADIUS.

Configurer des filtres d’entrée sur l’interface réseau de périmètre

Configurez les filtres d’entrée suivants sur l’interface de réseau de périmètre du pare-feu pour autoriser les types de trafic suivants :

  • Adresse IP source de l’interface réseau de périmètre et du port source UDP de 1812 (0x714) du serveur NPS. Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP par défaut utilisé par le serveur NPS, tel que défini dans RFC 2865. Si vous utilisez un autre port, remplacez ce numéro de port par 1812.
  • Adresse IP source de l’interface réseau de périmètre et du port source UDP de 1813 (0x715) du serveur NPS. Ce filtre autorise le trafic de gestion des comptes RADIUS depuis le serveur NPS vers les clients RADIUS basés sur Internet. Il s’agit du port UDP par défaut utilisé par le serveur NPS, tel que défini dans RFC 2866. Si vous utilisez un autre port, remplacez ce numéro de port par 1813.
  • Adresse IP source de l’interface réseau de périmètre et du port source UDP de 1645 (0x66D) du serveur NPS. Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
  • Adresse IP source (facultative) de l’interface réseau de périmètre et du port source UDP de 1646 (0x66E) du serveur NPS. Ce filtre autorise le trafic de gestion des comptes RADIUS depuis le serveur NPS vers les clients RADIUS basés sur Internet. Il s’agit du port UDP utilisé par les anciens clients RADIUS.

Configurer des filtres de sortie sur l’interface réseau de périmètre

Configurez les filtres de sortie suivants sur l’interface de réseau de périmètre du pare-feu pour autoriser les types de trafic suivants :

  • Adresse IP de destination de l’interface réseau de périmètre et du port de destination UDP de 1812 (0x714) du serveur NPS. Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP par défaut utilisé par le serveur NPS, tel que défini dans RFC 2865. Si vous utilisez un autre port, remplacez ce numéro de port par 1812.
  • Adresse IP de destination de l’interface réseau de périmètre et du port de destination UDP de 1813 (0x715) du serveur NPS. Ce filtre autorise le trafic de gestion des comptes RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP par défaut utilisé par le serveur NPS, tel que défini dans RFC 2866. Si vous utilisez un autre port, remplacez ce numéro de port par 1813.
  • Adresse IP de destination (facultative) de l’interface réseau de périmètre et du port de destination UDP de 1645 (0x66D) du serveur NPS. Ce filtre autorise le trafic d’authentification RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.
  • Adresse IP de destination (facultative) de l’interface réseau de périmètre et du port de destination UDP de 1646 (0x66E) du serveur NPS. Ce filtre autorise le trafic de gestion des comptes RADIUS des clients RADIUS basés sur Internet vers le serveur NPS. Il s’agit du port UDP utilisé par les anciens clients RADIUS.

Pour plus de sécurité, vous pouvez utiliser les adresses IP de chaque client RADIUS qui envoie les paquets via le pare-feu pour définir des filtres pour le trafic entre le client et l’adresse IP du serveur NPS sur le réseau de périmètre.

Filtres sur l’interface réseau de périmètre

Configurez les filtres de paquets d’entrée suivants sur l’interface de réseau de périmètre du pare-feu intranet pour autoriser les types de trafic suivants :

  • Adresse IP source de l’interface réseau de périmètre du serveur NPS. Ce filtre autorise le trafic à partir du serveur NPS sur le réseau de périmètre.

Configurez les filtres de sortie suivants sur l’interface de réseau de périmètre du pare-feu intranet pour autoriser les types de trafic suivants :

  • Adresse IP de destination de l’interface réseau de périmètre du serveur NPS. Ce filtre autorise le trafic vers le serveur NPS sur le réseau de périmètre.

Filtres sur l’interface intranet

Configurez les filtres d’entrée suivants sur l’interface intranet du pare-feu pour autoriser les types de trafic suivants :

  • Adresse IP de destination de l’interface réseau de périmètre du serveur NPS. Ce filtre autorise le trafic vers le serveur NPS sur le réseau de périmètre.

Configurez les filtres de paquets de sortie suivants sur l’interface intranet du pare-feu pour autoriser les types de trafic suivants :

  • Adresse IP source de l’interface réseau de périmètre du serveur NPS. Ce filtre autorise le trafic à partir du serveur NPS sur le réseau de périmètre.

Pour plus d’informations sur la gestion du serveur NPS (Network Policy Server), consultez Gérer le serveur NPS (Network Policy Server).

Pour plus d’informations sur le serveur NPS (Network Policy Server), consultez Serveur NPS (Network Policy Server).