Vous devez isoler rapidement vos groupes d’appareils Wi‑Fi sans déployer 802.1X ? Le Multi‑Pre‑Shared‑Key (MPSK) apporte une segmentation fine tout en conservant la simplicité du WPA‑PSK, mais Windows Server 2022 NPS n’en dispose pas nativement. Voici les solutions.
Problématique et contexte
Dans les environnements où l’on gère à la fois des scanners codes‑barres, des caisses, des appareils personnels et des invités, partager un seul mot de passe Wi‑Fi devient rapidement ingérable : chaque fuite oblige à tout changer et les traces d’audit ne distinguent plus un poste critique d’une tablette d’appoint. Le principe du MPSK (ou DPSK, pour « Dynamic PSK ») consiste à attribuer un identifiant / clé unique ou par petit groupe d’appareils, sans aller jusqu’à l’implémentation complète d’un 802.1X basé sur certificats. La question est donc : comment l’obtenir avec Windows Server 2022 et son rôle Network Policy Server ?
Pourquoi NPS ne gère‑t‑il pas nativement le MPSK ?
NPS respecte strictement la norme RADIUS : un point d’accès est déclaré comme client RADIUS avec une shared secret unique et toutes les stations derrière ce point d’accès héritent de cette même clé côté Wi‑Fi. Microsoft n’a jamais ajouté de champs propriétaires permettant d’envoyer plusieurs clés ou d’effectuer une correspondance clé‑VLAN. Par conséquent, pour obtenir du MPSK il faut soit contourner la limitation, soit déléguer l’authentification à un produit qui la supporte.
Options de mise en œuvre résumées
| Option | Principe | Avantages | Limites / Points d’attention |
|---|---|---|---|
| NPS natif | Un seul shared secret par client RADIUS. Pas de support MPSK. | Simplicité, licence Windows incluse. | Impossible d’avoir plusieurs PSK pour un même point d’accès. |
| Extensions constructeur | Certains contrôleurs/AP fournissent une fonction MPSK/DPSK via attributs RADIUS propriétaires. | Gestion automatisée des PSK par groupe ou équipement. | Dépendant du matériel et parfois de licences additionnelles. |
| Serveur RADIUS tiers | Solutions comme FreeRADIUS, Aruba ClearPass, Cisco ISE. | Riche : par‑utilisateur, expiration, audit, API. | Nouvelle infra à déployer ; coût potentiel. |
| Segmentation réseau / SSIDs multiples | Créer plusieurs SSID, chacun avec son propre PSK, déclarés comme clients RADIUS distincts dans NPS. | Contournement simple, pas de matériel nouveau. | Administration lourde ; mobilité limitée entre SSID. |
| Basculer vers 802.1X | Abandon des PSK au profit de certificats ou identifiants AD. | Sécurité la plus forte, gestion centralisée, journalisation détaillée. | Nécessite un PKI et la configuration des postes. |
Approfondissement des solutions
1. Rester sur NPS avec plusieurs SSID
La méthode la plus rapide consiste à multiplier les SSID :
- Étape 1 – Créez les SSID : par exemple
PROD‑PSK,BYOD‑PSK,GUEST‑PSK. - Étape 2 – Déclarez chaque BSSID comme client RADIUS dans NPS avec un shared secret différent, même si l’AP est physiquement le même.
- Étape 3 – Ajoutez des « Network Policies » spécifiques pour attribuer le VLAN correspondant au groupe d’utilisateurs.
- Étape 4 – Automatisez la création via PowerShell : un fichier CSV contenant les adresses MAC des points d’accès suffit à générer les entrées NPS.
Limite : au‑delà d’une dizaine de SSID, vous dégradez le spectre Wi‑Fi, ce qui impacte la capacité réseau et la mobilité.
2. Exploiter un constructeur proposant le MPSK intégré
La deuxième voie s’appuie sur le logiciel embarqué de marques comme Aruba Instant OS, Aruba Central, Ruckus Cloudpath ou Cambium Xirrus XMS :
- Le contrôleur conserve en base l’association MAC ↔ PSK ↔ Rôle.
- Lors de l’association Wi‑Fi, l’AP effectue localement la comparaison de la clé, sans interroger NPS.
- Vous pouvez pousser des clés via API, CSV ou portail invité.
Dans ce schéma, NPS n’est utilisé que pour le suivi et le reporting, ou pas du tout.
3. Déployer un serveur RADIUS tiers en proxy
FreeRADIUS est la solution libre la plus répandue ; elle peut être :
- Proxy : il reçoit la requête de l’AP, fait correspondre la clé à un utilisateur ou un groupe, puis relaie la demande validée vers NPS pour l’autorisation finale.
- Serveur principal : il remplace totalement NPS, y compris pour les logs et la gestion des VLANs.
# Exemple de virtual server « wifi‑mpsk »
authorize {
if (&Called‑Station‑Id =~ /:SSID=WIFI‑MPSK/) {
update control {
&Cleartext‑Password := "%{sql:SELECT psk FROM mpsk WHERE mac='%{Calling‑Station‑Id}'}"
}
}
if (&User‑Password == &Cleartext‑Password) {
ok
}
}
Une simple table MySQL peut contenir les clés, la date d’expiration et le VLAN. Vous gardez ainsi la granularité par appareil tout en tirant parti d’un annuaire AD pour les politiques.
4. Basculer vers 802.1X / EAP‑TLS
Si vous visez la conformité ISO 27001 ou PCI‑DSS, la voie la plus pérenne est la suppression des PSK :
- Mettre en place une Autorité de Certification interne (AD CS).
- Déployer un modèle de certificat machine et une GPO Auto‑Enroll.
- Basculer vos APs en WPA2‑Enterprise avec EAP‑TLS (ou PEAP‑MSCHAPv2 si vous débutez).
- Configurer NPS pour valider les certificats et appliquer les VLANs via l’attribut
Tunnel‑Private‑Group‑Id.
Certes l’investissement initial (PKI, documentation, formation) est plus important, mais vous éliminez totalement le problème de rotation des PSK et vous gagnez un audit individuel automatiquement corrélé à votre Active Directory.
Meilleures pratiques de sécurité
- Entropie : utilisez au moins 16 caractères alphanumériques pour chaque clé PSK et bannissez les suites TKIP.
- Rotation : définissez une durée de vie de 30 à 90 jours pour chaque clé ou lorsque l’employé quitte la société.
- Segmentation VLAN : même avec le MPSK, placez chaque groupe dans un réseau dédié et appliquez un pare‑feu inter‑VLAN.
- Journalisation : activez le Accounting RADIUS et envoyez‑le vers un SIEM pour conserver la trace
(MAC, PSK, VLAN, User‑Name, AP). - Tests de pénétration : programmez un audit Wi‑Fi annuel incluant le craquage d’un échantillon de PSK pour vérifier leur robustesse.
Procédure détaillée : multiplexer des SSID sous NPS
Étape 1 – Importer la liste des APs
Utilisez PowerShell pour lire un CSV :
Import‑Csv .\aps.csv |
ForEach‑Object {
New‑NpsRadiusClient `
-Name $_.Name `
-Address $_.IPAddress `
-SharedSecret $_.Secret `
-VendorName "Ruckus"
}Étape 2 – Créer une stratégie de connexion
Dans le MMC « NPS », créez une Network Policy dont la condition est Called‑Station‑Id se terminant par :SSID=PROD‑PSK. Choisissez ensuite l’attribut Tunnel‑Private‑Group‑Id = 100 pour le VLAN 100.
Étape 3 – Automatiser la rotation des clés
Pour limiter la charge d’administration, stockez vos PSK dans KeePass ou un coffre à secrets et publiez‑les via un script API sur le contrôleur Wi‑Fi.
Procédure détaillée : FreeRADIUS en proxy devant NPS
- Installation :
sudo apt install freeradius mysql‑server - Création de la base :
CREATE TABLE mpsk(mac CHAR(17) PRIMARY KEY, psk VARCHAR(64), vlan INT, expire DATE); - Intégration AD : module
mschap+ntlm_authpour déléguer le mot de passe AD à NPS. - Proxy : dans
proxy.conf, cibleznps.internal.lansur le port 1812. - Règles de correspondance : voir exemple
wifi‑mpskplus haut.
Vous obtenez ainsi :
- Une authentification PSK indépendante du matériel, pilotable par API ou portail invité.
- La centralisation des logs dans NPS pour une conformité RGPD ou SOX.
- L’application de politiques AD (groupes, heures d’accès, VLAN).
Scénarios d’usage recommandés
| Scénario | Solution conseillée | Motif |
|---|---|---|
| Réseau retail multi‑marques | MPSK constructeur (Aruba Central) | Portail invité intégré, logs cloud |
| Entrepôt scanneurs Zebra | SSD multiples + NPS | Simplicité, absence de dépendance VPN |
| Campus universitaire | 802.1X + eduroam | Interopérabilité mondiale, certificats |
| Start‑up en open‑space | FreeRADIUS DPSK | Coût zéro, rotation automatisée |
Tests et validation
- Connectez‑vous avec un appareil autorisé et vérifiez l’entrée
Access‑Acceptdans le journal NPS : le champTunnel‑Private‑Group‑Iddoit correspondre au VLAN attendu. - Tentez ensuite une connexion avec une clé invalide : vous devez voir un
Access‑Reject. Profitez‑en pour contrôler l’envoi de l’événement ID 6273 dans le journal Windows. - Pour les déploiements avec FreeRADIUS, activez
radiusd -Xen mode debug : vous suivez en temps réel la lecture de la clé et la requête proxy. - Scannez le réseau avec
nmap --script broadcast-dhcp-discoverafin de confirmer que les VLANs sont isolés.
Dépannage courant
- Symptôme : les nouveaux APs refusent l’authentification.
Cause probable : adresse IP manquante dans la liste des clients NPS. - Symptôme : les logs montrent
Reason Code 23 – Bad or missing RADIUS shared secret.
Action : recréez la clé dans l’AP et dans NPS, attention aux copier‑coller avec espaces. - Symptôme : impossible de pousser un nouveau PSK sur le contrôleur.
Vérification : l’API nécessite souvent du HTTPS et un certificat valide même en interne.
FAQ
Q : Puis‑je mélanger MPSK et 802.1X ?
R : Oui, rien n’empêche d’avoir deux SSID, l’un en MPSK pour les terminaux dépourvus de 802.1X et l’autre en EAP‑TLS pour les postes gérés.
Q : Quelle est la différence entre DPSK et MPSK ?
R : MPSK désigne plusieurs clés PSK statiques, tandis que DPSK implique la génération et l’expiration automatique d’une clé unique (dynamique) par terminal.
Q : La norme WPA3 fait‑elle disparaître le besoin de MPSK ?
R : WPA3 ajoute le mode Simultaneous Authentication of Equals (SAE) qui rend les PSK plus robustes, mais le problème de partage global d’une clé demeure. Le MPSK est toujours pertinent.
Conclusion
Windows Server 2022 NPS n’intègre pas le support du Multi‑Pre‑Shared‑Key. Pour bénéficier de plusieurs clés par groupe d’appareils, vous disposez de trois pistes principales : multiplier les SSID tout en restant sur NPS, utiliser un contrôleur Wi‑Fi avec MPSK natif, ou intercaler un serveur RADIUS tiers capable de DPSK. À moyen terme, la migration vers 802.1X avec certificats reste la meilleure pratique sécurité, mais le MPSK constitue une étape intermédiaire efficace pour les organisations recherchant un déploiement rapide et une gestion simplifiée des accès sans fil.