Forum Français

Reply
Aruba Employee
Posts: 39
Registered: ‎12-13-2013

RAP et sécurité

Voici quelques mots sur l'utilisation de bornes en mode RAP derrière des liaisons publiques et des implications côté sécurité
 
Tout d'abord, au risque de faire une lapalissade, pour que ce mode puisse fonctionner, il est indispensable que le contrôleur soit accessible depuis l'internet (sur le port UDP 4500 pour être précis). Deux solutions pour ce faire : Soit mettre une "patte"  directement sur Internet ou bien comme dans la plupart des grandes entreprises, mettre le contrôleurderrière un firewall (qui sera configuré d'une manière adéquate pour effectuer du port forwarding).
 
Les interrogations liées à la sécurité peuvent intervenir sur les points suivants 
1/ Quelles données sont échangées entre les bornes et le contrôleur ? Nécessité de les sécuriser ? Si oui comment ? 
2/ Quelles données sont échangées entre le client et le contrôleur ? Nécessité de les sécuriser ? Si oui comment ?
 
 
Pour répondre au point 1/, cela dépend. Dans le cas où les SSIDs sont configurés en mode tunnelisé, seuls les paramètres radios liés au SSID seront téléchargés. Aucune information sensible n'est alors échangée (i.e. aucun mot de passe, aucun secret radius, aucune adresse IP)
Dans le cas ou des SSIDs sont configurés en mode "bridge" ou "split-tunnel" en WPA, en plus des paramètres radio précedemment mentionnés, les clefs de sessions (de)chiffrementsessions seront envoyés par le ctrl à la borne. L'obtention de ces clefs par un tiers permettrait théroquement à un utilisateur malveillant de déchiffrer dans l'air le traffic échangé par le client WiFi.  Il est donc indispensable d'assurer l'intégrité de ces flux.
Cela est fait par la mise en place d'un tunnel IPSec entre la borne et le ctrl. La borne va utiliser un certificat propre (embarqué dans un module TPM) dans lequel le cn est égal à l'adresse MAC. Le contrôleur, lors de l'établissement de ce tunnel, va vérifier 1/ la validité du certificat 2/ le fait que cette adresse MAC soit bien présente dans la base des RAP autorisées  (processus de whitelisting)
 
Ce procédé garantit à la fois l'intégrité des données de contrôle échangés mais aussi donne le contrôle à l'administrateur sur les bornes qui peuvent ou non monter ce tunnel de contrôle.
 
 
Pour répondre au point 2/, lorsque nous avons un SSID tunelisé en WPA, il ne faut pas perdre de vue que les paquets sont chiffrés par le client WiFi (en AES) et déchiffrés par le ctrl. L'intégrité des paquets dans l'air (et du coup sur le lien public) est porté grâce à ce chiffrement. Dans cette optique, le but du tunnel IPSec n'est pas de sécuriser ces flux, mais uniquement de fournir une méthode d'encapsulation permettant d'envoyer et de recevoir ces flux vers le ctrl. Dans ce cas, par défaut, un tunnel IPSec sans chiffrement est utilisé.
 
Pour résumer,
- le control plane est entièrement porté par un tunnel IPSec chiffré entre la borne et le contrôleur
- la sécurisation du data plane est faite par le client et le ctrl. 
 
 
 
 
Search Airheads
Showing results for 
Search instead for 
Did you mean: