Version Filtre

📡 Module-Kit de Maîtrise - Concepts WLAN

Guide expert pour administrateurs réseaux - Basé sur le module Cisco WLAN

Contenu sourceLe texte et les structures utiles du document d'origine sont conservés dans cette reconstruction.
RenduHabillage moderne inspire du modele principal, sans supprimer les blocs specifiques du document initial.
Focus📡 Module-Kit de Maîtrise - Concepts WLAN

📡 Module-Kit de Maîtrise - Concepts WLAN

Guide expert pour administrateurs réseaux - Basé sur le module Cisco WLAN

📍 ANALOGIE SYSTÉMIQUE

Thème central : "Un WLAN est une salle de conférence intelligente et sécurisée."

Métaphore : Imaginez le WLAN comme une salle de conférence d'entreprise.

Éléments clés :

  • SSID = Le nom de la salle sur la porte
  • Point d'Accès (AP) = Le haut-parleur principal et le micro
  • Canal radio (ex: canal 6) = La fréquence spécifique d'émission
  • BSS/ESS = Salle unique vs. salles interconnectées
  • CSMA/CA = Protocole de prise de parole (lever la main)
  • WLC (Contrôleur) = Le régisseur central de toutes les salles
  • CAPWAP = Système d'interphone chiffré sécurisé

🚨 Risque analogique :

Un "Evil Twin" est un imposteur qui installe un faux haut-parleur dans le couloir avec le même nom de salle. Les participants s'y connectent par erreur, et l'imposteur enregistre toutes leurs conversations.

🧠 MODÈLE MENTAL

Flowchart - Architecture WLAN
WLAN - Connexion Sans Fil
Composants Physiques
• Client: Carte WiFi
• AP Autonome/Controller
• Antennes
Protocoles
• Découverte (Balises)
• Auth (WPA2/3, 802.1X)
• CSMA/CA (RTS/CTS)
• CAPWAP
Architectures
• Mode Autonome
• Controller-Based
• FlexConnect
Résultat: Accès réseau
accordé ou refusé

📝 Interprétation du modèle :

Ce modèle montre les trois piliers d'un WLAN : les composants physiques, les protocoles et les architectures de contrôle. Tous convergent vers le résultat final : l'accès réseau pour le client.

Note : Un client peut passer par différentes méthodes d'authentification (PSK vs 802.1X) mais aboutit au même point s'il est autorisé.

⚡ NOYAU DUR (Les lois Immuables)

🔴

Loi #1

Le WiFi est un média partagé et half-duplex.

Preuve : La couche physique sans fil (radio) ne permet pas d'écouter en même temps qu'on parle. C'est la racine de l'utilisation du CSMA/CA (et non CSMA/CD comme en Ethernet).
🔴

Loi #2

Association → Auth → Autorisation

Preuve : Un client doit d'abord trouver et s'associer à un BSS (couche 2), puis prouver son identité, avant de recevoir une adresse IP et un accès.
🔴

Loi #3

SSID ≠ BSSID

Preuve : SSID = nom logique. BSSID = adresse MAC de l'AP. Plusieurs APs peuvent partager un SSID (ESS) mais ont des BSSID uniques.
🔴

Loi #4

Sécurité = Auth + Chiffrement

Preuve : Un réseau "ouvert" peut avoir du chiffrement (OWE/WPA3). WPA2-Enterprise sépare l'authentification du périphérique et de l'utilisateur.
🔴

Loi #5

Couverture vs Capacité = Compromis

Preuve : Plus d'APs = plus de capacité mais nécessite gestion minutieuse des canaux et puissance pour éviter les interférences co-canal.

🔐 PROFONDEUR SÉCURITÉ & MÉTIER

🚨 RISQUE PRINCIPAL : Evil Twin AP & compromission des credentials

Attaque Type :

Evil Twin (AP Rogue) + Attaque Man-in-the-Middle (MITM)

Détection :

show wlan summary et show ap rogue summary sur WLC
Analyseur de spectre/IDS sans fil
Logs RADIUS : tentatives depuis BSSID inconnus

Mitigation Immédiate :

! Sur un WLC Cisco
(config)# wids
(config-wids)# rogue ap detect
(config-wids)# rogue ap report adhoc
! Appliquer une politique pour contenir les rogues
(config)# wlan rogue policy evil_twin_policy
(config-rogue-policy)# action contain

Intégration Entreprise :

  • Politique : Exiger 802.1X (WPA2/3-Enterprise) pour tous les accès corporatifs
  • Ansible : Playbook pour pousser automatiquement les politiques de sécurité WLAN
  • SIEM : Alerte automatique en cas de détection d'un BSSID non répertorié

📚 PROFONDEUR EXAMEN CCNA

⚠️

Détail Oublié #1

"Le champ 'Duration' dans l'en-tête 802.11 est utilisé pour la réservation du medium via le mécanisme NAV (Network Allocation Vector). Il indique aux autres stations combien de temps le médium sera occupé."

⚠️

Piège Fréquent #2

"Beaucoup pensent que WPA2-Personal et WPA2-PSK sont deux choses différentes. C'est la même chose. 'PSK' signifie Pre-Shared Key."

🧠 Question Type CCNA :

Un client ne parvient pas à se connecter à un réseau sans fil configuré avec WPA2-Enterprise. L'authentification 802.1X échoue. Le serveur RADIUS est accessible depuis le contrôleur WLAN. Quelle est la cause la plus probable ?

A. La clé PSK est incorrecte.
B. Le certificat sur le serveur RADIUS a expiré.
C. Le canal WiFi est encombré.
D. Le SSID est masqué.

Explication :

Réponse correcte : B. WPA2-Enterprise utilise 802.1X/EAP, qui repose souvent sur des certificats TLS. Une expiration de certificat rompt la chaîne de confiance. A est pour le mode Personal, C affecte les performances mais pas l'authentification, D n'empêche pas une connexion manuelle.

⚙️ LAB COMPLET : DE LA CONFIG À L'AUTOMATISATION

✅ Niveau 1 (CCNA) : Configuration d'un AP Autonome

! Configuration WPA2-Personal sur AP autonome
enable
configure terminal
dot11 ssid MON_RESEAU_CORP
 vlan 10
 authentication open
 authentication key-management wpa version 2
 wpa-psk ascii 0 MonSuperMot2PasseComplexe2024!
interface Dot11Radio0
 ssid MON_RESEAU_CORP
 no shutdown
 channel 6
 power local 17
! Vérification
show dot11 associations
show dot11 adjacent-ap

⚠️ Niveau 2 (Production) : Hardening sur WLC

! Configuration WLAN sécurisée sur WLC
config wlan create 10 CORP_DATA
config wlan security wpa akm dot1x enable 10
config wlan security wpa wpa2 ciphers aes enable 10
config wlan enable 10

! Détection Rogue AP
config wids rogue ap detect
config advanced 802.11a rogue-detection report-adhoc-network enable

! Vérification
show wlan 10
show wlan security 10
show rogue ap summary

Risque si omis : Impossible de détecter automatiquement un Evil Twin.

🚀 Niveau 3 (Expert) : Automatisation Ansible

# playbook_ap_provisioning.yml
---
- name: Provision and Secure Cisco APs
  hosts: access_points
  vars:
    wlan_ssid: "CORP_SECURE"
    wlan_vlan: 110
    radius_server: "10.10.10.100"
  tasks:
    - name: Configure WLAN with WPA3-Enterprise
      cisco.ios.ios_config:
        lines:
          - "dot11 ssid {{ wlan_ssid }}"
          - "vlan {{ wlan_vlan }}"
          - "authentication key-management wpa3"
          - "authentication network-eap eap_methods"
          - "dot1x credentials RADIUS_CREDS"
        parents: "interface Dot11Radio0"
        save_when: changed
      tags: wlan_config

Avantage : Déploiement cohérent et reproductible sur des centaines d'APs. Élimination des erreurs manuelles.

🚨 SCÉNARIO DE DÉPANNAGE AVANCÉ

🔴 Symptôme Complexe

Déconnexions WiFi aléatoires et faibles débits dans le bureau sud. Problème intermittent.

⚠️ Processus de Diagnostic

  1. Vérifier état APs : show ap summary → état "Up" ?
  2. Analyser interférence : show 802.11a/b channel
    show 802.11a/b noise (bruit > -85 dBm ?)
  3. Vérifier config radio : show ap config general <AP_name>
    show client detail <client_mac>

🧠 Root Cause Probable

Interférence co-canal : Réseau voisin sur même canal + puissance d'émission trop élevée.

🔵 Fix et Rollback

! Fix : Ajuster canaux et puissance
config 802.11b disable <channel>
config 802.11b tx-power-control-threshold -70
config 802.11b tx-power-level 1
config ap channel 802.11b <AP_Name> 1

! Vérification
show 802.11b channel
show ap auto-rf <AP_Name>

! Rollback (si problème)
config 802.11b tx-power-control-threshold -65
config 802.11b tx-power-level 3
config ap channel 802.11b <AP_Name> auto

🔗 CONNECTIONS SYSTÉMIQUES

Relations avec l'Écosystème Réseau
← VLANs
(Module Précédent)
WLAN
→ Sécurité
(Module Suivant)

Écosystème Réel :

Pare-feu
Serveurs RADIUS
DNA Center
Contrôleurs SD-WAN

Relation avec VLANs : Chaque SSID est mappé à un VLAN spécifique. Mauvaise config de trunk = trafic client bloqué.

Relation avec Sécurité : WPA3/802.1X applique les concepts AAA et PKI. Une faille WLAN = porte d'entrée directe.

❓ VALIDATION PAR EXERCICE MENTAL

🧠 Question de Concept

En utilisant l'analogie de la salle de conférence, expliquez le CSMA/CA.

Réponse : Comme lever la main avant de parler. Client envoie RTS, AP répond CTS, puis communication avec accusé de réception.

⚠️ Question de Piège

Client 802.11ac sur AP en mode "802.11n only" ?

Réponse : Se connecte en mode "n" mais perd les avantages "ac". Pas de compatibilité descendante vers "a".

🚨 Question de Crise

3h du matin, alerte Deauthentication massive. Plan d'action ?

1. Commande : show wlan summary
2. Hypothèse : Attaque Deauth Flood
3. Plan : Contenir (WIDS) → Isoler → Investiger

🧩 MICRO-KIT ESSENTIEL (SYNTHÈSE 1 PAGE A4)

Flowchart Simplifié - Connexion Client
Client WiFi
Mode de
Découverte?
Passif
Écoute
Balises SSID
Actif
Envoie
Probe Requests
Association au BSS
Authentification?
Open/OWE
Accès
Réseau
PSK WPA2/3
Échange à
4 voies
802.1X
Négoc. EAP
avec RADIUS
Échange de données
via CSMA/CA

✅ 5 Lois Immuables

  1. WiFi = Half-Duplex → CSMA/CA
  2. Association → Auth → Autorisation
  3. SSID ≠ BSSID
  4. Sécurité = Auth + Chiffrement
  5. Couverture vs Capacité = Compromis

🔵 6 Commandes CLI

  1. show wlan summary
  2. show ap summary
  3. show client detail
  4. show 802.11a/b channel
  5. show rogue ap summary
  6. show wlan security

⚠️ 3 Pièges CCNA

  1. CSMA/CA ≠ CSMA/CD
  2. WPA2-Personal = WPA2-PSK
  3. Canaux 2.4 GHz : 1, 6, 11 seulement

🎯 1 Équation Mentale

WiFi Réussi =
(Couverture - Interférences)
+ (Auth Forte + Chiffrement)
+ (Canaux Non-Chevauchants)

📋 Dépannage en 3 Étapes

1. Pas de connexion
Vérifier association + auth
2. Connexion lente
Vérifier interférences + canal
3. Déconnexions
Chercher attaque deauth flood

🚨 Risque Sécurité Principal + Mitigation

Risque : Evil Twin AP (AP Rogue)

Mitigation : Déployer WPA3-Enterprise avec 802.1X. Jamais de PSK en entreprise.

Module-Kit de Maîtrise - Concepts WLAN

© 2025