Version Filtre

📡 Module Kit de Maîtrise

Le contenu complet du module source est réintégré dans un habillage modernisé, avec scripts et styles utiles conservés.

Contenu sourceLe texte et les structures utiles du document d'origine sont conservés dans cette reconstruction.
RenduHabillage moderne inspire du modele principal, sans supprimer les blocs specifiques du document initial.
Focus📡 Module Kit de Maîtrise

📡 Module Kit de Maîtrise

La Configuration WLAN - Architecture du Spectre Invisible
📍

ANALOGIE SYSTÉMIQUE

Thème central : "L'Architecture de l'Air - Gouverner le spectre invisible"

Métaphore : Un réseau WLAN est comme une orchestre radio

🎯 Éléments clés :

  • Chef d'orchestre (WLC) : Coordonne tous les APs, gère le roaming, applique les politiques de sécurité
  • Instruments (APs) : Exécutent la musique (transmettent les données) sur des fréquences spécifiques
  • Partitions (Canaux) : 1, 6, 11 pour 2.4GHz ; canaux non-overlapping pour éviter l'interférence
  • Salle de concert (Spectre) : Ressource limitée (2.4GHz encombré vs 5GHz plus libre)
  • Billets d'entrée (Authentification) : WPA2-PSK = billet standard, WPA2-Enterprise = billet nominatif avec vérification d'identité

⚠️ Risque analogique :

Un intrus qui se fait passer pour un musicien (AP rogue) ou qui écoute la répétition (eavesdropping) peut perturber tout le concert.

🧠

MODÈLE MENTAL

Ce diagramme représente l'architecture fondamentale des réseaux WLAN :

flowchart TD A[Architecture WLAN] --> B[SOHO/Home] A --> C[Enterprise] B --> D[Routeur Sans Fil] D --> E[Configuration GUI
1. Changer mot de passe admin
2. Configurer SSID/PSK
3. Choisir canal] E --> F[Services:
- DHCP
- NAT/PAT
- QoS
- Port Forwarding] C --> G[WLC + Light APs] G --> H[Protocoles:
- LWAPP/CAPWAP
- RADIUS
- SNMP] H --> I[Architecture Split-MAC
Plan de contrôle: WLC
Plan de données: AP] F --> J[Résultat: Accès Internet
Double bande possible] I --> K[Résultat: Réseau managé
Roaming seamless
Sécurité centralisée]

🔍 Points Clés à Retenir :

  • Architecture Split-MAC : Séparation claire entre plan de contrôle (WLC) et plan de données (AP)
  • Deux mondes distincts : SOHO (simple) vs Enterprise (complexe mais puissant)
  • Protocoles enterprise : CAPWAP, RADIUS, 802.1X - indispensables pour le scaling

NOYAU DUR (Les Lois Immuables)

🔴 Loi #1 : L'air est un medium partagé et hostile.

Preuve/Pourquoi : Le spectre 2.4GHz n'a que 3 canaux non-overlapping (1, 6, 11). Toute transmission est broadcast, donc vulnérable à l'écoute. La sécurité DOIT être chiffrée de bout en bout.

🔴 Loi #2 : Le WLC est le cerveau, l'AP est le muscle.

Preuve/Pourquoi : Architecture Split-MAC : Le WLC gère l'authentification (802.1X), le roaming, les politiques. L'AP gère seulement la transmission radio. C'est pour ça qu'on peut avoir des APs "légers".

🔴 Loi #3 : WPA2-Enterprise n'est PAS optionnel en entreprise.

Preuve/Pourquoi : WPA2-PSK utilise une clé partagée - si un employé part la clé ou quitte l'entreprise, TOUT le réseau est compromis. WPA2-Enterprise avec RADIUS permet une authentification individuelle et révocable.

🟠 Loi #4 : NAT n'est pas un pare-feu.

Attention : Beaucoup pensent que NAT = sécurité. NAT masque les adresses, mais n'inspecte pas le trafic. Un client infecté peut toujours initier une connexion vers l'extérieur.

🔐

PROFONDEUR SÉCURITÉ & MÉTIER

🚨 RISQUE PRINCIPAL

Risque Principal : Détournement de session WPA2-Enterprise via attaque Evil Twin/AP Rogue

→ Attaque Type : Evil Twin Attack + EAP-MD5 Downgrade

→ Détection :

# Sur WLC Cisco
show wlan summary | include Rogue
show ap rogue ap summary

→ Mitigation Immédiate :

! Sur WLC
config wps rogue ap detect enable
config wps rogue ap report-interval 60
config advanced eap identity-request-timeout 30
config wlan security wpa akm dot1x enable <wlan-id>
config wlan security wpa cipher aes enable <wlan-id>

🏢 Intégration Entreprise :

  • SIEM Integration: Envoyer les logs du WLC vers Splunk/ELK avec correlation rule pour détecter multiple failed authentications + rogue AP detection
  • NAC/ISE: Intégrer avec Cisco ISE pour posture assessment (vérifier que l'antivirus est à jour avant de donner l'accès)
- name: Hardening WLAN Security
  cisco.wlc.wlan_config:
    wlan_id: "{{ item.id }}"
    security:
      wpa:
        enabled: true
        akm:
          - dot1x
        cipher:
          - aes
      wpa2:
        enabled: true
        akm:
          - dot1x
        cipher:
          - aes
    state: present
  loop: "{{ wlan_list }}"
  tags: security_hardening
📚

PROFONDEUR EXAMEN CCNA

🟠 Piège Fréquent #1 : "LWAPP vs CAPWAP"

Détail crucial : LWAPP est l'ancien protocole, CAPWAP est le nouveau (RFC 5415). CAPWAP utilise UDP 5246 pour contrôle, UDP 5247 pour données. LWAPP utilisait UDP 12222/12223. Le CCNA adore demander les ports.

🟠 Piège Fréquent #2 : "Channels 2.4GHz vs 5GHz"

Détail oublié :

  • 2.4GHz : Canaux 1-13 (mais US: 1-11), largeur 20/40MHz, 3 canaux non-overlapping (1,6,11)
  • 5GHz : Canaux 36,40,44,48,52,56,60,64,100,104,108,112,116,120,124,128,132,136,140,144,149,153,157,161,165 (DFS sur certains)
  • EXAM TRAP: "Quel canal utiliser pour éviter les interférences?" → Réponse: Sur 2.4GHz, TOUJOURS 1, 6, ou 11.

📝 Question Type CCNA :

"Un utilisateur se plaint de lenteurs intermittentes sur le WiFi. Vous vérifiez le WLC et voyez que l'AP utilise le canal 6 sur 2.4GHz. Quel est le problème le plus probable et quelle solution immédiate appliquer?"

Réponse : B) Interférence sur le canal → Changer pour canal 1 ou 11

Explication : Les interférences sur 2.4GHz sont courantes, les canaux 1,6,11 sont les seuls non-overlapping. Le canal 6 est le plus utilisé et donc le plus sujet aux interférences.

⚙️

LAB COMPLET : DE LA CONFIG À L'AUTOMATISATION

🔵 Niveau 1 (CCNA) : Configuration Fondamentale WLC

! Étape 1: Accès au WLC via SSH
ssh admin@192.168.200.254

! Étape 2: Créer une interface VLAN pour le WLAN
config interface create vlan5 5
config interface address vlan5 192.168.5.254 255.255.255.0 192.168.5.1
config interface port vlan5 1
config interface dhcp vlan5 primary 192.168.5.1

! Étape 3: Créer le WLAN avec WPA2-Enterprise
config wlan create 5 Corp-WLAN Corp-SSID
config wlan interface 5 vlan5
config wlan security wpa akm dot1x enable 5
config wlan security wpa cipher aes enable 5
config wlan security dot1x authentication-server radius 5
config wlan enable 5

! Vérification :
show wlan summary
show interface summary
show ap association

Objectif : Configurer un WLAN enterprise-ready avec VLAN segmentation

Vérification : show wlan clients → Doit montrer les clients authentifiés via RADIUS

🟢 Niveau 2 (Production Sécurisée) : Hardening

! 1. Désactiver les VLANs par défaut vulnérables
config network web-auth captive-bypass disable
config wlan disable 1  ! Désactive le WLAN guest par défaut

! 2. Configurer les paramètres de sécurité avancés
config advanced eap identity-request-timeout 10
config wlan session-timeout 5 1800  ! 30 minutes d'inactivité max
config wlan broadcast-ssid disable 5  ! Hide SSID (security through obscurity)

! 3. Configurer le Rogue AP Detection
config wps rogue ap detect enable
config wps rogue ap detect period 90
config wps rogue ap report-interval 60

Risque si omis : APs rogues non détectés, surcharge des APs, roaming interrompu

Justification best-practice : NIST SP 800-153 guidelines for WLAN security

🔴 Niveau 3 (Expert/Automatisation) : Script & Scale

#!/usr/bin/env python3
"""
Script d'automatisation WLC avec Netmiko
Crée 10 WLANs avec configuration standardisée
"""
from netmiko import ConnectHandler
import yaml

def configure_wlc_bulk(wlc_device, wlan_configs):
    """Configure multiple WLANs on WLC"""
    
    commands = []
    for wlan in wlan_configs:
        commands.extend([
            f"config wlan create {wlan['id']} {wlan['name']} {wlan['ssid']}",
            f"config wlan interface {wlan['id']} {wlan['vlan']}",
            f"config wlan security wpa akm dot1x enable {wlan['id']}",
            f"config wlan security wpa cipher aes enable {wlan['id']}",
            f"config wlan enable {wlan['id']}"
        ])
    
    with ConnectHandler(**wlc_device) as net_connect:
        output = net_connect.send_config_set(commands)
        net_connect.send_command("save config")
    
    return output

Avantage : Déploiement cohérent de 50+ WLANs en 2 minutes vs 2 heures manuellement. Audit facile via Git.

🚨

SCÉNARIO DE DÉPANNAGE AVANCÉ

Symptôme Complexe :

Les utilisateurs du VLAN 10 (WiFi Guest) se connectent mais n'ont pas d'accès Internet. Les utilisateurs du VLAN 20 (WiFi Corporate) fonctionnent normalement. Le problème est intermittent.

Processus de Diagnostic (Arbre Décisionnel) :

  1. Vérifier le scope DHCP pour VLAN10 :
    show dhcp scope → Vérifier que scope existe et a des adresses disponibles
  2. Vérifier l'interface VLAN10 sur le WLC :
    show interface detailed vlan10 → Vérifier: State = UP, IP correct, Gateway répond
  3. Vérifier les ACLs/Firewall :
    show ap config general <ap-name> → Vérifier si ACL appliquée au WLAN
  4. Vérifier le serveur RADIUS (si authentification) :
    show radius statistics → Chercher des authentifications failed

Root Cause Probable :

Scope DHCP épuisé pour VLAN10 OU ACL bloquant le trafic sortant OU problème de routage sur le gateway.

Fix et Rollback :

! FIX 1: Étendre le scope DHCP
config dhcp scope extend vlan10 192.168.10.100 192.168.10.150

! FIX 2: Corriger ACL si problème
config ip access-list modify guest-acl permit ip any any

! VÉRIFICATION du fix
show wlan clients | include VLAN10
show dhcp scope vlan10

! ROLLBACK plan (au cas où)
config dhcp scope restore vlan10 backup-config
🧩

MICRO-KIT ESSENTIEL (SYNTHÈSE 1 PAGE A4)

🔹 Les 5 Lois Immuables (version courte)

  1. ! L'air est partagé → Chiffrement obligatoire
  2. ! WLC = Cerveau, AP = Muscle → Architecture Split-MAC
  3. ! WPA2-Enterprise > WPA2-PSK → Authentification individuelle
  4. ? Canaux 1,6,11 seulement → Pas d'overlap sur 2.4GHz
  5. ? NAT ≠ Firewall → Security policy nécessaire

🧠 Mini-Modèle Mental

flowchart TD A[WLAN] --> B[SOHO: Routeur Tout-en-Un] A --> C[Enterprise: WLC + APs] B --> D[DHCP + NAT + PSK] C --> E[CAPWAP + RADIUS + 802.1X] D --> F[Simple mais limité] E --> G[Complexe mais scalable] F --> H[Pas de roaming
Sécurité basique] G --> I[Roaming seamless
Sécurité enterprise]

🔵 Les 6 Commandes CLI Incontournables

show wlan summary                    # Liste tous les WLANs
show ap association                  # APs connectés au WLC
show interface detailed <vlan>       # Vérif interface VLAN
show wlan clients                    # Clients connectés
show radius statistics               # État authentification
debug client <mac-address>           # Dépannage client spécifique

🟠 Les 3 Pièges CCNA

  • Ports CAPWAP: UDP 5246 (control), 5247 (data) - pas LWAPP!
  • Canaux 2.4GHz: Seulement 1, 6, 11 sont non-overlapping
  • WPA3 vs WPA2: WPA3 utilise SAE, protège contre dictionary attacks

🟢 Scénario Dépannage 3 Étapes

  1. Client ne connecte pas: ipconfig /release && renew → Vérifier IP
  2. Connecté mais pas d'internet: ping gateway → Vérifier DHCP scope
  3. Lent intermittent: show ap auto-rf → Changer canal manuellement

🔴 1 Risque Sécurité + Mitigation

Risque: Evil Twin Attack avec RADIUS interception

Mitigation: Certificates server-side (PKI) + 802.1X avec EAP-TLS

📐 Équation Mentale

WLAN Enterprise = WLC + (CAPWAP × APs) + (RADIUS × 802.1X) + (VLANs ÷ Canaux)

Module-Kit de Maîtrise - La configuration WLAN

© 2025