1 00:00:04,280 --> 00:00:10,840 Bonjour et bienvenue dans cet enregistrement consacré à une fonctionnalité du WPA3 appelée protection par balise. 2 00:00:10,840 --> 00:00:16,720 Alors, faisons un bref rappel de ce que sont les balises. 3 00:00:16,720 --> 00:00:21,360 Les trames de balise sont donc des trames de gestion 802.11 et elles sont utilisées pour de nombreuses applications. 4 00:00:21,360 --> 00:00:23,060 pour des raisons différentes. 5 00:00:23,060 --> 00:00:25,420 Vous savez probablement déjà qu'ils sont utilisés par les clients de réseaux locaux sans fil. 6 00:00:25,420 --> 00:00:27,840 pour découvrir le réseau local sans fil. 7 00:00:27,840 --> 00:00:31,600 Vous savez quels SSID sont présents autour de moi et quelles sont leurs capacités ? 8 00:00:31,600 --> 00:00:35,740 À l'intérieur de la balise, on trouve des informations telles que les mécanismes d'authentification. 9 00:00:35,740 --> 00:00:40,140 Quels mécanismes de chiffrement sont utilisés ? Quels canaux sont utilisés ? 10 00:00:40,140 --> 00:00:41,040 plein de choses. 11 00:00:41,040 --> 00:00:43,520 Les balises regorgent d'informations. 12 00:00:43,520 --> 00:00:46,960 Ils aident également les clients du réseau local sans fil à maintenir leur connexion. 13 00:00:46,960 --> 00:00:48,540 au réseau local sans fil. 14 00:00:48,540 --> 00:00:52,960 Un client de réseau local sans fil doit pouvoir recevoir des balises si, pour une raison quelconque, 15 00:00:52,960 --> 00:00:56,780 soit parce que le client a déménagé trop loin, soit parce qu'il y a eu une augmentation 16 00:00:56,780 --> 00:01:01,280 en raison des interférences radiofréquences, il ne peut plus recevoir de balises. 17 00:01:01,280 --> 00:01:05,020 Les clients devront peut-être rechercher un autre réseau local sans fil auquel se connecter. 18 00:01:05,020 --> 00:01:09,020 Les balises sont désormais envoyées en clair et sans chiffrement, donc si vous utilisez le Wi-Fi… 19 00:01:09,020 --> 00:01:13,120 Vous pouvez lire les traces de renifleur du début à la fin. 20 00:01:13,120 --> 00:01:17,340 Une fois associées à un réseau local sans fil, des usurpations d'identité pourraient se produire. 21 00:01:17,340 --> 00:01:21,580 Dans ce cas, vous avez un point d'accès non autorisé qui envoie ses anciennes balises. 22 00:01:21,580 --> 00:01:24,940 Le pire des scénarios, c'est celui où vous avez un point d'accès qui est en fait 23 00:01:24,940 --> 00:01:29,620 usurper l'adresse MAC de votre point d'accès légitime, mais les balises 24 00:01:29,620 --> 00:01:33,980 L'adresse MAC malveillante envoie des messages défectueux ou incorrects aux clients. 25 00:01:33,980 --> 00:01:38,720 l'information. Cela peut entraîner la déconnexion des clients, la limitation du débit 26 00:01:38,720 --> 00:01:42,900 Le client, vous savez quoi, si le point d'accès non autorisé dit « je ne prends en charge que » 27 00:01:42,900 --> 00:01:46,860 Ce réseau local sans fil ne prend en charge qu'un mégabit par seconde, et c'est tout. 28 00:01:46,860 --> 00:01:50,320 Imaginez l'impact que cela aura sur votre Wi-Fi si vous commencez à… 29 00:01:50,320 --> 00:01:53,260 en croyant cela, et limitez votre débit à ce niveau. 30 00:01:53,260 --> 00:01:56,420 Il peut même vous forcer à passer à une autre chaîne en envoyant un signal. 31 00:01:56,420 --> 00:01:58,120 Annonce de changement. 32 00:01:58,120 --> 00:02:05,100 Le WPA3 a donc ajouté une protection par balise pour réduire certains de ces risques. 33 00:02:05,100 --> 00:02:06,780 Alors, comment sont-ils protégés ? 34 00:02:06,780 --> 00:02:12,540 Si vous avez vu ma vidéo sur les trames de gestion protégées WPA3 (PMF), devinez… 35 00:02:12,540 --> 00:02:15,600 Le même concept s'applique ici. 36 00:02:15,600 --> 00:02:19,860 L'idée est donc que, comme nous ne pouvons pas chiffrer les balises, celles-ci doivent toujours être envoyées. 37 00:02:19,860 --> 00:02:24,080 en texte clair afin que tout le monde puisse les lire, même les clients qui ne le sont pas 38 00:02:24,080 --> 00:02:27,320 Ils sont actuellement connectés au réseau local sans fil, mais ils envisagent cette possibilité. 39 00:02:27,320 --> 00:02:31,800 Nous ne pouvons donc pas le chiffrer, mais nous pouvons en valider l'intégrité et l'authentification. 40 00:02:31,800 --> 00:02:36,020 de la balise en ajoutant un code d'intégrité de message ou un MAC. 41 00:02:36,020 --> 00:02:46,800 Nous avons donc le point d'accès ; nous utiliserons une clé spéciale à cet effet. 42 00:02:46,800 --> 00:02:48,900 Clé temporelle, la grande TK. 43 00:02:48,900 --> 00:02:54,620 De même qu'il existe d'autres clés que les points d'accès fourniront à 44 00:02:54,620 --> 00:03:01,560 les clients par exemple la clé temporelle du groupe, l'IG TK, ceux-là et 45 00:03:01,560 --> 00:03:06,080 Ces messages sont transmis dans Epos sur LAN, message clé numéro trois. 46 00:03:06,080 --> 00:03:09,880 Vous devez donc passer par cette poignée de main en quatre étapes pour recevoir 47 00:03:09,880 --> 00:03:13,760 cette clé. Maintenant, qu'est-ce que cela signifie pour les clients qui ne sont pas associés à 48 00:03:13,760 --> 00:03:15,220 Le réseau local sans fil est-il déjà opérationnel ? 49 00:03:15,220 --> 00:03:18,060 Eh bien, ils pourront toujours recevoir ces balises et les analyser. 50 00:03:18,060 --> 00:03:20,900 et voir ce qu'il y a à l'intérieur, c'est juste jusqu'à ce qu'ils soient réellement associés 51 00:03:20,900 --> 00:03:25,000 au sans fil et ont effectué la négociation Epos sur LAN, 52 00:03:25,000 --> 00:03:28,300 ne pourront pas analyser ce code d'intégrité du message et ils ne pourront pas 53 00:03:28,300 --> 00:03:33,620 pour déterminer si le point d'accès est légitime ou non, jusqu'à ce que 54 00:03:33,620 --> 00:03:35,400 Ils ont déjà passé cette étape. 55 00:03:35,400 --> 00:03:40,320 Ceci sert uniquement à garantir l'intégrité, et non le chiffrement, et est partagé entre 56 00:03:40,320 --> 00:03:44,620 Tous les clients, tout comme la clé temporelle du groupe, sont associés à 57 00:03:44,620 --> 00:03:48,880 ce SSID. Pour bénéficier de cette fonctionnalité, vous devez avoir un réseau protégé. 58 00:03:48,880 --> 00:03:51,220 Cadres de gestion activés. 59 00:03:51,220 --> 00:03:55,280 Il ne s'agit donc pas d'une fonctionnalité indépendante, mais d'une option. 60 00:03:55,280 --> 00:03:59,280 mais si vous le souhaitez, vous devez déjà utiliser PMF. 61 00:03:59,280 --> 00:04:06,440 Si vous utilisez le Wi-Fi 7 ou une version supérieure, il s'avère que la protection des balises est activée. 62 00:04:06,440 --> 00:04:10,220 tout comme les cadres de gestion protégés sont nécessaires. 63 00:04:10,220 --> 00:04:15,120 En fait, les trames de gestion protégées WPA3 sont déjà requises. 64 00:04:15,120 --> 00:04:19,480 Sur les appareils Cisco, il est impossible de créer un réseau local sans fil WPA3 sans avoir… 65 00:04:19,480 --> 00:04:21,460 Cadres de gestion protégés. 66 00:04:21,460 --> 00:04:25,900 La protection par balise, en tant que fonctionnalité secondaire, est désormais optionnelle. 67 00:04:25,900 --> 00:04:30,020 Le Wi-Fi 6E et les versions inférieures sont requis, mais au-delà, c'est indispensable. 68 00:04:30,020 --> 00:04:31,560 Comment allons-nous concrètement le mettre en œuvre ? 69 00:04:31,560 --> 00:04:39,940 Eh bien, sur la version 17.15 ou ultérieure, et c'est un point crucial si vous êtes 70 00:04:39,940 --> 00:04:42,900 Nous allons faire cela concrètement en laboratoire. Assurez-vous que votre manette est… 71 00:04:42,900 --> 00:04:48,640 Si vous utilisez Android 17.15 ou une version ultérieure, vous verrez une notification lorsque vous sélectionnerez WPA3 comme option de sécurité. 72 00:04:48,640 --> 00:04:53,720 Pour le type de réseau local sans fil, une case à cocher sera désormais disponible. 73 00:04:53,720 --> 00:04:56,100 Protection des balises. 74 00:04:56,100 --> 00:04:59,860 Comment savoir si cela fonctionne réellement, si cela a un quelconque effet ? 75 00:04:59,860 --> 00:05:04,840 Si vous ouvrez votre cadre de balise, vous verrez ici, sous étendu 76 00:05:04,840 --> 00:05:09,320 L'octet 11 des capacités correspond donc au dernier octet sous étendu 77 00:05:09,320 --> 00:05:13,800 Si vous ouvrez cette section, vous verrez un indicateur réglé sur le numéro un. 78 00:05:13,800 --> 00:05:19,120 Protection contre les balises activée, oui c'est vrai, et puis tout en bas de 79 00:05:19,120 --> 00:05:22,360 J'ai dû couper quelques éléments de la balise, mais vous verrez le bas. 80 00:05:22,360 --> 00:05:27,060 cet élément supplémentaire, appelé élément de gestion micro, et ceci en fait 81 00:05:27,060 --> 00:05:32,120 contient le code d'intégrité du message, donc ces deux éléments pris ensemble 82 00:05:32,120 --> 00:05:37,500 Veuillez confirmer que la fonction de protection des balises est activée. 83 00:05:37,500 --> 00:05:44,420 Maintenant, il n'y a vraiment aucun moyen de voir le vrai grand TK, tout comme il n'y a pas 84 00:05:44,420 --> 00:05:47,540 moyen de voir la clé temporelle du groupe car même si elle est transmise 85 00:05:47,540 --> 00:05:52,260 du point d'accès au client dans Epos-Rlan, message clé numéro trois 86 00:05:52,260 --> 00:05:56,800 N'oubliez pas que le troisième message clé Epos-Rlan correspond en fait au contenu. 87 00:05:56,800 --> 00:06:02,020 Ces données sont chiffrées avec la clé de chiffrement dérivée du message. 88 00:06:02,020 --> 00:06:08,020 Premièrement, nous pouvons voir ici les données de la clé WPA et ceci va 89 00:06:08,020 --> 00:06:14,020 être notre clé temporelle de groupe, peut-être un iGtk et le grand tk si nous sommes 90 00:06:14,020 --> 00:06:18,960 Je fais de même, et tout ceci est chiffré avec la clé de chiffrement. 91 00:06:18,960 --> 00:06:24,420 entre le client et le point d'accès, donc quelques réflexions finales sur 92 00:06:24,420 --> 00:06:29,700 Ainsi, la protection par balise ne protégera que le client contre les accès non autorisés. 93 00:06:29,700 --> 00:06:35,000 points qui tentent d'usurper l'identité légitime par duplication d'adresse MAC 94 00:06:35,000 --> 00:06:40,060 point d'accès si quelqu'un a un point d'accès non autorisé et qu'il ne l'a pas fait 95 00:06:40,060 --> 00:06:43,120 Ils ont pris la peine de le faire, ils disent : « Vous savez quoi ? Je vais insérer un accès. » 96 00:06:43,120 --> 00:06:48,720 point qui diffuse exactement le même SSID que le SSID de l'entreprise et 97 00:06:48,720 --> 00:06:51,760 Je vais laisser mon adresse MAC telle quelle, je ne vais pas la changer. 98 00:06:51,760 --> 00:06:56,480 Alors la protection par balise ne protège pas contre cela, souvenez-vous-en. 99 00:06:56,480 --> 00:07:01,780 Il appartient au client de décider quel point d'accès il va essayer d'utiliser. 100 00:07:01,780 --> 00:07:06,880 L'adhésion dépend généralement de la puissance ou de la clarté du signal. 101 00:07:06,880 --> 00:07:12,360 que le point d'accès possède dans sa balise, donc si mon entreprise légitime 102 00:07:12,360 --> 00:07:17,020 Le point d'accès est derrière plusieurs murs pour moi et le signal vient de toi. 103 00:07:17,020 --> 00:07:21,260 Je connais des niveaux de sécurité modérés à faibles, et soudain un point d'accès non autorisé est placé. 104 00:07:21,260 --> 00:07:25,780 Il y a de fortes chances que mon client se trouve dans la même pièce que moi. 105 00:07:25,780 --> 00:07:30,000 tentera de se connecter au point d'accès non autorisé et cette fonctionnalité ne fonctionnera pas 106 00:07:30,000 --> 00:07:36,260 pour éviter cela, une dernière pensée : accès à l'ancien Cisco Wave 2 Aeronaut 107 00:07:36,260 --> 00:07:39,420 Les modèles de points et vous avez quelques modèles ici, malheureusement je ne les ai pas. 108 00:07:39,420 --> 00:07:44,180 la capacité matérielle à prendre en charge la protection par balise, donc si vous voulez 109 00:07:44,180 --> 00:07:46,860 Essayez de faire cela en laboratoire avec votre propre point d'accès, que vous avez peut-être acheté. 110 00:07:46,860 --> 00:07:50,300 Si vous achetez sur eBay ou ailleurs, assurez-vous de ne pas acheter un modèle ancien. 111 00:07:50,300 --> 00:07:54,880 Comme ça, parce que vous ne pourrez pas le faire. Ceci conclut cette vidéo.