1 00:00:04,460 --> 00:00:09,920 Bonjour et bienvenue dans cette vidéo intitulée « Mode de transition WPA ». 2 00:00:09,920 --> 00:00:13,200 Dans cette vidéo, nous allons parler de ce qui se passe lorsque vous 3 00:00:13,200 --> 00:00:18,260 Vous souhaitez proposer un réseau local sans fil (WLAN) avec un SSID et vous pourriez avoir des clients. 4 00:00:18,260 --> 00:00:24,260 qui ne prennent en charge que le WPA2 et d'autres clients plus récents qui prennent en charge le WPA3. 5 00:00:24,260 --> 00:00:26,480 Que faire dans cette situation ? 6 00:00:26,480 --> 00:00:29,500 Et c'est précisément ce dont nous allons parler ici. 7 00:00:29,500 --> 00:00:33,820 Nous savons donc déjà que le WPA3 intègre de nombreuses fonctionnalités qui le rendent plus sûr. 8 00:00:33,820 --> 00:00:37,220 Il est intrinsèquement plus robuste et plus sûr que le WPA2. 9 00:00:37,220 --> 00:00:39,500 Il possède des cadres de gestion protégés. 10 00:00:39,500 --> 00:00:42,480 Il offre la possibilité d'activer la protection par balise si vous le souhaitez. 11 00:00:42,480 --> 00:00:45,880 Il dispose de suites de sécurité plus robustes. 12 00:00:45,880 --> 00:00:50,560 Certes, en mode personnel, l'authentification simultanée des égaux 13 00:00:50,560 --> 00:00:56,920 est beaucoup plus robuste et génère des PMK par client que le WPA2 qui n'en possède qu'un seul. 14 00:00:56,920 --> 00:00:59,300 P.A. PMK pour chaque client. 15 00:00:59,300 --> 00:01:00,820 Et je pourrais continuer encore et encore. 16 00:01:00,820 --> 00:01:04,820 Cependant, tous les clients ne prennent pas en charge le WPA3. 17 00:01:04,820 --> 00:01:10,620 Certes, des choses comme, par exemple, les anciens smartphones et tablettes, Internet 18 00:01:10,620 --> 00:01:15,400 des objets connectés et de ce projet d'automatisation open source appelé Home 19 00:01:15,400 --> 00:01:19,740 L'automatisation ou Home Assistant ne prend pas en charge le WPA3. 20 00:01:19,740 --> 00:01:21,940 Et ce ne sont que quelques exemples. 21 00:01:21,940 --> 00:01:25,060 Comment proposer un SSID qui soit accessible à tous et que tout le monde puisse utiliser ? 22 00:01:25,060 --> 00:01:30,040 Se connecter à quoi ? Et c’est précisément le rôle du mode de transition WPA. 23 00:01:30,040 --> 00:01:35,100 En résumé, lorsque vous sélectionnez le mode de transition WPA, ce que vous faites réellement 24 00:01:35,100 --> 00:01:39,800 Il s'agit simplement de proposer dans vos balises un SSID qui fait de la publicité 25 00:01:39,800 --> 00:01:44,720 qu'il peut gérer les deux, WPA2 et WPA3 personnel. 26 00:01:44,720 --> 00:01:50,160 La règle stipule donc que si un client Wi-Fi est capable de se connecter via 27 00:01:50,160 --> 00:01:53,080 WPA3 SAE, ils devraient. 28 00:01:53,080 --> 00:01:59,060 Seuls les clients qui ne prennent pas en charge le WPA3 doivent se connecter via l'ancienne interface. 29 00:01:59,060 --> 00:02:06,160 WPA2. Or, en ce qui concerne les trames de gestion protégées, nous savons que 30 00:02:06,160 --> 00:02:07,040 C'est une option. 31 00:02:07,040 --> 00:02:09,680 Nous allons le constater à nouveau ici, lors de la configuration. 32 00:02:09,680 --> 00:02:13,660 modifier votre réseau local sans fil, notamment avec un contrôleur comme le Catalyst 9800, 33 00:02:13,660 --> 00:02:17,300 Il y a une case à l'intérieur pour les cadres de gestion protégés et vous pouvez la configurer. 34 00:02:17,300 --> 00:02:21,260 Il peut être désactivé, obligatoire ou facultatif. 35 00:02:21,260 --> 00:02:22,820 Voilà vos trois options. 36 00:02:22,820 --> 00:02:27,340 Dans ce cas précis, étant donné que vous pourriez avoir des clients WPA2 qui 37 00:02:27,340 --> 00:02:33,740 Il est possible que le PMF ne soit pas reconnu car il n'était pas obligatoire avant l'arrivée du WPA3. 38 00:02:33,740 --> 00:02:36,880 En fait, vous devez vraiment le paramétrer comme optionnel. 39 00:02:36,880 --> 00:02:40,400 Car si vous le définissez comme obligatoire, ces clients pourraient ne pas être en mesure de 40 00:02:40,400 --> 00:02:43,500 pour se connecter. Vous vous dites peut-être : « Attendez une seconde, si je configure… » 41 00:02:43,500 --> 00:02:48,700 Si cela devient optionnel, comment mes clients WPA3 pourront-ils se connecter ? 42 00:02:48,700 --> 00:02:52,680 Eh bien, le WPA3 nécessite des cadres de gestion de protection. 43 00:02:52,680 --> 00:02:56,660 Et donc, si vous vous souvenez de ma vidéo où j'ai présenté le concept de PMF, 44 00:02:56,660 --> 00:03:00,600 Je vous ai montré une capture d'écran d'une balise, une trace de renifleur d'une balise. 45 00:03:00,600 --> 00:03:03,300 Et nous avons vu qu'il y avait deux éléments pour les drapeaux. 46 00:03:03,300 --> 00:03:08,920 L'un de ces extraits indiquait que les cadres de gestion de protection en étaient capables. 47 00:03:08,920 --> 00:03:12,880 Autrement dit, moi, le point d'accès, je peux le faire si vous le souhaitez. 48 00:03:12,880 --> 00:03:16,480 Et puis il y avait un autre indicateur qui, s'il était réglé sur un, disait : vous avez 49 00:03:16,480 --> 00:03:18,660 utiliser des cadres de gestion protégés. 50 00:03:18,660 --> 00:03:22,580 Donc, dans ce cas précis, si nous le définissons comme optionnel, la balise sera 51 00:03:22,580 --> 00:03:24,240 On dit qu'il en est capable. 52 00:03:24,240 --> 00:03:25,840 Il n'est pas indiqué que c'est obligatoire. 53 00:03:25,840 --> 00:03:26,940 Il indiquera qu'il en est capable. 54 00:03:26,940 --> 00:03:31,880 Et lorsque les clients WPA3 constatent cela, ils sont tenus d'utiliser une protection. 55 00:03:31,880 --> 00:03:33,940 cadres de gestion. 56 00:03:33,940 --> 00:03:38,100 Voici comment créer un réseau local sans fil en mode transition. 57 00:03:38,100 --> 00:03:44,400 Donc, dans la section sécurité, vous sélectionnez WPA2 et WPA3, ou autre. 58 00:03:44,400 --> 00:03:47,820 Il effectue une recherche dans votre interface utilisateur Web pour votre produit spécifique. 59 00:03:47,820 --> 00:03:54,400 Vous auriez alors sélectionné AES CCMP 128, car pour les besoins personnels 60 00:03:54,400 --> 00:03:57,560 Il ne prend en charge que le mode WPA2. 61 00:03:57,560 --> 00:03:59,960 Il prend uniquement en charge AES CCMP. 62 00:03:59,960 --> 00:04:02,980 Ensuite, dans la gestion de vos clés d'authentification, vous sélectionnerez les deux options. 63 00:04:02,980 --> 00:04:10,340 Clé pré-partagée, dont les clients WPA2 auront besoin, et SAE pour le WPA3. 64 00:04:10,340 --> 00:04:13,640 clients. Et puis ça s'arrête un peu en bas, mais vous êtes 65 00:04:13,640 --> 00:04:17,360 Vous devrez tout de même saisir votre phrase de passe pour le réseau local sans fil. 66 00:04:17,360 --> 00:04:21,260 Les deux types de clients WPA seront utilisés pour se connecter. 67 00:04:21,260 --> 00:04:25,040 Et vous pouvez donc voir ici, voici une partie de la balise. 68 00:04:25,040 --> 00:04:28,820 Et ceci se trouve dans l'élément d'information du réseau de sécurité robuste. 69 00:04:28,820 --> 00:04:32,260 Et vous pouvez maintenant constater que, dans la section « Gestion des clés d'authentification », il est indiqué : 70 00:04:32,260 --> 00:04:35,740 En réalité, je prends en charge deux types différents de clés de gestion. 71 00:04:35,740 --> 00:04:39,580 Vous pouvez vous connecter à moi avec une clé pré-partagée, ou vous pouvez vous connecter à moi avec 72 00:04:39,580 --> 00:04:42,680 Authentification simultanée des égaux. 73 00:04:42,680 --> 00:04:47,400 Ceci confirme donc que le point d'accès prend en charge une transition. 74 00:04:47,400 --> 00:04:51,340 mode réseau local sans fil. 75 00:04:51,340 --> 00:04:56,840 Très bien. Vous savez probablement maintenant que le GCMP 128 est beaucoup plus puissant qu'un 76 00:04:56,840 --> 00:04:59,380 Algorithme de chiffrement supérieur à AES CCMP. 77 00:04:59,380 --> 00:05:02,920 La question pourrait donc être : puis-je utiliser les deux ? 78 00:05:02,920 --> 00:05:09,320 Est-il possible que mes clients WPA2 utilisent l'AES et mes clients WPA3 le GCMP ? 79 00:05:09,320 --> 00:05:12,280 128 dans un réseau local sans fil en mode transition ? 80 00:05:12,280 --> 00:05:13,880 La réponse est non, vous ne pouvez pas. 81 00:05:13,880 --> 00:05:17,660 N'oubliez pas que les clients WPA2 ne comprennent que le protocole CCMP. 82 00:05:17,660 --> 00:05:22,560 Les clients WPA3 peuvent utiliser GCMP 128. 83 00:05:22,560 --> 00:05:25,660 Mais cela ne fonctionnera que lorsque le réseau local sans fil sera configuré. 84 00:05:25,660 --> 00:05:29,900 Uniquement pour le WPA3, pas pour le mode de transition. 85 00:05:29,900 --> 00:05:32,520 Voici donc ce que vous verrez. 86 00:05:32,520 --> 00:05:35,260 Nous avons donc ici notre réseau local sans fil en mode transition. 87 00:05:35,260 --> 00:05:36,180 Et nous l'avons essayé. 88 00:05:36,180 --> 00:05:39,100 Nous avons essayé de cocher ces deux cases ici même. 89 00:05:39,100 --> 00:05:43,640 Et dès que vous le faites, vous obtenez ce message d'erreur ici en rouge. 90 00:05:43,640 --> 00:05:47,060 Et notez que j'ai sélectionné SAE et PSK. 91 00:05:47,060 --> 00:05:54,780 En résumé, la seule façon de faire fonctionner GCMP est d'utiliser 92 00:05:54,780 --> 00:06:03,040 802.1x. En gros, si vous désélectionnez SAE et PSK, par exemple si vous dites : 93 00:06:03,040 --> 00:06:06,020 Je vais le faire. 94 00:06:06,020 --> 00:06:12,120 Je vais aller ici et je vais désélectionner ceci pour que seul 95 00:06:12,120 --> 00:06:16,780 Le GCMP 128 est utilisable. 96 00:06:16,780 --> 00:06:20,320 Puis-je faire cela dans un réseau local sans fil en mode transition ? 97 00:06:20,320 --> 00:06:25,620 Oui, c'est possible. Mais la seule façon d'y parvenir est de désélectionner. 98 00:06:25,620 --> 00:06:34,040 SAE, j'ai désélectionné la clé pré-partagée et j'ai utilisé à la place la douce B1x. 99 00:06:34,040 --> 00:06:36,040 Et vous remarquez le 1x là-dedans ? 100 00:06:36,040 --> 00:06:40,260 Cela devrait vous mettre la puce à l'oreille : il s'agit de la norme 802.1x. 101 00:06:40,260 --> 00:06:44,740 Il s'agit donc désormais de le transformer en un réseau local sans fil d'entreprise, et non plus. 102 00:06:44,740 --> 00:06:46,420 un réseau local sans fil personnel. 103 00:06:46,420 --> 00:06:51,580 En résumé, si vous souhaitez utiliser WPA2 personnel et WPA3 104 00:06:51,580 --> 00:06:56,900 Si vous utilisez une méthode personnelle, également connue sous le nom de SAE, vous ne pouvez pas effectuer de GCMP. 105 00:06:56,900 --> 00:07:00,820 Vous ne pouvez utiliser que l'AES CCMP 128. 106 00:07:00,820 --> 00:07:03,980 C'est la seule qui fonctionnera. 107 00:07:03,980 --> 00:07:09,120 Très bien. Vous remarquerez peut-être aussi que sur certaines plateformes, comme… 108 00:07:09,120 --> 00:07:13,220 Sur le modèle 9800, il existe une case à cocher appelée « désactiver la transition ». 109 00:07:13,220 --> 00:07:15,860 Et vous vous demandez peut-être : que se passe-t-il si je clique là ? 110 00:07:15,860 --> 00:07:20,020 D'accord. Si vous cliquez dessus, cela activera un indicateur appelé la transition. 111 00:07:20,020 --> 00:07:21,920 Désactiver le drapeau dans la balise. 112 00:07:21,920 --> 00:07:23,660 Et c'est en fait assez intéressant la façon dont cela fonctionne. 113 00:07:23,660 --> 00:07:29,780 Cela signifie que si un réseau local sans fil se connecte à ce SSID via WPA3, 114 00:07:29,780 --> 00:07:32,540 Devinez quoi ? Il verra ce drapeau. 115 00:07:32,540 --> 00:07:34,980 Il mettra cet état en cache. 116 00:07:34,980 --> 00:07:39,480 Il dira : « Oh, je connais ce SSID particulier, ce réseau sans fil. » 117 00:07:39,480 --> 00:07:44,180 Sur le réseau local, je n'ai pas le droit de revenir au WPA2. 118 00:07:44,180 --> 00:07:49,120 Une fois connecté via WPA3, je dois toujours me connecter en WPA3. 119 00:07:49,120 --> 00:07:53,260 Non seulement sur ce point d'accès, mais sur tout point d'accès qui fait de la publicité 120 00:07:53,260 --> 00:07:56,260 Ce SSID. Et voilà ce que cela signifie. 121 00:07:56,260 --> 00:08:01,320 Cela signifie qu'une fois connecté via WPA3, vous ne pourrez plus jamais revenir à WPA2. 122 00:08:01,320 --> 00:08:06,160 Donc, si vous savez à l'avance que tous vos points d'accès prennent en charge les deux 123 00:08:06,160 --> 00:08:10,420 WPA2 et WPA3, c'est une bonne idée. 124 00:08:10,420 --> 00:08:13,940 Maintenant, par exemple, vous savez, que se passerait-il si vous aviez un ou deux points d'accès ? 125 00:08:13,940 --> 00:08:17,760 Là-bas, ils faisaient la publicité de ce même SSID. 126 00:08:17,760 --> 00:08:21,320 Mais sur ces points d'accès, peut-être leurs points d'accès autonomes, vous 127 00:08:21,320 --> 00:08:24,600 Vous savez, autonomes ou quelque chose comme ça, ces points d'accès, ils font de la publicité 128 00:08:24,600 --> 00:08:30,200 Il ne prend en charge que le WPA2, vous savez, peut-être qu'ils sont plus anciens, ils ne prennent pas en charge le WPA3, 129 00:08:30,200 --> 00:08:33,460 mais vous voulez donner aux gens qui se trouvent dans ce coin reculé du bâtiment un accès 130 00:08:33,460 --> 00:08:34,840 au réseau local sans fil. 131 00:08:34,840 --> 00:08:38,300 Donc, sur ces points d'accès, vous dites : « OK, je vais diffuser le même SSID. » 132 00:08:38,300 --> 00:08:45,100 mais en WPA2. Eh bien, si vos points d'accès récents prennent en charge les deux, vous 133 00:08:45,100 --> 00:08:49,200 Si l'indicateur de désactivation de la transition était activé, cela pourrait poser problème. 134 00:08:49,200 --> 00:08:52,180 Parce que, vous savez, John qui est au premier étage de l'immeuble, vous 135 00:08:52,180 --> 00:08:54,820 Je sais, il pourrait se connecter via WPA3. 136 00:08:54,820 --> 00:08:58,360 Et maintenant, il est bloqué là-dedans à cause de cet indicateur de désactivation de la transition. 137 00:08:58,360 --> 00:09:01,880 John erre alors dans tout le bâtiment, puis finit par se diriger vers 138 00:09:01,880 --> 00:09:05,980 Ce coin où se trouvent les autres points d'accès, il dira : « Eh bien, je veux… » 139 00:09:05,980 --> 00:09:10,740 Rome est juste là, mais je ne peux pas car les balises que je vois ne fonctionnent pas. 140 00:09:10,740 --> 00:09:15,240 L'option de désactivation de la transition ne fonctionne pas, ils ne proposent que le WPA2. 141 00:09:15,240 --> 00:09:18,680 Et on m'a déjà indiqué par d'autres points d'accès que je ne pouvais pas me connecter. 142 00:09:18,680 --> 00:09:23,420 via WPA2. John ne pourrait donc pas se connecter à ces points d'accès. 143 00:09:23,420 --> 00:09:26,540 C’est pourquoi vous ne devez cocher cette case que si vous savez que tous les 144 00:09:26,540 --> 00:09:31,360 Vos points d'accès prennent en charge à la fois WPA2 et WPA3. 145 00:09:31,360 --> 00:09:33,320 Et voici à quoi cela ressemble. 146 00:09:33,320 --> 00:09:37,960 Voici donc la case pour désactiver la transition. 147 00:09:37,960 --> 00:09:41,480 Quelques autres précisions à ce sujet. 148 00:09:41,480 --> 00:09:45,780 Il s'agit donc d'une implémentation relativement nouvelle. 149 00:09:45,780 --> 00:09:50,680 Donc, ceci a été mis en œuvre après 2018 et WPA3. 150 00:09:50,680 --> 00:09:55,760 En ce qui concerne Cisco et leurs contrôleurs LAN sans fil 9800, ils 151 00:09:55,760 --> 00:10:00,220 Ajouté ceci vers le 17 mai 17.6. 152 00:10:00,220 --> 00:10:10,340 Et en ce qui concerne la propagation des points d'accès, cette partie appelée transition 153 00:10:10,340 --> 00:10:12,240 désactiver le bit dans leur balise. 154 00:10:12,240 --> 00:10:16,580 Donc, si vous avez un point d'accès plus ancien comme celui-ci, il 155 00:10:16,580 --> 00:10:17,760 ne le soutiendra pas. 156 00:10:17,760 --> 00:10:22,520 Voici donc un autre exemple de configuration dans 157 00:10:22,520 --> 00:10:25,640 Le contrôleur du réseau local sans fil ne vous affiche aucun message d'erreur. 158 00:10:25,640 --> 00:10:30,040 Et pourtant, cela ne fonctionne pas correctement sur le point d'accès. 159 00:10:30,040 --> 00:10:37,220 Similaire à ma présentation sur la protection des balises et à la protection des balises, cela 160 00:10:37,220 --> 00:10:40,080 C'était le même genre de chose où vous pouviez sélectionner la protection par balise 161 00:10:40,080 --> 00:10:41,820 case à cocher dans le contrôleur de réseau local sans fil. 162 00:10:41,820 --> 00:10:46,620 Mais les points d'accès plus anciens, comme ceux de cette liste, si vous 163 00:10:46,620 --> 00:10:49,680 Si vous captiez leurs balises, vous verriez qu'il n'y avait pas de micro à l'intérieur. 164 00:10:49,680 --> 00:10:52,860 Ils n'étaient pas protégés car leur matériel ne le permettait pas. 165 00:10:52,860 --> 00:10:55,080 La même chose est vraie ici. 166 00:10:55,080 --> 00:10:59,060 Il existe cependant certains risques liés au mode de transition, dont vous devez être conscient. 167 00:10:59,060 --> 00:11:05,840 de cela. Alors souvenez-vous, il y a une raison pour laquelle nous voulons que nos clients WPA3 soient des clients WPA3. 168 00:11:05,840 --> 00:11:11,220 fonctionner en mode WPA3, car il est plus sûr, plus sécurisé, 169 00:11:11,220 --> 00:11:13,380 C'est pratiquement impossible. 170 00:11:13,380 --> 00:11:18,060 Si tous vos clients fonctionnaient en mode WPA3, cela va 171 00:11:18,060 --> 00:11:23,160 Il serait quasiment impossible pour un acteur malveillant extérieur de découvrir simplement 172 00:11:23,160 --> 00:11:27,400 En analysant le trafic, on peut déterminer quelle est la clé principale de paire sur chacun de ces appareils. 173 00:11:27,400 --> 00:11:32,220 clients, ou même quelles sont les phrases de passe WPA3 pour se connecter au réseau sans fil 174 00:11:32,220 --> 00:11:33,880 Le réseau local (LAN) en premier lieu. 175 00:11:33,880 --> 00:11:36,480 La simple capture d'images ne leur permettra pas de procéder à une rétro-ingénierie. 176 00:11:36,480 --> 00:11:42,320 Cela. Mais avec le WPA2, surtout si votre phrase de passe est relativement simple, 177 00:11:42,320 --> 00:11:45,800 Il est possible de déduire par rétro-ingénierie qu'il existe des documents bien connus 178 00:11:45,800 --> 00:11:49,620 des attaques contre les clients WPA2 capables de faire exactement cela. 179 00:11:49,620 --> 00:11:53,180 Si vous êtes en période de transition, une rétrogradation est possible. 180 00:11:53,180 --> 00:11:58,800 attaque, où un acteur malveillant pourrait falsifier des balises pour tenter d'influencer 181 00:11:58,800 --> 00:12:03,420 WPA : trois clients doivent se dissocier, se désauthentifier, puis se réauthentifier. 182 00:12:03,420 --> 00:12:06,720 et s'associer uniquement en mode WPA2. 183 00:12:06,720 --> 00:12:10,400 Et maintenant, ils pourraient peut-être deviner le mot de passe une fois qu'ils auront fait cela. 184 00:12:10,400 --> 00:12:15,420 Et aussi, comme vous avez des appareils de différentes marques là-dedans, ces appareils 185 00:12:15,420 --> 00:12:20,460 Le fonctionnement en mode WPA à deux modes présente toujours la même vulnérabilité, 186 00:12:20,460 --> 00:12:29,640 Comme indiqué, nous sommes en pleine transition, et nous sommes en train de tout faire évoluer. 187 00:12:29,640 --> 00:12:33,560 Nous espérons que d'ici quelques mois, tous nos clients prendront en charge le WPA3. 188 00:12:33,560 --> 00:12:40,700 Nous pourrons alors décocher WPA2 et tout configurer pour utiliser WPA3. 189 00:12:40,700 --> 00:12:45,160 Ceci conclut cette vidéo sur les réseaux locaux sans fil en mode de transition WPA. 190 00:12:45,160 --> 00:12:45,940 Merci d'avoir regardé.