Bonjour à toutes et tous,
 
je dois mettre en place un réseau Wifi pour mon entreprise.
J'explique brièvement:

• il sera composé de 6 antennes Wifi (au moins).
• 2 profils d'accès:

invité --> internet uniquement
Employés --> internet + LAN

• Il sera connecté à un routeur/firewall qui incorpore un portail captif pour les invités et via un serveur Radius pour les employés.
• Les 2 réseaux seront séparé à l'aide de 2 SSID différents et 2 Vlans (en espérant que ça fonctionne).

Pour moi (mais je me trompe peut-être), le portail captif ou le serveur Radius donne des autorisations d'accès (je pense avoir lu que les premiers échanges ne sont pas cryptés).  
La clé WPA2 autorise l'utilisateur à se connecter sur l'antenne et crypte les infos qui transiteront.
 
Si je ne définis pas de clé WPA2 et que j'autorise des connexions via le portail captif, les communications passeront "en clair".
 
Mon futur déploiement vous semble-t'il correct ? J'en fait trop ?
Quelle méthode/infrastructure me recommandez vous ?
Comment gérer les clés WPA2 au niveau des antennes de façon centralisée pour ne pas à avoir à passer sur chaque antenne?
 
En vous remerciant pour vos réponses,
Ethernal

Il te faut un controleur WIFI.
 
J'ai eu a faire le meme déploiement que toi il y a quelques temps.  
 
J'ai mis en  place un Cisco 5508 Wireless Controllers avec plusieurs bornes.

Ya moins cher que Cisco pour le meme resultat ^^ (aruba, ruckus, siemens etc)

Merci beaucoup pour vos réponses dam1330 et jujudu44.
Je fais des recherches sur les controlleurs Wifi et je reviens si question ;-)
 
Si vous avez qq conseils / retours d'expérience sur ce genre de déploiement, je suis preneur.

Depuis un moment je vois beaucoup de Ruckus, apparemment ça marche très fort

Il me semble que la clé WPA2 sert simplement à chiffrer les données échangées, l'autorisation étant effectuée par le serveur Radius (Authentication, Authorization, Accounting).
 
D'ailleurs, certains confondent souvent la clé WPA2 (Pairwise Transient Key) permettant de chiffrer les données et la PSK (clé pré partagée) qui n'assure que l'authentification dans des scénarios WPA2-PSK ^^

le probleme du portail captif, c'est le spoofing... c'est pas une solution sur.
en gros tu mets ça pour tes clients/commerciaux dans la salle d'attente: c1 utilise le portail captif. c2 fait du denit de service contre ton AP et c1. c1 deconnect. c2 emmet un signal wifi avec le meme ssid que ton reseau, une page web spoofer de la tienne avec une redirection. quand c1 ou c3 (legitime) se reconnectent, ils fillent sur mdp a c2.
tiré par les cheveux un peu, mais bon...
apres si ce n'est que dans un usage tres restrein pk pas.
et c'est vrai qu'on parle en general de portail captif sur un wifi non crypté (sinon ça limite l'interet et l'utilisation) donc eventuellement juste en snifant le reseau ont doit pouvoir voir ce qui passe, oui. pas top. c'est pour ça que c'est "dangereux" les hotspots.
 
bonne idee egalement de mettre un routeur/FW derriere ton controleur wifi pour isoler les reseaux.
 
tu peut aussi definit des vlans meme si tu as des categorie differente dans les non clients, que tu peut coupler avec des AP virtuel (un AP balance plusieur ssid, pouvant correspondre a plusieur vlans different).
 
faire attention aussi a ce que ton wifi ne deborde pas de ton batiment c'est mieux.

Euh.
 
Un bon réseau WIFI interdit toute communication entre les pairs. Tu peux seulement t'adresser à la borne, sur le meme principe qu'un private VLAN. Bon courage pour spoofer le portail dans ces conditions...

spoofer le portail: la premier fois que tu arrive, tu recupere la script, tu prend un simple capture ecran, ou alors carement osef, et tu refait un interface bidon, faut juste recup le log/mdp.
pas de communication entrez paire comme tu dis, simplement, un man in the middle, si le client ne doit s'appercevoir de rien, soit meme pas, une fausse page (avec un serveur web) puis apres athentification du client , un message d'"erreur fake du genre: service en maintenance/indisponnible, etc...
en gros infra pirate ds le cas man in the middle:
avant premier connection client ou apres denis de service sur client+APentreprise (airplay -0 par exemple).
durant l'authentification continuer le denis de service sur APentreprise au debut.
 
                            serveur web
                                |
 client A-------->APpirate*+routeur+clé wifi---->APentreprise
 
a aucun moment, pirate ET client se connecte en meme temps a l'APentreprise.
 
sinon vu que c'est en claire (non crypter: ni wep, ni wpa) simplement sniffer le reseau avec airodump par exemple pour n'en citer qu'un, si c'est en clair, il n'y a peut etre pas d'echange de clé secrete, etc.. peut etre directement le mdp en clair, je sais pas, sinon créer un page ou il n'y ait pas d'echange de clé et que ce soit en clair.
 
ça me parrait pas si impossible perso, non?

ca vous parait une bonne idee pour un portail captif de:
 
Un vlan dédié qui remonte jusqu'au pare-feu, accès uniquement à http, https; dns externe.
un wlan dédié lié au vlan précédent, le wlan est protégé par une clé wpa2
Création de user avec une période de validité.
 
Je donne le tripplet clé wpa2 / user / mot de passe aux invités
 

A lire : http://www.crack-wifi.com/tutoriel [...] s-wifi.php
 
Utiliser des detecteurs de "rogue ap" comme dis ici
http://clauderoy.net/420-F22-SF/04-SecuriteEtVLAN.pdf

je sonnaissait pas perso le rogue detecteur, merci rootshell, mais le pb semble qu'il se repose un peu trop sur une adresse MAC unique... ce qui est totalement faux et desuet:
Kmac, mac adress changer, ettercap, ou une pauvre commande sous linux.
donc le pirate emmeterai avec le SSID du reseau d'entreprise, et la mac d'un des AP, sniffée aupparavant (avec airodump-netstrumbler, etc, etc...)
 
la seule façon de reperer un rogue ap bien fait, c'est de geolocaliser ses aps, et comparer la localisation des aps avec les zone pre-enregistrée, et faire de la triangulation pour trouver le faux. reperer aussi d'eventuelle onde trop puissante. ou faire des client comme dans la detection de rogue aps decrite, avec une autocorrelation du site web (source) pour verifier, s'ils sont identiques totalement, ou non.