Si vous ne connaissez pas l’ePSK, c’est peut-être parce que Cambium est trop modeste pour s’en vanter. Alors, je vais le faire à sa place.
ePSK, qu’est-ce que c’est ?
En bref, l’ePSK donne à chaque utilisateur une PSK (clé pré-partagée) unique lorsqu’il utilise le WPA2-Personal. Pour expliquer pourquoi cette fonction est si utile, je vais d’abord expliquer le problème que pose l’utilisation d’une PSK partagée sur l’ensemble du réseau local sans fil.
Lorsqu’un client sans fil se connecte à un point d’accès, il effectue un échange de données de type « 4-Way handshake », qui génère les clés de cryptage utilisées pour crypter le trafic « dans les airs ». Pour que l’échange fonctionne, il faut que le client et le point d’accès connaissent la phrase d’authentification, mais celle-ci n’est jamais transmise par voie hertzienne afin d’accroitre la sécurité.
Mais que se passe-t-il lorsqu’un tiers connaît déjà la phrase d’authentification ? Cela signifie qu’il lui suffit de capturer la poignée de main à quatre voies pour générer les clés de cryptage et décrypter votre trafic sans fil.
ePSK, sécurité renforcée
Avez-vous déjà été dans un café, un restaurant ou un hôtel où tout le monde partage le même PSK pour un réseau d’invités ? Comme le PSK est partagé publiquement, votre trafic peut potentiellement être capturé et décrypté.
L’ePSK donne à chaque utilisateur un PSK unique., Cela signifie que personne d’autre ne connaît votre phrase d’authentification, ce qui rend l’ensemble du processus beaucoup plus sûr.
Voici une capture d’écran de Wireshark. A gauche, le protocole ePSK est utilisé et je n’ai pas pu décrypter le trafic car je ne connaissais pas le PSK. A droite, j’ai pu décrypter le trafic car un PSK partagé a été utilisé :
Si vous déployez un réseau Wi-Fi pour vos invités et que vous souhaitez sécuriser les communications, l’ePSK est un excellent moyen de le faire. Mais cela peut également s’appliquer à d’autres environnements. Par exemple dans une petite entreprise qui n’a pas les compétences nécessaires pour faire fonctionner un serveur RADIUS, il est possible d’utiliser l’ePSK assez facilement. Cela offre une option plus sûre que le WPA2-PSK standard.
ePSK et cnMaestro
L’utilisation de l’ePSK dans cnMaestro est facile à réaliser et s’explique d’elle-même. Elle se trouve sous WLANS > “Nom du WLAN” > ePSK
Une fonctionnalité intéressante est la possibilité de générer des PSK en masse qui peuvent être exportés et distribués aux utilisateurs selon les besoins.
Une autre fonction utile est la possibilité d’assigner différents PSK à différents VLAN. Par exemple, si vous attribuez un PSK à une personne du département des finances, elle peut être sur le VLAN20. Mais si vous attribuez un PSK à une personne du département des ventes, elle peut être sur le VLAN30. Le tout à partir d’un seul SSID.
Certes, Cambium n’est pas le premier à introduire des PSK multiples. D’autres ont lancé des fonctions similaires mais, d’après mon expérience, leurs solutions sont plus coûteuses.
Il faut donc rendre à César ce qui appartient à César : il s’agit d’une fonctionnalité géniale qui a manifestement été bien pensée. Bravo à Cambium.
Traduit de l’article de Wright-Fi, rédacteur de la communauté Cambium Networks