Qu'est-ce que l'isolation AP ?
Dans les réseaux informatiques, AP est l'abréviation de point d'accès. Un point d'accès, ou point d'accès sans fil, est un appareil qui permet aux appareils mobiles, tels que les ordinateurs portables et les assistants numériques personnels, de se connecter sans fil à un réseau informatique câblé. L'isolation des points d'accès est une technique permettant d'empêcher les appareils mobiles connectés à un point d'accès de communiquer directement entre eux.
Trafic réseau malveillant
L'isolation AP crée effectivement un réseau "virtuel" entre les appareils sans fil, un réseau dans lequel chaque appareil est une entité distincte à part entière. L'isolation AP permet aux administrateurs réseau de séparer le trafic réseau potentiellement malveillant d'une partie accessible au public d'un réseau sans fil du réseau de contrôle principal. Ce faisant, il empêche le réseau de contrôle principal d'être inondé de trafic réseau non sollicité, qui peut inclure des virus, des vers et des chevaux de Troie.
Applications d'isolation AP
Une application typique de l'isolation AP est un point d'accès sans fil, du type trouvé dans les aéroports, les cafés et les gares. Un point d'accès sans fil permet généralement à de nombreux utilisateurs invités de se connecter à un point d'accès et de créer un seul grand réseau sans fil. Sans isolation du point d'accès, des utilisateurs peu scrupuleux pourraient se connecter à des périphériques réseau autres que le point d'accès lui-même à des fins de piratage ou inonder l'ensemble du réseau de trafic, le rendant inutilisable.
Empoisonnement ARP
L'isolation AP peut être une arme utile dans la lutte contre les attaques malveillantes sur les réseaux sans fil, mais certains types d'attaques, connus sous le nom d'empoisonnement ARP ou d'attaques d'usurpation ARP, peuvent être capables de contourner complètement l'AP. ARP signifie Address Resolution Protocol et décrit une méthode permettant de trouver l'adresse Ethernet physique d'un périphérique réseau à partir de son adresse de protocole Internet. Un attaquant peut transmettre une unité de données, connue sous le nom de paquet, avec une adresse Ethernet falsifiée directement à un périphérique réseau afin qu'il semble que le paquet provienne du point d'accès. Pour se protéger contre ce type d'attaque, les administrateurs réseau doivent placer les périphériques Ethernet câblés sur une autre partie du réseau, ou sous-réseau, que les périphériques sans fil.
Transfert de paquets publiquement sécurisé (PSPF)
Presque tous les fournisseurs d'équipements de réseau implémentent l'isolation AP sous une forme ou une autre. L'un des principaux fournisseurs de réseaux au monde, Cisco, implémente l'isolation des points d'accès sous la forme d'une technologie connue sous le nom de Publicly Secure Packet Forwarding. Cependant, PSPF, comme d'autres techniques d'isolation AP, n'empêche pas un attaquant d'envoyer un paquet ARP « empoisonné » à un autre client, il doit donc toujours être utilisé en conjonction avec le sous-réseau pour fournir un mécanisme de défense efficace.