Wi-Fi (GWC + WC + WGC APS)
Introduction
Pourquoi ?
Le sujet abordé dans ce chapitre concerne les solutions Wi-Fi WatchGuard. Le Wi-Fi a été développé dans les années 1990 par John O’Sullivan et son équipe. Cette technologie, appelée Frequency-Hopping Spread Spectrum (FHSS), utilise des fréquences radio différentes à intervalles très courts pour transmettre des données sans fil de manière fiable.
Les fréquences radio sont des signaux de courant alternatif qui passent par câble ou par air, via une antenne. Quand le signal passe dans les airs, cela devient des ondes radio. Elles se matérialisent sous forme d’une plage de fréquences avec un minimum et maximum. Celle-ci est divisée en différents canaux comme pour la télévision.
Cette découverte a été essentielle pour le développement de la technologie Wi-Fi telle que nous la connaissons à présent. Le Wi-Fi constitue une avancée majeure dans les communications sans fil, autorisant les appareils à se connecter à Internet et à échanger des données entre eux.
Par contre, le Wi-Fi est un type de réseau difficile à protéger, même avec les meilleurs dispositifs de protection. L’invisibilité des signaux peut donner un faux sentiment de sécurité...
Abonnement Wi-Fi 5 (Basic Wi-Fi, Secure Wi-Fi et Total Wi-Fi)
Voici l’offre WG pour les AP Wi-Fi 5 (AP 120, AP 125, AP 225W, AP 320, AP 322, AP 325, AP 327X, AP 420) ci-dessous :
Basic Wi-Fi
-
Gestion locale par UTM + Gateway Wireless Controller (GWC).
-
Support standard (garantie, support client et mise à jour).
-
Management des AP seulement par UTM.
-
Nombre d’AP limité à 20 par UTM (4 pour le plus petit UTM T15).
-
Configuration et management (SSID, VLAN, etc.).
Secure Wi-Fi
-
Toutes les options du Basic Wi-Fi.
-
Gestion cloud par le portail web qui s’appelle Wi-Fi Cloud (WC).
-
Firewall L3/L4/L7, HotSpot 2.0, roaming+, emplacement de prédéploiement…
-
Intelligent Network Visibility and Troubleshooting (outils de troubleshooting visuel).
-
Verified Comprehensive Security (technologie de protection WIPS).
-
Go Mobile Web App (installation rapide pour appareils mobiles).
Total Wi-Fi
-
Toutes les options du Secure Wi-Fi.
-
Gestion cloud par le portail web qui s’appelle Wi-Fi Cloud (WC).
-
Guest Engagement Tools (portail captif, intégration aux réseaux sociaux, coupons, vidéo, etc.).
-
Location-based Analytics (génération de rapports sur les informations des utilisateurs).
Abonnement Wi-Fi 6 (Standard et USP)
Voici l’offre WG pour les AP Wi-Fi 6 (AP 130, AP 330, AP 332CR, AP 430CR et AP 432) ci-dessous :
Standard
-
gestion cloud par le portail web WatchGuard Cloud APs (WGC APs)
-
le module "inventaire" dans WGC
-
configuration des SSID, réglages des appareils, des radios et du portail captif
-
mise à jour des firmwares
-
CLI/SSH pour les phases de dépannage
-
24/7 support et garanties matériel
-
24h de reporting
USP (Unified Security Platform)
-
toutes les options Standard
-
reporting sur 30j
-
support de Syslog
-
support SNMP
-
support VPN to Firebox
-
support de futurs services de protection, comme « Airspace Monitoring »
Wi-Fi Project
Avant de commencer le déploiement d’une solution Wi-Fi, la bonne pratique consiste à structurer votre projet de manière méthodique, et pour cela WatchGuard propose un outil sur le portail Partner.
Connectez-vous sur le portail Partner https://portal.watchguard.com/ et cliquez sur l’onglet TOOLS puis Wi-Fi Design Service.
Il faut suivre les cinq étapes les unes après les autres et remplir le questionnaire avec un maximum d’informations. À la fin, le questionnaire est envoyé à WatchGuard, qui va recommander le type et le nombre d’AP ainsi que leurs emplacements.
Dans l’étape appelée PROJECT, indiquez les informations identifiant le projet.
L’étape appelée FACILITY est une étape longue et importante dans votre projet.
Exemple d’informations demandées :
-
Environnement
-
Existing Wireless Installation
-
Coverage
-
Dimensions
-
Building Information
L’étape USERS & APPS traite de la question du nombre d’utilisateurs et de l’utilisation du réseau Wi-Fi.
-
Wi-Fi Protocol Support Requirements (WPA2 minimum)
-
End User Device Requirements (2,4 GHz, 5 GHz, nombre d’utilisateurs, etc.)
-
Traffic Type Requirements (Web, mails, vidéo, voix, etc.)
L’étape appelée POWER traite de l’alimentation des bornes.
Lors de la dernière...
GWC (Basic Wi-Fi)
Pourquoi ?
Ce mode permet de gérer les points d’accès (AP) WatchGuard (et seulement les AP WatchGuard) depuis un UTM Firebox grâce au service Contrôleur sans fil de passerelle encore appelé Gateway Wireless Controller (GWC). Ce mode local permet d’ajouter les AP Wi-Fi 4 et 5 sur l’UTM afin de les manager. Quelques exemples ci-dessous des réglages :
-
Mise à jour du firmware.
-
SSID Hidden : cacher le SSID.
-
Planification : date et heure de fonctionnement.
-
Trust Store : permet de maintenir une confiance dans la communication entre UTM et AP Wi-Fi.
-
WPA2/3 PSK et entreprise : support du chiffrement.
-
Filtrage MAC : premier niveau de protection par adresse MAC.
-
Isolation L2 : empêche les appareils Wi-Fi sur un même SSID de communiquer entre eux.
-
Atténuer la vulnérabilité KRACK (faille WPA2).
-
Activer Rogue Access Point Detection (en bas de page).
-
Utiliser les options hotspot : l’UTM permet un portail invités pour les accès à partir des AP.
Il peut être intéressant de configurer la borne Wi-Fi sur une interface de l’UTM dédiée au Wi-Fi et de la configurer avec un hotspot pour authentifier les utilisateurs par portail agrément ou ID et mots de passe invités. L’exemple de configuration hotspot avec informations d’authentification peut servir d’exemple. Avec un hotspot, vous n’êtes pas obligé de configurer une sécurité comme WPA2 sur le SSID car le portail fait office de sécurité (voir le chapitre UTM - Authentification, section Point d’accès (Hotspot)).
Informations
Il est important de connaître quelques informations avant de se lancer avec le Wi-Fi de WatchGuard.
-
Les modes cloud permettent d’utiliser les AP de manière autonome sur les sites (pas besoin d’UTM).
-
Les options avancées sont disponibles seulement en cloud (WIPS, hotspot avec analyse des données).
-
Les modes cloud nécessitent un abonnement valide pour la détection des AP.
-
Par défaut, les AP Wi-Fi 5 cherchent en priorité à se connecter au Wi-Fi cloud et seulement après il tente une connexion sur l’UTM par GWC (ainsi, l’AP apparaît dans l’UTM sous AP non couplés).
-
La stratégie...
WC (Secure Wi-Fi et Total Wi-Fi)
Pourquoi ?
Les abonnements Secure Wi-Fi et Total Wi-Fi permettent l’accès au portail web Wi-Fi Cloud (WC) pour une gestion cloud d’un nombre illimité d’AP. Le portail propose de réaliser les tâches de gestion, la sécurité et la surveillance à travers :
-
Discover : permet la configuration du Wi-Fi, la protection par le WIPS, la surveillance et le troubleshooting.
-
Go : permet, depuis un smartphone, de faire des configurations rapides de Wi-Fi.
-
Analyse : permet la consultation des données sur le flux des portails captifs invités, etc.
-
Engage : permet la création de portails captifs, des connexions aux réseaux sociaux, des formulaire invités…
Les services WC Discover et Go nécessitent l’abonnement Secure Wi-Fi.
Les services WC Analyse et Engage nécessitent l’abonnement Total Wi-Fi.
WC utilise la technologie WIPS de la société Arista qui nécessite l’abonnement Secure Wi-Fi. Arista Networks est un acteur majeur dans l’industrie des réseaux client cloud, se concentrant sur les grands centres de données, les campus et les environnements de routage. Les plateformes primées d’Arista offrent disponibilité, agilité, automatisation, analyse et sécurité grâce à une pile d’exploitation réseau avancée. Fondée en 2004 par des experts de l’industrie tels qu’Andy Bechtolsheim, Ken Duda et David Cheriton, Arista a été lancée en 2008. Son équipe de direction, renommée à l’échelle mondiale, est reconnue pour ses leaders et ses visionnaires respectés, ayant une histoire riche et étendue dans presque tous les domaines du réseau (filaires, sans fil, etc.) et de l’innovation. Entrée en bourse en juin 2014, Arista est cotée à la Bourse de New York (ANET) et compte aujourd’hui plus de 9 000 clients cloud dans le monde.
Le WIPS (Wireless Intrusion Prevention System) fonctionne en suivant les principes ci-dessous :
-
Détection : recherche les appareils Wi-Fi dans la zone couverte par vos AP.
-
Classification : permet d’identifier et de classer les équipements Wi-Fi dans la zone couverte...
WGC APS (Standard et USP)
Pourquoi ?
L’administration des bornes Wi-Fi 6 de WatchGuard se fait exclusivement sur le portail moderne WatchGuard Cloud (WGC) dans la rubrique APS (Access Point Sites).
WatchGuard se lance tête baissée dans l’approche gestion full cloud avec la plateforme de services unifiée WatchGuard Cloud (WGC) qui permet une gestion centralisée. Conclusion : WatchGuard abandonne petit à petit la gestion locale et la gestion hybride.
Donc WatchGuard vous recommande d’utiliser dorénavant cette approche pour la gestion du Wi-Fi. Cependant, cela ne se fait pas instantanément, et nous pouvons voir la migration des services un à un du portail Wi-Fi Cloud (WC) vers WatchGuard Cloud Access Point Sites (WGC APS).
Actuellement, il manque plusieurs options offertes par WC. Cependant, on trouve déjà le mode :
-
Airspace Monitoring qui permet une protection contre quelques menaces (Rogue AP, Suspect AP and Evil Twin AP).
-
Access Point VPN (AP VPN) qui permet de monter un VPN S2S entre un AP Wi-Fi et un UTM.
Information
Avant de commencer avec les AP et WatchGuard Cloud (WGC), il vous faut connaître quelques informations :
-
Les AP de la dernière génération nécessitent des switchs PoE ou des injecteurs pour fonctionner.
-
Il est possible d’acheter des transformateurs vendus séparément pour alimenter les AP.
-
Les points d’accès utilisent le port TCP 443 pour se connecter à WatchGuard Cloud.
-
*.watchguard.io doit être accessible pour l’activation du produit et les mises à jour des clés de fonctionnalité.
-
*.watchguard.com doit être accessible pour l’enregistrement et les connexions WatchGuard Cloud.
-
Avec un UTM Firebox sur le SI en mode cloud, il n’y a rien à configurer de particulier, même lors de DPI SSL/TLS.
-
Cependant, si votre UTM n’est pas géré en cloud, alors vous devez ajouter *.watchguard.io en exception.
En cas d’expiration des licences pour les points d’accès (AP) :
-
L’AP continue de laisser circuler les flux avec la dernière configuration dans WGC APS.
-
Les informations concernant l’AP sont toujours disponibles dans WGC.
-
SSH est toujours disponible pour du troubleshooting.
-
On ne peut plus modifier la configuration, excepté pour les passphrases...
Troubleshooting Wi-Fi 6
Les bornes Wi-Fi 6 WatchGuard peuvent avoir besoin de diagnostic et l’on peut procéder de plusieurs manières :
-
Diagnostic local par GUI
-
Diagnostic local par CLI
-
Diagnostic local par LED
-
Reset
Diagnostic local par GUI
Il est possible de se connecter localement sur l’AP avec les derniers modèles pour réaliser des tâches simples de configuration et surtout de diagnostic. Pour cela, connectez-vous comme vous le feriez avec un UTM Firebox et tapez l’adresse suivante dans un navigateur : HTTPS://ip_ap_wifi
Dans Overview se trouvent l’état de l’AP et les informations de connexion.
Dans le menu Overview - Device Status, vous trouverez les informations concernant les réglages de l’AP (mémoire, serial, etc.).
Dans le menu Overview - Connections, vous trouverez les listes de connexions référençant les clients Wi-Fi en 2,4 GHz et 5 GHz.
Dans le menu Overview - Realtime Statistics, vous trouverez l’utilisation du CPU et le trafic.
Dans le menu System Manager - Network, vous trouverez les réglages IP (DHCP ou Static IP).
Dans le menu System Manager - Firmware, vous trouverez les réglages pour les mises à jour manuelles de l’AP.
Dans le menu System Manager - Diagnostics, vous pouvez lancer l’outil Ping, Traceroute, DNS Lookup, etc.
Dans le menu System Manager - Log, vous trouverez les journaux...