Qu'est-ce que l'isolement AP ?

Dans les réseaux informatiques, AP est l'abréviation de point d'accès. Un point d'accès, ou point d'accès sans fil, est un appareil qui permet aux appareils mobiles, tels que les ordinateurs portables et les assistants numériques personnels, de se connecter sans fil à un réseau informatique filaire. L'isolement du point d'accès est une technique permettant d'empêcher les appareils mobiles connectés à un point d'accès de communiquer directement entre eux.

L'isolement du point d'accès crée effectivement un réseau « virtuel » parmi les appareils sans fil, un réseau dans lequel chaque appareil est une entité distincte à part entière. L'isolation du point d'accès permet aux administrateurs réseau de séparer le trafic réseau potentiellement malveillant d'une partie accessible au public d'un réseau sans fil du réseau de contrôle principal. Ce faisant, il empêche le réseau de contrôle principal d'être inondé de trafic réseau non sollicité, qui peut inclure des virus, des vers et des chevaux de Troie.

Une application typique de l'isolation AP est un point d'accès sans fil, du type que l'on trouve dans les aéroports, les cafés et les gares. Un point d'accès sans fil permet généralement à de nombreux utilisateurs invités de se connecter à un point d'accès et de créer un seul et grand réseau sans fil. Sans isolation du point d'accès, des utilisateurs peu scrupuleux pourraient se connecter à des périphériques réseau autres que le point d'accès lui-même dans le but de pirater ou d'inonder l'ensemble du réseau de trafic, le rendant inutilisable.

L'isolement des points d'accès peut être une arme utile dans la lutte contre les attaques malveillantes sur les réseaux sans fil, mais certains types d'attaques, appelées attaques d'empoisonnement ARP ou d'usurpation d'identité ARP, peuvent contourner l'AP tout à fait. ARP signifie Address Resolution Protocol et décrit une méthode pour trouver l'adresse Ethernet physique d'un périphérique réseau à partir de son adresse de protocole Internet. Un attaquant peut transmettre une unité de données, appelée paquet, avec une adresse Ethernet falsifiée directement à un périphérique réseau de sorte qu'il semble que le paquet provienne du point d'accès. Pour se protéger contre ce type d'attaque, les administrateurs réseau doivent placer les périphériques Ethernet câblés sur une autre partie du réseau, ou sous-réseau, que les périphériques sans fil.

Presque tous les fournisseurs d'équipements réseau implémentent l'isolation AP sous une forme ou une autre. L'un des principaux fournisseurs de réseaux au monde, Cisco, implémente l'isolation AP sous la forme d'une technologie connue sous le nom de Publicly Secure Packet Forwarding. Cependant, PSPF, en commun avec d'autres techniques d'isolation AP, n'empêche pas un attaquant d'envoyer un ARP « empoisonné » paquet à un autre client, il doit donc toujours être utilisé en conjonction avec un sous-réseau pour fournir une défense efficace mécanisme.