Trois SSIDs pour régner sur tous : guide de configuration WiFi pour invités, Passpoint et IoT

Ce guide technique fournit un plan d'action définitif pour implémenter la conception à trois SSIDs au sein des entreprises. Il détaille la configuration d'un Captive Portal ouvert pour les invités, l'intégration automatisée de Passpoint et l'authentification xPSK par appareil afin d'obtenir une segmentation VLAN complète et un accès réseau zero-trust.

📖 5 min de lecture📝 1,176 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans la série de briefings techniques Purple. Aujourd'hui, nous abordons la conception WiFi à trois SSID - une architecture réseau qui regroupe l'accès invité, l'intégration automatisée sécurisée et la gestion des appareils IoT sous trois réseaux sans fil dédiés. Si vous gérez du WiFi dans un hôtel, un parc commercial, un stade ou un centre de conférences, c'est la conception que vous devriez déployer en 2025 et au-delà.

[medium pause]

Permettez-moi d'abord de situer le contexte. La plupart des sites que nous rencontrons utilisent encore au mieux deux SSID : un réseau invité et ce que l'on appelle vaguement un réseau pour le personnel. Le problème est que ces deux réseaux finissent par tout supporter. Les terminaux de paiement par carte se trouvent sur le même segment que les smartphones des invités. Les sous-traitants se connectent au même SSID que votre signalisation numérique. Les capteurs IoT partagent la bande passante avec des visiteurs qui diffusent des vidéos en continu. Ce n'est pas une posture de sécurité. C'est un risque majeur.

La conception à trois SSID résout ce problème en attribuant à chaque classe d'appareil et d'utilisateur son propre réseau dédié, son propre VLAN et sa propre méthode d'authentification. Trois SSID. Trois VLAN. Une architecture de sécurité cohérente.

[medium pause]

Passons en revue chacun d'entre eux.

Le SSID numéro un est votre WiFi invité ouvert. Il s'agit du réseau traditionnel avec Captive Portal - celui que vos visiteurs voient lorsqu'ils ouvrent leur téléphone et se connectent. Il est ouvert, ce qui signifie qu'il n'y a pas de clé pré-partagée, car vous voulez zéro friction au moment de la connexion. L'authentification se fait au niveau du portail. Le visiteur se connecte, est redirigé vers une page d'accueil, accepte vos conditions d'utilisation et fournit éventuellement une adresse e-mail ou un numéro de téléphone. C'est votre consentement explicite pour la conformité GDPR. La plateforme de Purple gère cela de manière native : le portail capture les données de première partie, enregistre l'horodatage du consentement et associe la session au VLAN 10, qui est votre segment invité. Le VLAN 10 bénéficie uniquement d'un accès internet. Il ne peut pas accéder à vos systèmes de point de vente (POS), à vos serveurs back-office ou à toute autre ressource interne. Les règles de pare-feu appliquent cette restriction à la périphérie.

Du point de vue de la conformité, ce SSID fait le plus gros du travail. Le GDPR exige que vous enregistriez le consentement, la base légale du traitement et l'horodatage. Purple enregistre tout cela automatiquement. Si vous vous trouvez dans un établissement soumis à la norme PCI DSS - un hôtel équipé de terminaux de paiement en chambre, par exemple - le SSID invité doit être complètement isolé de tout environnement de données de cartes de paiement. La segmentation VLAN avec une politique de pare-feu inter-VLAN permet d'y parvenir.

[medium pause]

Le SSID numéro deux est votre réseau Passpoint, également connu sous le nom de Hotspot 2.0. C'est là que la conception devient véritablement intéressante. Passpoint est une norme IEEE 802.11u qui permet à un appareil de découvrir, de s'authentifier et de se connecter automatiquement à un réseau WiFi sans aucune interaction de l'utilisateur. Pas de portail. Pas de demande de mot de passe. L'appareil négocie l'authentification en arrière-plan à l'aide d'EAP - Extensible Authentication Protocol - et se connecte de manière chiffrée dès le premier paquet.
Comment un appareil sait-il qu'il doit se connecter ? Il dispose d'un profil Passpoint installé. Avec Purple, ce profil est transmis via l'application Purple ou via un SDK que vous intégrez dans votre propre application de marque. Lorsqu'un visiteur récurrent entre dans votre établissement, son appareil détecte votre SSID Passpoint qui diffuse une réponse ANQP, la compare au profil installé et se connecte automatiquement. Tout le processus prend moins de deux secondes. L'utilisateur ne touche jamais à son téléphone.

Le flux d'authentification utilise EAP-TLS ou EAP-TTLS avec PEAP, selon votre configuration. L'appareil présente un identifiant à votre serveur RADIUS - Purple agit en tant que serveur RADIUS dans le cloud - et le serveur renvoie un message RADIUS Access-Accept avec un attribut d'attribution de VLAN. Cet attribut indique au point d'accès sur quel VLAN placer cette session. Ainsi, l'utilisateur d'une application de fidélité peut se retrouver sur le VLAN 20, qui a accès à votre plateforme de fidélité et à un contenu plus riche. Un membre du personnel utilisant le même SSID Passpoint avec un identifiant différent se retrouve sur le VLAN 30, qui a accès aux systèmes internes. Un seul SSID. Attribution dynamique de VLAN. Politique appliquée par identité.

[medium pause]

Le SSID numéro trois est votre réseau xPSK. xPSK est un terme générique qui englobe iPSK, PPSK, DPSK et MPSK - autant de variantes du même concept de clés pré-partagées par appareil ou par groupe. L'idée est simple : au lieu d'avoir un seul mot de passe partagé pour vos appareils IoT et vos prestataires, chaque appareil ou groupe obtient sa propre clé unique. Cette clé est associée à un VLAN spécifique. Lorsqu'un terminal de paiement se connecte avec sa clé, il se retrouve sur le VLAN 40, qui est votre réseau de paiement soumis à la norme PCI. Lorsqu'un lecteur d'affichage dynamique se connecte avec sa clé, il se retrouve sur le VLAN 50, qui a accès à votre serveur de gestion de contenu mais à rien d'autre. Lorsqu'un prestataire se connecte avec une clé temporaire, il se retrouve sur le VLAN 60, qui a un accès Internet et à rien d'interne. Lorsque vous révoquez la clé de ce prestataire, il est immédiatement déconnecté du réseau. Aucun changement de mot de passe n'est requis sur l'ensemble des appareils.

Le mécanisme derrière xPSK varie selon le fournisseur. Sur Cisco Meraki, il s'appelle iPSK - Identity PSK - et fonctionne via RADIUS. Sur HPE Aruba, l'équivalent est MPSK, également géré par RADIUS. Ruckus l'appelle DPSK - Dynamic PSK. Juniper Mist utilise le PPSK avec attribution dynamique de VLAN via le tableau de bord cloud de Mist. Ubiquiti UniFi prend en charge le contrôle d'accès réseau avec attribution de VLAN par client dans ses versions de firmware récentes. Purple s'intègre à ces cinq plateformes en tant que fournisseur RADIUS cloud.

[medium pause]

Parlons maintenant de l'ordre d'implémentation. L'ordre est important.

Commencez par la conception de vos VLAN avant de toucher à la configuration du réseau sans fil. Définissez d'abord vos VLAN au niveau de la couche de commutation. Configurez votre politique de routage inter-VLAN et verrouillez-la au niveau du pare-feu avant qu'aucun appareil ne se connecte. C'est l'erreur la plus courante que nous constatons : les équipes configurent d'abord le réseau sans fil, puis essaient d'adapter la segmentation VLAN après coup. Faites l'inverse.

Deuxièmement, configurez votre serveur RADIUS. Dans la plateforme de Purple, accédez à la section de configuration RADIUS, générez vos identifiants de serveur et notez les adresses IP primaire et secondaire, le port d'authentification (généralement 1812) et le secret partagé.

Troisièmement, configurez vos SSIDs. Pour le SSID invité, définissez la sécurité sur ouverte, activez la redirection vers le Captive Portal et dirigez l'URL de redirection vers votre portail Purple. Pour le SSID Passpoint, activez la norme 802.11u et configurez vos éléments ANQP (votre domaine NAI, l'OI de votre Roaming Consortium si vous participez à OpenRoaming, et les informations sur votre site). Définissez le type de sécurité sur WPA2-Enterprise ou WPA3-Enterprise. Pour le SSID xPSK, configurez les paramètres MPSK ou DPSK spécifiques au fournisseur et dirigez l'authentification vers votre point de terminaison RADIUS Purple.

Quatrièmement, configurez votre walled garden (environnement sécurisé) pour le SSID invité. Incluez les domaines du portail de Purple, votre résolveur DNS et les points de terminaison de détection de Captive Portal utilisés par iOS et Android : captivedetect.apple.com d'Apple et connectivitycheck.gstatic.com de Google.

[medium pause]

Deux exemples concrets.

Un hôtel de 350 chambres dans le centre de Londres a déployé cette architecture sur 28 points d'accès équipés de matériel HPE Aruba. Avant le déploiement, les terminaux de paiement partageaient un segment réseau avec les appareils des invités, ce qui constituait un manquement à la conformité PCI. La refonte autour de trois SSIDs a permis de déplacer les terminaux de paiement vers un VLAN dédié, avec des règles de pare-feu autorisant uniquement le trafic HTTPS sortant vers le processeur de paiement. L'audit PCI a été validé lors du cycle suivant. La collecte de données clients a augmenté de 34 % au cours des trois premiers mois, le portail étant plus rapide et le parcours d'inscription plus fluide.

Une chaîne de magasins comptant 80 points de vente à travers le Royaume-Uni a réduit le nombre de SSIDs par magasin, passant d'une moyenne de 4,2 à trois. Les terminaux de point de vente électroniques (EPOS) et l'affichage dynamique ont été transférés sur le SSID xPSK, avec des clés par appareil gérées de manière centralisée via Purple. Le personnel est passé à un SSID Passpoint en utilisant ses identifiants Microsoft Entra ID via EAP-TTLS. L'équipe informatique a enregistré une réduction de 60 % des tickets d'assistance liés au WiFi au cours du premier trimestre suivant le déploiement.

[medium pause]

Quelques pièges à éviter lors du déploiement.

Configuration du délai d'attente (timeout) RADIUS : si vos points d'accès ne parviennent pas à joindre le serveur RADIUS de Purple dans le délai configuré, ils refuseront la connexion. Configurez toujours les adresses des serveurs RADIUS primaire et secondaire.

Marquage VLAN sur les ports trunk : chaque port de liaison montante (uplink) d'un point d'accès doit être configuré comme un trunk acheminant tous les VLANs utilisés par vos SSIDs. Une erreur courante consiste à configurer le VLAN sur le contrôleur mais à oublier de l'ajouter au trunk sur le port du commutateur (switch).

Configuration Passpoint ANQP : la liste des domaines NAI doit correspondre exactement à celle du profil Passpoint installé sur l'appareil. En cas d'incohérence, les appareils ignoreront votre réseau lors de la phase de détection. Testez la configuration avec un appareil de référence avant le déploiement en production.
Rotation des clés xPSK : les clés des prestataires doivent avoir une date d'expiration définie lors de l'attribution. Le tableau de bord de Purple vous permet de révoquer des clés individuelles sans affecter les autres appareils du réseau.

[medium pause]

Questions rapides.

Puis-je exécuter les trois SSIDs sur le même point d'accès ? Oui. Limitez le nombre total de SSIDs par point d'accès à six ou moins pour minimiser la surcharge de balisage.

Passpoint nécessite-t-il une application spécifique ? Avec Purple, il nécessite soit l'application Purple, soit un SDK intégré à votre propre application de marque. Le SDK gère l'attribution des profils en arrière-plan et de manière silencieuse.

L'xPSK est-il conforme à la norme PCI pour les terminaux de paiement ? Oui, à condition que le VLAN acheminant le trafic des appareils de paiement soit correctement segmenté et que les règles de pare-feu limitent le trafic à ce qui est strictement requis par le processeur de paiement.

Que se passe-t-il si un portail SSID invité tombe en panne ? Configurez une redirection de secours ou une splash page locale sur le contrôleur du point d'accès. La plateforme de Purple fonctionne avec une disponibilité de 99,999 %, mais une configuration de sécurité redondante reste une bonne pratique.

[medium pause]

En résumé. L'architecture à trois SSIDs vous offre un réseau invité avec un Captive Portal conforme pour la collecte de données, un réseau Passpoint pour un accueil sécurisé et automatisé via l'application Purple ou le SDK avec attribution dynamique de VLAN, et un réseau xPSK qui regroupe les appareils IoT, les terminaux de paiement, l'affichage dynamique, les prestataires et le BYOD sous des clés par appareil associées à des VLAN spécifiques. Le résultat est une posture de sécurité plus claire, une meilleure expérience visiteur et un réseau véritablement gérable à grande échelle.

Commencez par la conception de vos VLAN, configurez RADIUS, créez vos SSIDs et définissez votre walled garden. L'équipe d'intégration de Purple peut vous accompagner dans la configuration de votre plateforme matérielle spécifique.

Le guide écrit complet est disponible sur purple.ai. Recherchez "three SSIDs to rule them all" pour obtenir la référence de configuration étape par étape avec les détails spécifiques aux fournisseurs pour Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi.

Merci pour votre écoute.

Points clés à retenir

✓Consolidez les réseaux sans fil complexes en trois SSIDs dédiés : Guest, Passpoint et xPSK.
✓Utilisez le SSID Guest ouvert avec un captive portal pour garantir la conformité GDPR et capturer des données de première main.
✓Déployez Passpoint pour offrir une intégration fluide et chiffrée pour les visiteurs récurrents et le personnel via l'application Purple ou le SDK.
✓Sécurisez les appareils IoT sans écran, les terminaux de paiement et les prestataires externes à l'aide de xPSK, en attribuant des clés uniques pour éliminer les mots de passe partagés.
✓Appliquez une sécurité zero-trust en mappant dynamiquement les appareils authentifiés vers des VLANs isolés via le RADIUS cloud de Purple.
✓Configurez toujours les VLANs des commutateurs et les politiques de routage du pare-feu avant de déployer la configuration sans fil.
✓Limitez les diffusions de SSID afin de réduire la surcharge RF et d'améliorer les performances globales du réseau.

📚 Fait partie de notre série principale : Sécurité et authentification WiFi en entreprise : le guide complet →

Résumé exécutif

La plupart des sites d'entreprise exploitent encore des architectures sans fil héritées qui regroupent tout le trafic sur un ou deux SSIDs. Cette approche crée un risque inacceptable en plaçant des appareils IoT non gérés, du matériel de sous-traitants et des visiteurs publics sur des segments de réseau partagés. La conception WiFi à trois SSIDs élimine cette vulnérabilité en attribuant à chaque classe d'appareil et d'utilisateur son propre réseau dédié, son propre VLAN et sa propre méthode d'authentification. Ce guide fournit un plan étape par étape pour déployer trois SSIDs distincts : un réseau Guest WiFi ouvert pour la conformité et la capture de données, un réseau Passpoint (Hotspot 2.0) pour un accès sécurisé et automatisé via l'application ou le SDK de Purple, et un réseau xPSK qui regroupe tous les appareils sans écran sous des clés par appareil. En se standardisant sur cette architecture, les équipes informatiques peuvent réaliser une segmentation VLAN stricte, réduire la surcharge des fréquences radio et simplifier les opérations réseau sur les déploiements Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi.

Écouter le briefing

Analyse approfondie de l'architecture technique

La conception à trois SSIDs est une approche Zero Trust appliquée à la périphérie du sans fil. Elle repose sur le principe que le SSID n'est que le point d'entrée ; la véritable limite de sécurité est l'attribution du VLAN dictée par la méthode d'authentification.

1. Guest WiFi (SSID ouvert)

Le premier SSID est un réseau ouvert avec un Captive Portal. Il s'adresse aux visiteurs, aux invités temporaires et aux utilisateurs occasionnels. Comme il est ouvert, il n'y a aucune friction au point de connexion. Le point de contrôle de sécurité se déplace vers la couche du portail. Lorsqu'un appareil se connecte, une adresse IP lui est attribuée à partir d'un sous-réseau fortement restreint et il est placé dans un environnement fermé (walled garden). L'utilisateur est redirigé vers une page d'accueil où il accepte les conditions d'utilisation et fournit éventuellement des données d'identité.

Ce SSID est essentiel pour la conformité. En vertu du GDPR, vous devez enregistrer le consentement et la base légale du traitement des données. Purple gère cela nativement, en enregistrant l'horodatage du consentement et en capturant les données de première partie. Une fois authentifiée, la session est mappée sur le VLAN 10. Les règles de pare-feu garantissent que le VLAN 10 a un accès à Internet uniquement, complètement isolé des systèmes internes. Pour les sites soumis à la norme PCI DSS, cette segmentation garantit que le trafic des invités ne touche jamais l'environnement des données des titulaires de cartes.

2. Passpoint (Hotspot 2.0)

Le deuxième SSID s'appuie sur la norme IEEE 802.11u Passpoint pour fournir un accès automatisé et chiffré. Il est conçu pour les clients réguliers, les membres des programmes de fidélité et le personnel. Au lieu d'un Captive Portal, Passpoint utilise un profil installé pour négocier l'authentification en arrière-plan via EAP-TLS ou EAP-TTLS avec PEAP.

Lorsqu'un utilisateur disposant de l'application Purple (ou de votre propre application intégrant le Purple SDK) pénètre dans l'établissement, son appareil détecte le SSID Passpoint qui diffuse des éléments ANQP (Access Network Query Protocol) spécifiques. Il les compare à son profil et se connecte automatiquement. Purple fait office de serveur RADIUS cloud, traitant l'identifiant et renvoyant un message RADIUS Access-Accept. De manière cruciale, ce message inclut des attributs d'attribution de VLAN (tels que Tunnel-Private-Group-ID). Un membre du programme de fidélité peut être attribué au VLAN 20, tandis qu'un membre du personnel utilisant le même SSID est attribué au VLAN 30. Cette attribution dynamique de VLAN permet d'appliquer les politiques par identité plutôt que par SSID.

3. xPSK (IoT et BYOD)

Le troisième SSID regroupe tous les autres cas d'usage - terminaux de paiement, signalisation numérique, imprimantes, prestataires et BYOD - en utilisant le protocole xPSK (iPSK, PPSK, DPSK ou MPSK). Au lieu d'un mot de passe partagé unique, chaque appareil ou groupe reçoit une clé pré-partagée unique.

Lorsqu'un appareil se connecte, le point d'accès envoie l'adresse MAC de l'appareil et la clé PSK spécifique utilisée au serveur RADIUS Purple. Purple valide la clé et renvoie l'attribution de VLAN correspondante. Un terminal de paiement est dirigé vers le VLAN 40 (soumis aux normes PCI), tandis qu'un lecteur de signalisation numérique est dirigé vers le VLAN 50. Si la clé d'un prestataire est révoquée, son accès est immédiatement interrompu sans affecter aucun autre appareil. Cela élimine le besoin de listes de contournement d'authentification MAC (MAB) et de mots de passe partagés.

Guide de mise en œuvre

Le déploiement de cette architecture nécessite un séquençage strict. Ne configurez pas les contrôleurs sans fil tant que le réseau câblé sous-jacent n'est pas préparé.

Étape 1 : Configuration du commutateur et du pare-feu

Définissez d'abord vos VLAN au niveau de la couche du commutateur. Créez des VLAN distincts pour chaque classe d'appareils (par exemple, VLAN 10 Invité, VLAN 20 Sécurisé, VLAN 30 IoT, VLAN 40 PCI). Configurez des politiques de routage inter-VLAN sur votre pare-feu pour imposer un isolement strict. Les VLAN Invité et IoT ne doivent généralement disposer que d'un accès Internet sortant. Assurez-vous que tous les ports de liaison montante des points d'accès sont configurés comme des trunks transportant tous les VLAN requis.

Étape 2 : Intégration du serveur RADIUS

Accédez au portail Purple et générez vos identifiants RADIUS. Notez les adresses IP principale et secondaire, le port d'authentification (généralement 1812), le port de comptabilité (1813) et le secret partagé. Saisissez ces détails dans la configuration AAA de votre contrôleur sans fil. Définissez le délai d'expiration RADIUS sur au moins deux secondes pour tenir compte de la latence du cloud.

Étape 3 : Configuration du SSID

Configurez les trois SSIDs conformément à l'implémentation spécifique de votre équipementier :

Guest SSID : Définissez la sécurité sur Ouvert. Activez la redirection vers le Captive Portal et dirigez-la vers l'URL de votre portail Purple. Configurez le walled garden pour autoriser l'accès aux domaines de Purple, à votre résolveur DNS et aux points de terminaison de détection du Captive Portal de l'OS (par ex., captivedetect.apple.com).

Passpoint SSID : Activez la norme 802.11u/Hotspot 2.0. Configurez les éléments ANQP, en veillant à ce que le NAI Realm corresponde exactement au profil déployé par l'application Purple. Définissez la sécurité sur WPA2-Enterprise ou WPA3-Enterprise et dirigez l'authentification vers les serveurs RADIUS de Purple.

xPSK SSID : Activez la fonctionnalité xPSK spécifique à l'équipementier (par ex., iPSK sur Cisco Meraki, MPSK sur HPE Aruba). Dirigez l'authentification MAC vers les serveurs RADIUS de Purple et activez l'attribution dynamique de VLAN.

Bonnes pratiques

Limiter le nombre de SSID : Ne diffusez jamais plus de quatre SSIDs par point d'accès. Un nombre excessif de SSIDs augmente la surcharge de balisage (beacon overhead), ce qui dégrade les performances globales du réseau. La configuration à trois SSIDs optimise l'utilisation du temps d'antenne.
Précision du Walled Garden : Restreignez votre walled garden au maximum. N'incluez que les domaines essentiels au flux du portail et à la détection de l'OS. Les plages d'adresses IP trop larges créent des failles de sécurité.
Gestion du cycle de vie des clés : Établissez un cycle de vie strict pour les clés xPSK. Définissez des dates d'expiration pour les clés des prestataires dès leur création. Examinez et renouvelez les clés IoT chaque année.

Dépannage et atténuation des risques

Délais d'expiration RADIUS : Si les appareils ne parviennent pas à se connecter aux réseaux Passpoint ou xPSK, vérifiez les paramètres de délai d'expiration (timeout) RADIUS sur le contrôleur. Le RADIUS Cloud nécessite un délai d'expiration légèrement plus long que les serveurs locaux. Assurez-vous que les adresses IP RADIUS de Purple principale et secondaire sont configurées.
Échecs de marquage VLAN : Si un appareil s'authentifie avec succès mais ne parvient pas à obtenir une adresse IP, le problème provient presque toujours d'un tag VLAN manquant sur le port de commutateur du point d'accès. Vérifiez la configuration du trunk.
Problèmes de détection Passpoint : Si les appareils ignorent le Passpoint SSID, vérifiez la configuration ANQP NAI Realm. Une simple faute de frappe entraînera le rejet silencieux du réseau par l'appareil.

ROI et impact commercial

La mise en œuvre de la configuration à trois SSIDs génère une valeur commerciale mesurable. En consolidant les SSIDs, les établissements réduisent les interférences RF et améliorent les performances des clients. L'attribution dynamique de VLAN via Passpoint et xPSK réduit considérablement les tickets d'assistance informatique liés aux réinitialisations de mots de passe et à la liste blanche des adresses MAC. De plus, une segmentation robuste garantit la conformité avec PCI DSS et le GDPR, atténuant le risque financier des violations de données tout en maximisant la collecte de données de première main (first-party) via le portail Guest WiFi .

Définitions clés

Passpoint (Hotspot 2.0)

Une norme IEEE 802.11u qui permet aux appareils mobiles de découvrir automatiquement et de se connecter de manière sécurisée aux réseaux WiFi sans interaction de l'utilisateur.

Crucial pour offrir des expériences de roaming de type cellulaire et un accès sécurisé et chiffré pour les visiteurs réguliers et le personnel.

xPSK

Un terme générique pour les implémentations spécifiques aux fournisseurs (iPSK, PPSK, DPSK, MPSK) qui permettent plusieurs clés prépartagées uniques sur un seul SSID, chaque clé s'associant à un VLAN spécifique.

Utilisé pour sécuriser les appareils IoT sans écran, les imprimantes et les terminaux de paiement qui ne peuvent pas supporter l'authentification d'entreprise 802.1X.

Captive Portal

Une page web que les utilisateurs sont obligés de consulter et avec laquelle ils doivent interagir avant d'obtenir l'accès à un réseau WiFi public.

Le mécanisme principal pour capturer les données de premier niveau et garantir la conformité au GDPR via un consentement explicite.

Segmentation VLAN

La pratique consistant à diviser un réseau physique en plusieurs réseaux logiques afin d'isoler le trafic et d'appliquer des politiques de sécurité.

Essentielle pour isoler le trafic invité non approuvé des systèmes internes sensibles et des appareils de paiement concernés par les normes PCI.

RADIUS

Remote Authentication Dial-In User Service ; un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA).

Le moteur qui alimente Passpoint et xPSK, validant les identifiants et indiquant au point d'accès quel VLAN attribuer.

ANQP

Access Network Query Protocol ; un protocole utilisé par les appareils pour découvrir des informations réseau (telles que les consortiums de roaming et les types d'authentification) avant de s'associer à un point d'accès.

Le mécanisme utilisé par Passpoint pour déterminer si un appareil possède le profil correct pour se connecter automatiquement.

Walled Garden

Un environnement limité qui contrôle l'accès de l'utilisateur au contenu web avant qu'il ne soit entièrement authentifié.

Doit être configuré correctement pour permettre aux appareils d'accéder au captive portal et aux points de terminaison de détection du système d'exploitation.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security ; un framework d'authentification qui utilise des certificats pour la validation du client et du serveur.

La méthode d'authentification hautement sécurisée généralement utilisée par les profils Passpoint pour garantir des connexions chiffrées.

Exemples concrets

Un hôtel de 350 chambres doit sécuriser ses terminaux de paiement par carte tout en collectant les données des clients pour son programme de fidélité. Actuellement, tous les appareils partagent un seul SSID WPA2-Personal.

Déployez l'architecture à trois SSIDs. Créez le VLAN 10 pour les invités, le VLAN 20 pour les membres du programme de fidélité et le VLAN 40 pour les terminaux de paiement. Configurez le SSID Invité comme ouvert avec un Captive Portal Purple pour la capture de données. Configurez le SSID Passpoint pour les membres du programme de fidélité à l'aide de l'application Purple. Configurez le SSID xPSK pour les terminaux de paiement. Dans le tableau de bord Purple, générez des PSK uniques pour chaque terminal et associez-les au VLAN 40. Sur le pare-feu, limitez le VLAN 40 pour autoriser uniquement le trafic HTTPS sortant vers les adresses IP du processeur de paiement.

Commentaire de l'examinateur : Cette approche résout immédiatement le défaut de conformité PCI en isolant l'environnement des données de titulaires de cartes. Elle modernise également l'expérience client, en offrant aux visiteurs fréquents un accès fluide via Passpoint tout en collectant des données de premier niveau précieuses auprès des nouveaux invités.

Une chaîne de vente au détail comptant 80 magasins rencontre d'importants problèmes de performance WiFi en raison de la diffusion de cinq SSIDs par magasin (Invité, Personnel, POS, Signalisation, Scanners).

Consolidez les réseaux en utilisant la conception à trois SSIDs. Conservez le SSID Invité avec un Captive Portal. Déployez un SSID Passpoint pour le personnel, s'authentifiant auprès de Microsoft Entra ID via l'intégration RADIUS de Purple, et associez-les à un VLAN personnel. Regroupez les terminaux de point de vente (POS), la Signalisation et les Scanners sur un seul SSID xPSK. Attribuez des clés uniques à chaque catégorie d'appareil, en associant le POS au VLAN 40, la Signalisation au VLAN 50 et les Scanners au VLAN 60.

Commentaire de l'examinateur : Réduire le nombre de SSIDs de cinq à trois diminue considérablement la surcharge des trames de gestion, ce qui améliore immédiatement le temps d'antenne disponible et le débit des clients. L'équipe informatique bénéficie d'un contrôle granulaire sur les appareils sans écran, sans la charge administrative liée à la maintenance des listes MAB.

Questions d'entraînement

Q1. Un directeur informatique de stade souhaite déployer Passpoint pour les supporters via l'application officielle de l'équipe, mais s'inquiète du fait que les paramètres de délai d'attente RADIUS puissent provoquer des échecs de connexion lors d'événements à forte densité. Quelle est l'approche recommandée ?

Conseil : Prenez en compte la latence de l'authentification basée sur le cloud par rapport aux contrôleurs locaux.

Voir la réponse type

Configurez le délai d'attente RADIUS sur les contrôleurs sans fil à un minimum de deux à trois secondes. Dans les environnements à forte densité, les réponses RADIUS cloud peuvent prendre un peu plus de temps que celles des serveurs locaux. De plus, assurez-vous que les adresses IP RADIUS Purple principale et secondaire sont configurées pour assurer la redondance en cas de basculement.

Q2. Vous configurez le SSID xPSK pour une flotte de nouveaux scanners de codes-barres sans fil. Les scanners se connectent avec succès au SSID, mais ils ne peuvent pas atteindre le serveur d'inventaire. Quelle est la cause la plus probable ?

Conseil : Pensez au chemin entre le point d'accès et le commutateur principal.

Voir la réponse type

La cause la plus probable est l'absence de balise VLAN sur le port de commutateur du point d'accès. Bien que le RADIUS Purple attribue correctement le scanner au VLAN d'inventaire, si ce VLAN n'est pas autorisé sur le port trunk reliant le point d'accès au commutateur, le trafic sera rejeté.

Q3. Un hôtel doit permettre à ses clients d'accéder à son moteur de réservation directe avant qu'ils ne s'authentifient via le captive portal. Comment cela doit-il être configuré ?

Conseil : Cela implique de contrôler le trafic de pré-authentification.

Voir la réponse type

L'équipe informatique doit ajouter les domaines et les adresses IP du moteur de réservation à la configuration du walled garden sur le contrôleur sans fil. Cela permet au trafic de pré-authentification d'atteindre ces destinations spécifiques tout en bloquant tout autre accès Internet jusqu'à ce que le flux du captive portal soit complété.

Continuer la lecture de cette série

Trois SSIDs pour régner sur tous : guide de configuration WiFi pour invités, personnel et IoT

Ce guide de référence technique fait autorité et fournit un plan étape par étape pour implémenter une architecture WiFi à trois SSIDs. Il explique comment segmenter le trafic des invités, du personnel et de l'IoT à l'aide de captive portals, de RADIUS 802.1X et de clés partagées par appareil (xPSK) afin d'optimiser les performances et de garantir la conformité PCI DSS.

Authentification WiFi d'entreprise sans Active Directory ni serveur sur site

Ce guide explique comment déployer une authentification WiFi WPA2/3-Enterprise sécurisée sans Active Directory sur site, sans Windows NPS ni serveur RADIUS. Il aborde l'incompatibilité de protocole entre les fournisseurs d'identité cloud et 802.1X, les arguments en faveur d'EAP-TLS par rapport à PEAP-MSCHAPv2, et comment déployer un RADIUS cloud avec des certificats émis par MDM pour Microsoft Entra ID, Okta ou Google Workspace. Conçu pour les responsables informatiques des organisations cloud-first et à forte composante Mac/Chromebook prêtes à abandonner leur infrastructure sur site.

Comment révoquer l'accès WiFi lors du départ d'un employé

Ce guide détaille comment révoquer l'accès WiFi lors du départ d'un employé, en remplaçant les mots de passe partagés non sécurisés par des certificats 802.1X par utilisateur ou par iPSK. Il traite du déprovisionnement automatisé via SCIM afin de répondre aux exigences d'audit ISO 27001 et SOC 2.