Bonjour,
 
Je me demande de quelle façon je peux sécuriser la mise en place d'un point d'accès wifi dans un réseau à travers un switch manageable de niveau 3.
 
L'environnement consiste en plusieurs sites connectés en VPN via des routeurs gérés par l'opérateur.
Chaque site a son sous-réseau avec un plan d'adressage type 192.168.X et chaque IP peut accéder à n'importe quelle IP du VPN sur n'importe quel port.
 
La mise en place d'une authentification 802.1X dans le cadre d'un point d'accès connecté au switch n'a pas de sens, car une fois autorisé à travers le point d'accès tous les équipements passant par cette connexion WiFi se retrouvent autorisés.
 
Est-il possible de limiter les adresses IP et les ports atteignables à travers un port spécifique du switch, celui sur lequel serait connecté le point d'accès, et si oui comment ?
Quelles autres solutions de sécurisation me conseillez-vous ?
 
PS : Les équipements envisagés sont Cisco SG350 pour le switch et borne WiFi Meraki Go en point d'accès.
 

tu peux limiter les accès sur un port switch mais c'est du stateless donc c'est limité.
Pas compris ta remarque sur 802.1X, c'est une des plus importantes best practices à suivre de nos jours pour contrôler l'accès au LAN, pour le filaire et a fortiori pour le wifi. Ca permet de s'assurer que les postes aussi bien en filaire qu'en wifi ont un minimum de légitimité à accéder au réseau, et à partir de là on peut traiter les deux groupes de la même façon.
Ensuite pour limiter les accès aux ressources distantes depuis ces postes, en général on utilise un firewall (mais l'administration de son jeu de règle pose de nouvelles problématiques), et/ou on s'assure que les systèmes et applications distants ont eux-même un mécanisme d'authentification suffisant (démarche à privilégier).

Pour le 802.1X le problème c'est qu'il est supporté par le switch mais pas par le point d'accès, pour ce qui est du matériel cité.
Ce qui fait que l'authentification est gérée au niveau du port, et à partir du moment ou un client du point d'accès a saisi des identifiants valides, c'est le point d'accès wifi lui-même qui est autorisé.
 
Pour ce qui est des mécanismes d'authentification au niveau ressources distantes, c'est là que le bas blesse et c'est pourquoi je cherche à blinder la connexion via un point d'accès.

Achète du matériel compatible alors parce que bon en 2024 ne pas être foutu de supporter ce protocole de base c'est qd même dommage

 
Ton switch ne sait pas faire d'auth 802.1X par adresse MAC ?
 
Mais déjà oui le fait que ton AP ne le fasse pas c'est déjà pas normal, c'est vraiment une fonction de base de nos jours.