Les bornes sont également capables, dans un mode particulier, d'accepter des clients inconnus. C'est utilisé notamment pour les bornes qui se trouvent à l'ENS. Il y a donc des différences de fonctionnement par rapport à ce qui est indiqué dans les pages ../SécuritéWifi, ../FirmWare et ../VariablesNvram.
Le mode hotspot est exploité par les bornes de l'ENS. Elle permet de se connecter au SSID "ENS Cachan" et de se retrouver alors dans le VLAN 4 plutôt que dans le VLAN 3. Cette possibilité de SSID multiple est offerte par un driver propriétaire wl.o assez récent. Il reste encore des bugs. Le passage au driver libre http://bcm43xx.berlios.de et au noyau 2.6 permettra à l'avenir de s'affranchir du driver propriétaire.
Variables NVRAM
Pour placer la borne en mode hotspot, il faut ajouter quelques variables supplémentaires :
crans_hotspot=1 pour activer le mode hotspot, les autres variables n'ont pas d'effet sans cette variable
crans_hotspot_network indique le réseau hotspot
crans_hotspot_gateway indique la passerelle par défaut
crans_hotspot_gateway_mac indique l'adresse MAC de la passerelle par défaut
crans_hotspot_dhcp_ip indique le DHCP à utiliser pour la partie hotspot
crans_hotspot_lan_physdev indique l'interface filaire à utiliser
crans_hotspot_wifi_physdev indique l'interface wifi à utiliser
Il faut de plus placer les variables qui permettent de configurer correctement les VLAN et l'interface wifi : wl0.1_ssid, wl0.1_enabled, wl0.1_ap_isolate, wl0.1_closed pour le wifi et vlan4ports pour les VLAN.
La configuration du mode hotspot se fait par le script /etc/init.d/S41hotspot sur la borne. Toutefois, les différents scripts réagissent différemment selon que la variable crans_hotspot est placée à 1 ou non ; par exemple /etc/init.d/S46firewall relaxe le firewall sur le VLAN 4, notamment il laisse passer le DHCP et n'effectue pas de correspondance MAC/IP
DHCP
Le DHCP doit distribuer des adresses dynamiques pour les clients inconnus. Nectaris était configuré ainsi.
subnet 10.231.144.0 netmask 255.255.248.0 { default-lease-time 900; option subnet-mask 255.255.248.0; option broadcast-address 10.231.151.255; option routers 10.231.148.1; option domain-name-servers 10.231.148.1; option domain-name "ens-cachan.fr"; option option-119 "ens-cachan.fr"; option netbios-node-type 2; range dynamic-bootp 10.231.149.1 10.231.149.254; } subnet 138.231.148.0 netmask 255.255.252.0 { [...] }
Particularités du firmware
En mode hotspot, auth-mac ne rejette aucun client. une seconde instance de arp-forwarder accepte de forwarder les requêtes inconnues, uniquement dans le réseau. Il n'y a pas de redirection vers un DNS local.
Firewall
On dispose d'un bridge spécifique au réseau hotspot (br1). On effectue nos règles de filtrage sur celui-ci. Comme pour le réseau classique, on se contente de forcer le client à discuter avec le routeur. La correspondance MAC/IP étant incomplète, on utilise une version simplifiée visant à s'assurer qu'on ne tente pas de prendre la place du routeur.
C'est la passerelle qui effectue tous les contrôles d'accès. Celle-ci peut implanter par exemple un portail captif.
Implications sur la sécurité
Le système se retrouve intrinsèquement affaibli : des clients inconnus peuvent exploiter le réseau sans autorisation particulière (c'est un choix politique). Au niveau des dénis de service, rien ne garantit l'intégrité de la partie hotspot.
