Je viens de remplacer mon routeur wifi google par un autre routeur wifi
google, que j'ai configuré avec le même réseau et le même mot de
passe. Je m'attendais Í devoir malgré tout reconfigurer tous les
appareils sans fils pour les authentifier sur le nouveau routeur wifi, au
contraire tous les appareils ont continué de fonctionner sans la moindre
intervention manuelle.
Je suis surpris car cela signifie que n'importe quel pirate pourrait
dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
connexion des équipements. Je pensais Í minima que la l'authentification
d'un réseau wifi repose sur un échange de clef publique comme cela se
fait lors d'une première authentification sur un serveur SSH.
Étant donné que le routeur wifi est lié Í un compte google, se
pourrait il qu'au moment de la configuration du routeur, google qui aurait
conservé une copie de la clef privée, duplique la clef sur le nouveau
routeur pour assurer la continuité du service ?
WPA2 PSK, je n'ai rien configuré ce sont les paramètres par défaut.
Pre-shared key, donc un seul mot de passe pour tout le monde. On pourrait dire que l'identifiant de ton réseau est son nom d'ESS ainsi que ce mot de passe. Dès que ces deux informations sont copiées sur le nouvel access point, l'accès est possible sans autre forme de procès. Dans ce mode, aucune notion de certificat ni de chiffrement asymétrique n'existe.
Merci ça répond Í ma question. Est ce qu'il existe un mode qui permettrait de révoquer facilement un clone illégitime. Par exemple j'aimerais que si mon routeur tombe en panne et qu'un petit malin vienne cloner le nom du réseau avec le même mot de passe, les équipements refusent de se connecter sur son routeur.
WPA2 PSK, je n'ai rien configuré ce sont les paramètres par défaut.
Pre-shared key, donc un seul mot de passe pour tout le monde.
On pourrait dire que l'identifiant de ton réseau est son nom d'ESS ainsi
que ce mot de passe. Dès que ces deux informations sont copiées sur le
nouvel access point, l'accès est possible sans autre forme de procès.
Dans ce mode, aucune notion de certificat ni de chiffrement asymétrique
n'existe.
Merci ça répond Í ma question.
Est ce qu'il existe un mode qui permettrait de révoquer facilement un
clone illégitime. Par exemple j'aimerais que si mon routeur tombe en
panne et qu'un petit malin vienne cloner le nom du réseau avec le même
mot de passe, les équipements refusent de se connecter sur son routeur.
WPA2 PSK, je n'ai rien configuré ce sont les paramètres par défaut.
Pre-shared key, donc un seul mot de passe pour tout le monde. On pourrait dire que l'identifiant de ton réseau est son nom d'ESS ainsi que ce mot de passe. Dès que ces deux informations sont copiées sur le nouvel access point, l'accès est possible sans autre forme de procès. Dans ce mode, aucune notion de certificat ni de chiffrement asymétrique n'existe.
Merci ça répond Í ma question. Est ce qu'il existe un mode qui permettrait de révoquer facilement un clone illégitime. Par exemple j'aimerais que si mon routeur tombe en panne et qu'un petit malin vienne cloner le nom du réseau avec le même mot de passe, les équipements refusent de se connecter sur son routeur.
Marc SCHAEFER
Julien Arlandis wrote:
Est ce qu'il existe un mode qui permettrait de révoquer facilement un clone illégitime. Par exemple j'aimerais que si mon routeur tombe en panne et qu'un petit malin vienne cloner le nom du réseau avec le même mot de passe, les équipements refusent de se connecter sur son routeur.
Avec WPA Entreprise et EAP-TTLS, tu peux faire signer ton certificat serveur par une autorite de certification. Et tu peux soit utiliser une vraie, ou une locale preinstallee sur les clients. A partir de la, tu peux ensuite revoquer ce certificat via un service OCSP, ou mettre un delai court et changer souvent le certificat. Alternative: mettre le certificat et la cle correspondante sur un serveur RADIUS mieux securise que ton AP et l'AP ne fait que relayer l'authentification de maniere centrale. Par exemple ici, le vol d'un AP (qui en fait sont des machines Linux embarquees mais cela ne change rien) n'a pas de consequence sur la securite du reseau.
Est ce qu'il existe un mode qui permettrait de révoquer facilement un
clone illégitime. Par exemple j'aimerais que si mon routeur tombe en
panne et qu'un petit malin vienne cloner le nom du réseau avec le même
mot de passe, les équipements refusent de se connecter sur son routeur.
Avec WPA Entreprise et EAP-TTLS, tu peux faire signer ton certificat serveur par une
autorite de certification. Et tu peux soit utiliser une vraie, ou une
locale preinstallee sur les clients.
A partir de la, tu peux ensuite revoquer ce certificat via un service
OCSP, ou mettre un delai court et changer souvent le certificat.
Alternative: mettre le certificat et la cle correspondante sur un
serveur RADIUS mieux securise que ton AP et l'AP ne fait que relayer
l'authentification de maniere centrale.
Par exemple ici, le vol d'un AP (qui en fait sont des machines Linux
embarquees mais cela ne change rien) n'a pas de consequence sur la
securite du reseau.
Est ce qu'il existe un mode qui permettrait de révoquer facilement un clone illégitime. Par exemple j'aimerais que si mon routeur tombe en panne et qu'un petit malin vienne cloner le nom du réseau avec le même mot de passe, les équipements refusent de se connecter sur son routeur.
Avec WPA Entreprise et EAP-TTLS, tu peux faire signer ton certificat serveur par une autorite de certification. Et tu peux soit utiliser une vraie, ou une locale preinstallee sur les clients. A partir de la, tu peux ensuite revoquer ce certificat via un service OCSP, ou mettre un delai court et changer souvent le certificat. Alternative: mettre le certificat et la cle correspondante sur un serveur RADIUS mieux securise que ton AP et l'AP ne fait que relayer l'authentification de maniere centrale. Par exemple ici, le vol d'un AP (qui en fait sont des machines Linux embarquees mais cela ne change rien) n'a pas de consequence sur la securite du reseau.
