Dans le cadre familial, j'ai besoin d'installer deux à trois machines
sur wifi. Je dis "besoin" au sens que je n'ai pas envie de jouer avec du
courant porteur et encore moins envie de sortir le perforateur pour
passer les câbles. Je pense (à tord ?) que les deux risques sont :
1) utilisation par un voisin/attaquant nomade de la connexion internet
(ADSL)
2) piratage des machines locales (win XP) et accès aux données
personnelles et professionelles des répertoires partagés à la mode
windows. Pas taper, c'est pas chez moi, et ça restera comme ça quoi que
j'en dise/pense, ça remplit un besoin de manière satisfaisante.
Pour le moment, ma checklist consiste à :
1) changer le SSID par défaut en le prenant pas évident à deviner, ne
pas le broadcaster. Ca doit pas servir à grand chose, mais ça emm...
toujours un peu.
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme
hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout
commentaire bienvenu sur le chopix du type de chiffrage.
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
4) changer le mot de passe admin du routeur wifi et vérifier que
l'administration distante est bien désactivée.
5) changer le workgroup windows par défaut.
Dit autrement, je pense qu'il est encore possible de craquer la crypto
avec airwire ou autre, puis de spoofer les adresses MAC, mais ça devrait
déjà occuper un peu.
J'envisage aussi la minuterie hardware (1 euro chez le quincailler du
coin) sur la multiprise qui alimente le wifi pour éviter les oublis
d'arrêt la nuit.
C'est du fire and forget, je ne passerai pas régulièrement regarder des
logs ou autres.
Y-a-t-il d'autres mesures à prendre (à part le perforateur pour faire
passer les câbles quand même et résoudre totalement le problème) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Fabien LE LEZ
On 12 Sep 2006 13:25:18 GMT, John GALLET :
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout commentaire bienvenu sur le chopix du type de chiffrage.
WPA est (pour l'instant) une protection relativement fiable. Pour échanger des fichiers, j'ai tendance à rajouter du VPN par-dessus, mais pour protéger une connexion Internet, WPA suffit largement.
WEP permet juste d'éviter que ton voisin, de bonne foi, se branche par erreur sur ton réseau. Il ne protège pas contre les pirates.
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
Inutile : pour contourner cette limitation, il suffit de repérer l'adrese MAC d'une des machines autorisées, et de la lui piquer.
4) changer le mot de passe admin du routeur wifi et vérifier que l'administration distante est bien désactivée.
Yep, c'est indispensable AMHA.
5) changer le workgroup windows par défaut.
Ça ne sert à rien.
On 12 Sep 2006 13:25:18 GMT, John GALLET <john.gallet@wanadoo.fr>:
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme
hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout
commentaire bienvenu sur le chopix du type de chiffrage.
WPA est (pour l'instant) une protection relativement fiable.
Pour échanger des fichiers, j'ai tendance à rajouter du VPN
par-dessus, mais pour protéger une connexion Internet, WPA suffit
largement.
WEP permet juste d'éviter que ton voisin, de bonne foi, se branche par
erreur sur ton réseau. Il ne protège pas contre les pirates.
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
Inutile : pour contourner cette limitation, il suffit de repérer
l'adrese MAC d'une des machines autorisées, et de la lui piquer.
4) changer le mot de passe admin du routeur wifi et vérifier que
l'administration distante est bien désactivée.
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout commentaire bienvenu sur le chopix du type de chiffrage.
WPA est (pour l'instant) une protection relativement fiable. Pour échanger des fichiers, j'ai tendance à rajouter du VPN par-dessus, mais pour protéger une connexion Internet, WPA suffit largement.
WEP permet juste d'éviter que ton voisin, de bonne foi, se branche par erreur sur ton réseau. Il ne protège pas contre les pirates.
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
Inutile : pour contourner cette limitation, il suffit de repérer l'adrese MAC d'une des machines autorisées, et de la lui piquer.
4) changer le mot de passe admin du routeur wifi et vérifier que l'administration distante est bien désactivée.
Yep, c'est indispensable AMHA.
5) changer le workgroup windows par défaut.
Ça ne sert à rien.
Dominique ROUSSEAU
Le mar, 12 sep 2006 at 15:45 GMT, Fabien LE LEZ a écrit :
On 12 Sep 2006 13:25:18 GMT, John GALLET :
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout commentaire bienvenu sur le chopix du type de chiffrage.
WPA est (pour l'instant) une protection relativement fiable. Pour échanger des fichiers, j'ai tendance à rajouter du VPN par-dessus, mais pour protéger une connexion Internet, WPA suffit largement.
WEP permet juste d'éviter que ton voisin, de bonne foi, se branche par erreur sur ton réseau. Il ne protège pas contre les pirates.
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
Inutile : pour contourner cette limitation, il suffit de repérer l'adrese MAC d'une des machines autorisées, et de la lui piquer.
Idem que ton argument pour WEP, en fait.
4) changer le mot de passe admin du routeur wifi et vérifier que l'administration distante est bien désactivée.
Yep, c'est indispensable AMHA.
5) changer le workgroup windows par défaut.
Ça ne sert à rien.
Bah, ça peut servir ne serait ce qu'à savoir qu'on s'adresse bien au bon bout de réseau windows quand on debugge cette cochonnerie.
Le mar, 12 sep 2006 at 15:45 GMT, Fabien LE LEZ <gramster@gramster.com> a écrit :
On 12 Sep 2006 13:25:18 GMT, John GALLET <john.gallet@wanadoo.fr>:
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme
hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout
commentaire bienvenu sur le chopix du type de chiffrage.
WPA est (pour l'instant) une protection relativement fiable.
Pour échanger des fichiers, j'ai tendance à rajouter du VPN
par-dessus, mais pour protéger une connexion Internet, WPA suffit
largement.
WEP permet juste d'éviter que ton voisin, de bonne foi, se branche par
erreur sur ton réseau. Il ne protège pas contre les pirates.
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
Inutile : pour contourner cette limitation, il suffit de repérer
l'adrese MAC d'une des machines autorisées, et de la lui piquer.
Idem que ton argument pour WEP, en fait.
4) changer le mot de passe admin du routeur wifi et vérifier que
l'administration distante est bien désactivée.
Yep, c'est indispensable AMHA.
5) changer le workgroup windows par défaut.
Ça ne sert à rien.
Bah, ça peut servir ne serait ce qu'à savoir qu'on s'adresse bien au bon
bout de réseau windows quand on debugge cette cochonnerie.
Le mar, 12 sep 2006 at 15:45 GMT, Fabien LE LEZ a écrit :
On 12 Sep 2006 13:25:18 GMT, John GALLET :
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout commentaire bienvenu sur le chopix du type de chiffrage.
WPA est (pour l'instant) une protection relativement fiable. Pour échanger des fichiers, j'ai tendance à rajouter du VPN par-dessus, mais pour protéger une connexion Internet, WPA suffit largement.
WEP permet juste d'éviter que ton voisin, de bonne foi, se branche par erreur sur ton réseau. Il ne protège pas contre les pirates.
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
Inutile : pour contourner cette limitation, il suffit de repérer l'adrese MAC d'une des machines autorisées, et de la lui piquer.
Idem que ton argument pour WEP, en fait.
4) changer le mot de passe admin du routeur wifi et vérifier que l'administration distante est bien désactivée.
Yep, c'est indispensable AMHA.
5) changer le workgroup windows par défaut.
Ça ne sert à rien.
Bah, ça peut servir ne serait ce qu'à savoir qu'on s'adresse bien au bon bout de réseau windows quand on debugge cette cochonnerie.
Nina Popravka
On 12 Sep 2006 13:25:18 GMT, John GALLET wrote:
Y-a-t-il d'autres mesures à prendre (à part le perforateur pour faire passer les câbles quand même et résoudre totalement le problème) ? Arrêtez de vous prendre la tête, mettez du WPA avec un pass qui
ressemble à un pass, de 10 caractères, et dormez tranquille. -- Nina
On 12 Sep 2006 13:25:18 GMT, John GALLET <john.gallet@wanadoo.fr>
wrote:
Y-a-t-il d'autres mesures à prendre (à part le perforateur pour faire
passer les câbles quand même et résoudre totalement le problème) ?
Arrêtez de vous prendre la tête, mettez du WPA avec un pass qui
ressemble à un pass, de 10 caractères, et dormez tranquille.
--
Nina
Y-a-t-il d'autres mesures à prendre (à part le perforateur pour faire passer les câbles quand même et résoudre totalement le problème) ? Arrêtez de vous prendre la tête, mettez du WPA avec un pass qui
ressemble à un pass, de 10 caractères, et dormez tranquille. -- Nina
Steph
Le 12/09/2006 15:25, John GALLET disait:
Salut gourou du PHP ;)
1) changer le SSID par défaut en le prenant pas évident à deviner, ne pas le broadcaster. Ca doit pas servir à grand chose, mais ça emm... toujours un peu.
Euh... ça apparait en clair lors d'un snif, ça ne sert à rien
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout commentaire bienvenu sur le chopix du type de chiffrage.
http://www.aircrack-ng.org/doku.php Pour dormir tranquille "aujourd'hui", mets obligatoirement du WPA (ou WPA2-PSK [AES] si ton routeur le permet), avec une passphrase longue (20 à 63 caract.+spéciaux)
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
Spoofable. Ne sert à rien. Je m'en sers pour assigner une IP à un ordi dans la conf du routeur (pour muler).
4) changer le mot de passe admin du routeur wifi et vérifier que l'administration distante est bien désactivée.
Oui oui
5) changer le workgroup windows par défaut.
Bof
J'envisage aussi la minuterie hardware (1 euro chez le quincailler du coin) sur la multiprise qui alimente le wifi pour éviter les oublis d'arrêt la nuit.
Tu feras des économies de quelques cents :)
-- Steph Enlever l'.adressebidon.invalid pour m'écrire en privé
Le 12/09/2006 15:25, John GALLET disait:
Salut gourou du PHP ;)
1) changer le SSID par défaut en le prenant pas évident à deviner, ne
pas le broadcaster. Ca doit pas servir à grand chose, mais ça emm...
toujours un peu.
Euh... ça apparait en clair lors d'un snif, ça ne sert à rien
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme
hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout
commentaire bienvenu sur le chopix du type de chiffrage.
http://www.aircrack-ng.org/doku.php
Pour dormir tranquille "aujourd'hui", mets obligatoirement du WPA (ou
WPA2-PSK [AES] si ton routeur le permet), avec une passphrase longue (20
à 63 caract.+spéciaux)
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
Spoofable. Ne sert à rien. Je m'en sers pour assigner une IP à un ordi
dans la conf du routeur (pour muler).
4) changer le mot de passe admin du routeur wifi et vérifier que
l'administration distante est bien désactivée.
Oui oui
5) changer le workgroup windows par défaut.
Bof
J'envisage aussi la minuterie hardware (1 euro chez le quincailler du
coin) sur la multiprise qui alimente le wifi pour éviter les oublis
d'arrêt la nuit.
Tu feras des économies de quelques cents :)
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé
1) changer le SSID par défaut en le prenant pas évident à deviner, ne pas le broadcaster. Ca doit pas servir à grand chose, mais ça emm... toujours un peu.
Euh... ça apparait en clair lors d'un snif, ça ne sert à rien
2) mettre en place du chiffrage en 128 ou 256 selon ce que j'aurai comme hardware. J'ai lu un peu tout et son contraire sur WEP vs WPA donc tout commentaire bienvenu sur le chopix du type de chiffrage.
http://www.aircrack-ng.org/doku.php Pour dormir tranquille "aujourd'hui", mets obligatoirement du WPA (ou WPA2-PSK [AES] si ton routeur le permet), avec une passphrase longue (20 à 63 caract.+spéciaux)
3) mettre une restriction sur les adresses MAC autorisées à se connecter.
Spoofable. Ne sert à rien. Je m'en sers pour assigner une IP à un ordi dans la conf du routeur (pour muler).
4) changer le mot de passe admin du routeur wifi et vérifier que l'administration distante est bien désactivée.
Oui oui
5) changer le workgroup windows par défaut.
Bof
J'envisage aussi la minuterie hardware (1 euro chez le quincailler du coin) sur la multiprise qui alimente le wifi pour éviter les oublis d'arrêt la nuit.
Tu feras des économies de quelques cents :)
-- Steph Enlever l'.adressebidon.invalid pour m'écrire en privé
John GALLET
Bonjour,
Merci de vos réponses, je résume les mesures utiles et peu utiles (en termes de sécurité s'entend):
Utiles :
- chiffrage en WPA (et mot de passe long, "ça va de soit", mais ça fait pas de mal de le rappeler) - changer le mot de passe d'administration du routeur, vérifier que l'accès distant y est interdit
Peu utiles/inutiles - chiffragce WEP - changement du SSID - restriction adresses MAC - changer le workgroup windows.
Si quelqu'un veut FAQuer ça quelque part, je peux faire une rédaction un peu moins succintes avec résumé des raisons.
JG
Bonjour,
Merci de vos réponses, je résume les mesures utiles et peu utiles (en
termes de sécurité s'entend):
Utiles :
- chiffrage en WPA (et mot de passe long, "ça va de soit", mais ça fait
pas de mal de le rappeler)
- changer le mot de passe d'administration du routeur, vérifier que
l'accès distant y est interdit
Peu utiles/inutiles
- chiffragce WEP
- changement du SSID
- restriction adresses MAC
- changer le workgroup windows.
Si quelqu'un veut FAQuer ça quelque part, je peux faire une rédaction un
peu moins succintes avec résumé des raisons.
Merci de vos réponses, je résume les mesures utiles et peu utiles (en termes de sécurité s'entend):
Utiles :
- chiffrage en WPA (et mot de passe long, "ça va de soit", mais ça fait pas de mal de le rappeler) - changer le mot de passe d'administration du routeur, vérifier que l'accès distant y est interdit
Peu utiles/inutiles - chiffragce WEP - changement du SSID - restriction adresses MAC - changer le workgroup windows.
Si quelqu'un veut FAQuer ça quelque part, je peux faire une rédaction un peu moins succintes avec résumé des raisons.
