Protection d'acces WiFi

Le
WinTerMiNator
Bonjour,



Je vois passer régulièrement des fils concernant la protection des réseaux
(familiaux) WiFi.



Les réponses données par les différents contributeurs sont souvent
incomplètes, voire contradictoires.



J'ai donc décidé d'apporter ma contribution au débat (et j'espère que
j'éviterai au moins de me contredire, à défaut d'être complet). ;-)



Les conseils que je donne supposent l'utilisation de Windows, mais peuvent
en grande partie s'appliquer à d'autres systèmes.



1) Schéma d'attaque:



Il faut avant tout définir contre quoi on veut se protéger. Voici un
scénario possible, en l'absence de protection du réseau WiFi.



- Un attaquant se connecte à un réseau WiFi "familial" (par exemple un
modem-routeur passerelle NAT parefeu, quelques postes de travail) accès WiFi
non protégé (= dansl'état du déballage).



- Il repère facilement le FAI et donc potentiellement le type du
modem-routeur, simplement par le nom du point d'accès ("Wanadoo xxx",
"Netgear"); ou bien en naviguant sur internet, va sur le site de la CNIL,
obtient l'adresse IP "vue d'internet" du modem-routeur, fait un "Whois" et
identifie le FAI.



- A partir de la liste des modem-routeurs loués par le FAI, et avec les docs
prises sur le site du FAI, l'attaquant détermine le nom d'utilisateur / mot
de passe par défaut (en général, admin / admin).



- Avec un "ipcfg /all" sous Windows il détermine l'adresse du modem-routeur
vue du réseau interne, se connecte en http au modem-routeur avec le nom
d'utilisateur et le mot de passe par défaut.



- Il prend le contrôle du modem-routeur (change le mot de passe), prend
connaissance du nom d'utilisateur et du mot de passe de connexion à
internet.



- Puis il pirate le compte sur le site du FAI (se créée une BAL, prend
connaissance des messages, se crée des pages persos ou change le contenu de
celles qui existent).



- Et peut aussi pirater le contenu des PC du réseau familial, si les
partages de fichiers sont activés (cas par défaut sous Windows).



- Il peut enfin se livrer sur internet à des activités délictueuses ou
frauduleuses, en toute impunité, en se faisant passer pour le détenteur du
compte qui pourra, lui, avoir maille à partir avec la justice



Bref, sans protection, risque de dégâts maximaux.



2) La protection :



- Il vaut mieux avoir un poste connecté directement en ethernet (liaison
filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir
d'abord une liaison WiFi non sécurisée, et faire vite pour la sécuriser!



- Avant tout, mettez à jour les systèmes d'exploitation des postes de
travail (sous XP le WiFi est intégré au système), le BIOS du modem-routeur
et ceux d'éventuels autres éléments flashables du réseau, les divers drivers
et programmes d'installation des éléments du réseau. Ceci permettra sans
doute de profiter des plus hauts degrés de protection, de boucher des
failles et corriger des bugs.



- Changez le ou les mots de passe du modem-routeur.



- Choisissez en tant que mode de chiffrement: WPA2 / PSK si tous les postes
le peuvent, ou WPA / PSK sinon (le WEP n'est pas sûr); activez le changement
périodique de clé (par exemple toutes les heures); utilisez AES comme
algorithme de chiffrement. Utilisez comme "secret partagé" une longue phrase
de passe. Configurez tous vos postes WiFi de la même manière que le
modem-routeur (ou laissez faire la recherche automatique de réseau) et
copiez la phrase de passe du secret partagé (à transporter dans un fichier,
sur une clé USB, puis copier / coller, ou CTRL C / CTRL V sous Windows, pour
éviter les erreurs de saisie).



- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque
poste la connexion correspondante (celle qui utilise le dispositif WiFi),
avec attribution d'une IP fixe, unique, dans la même tranche que celle du
modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et
255.255.255.0 comme masque de sous-réseau si on vous le demande).



- Si le but de votre réseau local est le simple partage de la liaison à
internet, désactivez dans les propriétés des connexions WiFi les éléments
"Client pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes
pour les réseaux Microsoft". Ne laissez activé que TCPIP et éventuellement
un élément de type "Connexion 802.1x" rajouté parfois lors de l'installation
d'un dispositif de connexion WiFi sécurisée lorsqu'on utilise une ancienne
version de Windows (2000 par exemple). Dans les propriétés de TCPIP,
désactivez Netbios.



- Si vous voulez réellement partager des fichiers, songez à des serveurs /
clients FTP. Pour l'administration des postes à distance, songez à Ultra
VNC. Pour un partage d'imprimante, certains modem-routeurs font serveur
d'impression (USR 9108 par exemple). Bref, même si vous en avez envie,
évitez d'activer les éléments de réseaux Microsoft sur des connexions vers
internet!



- Limitez l'accès des postes autorisés à configurer le modem-routeur aux
seuls postes du réseau interne (liste limitative des IP des appareils
autorisés à administrer le mode-routeur, avec leurs adresses IP internes).
Désactivez le serveur DHCP du routeur.



- Vous pouvez si vous le désirez perdre (un peu) de votre temps avec
quelques babioles inutiles qui n'apporteront rien en matière de sécurité,
mais si ça peut vous rassurer, ça ne fait pas de mal:

* changer le nom SSID du réseau, et ne pas le diffuser ("on" arrivera quand
même à le retrouver, avec un détecteur de réseau WiFi couplé à un analyseur
de paquets) ;

* filtrer l'accès au réseau WiFi par les adresses MAC des dispositifs de
connexion (ça se retrouve, comme le nom SSID du réseau, et puis ça s'usurpe
avec des utilitaires à disposition sur internet) ;

* changer l'adresse par défaut du modem-routeur et la tranche d'adresse des
postes (ça ne sert à rien si le réseau n'est pas protégé, ça ne sert plus à
rien s'il est protégé) ;

* changer le nom du groupe de travail Windows (inutile car vous n'avez pas
de réseau Windows si vous avez suivi ces conseils) ;

* comme l'a suggéré un posteur, mettre une horloge sur l'alimentation
électrique du modem-routeur (s'il est correctement protégé, il l'est tout le
temps; s'il est mal protégé, il ne faut pas le mettre en service).




--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
Vos réponses Page 1 / 8
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
nospheratus
Le #849315
Salut,


- Limitez l'accès des postes autorisés à configurer le modem-routeur aux
seuls postes du réseau interne (liste limitative des IP des appareils
autorisés à administrer le mode-routeur, avec leurs adresses IP internes).
Désactivez le serveur DHCP du routeur.

../..

* filtrer l'accès au réseau WiFi par les adresses MAC des dispositifs de
connexion (ça se retrouve, comme le nom SSID du réseau, et puis ça
s'usurpe

avec des utilitaires à disposition sur internet) ;



Je pense que pour un pirate c'est plus facile de changer son adresse Ip que
de spoofer une MAC adresse. Ainsi ptre plutot filtrer par Mac et non par
IP....



--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)


Hummm fonctionne bien l'accès Anonyme sur le net ;o) Tu es chez Tele2 non ?
;o)

@++
--
NosPHeratus
http://www.nosland.com

Nina Popravka
Le #849311
On 12 Oct 2006 10:20:30 GMT, "nospheratus"
Je pense que pour un pirate c'est plus facile de changer son adresse Ip que
de spoofer une MAC adresse
Tu penses mal. :-)

C'est d'une simplicité désarmante.
Le filtrage par adresse MAC ne sert strictement à rien.
--
Nina

Eric Masson
Le #849312
"WinTerMiNator"
'Lut,

- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque
poste la connexion correspondante (celle qui utilise le dispositif WiFi),
avec attribution d'une IP fixe, unique, dans la même tranche que celle du
modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et
255.255.255.0 comme masque de sous-réseau si on vous le demande).


à partir du moment ou le lien wireless est sécurisé correctement
(WPA/WPA2 psk) quel est l'intérêt ?

--
H> bjr, comment faire de l'eau de vie de prune ou du marc de café?
Commencez par le marc de café, et vous pourrez y lire comment faire
l'eau de vie. Seule une cafetière est nÈcessaire pour débuter.
-+-TT in:
pchene
Le #849313


Je pense que pour un pirate c'est plus facile de changer son adresse Ip que
de spoofer une MAC adresse. Ainsi ptre plutot filtrer par Mac et non par
IP....



Bonjour,

Déjà félicitation pour avoir prix le temps de faire un rappel de ces
principes et de tenter de casser des vérités qu'il l'était à une
certaine époque mais qu'il ne le sont plus. Oui l'adresse MAC est
très facilement spoofable. Et donc par ces deux liens, j'espère
apporter ma modeste contribution à ce mythe => MAC pas spoofable ou
difficilement spoofable avec windows:

Déjà "grace" à Microsoft lui même :
http://www.pouf.org/documentation/securite/html/node53.html
De plus, on a aussi un outil qui marche très bien et depuis plusieurs
années :
http://www.klcconsulting.net/smac/

Adopter un sniffer, voir par exemple http://www.ethereal.com/ ou
http://www.wireshark.org
permettra de se livrer à de nombreuses observations sur son réseau
(ethernet ou wifi). Ce qui permettra d'éviter de maintenir des "on
dit" et de vérifier qu'il est très facile de se faire passer pour
quelqu'un d'autre.

A+

Patrick

Eric Masson
Le #849314
"nospheratus"
'Lut,

Je pense que pour un pirate c'est plus facile de changer son adresse Ip que
de spoofer une MAC adresse. Ainsi ptre plutot filtrer par Mac et non par
IP....


http://www.klcconsulting.net/smac/

Bref, pour un particulier, c'est WPA/WPA2 en psk avec une passphrase
décente.

--
Bien reçu message via groupes discussion, je te répond avec la touche "
répondre au groupe " en ayant sélectionné ton message. J'espère que tu le
recevra dans ta boîte de réception. Le café est en préparation.
-+- in Guide du Neuneu Usenet - Open up, open up -+-

Nina Popravka
Le #849117
On 12 Oct 2006 08:15:22 GMT, "WinTerMiNator"
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison
filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir
d'abord une liaison WiFi non sécurisée,
Ca va être dur avec une FreeBox ou une LiveBox qui sont livrées

sécurisées d'office. Je ne connais pas les autres.
--
Nina

nospheratus
Le #849310
Je pense que pour un pirate c'est plus facile de changer son adresse Ip
que


de spoofer une MAC adresse
Tu penses mal. :-)



Ah bon ? Pour moi changer une Ip c'est plus facile que de spoofer une Mac
adresse. Je ne dois pas vivre ds le meme monde que toi.

C'est d'une simplicité désarmante.


Oui je sais, mais changer une ip est à la porté de tout le monde.

Le filtrage par adresse MAC ne sert strictement à rien.


Sans commentaire, je risquerais de ne pas être courtoie.
--
NosPHeratus
http://www.nosland.com


Omvdc
Le #849115
"nospheratus" egl8fr$pi9$
SNIP


Oui je sais, mais changer une ip est à la porté de tout le monde.


heu... certes,

je sais changer mon adresse IP en débranchant/rebranchant mon modem, en
passant par un proxy, mais changer d'adresse, en pouvant choisir mon adresse
moi-même, là je butte...

Tu peux expliquer? Un tutoriel?


Le filtrage par adresse MAC ne sert strictement à rien.


Sans commentaire, je risquerais de ne pas être courtoie.


CourtoiS ou courtoiSe...

--
NosPHeratus
http://www.nosland.com


heu, tu as dû mal changer ton adresse ip parce que le site est acuellement
indisponible à l'heure où j'écris (12.10 15h09) ;-))))

Omvdc


Eric Masson
Le #849116
"nospheratus"
'Lut,

Ah bon ?


Et vi.

Pour moi changer une Ip c'est plus facile que de spoofer une Mac
adresse. Je ne dois pas vivre ds le meme monde que toi.


Sur le portable sous xp à partir duquel je suis connecté à une station
bsd, les propriétés avancées de la carte atheros 5212 me permettent de
changer l'adresse mac de la carte sans quitter le mode clickodrome.

Oui je sais, mais changer une ip est à la porté de tout le monde.


Même chose pour l'adresse mac sous windows.

Sur les unixoides, on utilise la même commande pour changer adresse mac
et adresse ip...

--
SP: Aux dernière nouvelles, MOSXS est "due... in the next few weeks".
EL: La bonne nouvelle, est que vu la tournure des événements, on va
EL: bientôt être sûr que MacOS X Server est bien compatible an 2000 ;-)
-+- EL in Guide du Macounet Pervers : Le bug Y30K nous guête -+-

nospheratus
Le #849114
Pour moi changer une Ip c'est plus facile que de spoofer une Mac
adresse. Je ne dois pas vivre ds le meme monde que toi.


Sur le portable sous xp à partir duquel je suis connecté à une station
bsd, les propriétés avancées de la carte atheros 5212 me permettent de
changer l'adresse mac de la carte sans quitter le mode clickodrome.


Encore une fois, pour le petit priate de mon immeuble qui veut juste faire
de l'emule sans danger, c'est plus facile de changer d'ip que de changer de
Mac. bref, jepense que tu te fais l'avocat du diable mais c'estpas grave
j'ai pas envioe de rentrer ds la polémique.

Sur les unixoides, on utilise la même commande pour changer adresse mac
et adresse ip...


Ah ???? sous Unix tu change d'ip en ligne de commande ??? Perso je modifie
un fichier de conf.... Chacun sa technique.
--
NosPHeratus
http://www.nosland.com


Publicité
Poster une réponse
Anonyme