Je vois passer régulièrement des fils concernant la protection des réseaux
(familiaux) WiFi.
Les réponses données par les différents contributeurs sont souvent
incomplètes, voire contradictoires.
J'ai donc décidé d'apporter ma contribution au débat (et j'espère que
j'éviterai au moins de me contredire, à défaut d'être complet). ;-)
Les conseils que je donne supposent l'utilisation de Windows, mais peuvent
en grande partie s'appliquer à d'autres systèmes.
1) Schéma d'attaque:
Il faut avant tout définir contre quoi on veut se protéger. Voici un
scénario possible, en l'absence de protection du réseau WiFi.
- Un attaquant se connecte à un réseau WiFi "familial" (par exemple un
modem-routeur passerelle NAT parefeu, quelques postes de travail) accès WiFi
non protégé (= dansl'état du déballage).
- Il repère facilement le FAI et donc potentiellement le type du
modem-routeur, simplement par le nom du point d'accès ("Wanadoo xxx",
"Netgear"); ou bien en naviguant sur internet, va sur le site de la CNIL,
obtient l'adresse IP "vue d'internet" du modem-routeur, fait un "Whois" et
identifie le FAI.
- A partir de la liste des modem-routeurs loués par le FAI, et avec les docs
prises sur le site du FAI, l'attaquant détermine le nom d'utilisateur / mot
de passe par défaut (en général, admin / admin).
- Avec un "ipcfg /all" sous Windows il détermine l'adresse du modem-routeur
vue du réseau interne, se connecte en http au modem-routeur avec le nom
d'utilisateur et le mot de passe par défaut.
- Il prend le contrôle du modem-routeur (change le mot de passe), prend
connaissance du nom d'utilisateur et du mot de passe de connexion à
internet.
- Puis il pirate le compte sur le site du FAI (se créée une BAL, prend
connaissance des messages, se crée des pages persos ou change le contenu de
celles qui existent).
- Et peut aussi pirater le contenu des PC du réseau familial, si les
partages de fichiers sont activés (cas par défaut sous Windows).
- Il peut enfin se livrer sur internet à des activités délictueuses ou
frauduleuses, en toute impunité, en se faisant passer pour le détenteur du
compte qui pourra, lui, avoir maille à partir avec la justice...
Bref, sans protection, risque de dégâts maximaux.
2) La protection :
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison
filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir
d'abord une liaison WiFi non sécurisée, et faire vite pour la sécuriser!
- Avant tout, mettez à jour les systèmes d'exploitation des postes de
travail (sous XP le WiFi est intégré au système), le BIOS du modem-routeur
et ceux d'éventuels autres éléments flashables du réseau, les divers drivers
et programmes d'installation des éléments du réseau. Ceci permettra sans
doute de profiter des plus hauts degrés de protection, de boucher des
failles et corriger des bugs.
- Changez le ou les mots de passe du modem-routeur.
- Choisissez en tant que mode de chiffrement: WPA2 / PSK si tous les postes
le peuvent, ou WPA / PSK sinon (le WEP n'est pas sûr); activez le changement
périodique de clé (par exemple toutes les heures); utilisez AES comme
algorithme de chiffrement. Utilisez comme "secret partagé" une longue phrase
de passe. Configurez tous vos postes WiFi de la même manière que le
modem-routeur (ou laissez faire la recherche automatique de réseau) et
copiez la phrase de passe du secret partagé (à transporter dans un fichier,
sur une clé USB, puis copier / coller, ou CTRL C / CTRL V sous Windows, pour
éviter les erreurs de saisie).
- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque
poste la connexion correspondante (celle qui utilise le dispositif WiFi),
avec attribution d'une IP fixe, unique, dans la même tranche que celle du
modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et
255.255.255.0 comme masque de sous-réseau si on vous le demande).
- Si le but de votre réseau local est le simple partage de la liaison à
internet, désactivez dans les propriétés des connexions WiFi les éléments
"Client pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes
pour les réseaux Microsoft". Ne laissez activé que TCPIP et éventuellement
un élément de type "Connexion 802.1x" rajouté parfois lors de l'installation
d'un dispositif de connexion WiFi sécurisée lorsqu'on utilise une ancienne
version de Windows (2000 par exemple). Dans les propriétés de TCPIP,
désactivez Netbios.
- Si vous voulez réellement partager des fichiers, songez à des serveurs /
clients FTP. Pour l'administration des postes à distance, songez à Ultra
VNC. Pour un partage d'imprimante, certains modem-routeurs font serveur
d'impression (USR 9108 par exemple). Bref, même si vous en avez envie,
évitez d'activer les éléments de réseaux Microsoft sur des connexions vers
internet!
- Limitez l'accès des postes autorisés à configurer le modem-routeur aux
seuls postes du réseau interne (liste limitative des IP des appareils
autorisés à administrer le mode-routeur, avec leurs adresses IP internes).
Désactivez le serveur DHCP du routeur.
- Vous pouvez si vous le désirez perdre (un peu) de votre temps avec
quelques babioles inutiles qui n'apporteront rien en matière de sécurité,
mais si ça peut vous rassurer, ça ne fait pas de mal:
* changer le nom SSID du réseau, et ne pas le diffuser ("on" arrivera quand
même à le retrouver, avec un détecteur de réseau WiFi couplé à un analyseur
de paquets) ;
* filtrer l'accès au réseau WiFi par les adresses MAC des dispositifs de
connexion (ça se retrouve, comme le nom SSID du réseau, et puis ça s'usurpe
avec des utilitaires à disposition sur internet) ;
* changer l'adresse par défaut du modem-routeur et la tranche d'adresse des
postes (ça ne sert à rien si le réseau n'est pas protégé, ça ne sert plus à
rien s'il est protégé) ;
* changer le nom du groupe de travail Windows (inutile car vous n'avez pas
de réseau Windows si vous avez suivi ces conseils) ;
* comme l'a suggéré un posteur, mettre une horloge sur l'alimentation
électrique du modem-routeur (s'il est correctement protégé, il l'est tout le
temps; s'il est mal protégé, il ne faut pas le mettre en service).
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
je sais changer mon adresse IP en débranchant/rebranchant mon modem, en passant par un proxy, mais changer d'adresse, en pouvant choisir mon adresse
moi-même, là je butte...
Bon... OK.
Avec la souris : clic droit sur voisinage reseau - Propriété - Clic droit sur Connexion réseau local - Propriété - Selection de TCP/IP - Propriété - Clic sur Utiliser l'adresse Ip suivante - Tu saisie l'ip que tu veux, par ex, 10.15.16.17; meme chose pour le mask. Au clavier : demarrer executer cmd puis netsh interface ip set address 10.15.16.17 etc...
pour plus d'info set /?
Je vois rien de compliquer là-dedans. Si c'est du wifi tu cliqueras par sur Connexion réseau local mais sur connexion wifi.
Franchement si tu sais spoofer une mac adresse et par faire ça......
Sous linux : tu fais locate eth0 (si eth0 est l'interface reseau que tu utilises) tu repere le fichier de conf de la carte reseau tu changes l'ip par celle que tu veux. /etc/init.d/network reload HOP ! C'est fé ! pour plus d'info RTFM
Bref en rien c'est compliké de changerune IP. Spoofer une mac adresse necessite à mon avis plus de compétence en informatique. Maintenant je n'ai jamais dis que c'etait compliqué à faire, je dis juste que 95% de la population internaute sait changer l'adresse Ip de sa machine mais seulement 1 sur 2 sait peut-etre spoofer la mac adresse. Et encore une sur deux, je compte large !!! -- NosPHeratus http://www.nosland.com
je sais changer mon adresse IP en débranchant/rebranchant mon modem, en
passant par un proxy, mais changer d'adresse, en pouvant choisir mon
adresse
moi-même, là je butte...
Bon... OK.
Avec la souris : clic droit sur voisinage reseau - Propriété - Clic droit
sur Connexion réseau local - Propriété - Selection de TCP/IP - Propriété -
Clic sur Utiliser l'adresse Ip suivante - Tu saisie l'ip que tu veux, par
ex, 10.15.16.17; meme chose pour le mask.
Au clavier : demarrer executer cmd
puis netsh interface ip set address 10.15.16.17 etc...
pour plus d'info set /?
Je vois rien de compliquer là-dedans. Si c'est du wifi tu cliqueras par sur
Connexion réseau local mais sur connexion wifi.
Franchement si tu sais spoofer une mac adresse et par faire ça......
Sous linux : tu fais locate eth0 (si eth0 est l'interface reseau que tu
utilises)
tu repere le fichier de conf de la carte reseau
tu changes l'ip par celle que tu veux.
/etc/init.d/network reload
HOP ! C'est fé !
pour plus d'info RTFM
Bref en rien c'est compliké de changerune IP. Spoofer une mac adresse
necessite à mon avis plus de compétence en informatique. Maintenant je n'ai
jamais dis que c'etait compliqué à faire, je dis juste que 95% de la
population internaute sait changer l'adresse Ip de sa machine mais seulement
1 sur 2 sait peut-etre spoofer la mac adresse. Et encore une sur deux, je
compte large !!!
--
NosPHeratus
http://www.nosland.com
je sais changer mon adresse IP en débranchant/rebranchant mon modem, en passant par un proxy, mais changer d'adresse, en pouvant choisir mon adresse
moi-même, là je butte...
Bon... OK.
Avec la souris : clic droit sur voisinage reseau - Propriété - Clic droit sur Connexion réseau local - Propriété - Selection de TCP/IP - Propriété - Clic sur Utiliser l'adresse Ip suivante - Tu saisie l'ip que tu veux, par ex, 10.15.16.17; meme chose pour le mask. Au clavier : demarrer executer cmd puis netsh interface ip set address 10.15.16.17 etc...
pour plus d'info set /?
Je vois rien de compliquer là-dedans. Si c'est du wifi tu cliqueras par sur Connexion réseau local mais sur connexion wifi.
Franchement si tu sais spoofer une mac adresse et par faire ça......
Sous linux : tu fais locate eth0 (si eth0 est l'interface reseau que tu utilises) tu repere le fichier de conf de la carte reseau tu changes l'ip par celle que tu veux. /etc/init.d/network reload HOP ! C'est fé ! pour plus d'info RTFM
Bref en rien c'est compliké de changerune IP. Spoofer une mac adresse necessite à mon avis plus de compétence en informatique. Maintenant je n'ai jamais dis que c'etait compliqué à faire, je dis juste que 95% de la population internaute sait changer l'adresse Ip de sa machine mais seulement 1 sur 2 sait peut-etre spoofer la mac adresse. Et encore une sur deux, je compte large !!! -- NosPHeratus http://www.nosland.com
Eric Masson
"nospheratus" writes:
'Lut,
Encore une fois, pour le petit priate de mon immeuble qui veut juste faire de l'emule sans danger, c'est plus facile de changer d'ip que de changer de Mac.
Nan, c'est juste ton avis, évite d'en faire une vérité première.
bref, jepense que tu te fais l'avocat du diable mais c'estpas grave j'ai pas envioe de rentrer ds la polémique.
Qu'est-ce que tu fais depuis le début alors ?
Ah ???? sous Unix tu change d'ip en ligne de commande ??? Perso je modifie un fichier de conf.... Chacun sa technique.
Et ton fichier de conf, à quoi sert son contenu d'après toi ?
Tu devrais lire les scripts que tu utilises pour recharger ta config après modification d'un fichier de conf. Dans le cas d'une interface réseau, c'est en définitive ifconfig qui fait le boulot, et miracle, on peut appeler ifconfig en ligne de commande, dingue non ?
-- DA> à moins qu'il n'y ait une recette du magret à la Guinness ? Faut pas confondre canette et cannette. -+- TT in : GNU - Coin coin, le poivrot et la bouteille de gnac -+-
"nospheratus" <nospam@nosland.com> writes:
'Lut,
Encore une fois, pour le petit priate de mon immeuble qui veut juste faire
de l'emule sans danger, c'est plus facile de changer d'ip que de changer de
Mac.
Nan, c'est juste ton avis, évite d'en faire une vérité première.
bref, jepense que tu te fais l'avocat du diable mais c'estpas grave
j'ai pas envioe de rentrer ds la polémique.
Qu'est-ce que tu fais depuis le début alors ?
Ah ???? sous Unix tu change d'ip en ligne de commande ??? Perso je modifie
un fichier de conf.... Chacun sa technique.
Et ton fichier de conf, à quoi sert son contenu d'après toi ?
Tu devrais lire les scripts que tu utilises pour recharger ta config
après modification d'un fichier de conf. Dans le cas d'une interface
réseau, c'est en définitive ifconfig qui fait le boulot, et miracle, on
peut appeler ifconfig en ligne de commande, dingue non ?
--
DA> à moins qu'il n'y ait une recette du magret à la Guinness ?
Faut pas confondre canette et cannette.
-+- TT in : GNU - Coin coin, le poivrot et la bouteille de gnac -+-
Encore une fois, pour le petit priate de mon immeuble qui veut juste faire de l'emule sans danger, c'est plus facile de changer d'ip que de changer de Mac.
Nan, c'est juste ton avis, évite d'en faire une vérité première.
bref, jepense que tu te fais l'avocat du diable mais c'estpas grave j'ai pas envioe de rentrer ds la polémique.
Qu'est-ce que tu fais depuis le début alors ?
Ah ???? sous Unix tu change d'ip en ligne de commande ??? Perso je modifie un fichier de conf.... Chacun sa technique.
Et ton fichier de conf, à quoi sert son contenu d'après toi ?
Tu devrais lire les scripts que tu utilises pour recharger ta config après modification d'un fichier de conf. Dans le cas d'une interface réseau, c'est en définitive ifconfig qui fait le boulot, et miracle, on peut appeler ifconfig en ligne de commande, dingue non ?
-- DA> à moins qu'il n'y ait une recette du magret à la Guinness ? Faut pas confondre canette et cannette. -+- TT in : GNU - Coin coin, le poivrot et la bouteille de gnac -+-
nospheratus
Nan, c'est juste ton avis, évite d'en faire une vérité première.
Ecoute j'ai demandé à mon frere, ma mère, ma femme. Trois internautes. Ils savent tous changer une adresse Ip mais aucun ne sait spoofé une mac adresse. Pourtant ce sont tous des internautes. Ils m'ont meme demandé ce que voulait dire spoofer. Fais un sondage ds ton entourrage et tu verras que j'ai raison.
bref, jepense que tu te fais l'avocat du diable mais c'estpas grave j'ai pas envioe de rentrer ds la polémique.
Qu'est-ce que tu fais depuis le début alors ?
J'ai juste fais la remarque que restrindre par l'IP n'etait pas plus performent que de restrindre par Mac adresse, et j'ai meme dis que au contraire ce n'etait pas le cas. Encore une fois je te le repete, n'importe qui sait changer son adresse IP, mais tout le monde ne sait pas spoffer une mac adresse.
Ah ???? sous Unix tu change d'ip en ligne de commande ??? Perso je modifie
un fichier de conf.... Chacun sa technique.
Et ton fichier de conf, à quoi sert son contenu d'après toi ?
Tu devrais lire les scripts que tu utilises pour recharger ta config après modification d'un fichier de conf. Dans le cas d'une interface réseau, c'est en définitive ifconfig qui fait le boulot, et miracle, on peut appeler ifconfig en ligne de commande, dingue non ?
Exacte. Désolé ma connaissance n'est pas absolue surtout sous Linux. J'apprends tous le sjours sous cet environnement. J'ai repondu un peu vite, oubliant que le fihcier de conf etait forcément lu par un programme auquel on pouvait sans nul doute passer les paramètres. Maintenant si on continue ds ce sens on va vite entrer HS. -- NosPHeratus http://www.nosland.com
Nan, c'est juste ton avis, évite d'en faire une vérité première.
Ecoute j'ai demandé à mon frere, ma mère, ma femme. Trois internautes. Ils
savent tous changer une adresse Ip mais aucun ne sait spoofé une mac
adresse. Pourtant ce sont tous des internautes. Ils m'ont meme demandé ce
que voulait dire spoofer. Fais un sondage ds ton entourrage et tu verras que
j'ai raison.
bref, jepense que tu te fais l'avocat du diable mais c'estpas grave
j'ai pas envioe de rentrer ds la polémique.
Qu'est-ce que tu fais depuis le début alors ?
J'ai juste fais la remarque que restrindre par l'IP n'etait pas plus
performent que de restrindre par Mac adresse, et j'ai meme dis que au
contraire ce n'etait pas le cas. Encore une fois je te le repete, n'importe
qui sait changer son adresse IP, mais tout le monde ne sait pas spoffer une
mac adresse.
Ah ???? sous Unix tu change d'ip en ligne de commande ??? Perso je
modifie
un fichier de conf.... Chacun sa technique.
Et ton fichier de conf, à quoi sert son contenu d'après toi ?
Tu devrais lire les scripts que tu utilises pour recharger ta config
après modification d'un fichier de conf. Dans le cas d'une interface
réseau, c'est en définitive ifconfig qui fait le boulot, et miracle, on
peut appeler ifconfig en ligne de commande, dingue non ?
Exacte. Désolé ma connaissance n'est pas absolue surtout sous Linux.
J'apprends tous le sjours sous cet environnement. J'ai repondu un peu vite,
oubliant que le fihcier de conf etait forcément lu par un programme auquel
on pouvait sans nul doute passer les paramètres.
Maintenant si on continue ds ce sens on va vite entrer HS.
--
NosPHeratus
http://www.nosland.com
Nan, c'est juste ton avis, évite d'en faire une vérité première.
Ecoute j'ai demandé à mon frere, ma mère, ma femme. Trois internautes. Ils savent tous changer une adresse Ip mais aucun ne sait spoofé une mac adresse. Pourtant ce sont tous des internautes. Ils m'ont meme demandé ce que voulait dire spoofer. Fais un sondage ds ton entourrage et tu verras que j'ai raison.
bref, jepense que tu te fais l'avocat du diable mais c'estpas grave j'ai pas envioe de rentrer ds la polémique.
Qu'est-ce que tu fais depuis le début alors ?
J'ai juste fais la remarque que restrindre par l'IP n'etait pas plus performent que de restrindre par Mac adresse, et j'ai meme dis que au contraire ce n'etait pas le cas. Encore une fois je te le repete, n'importe qui sait changer son adresse IP, mais tout le monde ne sait pas spoffer une mac adresse.
Ah ???? sous Unix tu change d'ip en ligne de commande ??? Perso je modifie
un fichier de conf.... Chacun sa technique.
Et ton fichier de conf, à quoi sert son contenu d'après toi ?
Tu devrais lire les scripts que tu utilises pour recharger ta config après modification d'un fichier de conf. Dans le cas d'une interface réseau, c'est en définitive ifconfig qui fait le boulot, et miracle, on peut appeler ifconfig en ligne de commande, dingue non ?
Exacte. Désolé ma connaissance n'est pas absolue surtout sous Linux. J'apprends tous le sjours sous cet environnement. J'ai repondu un peu vite, oubliant que le fihcier de conf etait forcément lu par un programme auquel on pouvait sans nul doute passer les paramètres. Maintenant si on continue ds ce sens on va vite entrer HS. -- NosPHeratus http://www.nosland.com
Guillaume
nospheratus a wroté :
Ah bon ? Pour moi changer une Ip c'est plus facile que de spoofer une Mac adresse. Je ne dois pas vivre ds le meme monde que toi.
Peut-être pas : heureusement qu'on a Internet, hein :). Quoiqu'il en soit, changer une adresse MAC n'est ni plus ni moins compliqué que de changer une adresse IP sur un *nix (voir les options hw ether dans 'man ifconfig'). Sous Windows, il doit falloir récupérer un p'tit exe, et ce n'est guère plus dur.
Enfin tout ça c'est bien joli, tant qu'on est dans un réseau local. Sur un accès Internet pour particuliers, si le serveur DHCP en face de ton modem t'a attribué un bail pour une certaine durée (parfois permanente selon le FAI *DSL / câble, de plus en plus en fait) et a décidé que tu le garderais, tu pourras rebooter ton modem /ad nauseam/, t'auras touours la même adresse. Ou alors il faut feinter ledit serveur DHCP en changeant l'adresse MAC du _modem_, et là ça devient carrément une autre paire de manches.
Donc j'abonde dans le sens de mes petits camarades :).
Le filtrage par adresse MAC ne sert strictement à rien.
Sans commentaire, je risquerais de ne pas être courtoie.
Allons, il ne faut pas prendre les choses à coeur comme ça, ce n'est que usenet ici :).
Et en plus c'est vrai, si la sécurisation d'un switch en fonction des adresses MAC peut être efficace dans le monde ethernet, elle n'a guère de sens dès lors qu'on fait abstraction de la couche matérielle avec le wifi, puisque le premier venu peut sniffer le trafic et prendre la première adresse MAC qui y figure.
-- Guillaume
nospheratus a wroté :
Ah bon ? Pour moi changer une Ip c'est plus facile que de spoofer une Mac
adresse. Je ne dois pas vivre ds le meme monde que toi.
Peut-être pas : heureusement qu'on a Internet, hein :).
Quoiqu'il en soit, changer une adresse MAC n'est ni plus ni moins
compliqué que de changer une adresse IP sur un *nix (voir les options
hw ether dans 'man ifconfig'). Sous Windows, il doit falloir
récupérer un p'tit exe, et ce n'est guère plus dur.
Enfin tout ça c'est bien joli, tant qu'on est dans un réseau local.
Sur un accès Internet pour particuliers, si le serveur DHCP en face de
ton modem t'a attribué un bail pour une certaine durée (parfois
permanente selon le FAI *DSL / câble, de plus en plus en fait) et a
décidé que tu le garderais, tu pourras rebooter ton modem /ad
nauseam/, t'auras touours la même adresse. Ou alors il faut feinter
ledit serveur DHCP en changeant l'adresse MAC du _modem_, et là ça
devient carrément une autre paire de manches.
Donc j'abonde dans le sens de mes petits camarades :).
Le filtrage par adresse MAC ne sert strictement à rien.
Sans commentaire, je risquerais de ne pas être courtoie.
Allons, il ne faut pas prendre les choses à coeur comme ça, ce n'est
que usenet ici :).
Et en plus c'est vrai, si la sécurisation d'un switch en fonction des
adresses MAC peut être efficace dans le monde ethernet, elle n'a guère
de sens dès lors qu'on fait abstraction de la couche matérielle avec
le wifi, puisque le premier venu peut sniffer le trafic et prendre la
première adresse MAC qui y figure.
Ah bon ? Pour moi changer une Ip c'est plus facile que de spoofer une Mac adresse. Je ne dois pas vivre ds le meme monde que toi.
Peut-être pas : heureusement qu'on a Internet, hein :). Quoiqu'il en soit, changer une adresse MAC n'est ni plus ni moins compliqué que de changer une adresse IP sur un *nix (voir les options hw ether dans 'man ifconfig'). Sous Windows, il doit falloir récupérer un p'tit exe, et ce n'est guère plus dur.
Enfin tout ça c'est bien joli, tant qu'on est dans un réseau local. Sur un accès Internet pour particuliers, si le serveur DHCP en face de ton modem t'a attribué un bail pour une certaine durée (parfois permanente selon le FAI *DSL / câble, de plus en plus en fait) et a décidé que tu le garderais, tu pourras rebooter ton modem /ad nauseam/, t'auras touours la même adresse. Ou alors il faut feinter ledit serveur DHCP en changeant l'adresse MAC du _modem_, et là ça devient carrément une autre paire de manches.
Donc j'abonde dans le sens de mes petits camarades :).
Le filtrage par adresse MAC ne sert strictement à rien.
Sans commentaire, je risquerais de ne pas être courtoie.
Allons, il ne faut pas prendre les choses à coeur comme ça, ce n'est que usenet ici :).
Et en plus c'est vrai, si la sécurisation d'un switch en fonction des adresses MAC peut être efficace dans le monde ethernet, elle n'a guère de sens dès lors qu'on fait abstraction de la couche matérielle avec le wifi, puisque le premier venu peut sniffer le trafic et prendre la première adresse MAC qui y figure.
-- Guillaume
Thierry
"nospheratus" écrivait news:eglhbr$uhg$:
Encore une fois, pour le petit priate de mon immeuble qui veut juste faire de l'emule sans danger, c'est plus facile de changer d'ip que de changer de Mac. bref, jepense que tu te fais l'avocat du diable mais c'estpas grave j'ai pas envioe de rentrer ds la polémique.
De toute façon le petit pirate de ton immeuble bloquera sur le cryptage, et si il arrive a contourner ca il saura changer l'IP et/ou l'@MAC.
Encore une fois, pour le petit priate de mon immeuble qui veut juste
faire de l'emule sans danger, c'est plus facile de changer d'ip que de
changer de Mac. bref, jepense que tu te fais l'avocat du diable mais
c'estpas grave j'ai pas envioe de rentrer ds la polémique.
De toute façon le petit pirate de ton immeuble bloquera sur le cryptage, et
si il arrive a contourner ca il saura changer l'IP et/ou l'@MAC.
Encore une fois, pour le petit priate de mon immeuble qui veut juste faire de l'emule sans danger, c'est plus facile de changer d'ip que de changer de Mac. bref, jepense que tu te fais l'avocat du diable mais c'estpas grave j'ai pas envioe de rentrer ds la polémique.
De toute façon le petit pirate de ton immeuble bloquera sur le cryptage, et si il arrive a contourner ca il saura changer l'IP et/ou l'@MAC.
Thierry
"WinTerMiNator" écrivait news:6OaXg.261$:
- Si le but de votre réseau local est le simple partage de la liaison à internet, désactivez dans les propriétés des connexions WiFi les éléments "Client pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes pour les réseaux Microsoft". Ne laissez activé que TCPIP et éventuellement un élément de type "Connexion 802.1x" rajouté parfois lors de l'installation d'un dispositif de connexion WiFi sécurisée lorsqu'on utilise une ancienne version de Windows (2000 par exemple). Dans les propriétés de TCPIP, désactivez Netbios.
C'est une bonne idée et pas qu'avec le WiFi : si aucun service systeme Windows n'ecoute sur les ports ca limite les failles eventuelles qu'a la pile TCP/IP (et aux progs serveurs mais la ca ne concerne plus l'OS et est independant de Windows lui même).
- Si le but de votre réseau local est le simple partage de la liaison
à internet, désactivez dans les propriétés des connexions WiFi les
éléments "Client pour les réseaux Microsoft" et "Partage de fichiers
et d'imprimantes pour les réseaux Microsoft". Ne laissez activé que
TCPIP et éventuellement un élément de type "Connexion 802.1x" rajouté
parfois lors de l'installation d'un dispositif de connexion WiFi
sécurisée lorsqu'on utilise une ancienne version de Windows (2000 par
exemple). Dans les propriétés de TCPIP, désactivez Netbios.
C'est une bonne idée et pas qu'avec le WiFi : si aucun service systeme
Windows n'ecoute sur les ports ca limite les failles eventuelles qu'a la
pile TCP/IP (et aux progs serveurs mais la ca ne concerne plus l'OS et est
independant de Windows lui même).
- Si le but de votre réseau local est le simple partage de la liaison à internet, désactivez dans les propriétés des connexions WiFi les éléments "Client pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes pour les réseaux Microsoft". Ne laissez activé que TCPIP et éventuellement un élément de type "Connexion 802.1x" rajouté parfois lors de l'installation d'un dispositif de connexion WiFi sécurisée lorsqu'on utilise une ancienne version de Windows (2000 par exemple). Dans les propriétés de TCPIP, désactivez Netbios.
C'est une bonne idée et pas qu'avec le WiFi : si aucun service systeme Windows n'ecoute sur les ports ca limite les failles eventuelles qu'a la pile TCP/IP (et aux progs serveurs mais la ca ne concerne plus l'OS et est independant de Windows lui même).
pchene
On 12 Oct 2006 08:15:22 GMT, "WinTerMiNator" wrote:
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir d'abord une liaison WiFi non sécurisée, Ca va être dur avec une FreeBox ou une LiveBox qui sont livrées
sécurisées d'office. Je ne connais pas les autres. -- Nina
Pour les modem-router, les ap... achetées dans le commerce pas de souci y a pas de cle à la livraison. Mais effectivement, même constat que Nina, tous ceux que j'ai pu voir dans le cadre d'abonnement FAI il y avait une cle WEP systèmatiquement mise.
Mais pour parametrer ces boitiers il vaut mieux effectivement le faire par l'ethernet, ca évite de mettre en doute des fonctionnalité liée aux drivers USB (liason directe en USB ou driver cle wifi) et aux paramètres wifi et donc de perdre du temps.
A+
Patrick
On 12 Oct 2006 08:15:22 GMT, "WinTerMiNator" <me@privacy.net> wrote:
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison
filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir
d'abord une liaison WiFi non sécurisée,
Ca va être dur avec une FreeBox ou une LiveBox qui sont livrées
sécurisées d'office. Je ne connais pas les autres.
--
Nina
Pour les modem-router, les ap... achetées dans le commerce pas de
souci y a pas de cle à la livraison. Mais effectivement, même constat
que Nina, tous ceux que j'ai pu voir dans le cadre d'abonnement FAI il
y avait une cle WEP systèmatiquement mise.
Mais pour parametrer ces boitiers il vaut mieux effectivement le faire
par l'ethernet, ca évite de mettre en doute des fonctionnalité liée
aux drivers USB (liason directe en USB ou driver cle wifi) et aux
paramètres wifi et donc de perdre du temps.
On 12 Oct 2006 08:15:22 GMT, "WinTerMiNator" wrote:
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir d'abord une liaison WiFi non sécurisée, Ca va être dur avec une FreeBox ou une LiveBox qui sont livrées
sécurisées d'office. Je ne connais pas les autres. -- Nina
Pour les modem-router, les ap... achetées dans le commerce pas de souci y a pas de cle à la livraison. Mais effectivement, même constat que Nina, tous ceux que j'ai pu voir dans le cadre d'abonnement FAI il y avait une cle WEP systèmatiquement mise.
Mais pour parametrer ces boitiers il vaut mieux effectivement le faire par l'ethernet, ca évite de mettre en doute des fonctionnalité liée aux drivers USB (liason directe en USB ou driver cle wifi) et aux paramètres wifi et donc de perdre du temps.
A+
Patrick
WinTerMiNator
Eric Masson wrote:
"WinTerMiNator" writes:
'Lut,
- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque poste la connexion correspondante (celle qui utilise le dispositif WiFi), avec attribution d'une IP fixe, unique, dans la même tranche que celle du modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et 255.255.255.0 comme masque de sous-réseau si on vous le demande).
Bonsoir,
L'installation comporte deux phases (même si parfois c'est fait de manière automatique): - la configuration du lien WiFi (c'est là où on utilise WPA2 / PSK), - la configuration de la connexion qui utilise ce lien.
Pour ce second point je recommande, pour des raisons pratiques autant que de sécurité, de ne pas activer le serveur DHCP du modem riuteur, de configurer dons las connexions "à la mimine" et de leur enlever les éléments de réseau Microsoft.
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Eric Masson wrote:
"WinTerMiNator" <me@privacy.net> writes:
'Lut,
- Une fois les liaisons WiFi configurées, créez ou configurez sur
chaque poste la connexion correspondante (celle qui utilise le
dispositif WiFi), avec attribution d'une IP fixe, unique, dans la
même tranche que celle du modem-routeur, l'IP du modem-routeur comme
passerelle et serveur DNS (et 255.255.255.0 comme masque de
sous-réseau si on vous le demande).
Bonsoir,
L'installation comporte deux phases (même si parfois c'est fait de manière
automatique):
- la configuration du lien WiFi (c'est là où on utilise WPA2 / PSK),
- la configuration de la connexion qui utilise ce lien.
Pour ce second point je recommande, pour des raisons pratiques autant que de
sécurité, de ne pas activer le serveur DHCP du modem riuteur, de configurer
dons las connexions "à la mimine" et de leur enlever les éléments de réseau
Microsoft.
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque poste la connexion correspondante (celle qui utilise le dispositif WiFi), avec attribution d'une IP fixe, unique, dans la même tranche que celle du modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et 255.255.255.0 comme masque de sous-réseau si on vous le demande).
Bonsoir,
L'installation comporte deux phases (même si parfois c'est fait de manière automatique): - la configuration du lien WiFi (c'est là où on utilise WPA2 / PSK), - la configuration de la connexion qui utilise ce lien.
Pour ce second point je recommande, pour des raisons pratiques autant que de sécurité, de ne pas activer le serveur DHCP du modem riuteur, de configurer dons las connexions "à la mimine" et de leur enlever les éléments de réseau Microsoft.
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
WinTerMiNator
pchene wrote:
On 12 Oct 2006 08:15:22 GMT, "WinTerMiNator" wrote:
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir d'abord une liaison WiFi non sécurisée, Ca va être dur avec une FreeBox ou une LiveBox qui sont livrées
sécurisées d'office. Je ne connais pas les autres. -- Nina
Pour les modem-router, les ap... achetées dans le commerce pas de souci y a pas de cle à la livraison. Mais effectivement, même constat que Nina, tous ceux que j'ai pu voir dans le cadre d'abonnement FAI il y avait une cle WEP systèmatiquement mise.
Bonsoir,
Une clé WEP ce n'est qu'une illusion de sécurisation. Avec un PC portable équipé de deux dispositifs WiFi, d'un sniffer sur un des dispositifs, et d'un logiciel qui génère des erreurs et oblige le point d'accès à répéter les clés, il ne faut que quelques minutes pour casser la clé WEP.
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
pchene wrote:
On 12 Oct 2006 08:15:22 GMT, "WinTerMiNator" <me@privacy.net> wrote:
- Il vaut mieux avoir un poste connecté directement en ethernet
(liaison filaire) au modem-routeur, pour le configurer. A défaut,
il faudra établir d'abord une liaison WiFi non sécurisée,
Ca va être dur avec une FreeBox ou une LiveBox qui sont livrées
sécurisées d'office. Je ne connais pas les autres.
--
Nina
Pour les modem-router, les ap... achetées dans le commerce pas de
souci y a pas de cle à la livraison. Mais effectivement, même constat
que Nina, tous ceux que j'ai pu voir dans le cadre d'abonnement FAI il
y avait une cle WEP systèmatiquement mise.
Bonsoir,
Une clé WEP ce n'est qu'une illusion de sécurisation. Avec un PC portable
équipé de deux dispositifs WiFi, d'un sniffer sur un des dispositifs, et
d'un logiciel qui génère des erreurs et oblige le point d'accès à répéter
les clés, il ne faut que quelques minutes pour casser la clé WEP.
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
On 12 Oct 2006 08:15:22 GMT, "WinTerMiNator" wrote:
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir d'abord une liaison WiFi non sécurisée, Ca va être dur avec une FreeBox ou une LiveBox qui sont livrées
sécurisées d'office. Je ne connais pas les autres. -- Nina
Pour les modem-router, les ap... achetées dans le commerce pas de souci y a pas de cle à la livraison. Mais effectivement, même constat que Nina, tous ceux que j'ai pu voir dans le cadre d'abonnement FAI il y avait une cle WEP systèmatiquement mise.
Bonsoir,
Une clé WEP ce n'est qu'une illusion de sécurisation. Avec un PC portable équipé de deux dispositifs WiFi, d'un sniffer sur un des dispositifs, et d'un logiciel qui génère des erreurs et oblige le point d'accès à répéter les clés, il ne faut que quelques minutes pour casser la clé WEP.
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Nina Popravka
On 12 Oct 2006 16:55:46 GMT, "pchene" wrote:
Pour les modem-router, les ap... achetées dans le commerce pas de souci y a pas de cle à la livraison. Et pourvu que ça dure, sinon je serais vachement emmerdée pour surfer
en me buvant une mousse aux terrasses de café :-)))))) -- Nina
On 12 Oct 2006 16:55:46 GMT, "pchene" <pchene@yahoo.fr> wrote:
Pour les modem-router, les ap... achetées dans le commerce pas de
souci y a pas de cle à la livraison.
Et pourvu que ça dure, sinon je serais vachement emmerdée pour surfer
en me buvant une mousse aux terrasses de café :-))))))
--
Nina
Pour les modem-router, les ap... achetées dans le commerce pas de souci y a pas de cle à la livraison. Et pourvu que ça dure, sinon je serais vachement emmerdée pour surfer
en me buvant une mousse aux terrasses de café :-)))))) -- Nina
