Je vois passer régulièrement des fils concernant la protection des réseaux
(familiaux) WiFi.
Les réponses données par les différents contributeurs sont souvent
incomplètes, voire contradictoires.
J'ai donc décidé d'apporter ma contribution au débat (et j'espère que
j'éviterai au moins de me contredire, à défaut d'être complet). ;-)
Les conseils que je donne supposent l'utilisation de Windows, mais peuvent
en grande partie s'appliquer à d'autres systèmes.
1) Schéma d'attaque:
Il faut avant tout définir contre quoi on veut se protéger. Voici un
scénario possible, en l'absence de protection du réseau WiFi.
- Un attaquant se connecte à un réseau WiFi "familial" (par exemple un
modem-routeur passerelle NAT parefeu, quelques postes de travail) accès WiFi
non protégé (= dansl'état du déballage).
- Il repère facilement le FAI et donc potentiellement le type du
modem-routeur, simplement par le nom du point d'accès ("Wanadoo xxx",
"Netgear"); ou bien en naviguant sur internet, va sur le site de la CNIL,
obtient l'adresse IP "vue d'internet" du modem-routeur, fait un "Whois" et
identifie le FAI.
- A partir de la liste des modem-routeurs loués par le FAI, et avec les docs
prises sur le site du FAI, l'attaquant détermine le nom d'utilisateur / mot
de passe par défaut (en général, admin / admin).
- Avec un "ipcfg /all" sous Windows il détermine l'adresse du modem-routeur
vue du réseau interne, se connecte en http au modem-routeur avec le nom
d'utilisateur et le mot de passe par défaut.
- Il prend le contrôle du modem-routeur (change le mot de passe), prend
connaissance du nom d'utilisateur et du mot de passe de connexion à
internet.
- Puis il pirate le compte sur le site du FAI (se créée une BAL, prend
connaissance des messages, se crée des pages persos ou change le contenu de
celles qui existent).
- Et peut aussi pirater le contenu des PC du réseau familial, si les
partages de fichiers sont activés (cas par défaut sous Windows).
- Il peut enfin se livrer sur internet à des activités délictueuses ou
frauduleuses, en toute impunité, en se faisant passer pour le détenteur du
compte qui pourra, lui, avoir maille à partir avec la justice...
Bref, sans protection, risque de dégâts maximaux.
2) La protection :
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison
filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir
d'abord une liaison WiFi non sécurisée, et faire vite pour la sécuriser!
- Avant tout, mettez à jour les systèmes d'exploitation des postes de
travail (sous XP le WiFi est intégré au système), le BIOS du modem-routeur
et ceux d'éventuels autres éléments flashables du réseau, les divers drivers
et programmes d'installation des éléments du réseau. Ceci permettra sans
doute de profiter des plus hauts degrés de protection, de boucher des
failles et corriger des bugs.
- Changez le ou les mots de passe du modem-routeur.
- Choisissez en tant que mode de chiffrement: WPA2 / PSK si tous les postes
le peuvent, ou WPA / PSK sinon (le WEP n'est pas sûr); activez le changement
périodique de clé (par exemple toutes les heures); utilisez AES comme
algorithme de chiffrement. Utilisez comme "secret partagé" une longue phrase
de passe. Configurez tous vos postes WiFi de la même manière que le
modem-routeur (ou laissez faire la recherche automatique de réseau) et
copiez la phrase de passe du secret partagé (à transporter dans un fichier,
sur une clé USB, puis copier / coller, ou CTRL C / CTRL V sous Windows, pour
éviter les erreurs de saisie).
- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque
poste la connexion correspondante (celle qui utilise le dispositif WiFi),
avec attribution d'une IP fixe, unique, dans la même tranche que celle du
modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et
255.255.255.0 comme masque de sous-réseau si on vous le demande).
- Si le but de votre réseau local est le simple partage de la liaison à
internet, désactivez dans les propriétés des connexions WiFi les éléments
"Client pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes
pour les réseaux Microsoft". Ne laissez activé que TCPIP et éventuellement
un élément de type "Connexion 802.1x" rajouté parfois lors de l'installation
d'un dispositif de connexion WiFi sécurisée lorsqu'on utilise une ancienne
version de Windows (2000 par exemple). Dans les propriétés de TCPIP,
désactivez Netbios.
- Si vous voulez réellement partager des fichiers, songez à des serveurs /
clients FTP. Pour l'administration des postes à distance, songez à Ultra
VNC. Pour un partage d'imprimante, certains modem-routeurs font serveur
d'impression (USR 9108 par exemple). Bref, même si vous en avez envie,
évitez d'activer les éléments de réseaux Microsoft sur des connexions vers
internet!
- Limitez l'accès des postes autorisés à configurer le modem-routeur aux
seuls postes du réseau interne (liste limitative des IP des appareils
autorisés à administrer le mode-routeur, avec leurs adresses IP internes).
Désactivez le serveur DHCP du routeur.
- Vous pouvez si vous le désirez perdre (un peu) de votre temps avec
quelques babioles inutiles qui n'apporteront rien en matière de sécurité,
mais si ça peut vous rassurer, ça ne fait pas de mal:
* changer le nom SSID du réseau, et ne pas le diffuser ("on" arrivera quand
même à le retrouver, avec un détecteur de réseau WiFi couplé à un analyseur
de paquets) ;
* filtrer l'accès au réseau WiFi par les adresses MAC des dispositifs de
connexion (ça se retrouve, comme le nom SSID du réseau, et puis ça s'usurpe
avec des utilitaires à disposition sur internet) ;
* changer l'adresse par défaut du modem-routeur et la tranche d'adresse des
postes (ça ne sert à rien si le réseau n'est pas protégé, ça ne sert plus à
rien s'il est protégé) ;
* changer le nom du groupe de travail Windows (inutile car vous n'avez pas
de réseau Windows si vous avez suivi ces conseils) ;
* comme l'a suggéré un posteur, mettre une horloge sur l'alimentation
électrique du modem-routeur (s'il est correctement protégé, il l'est tout le
temps; s'il est mal protégé, il ne faut pas le mettre en service).
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
Dans le message <news:, *Nina Popravka* tapota sur f.c.securite :
"WinTerMiNator" wrote:
Avec un PC portable équipé de deux dispositifs WiFi,
Un seul « dispositif » suffit si celui-ci est équipé du bon chipset (Atheros, Prism, Ralink, Aironet).
d'un sniffer sur un des dispositifs, et d'un logiciel qui génère des erreurs et oblige le point d'accès à répéter les clés, il ne faut que quelques minutes pour casser la clé WEP.
N'exagérons rien, ça prend quand même quelques heures ;->
Vous exagérez tous les deux. ;-)
Dans des conditions optimales, il faut compter quelques dizaines de minutes. Dans des conditions moins optimales (pas de client associé, pas de trafic) on peut alors attendre des journées avant de réunir suffisamment de IVs pour casser la clé WEP.
-- Sébastien Monbrun aka TiChou
Dans le message <news:q0gui294l7c40u3bsqg3us45qqjs6cn1a2@4ax.com>,
*Nina Popravka* tapota sur f.c.securite :
"WinTerMiNator" wrote:
Avec un PC portable équipé de deux dispositifs WiFi,
Un seul « dispositif » suffit si celui-ci est équipé du bon chipset
(Atheros, Prism, Ralink, Aironet).
d'un sniffer sur un des dispositifs, et d'un logiciel qui génère des
erreurs et oblige le point d'accès à répéter les clés, il ne faut que
quelques minutes pour casser la clé WEP.
N'exagérons rien, ça prend quand même quelques heures ;->
Vous exagérez tous les deux. ;-)
Dans des conditions optimales, il faut compter quelques dizaines de minutes.
Dans des conditions moins optimales (pas de client associé, pas de trafic)
on peut alors attendre des journées avant de réunir suffisamment de IVs pour
casser la clé WEP.
Dans le message <news:, *Nina Popravka* tapota sur f.c.securite :
"WinTerMiNator" wrote:
Avec un PC portable équipé de deux dispositifs WiFi,
Un seul « dispositif » suffit si celui-ci est équipé du bon chipset (Atheros, Prism, Ralink, Aironet).
d'un sniffer sur un des dispositifs, et d'un logiciel qui génère des erreurs et oblige le point d'accès à répéter les clés, il ne faut que quelques minutes pour casser la clé WEP.
N'exagérons rien, ça prend quand même quelques heures ;->
Vous exagérez tous les deux. ;-)
Dans des conditions optimales, il faut compter quelques dizaines de minutes. Dans des conditions moins optimales (pas de client associé, pas de trafic) on peut alors attendre des journées avant de réunir suffisamment de IVs pour casser la clé WEP.
-- Sébastien Monbrun aka TiChou
WinTerMiNator
Nina Popravka wrote:
On 13 Oct 2006 01:39:35 GMT, "WinTerMiNator" wrote:
il ne faut que quelques minutes pour casser la clé WEP. N'exagérons rien, ça prend quand même quelques heures ;->
Pas du tout. Quelques heures si on se contente d'écouter passivement le réseau, de repérer les incidents sur le réseau et d'enregistrer les clés / IV réinitialisées.
Quelques minutes si on provoque ces incidents (voir le post précédent pour le type de matériel; et je n'ai pas dit que le logiciel kivabien se trouve sur internet!).
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Nina Popravka wrote:
On 13 Oct 2006 01:39:35 GMT, "WinTerMiNator" <me@privacy.net> wrote:
il ne faut que quelques minutes pour casser la clé WEP.
N'exagérons rien, ça prend quand même quelques heures ;->
Pas du tout. Quelques heures si on se contente d'écouter passivement le
réseau, de repérer les incidents sur le réseau et d'enregistrer les clés /
IV réinitialisées.
Quelques minutes si on provoque ces incidents (voir le post précédent pour
le type de matériel; et je n'ai pas dit que le logiciel kivabien se trouve
sur internet!).
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
On 13 Oct 2006 01:39:35 GMT, "WinTerMiNator" wrote:
il ne faut que quelques minutes pour casser la clé WEP. N'exagérons rien, ça prend quand même quelques heures ;->
Pas du tout. Quelques heures si on se contente d'écouter passivement le réseau, de repérer les incidents sur le réseau et d'enregistrer les clés / IV réinitialisées.
Quelques minutes si on provoque ces incidents (voir le post précédent pour le type de matériel; et je n'ai pas dit que le logiciel kivabien se trouve sur internet!).
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Eric Razny
Le Fri, 13 Oct 2006 15:59:38 +0000, nospheratus a écrit :
Bah c'est mieux que rien du tout. En plus j'ai jamais dis que le Wep etait une solution fiable. Relis bien les posts.
Oui je relis et je vois que tu argumente avec pas grand chose (3 personnes de ton entourage)
Bah peu m'importe en fait.
Il faudrait savoir...
Tu argumentes dans mon sens là non ? Si ces gens ne savent meme pas changer une Ip je pense qu'ils ne savent meme pas que les Mac adresses existent...
Tu argumente sur le fait que verrouiller l'adresse MAC est une protection car presque personne ne sait en changer contrairement a l'adresse IP. Je t'indique juste que ton argument ne tiens pas (d'où sort tu, accessoirement tes pourcentages? des trois membres de ta famille ou de l'habitude de croiser, par ton travail par exemple, de nombreux utilisateurs lambda?).
Et tu as convenu plus bas que le gars qui n'y connais rien peut pénétrer un système sous WEP simplement en surfant un peu.
Maintenant ici c'est fr.comp.securite, pas fr.misc.cuisine-sans-fil :) Il ne s'agit pas de se protéger uniquement contre l'internaute qui a fait une erreur (clickodrome, mauvais AP, toussa) mais de celui qui veut entrer.
Oui quoi que le post original etait tout de même orienter général plus que contre la protection contre les vrai pirates.
Peux tu me définir un "vrai" pirate? Parce que le scrip kiddie qui entre dans un système n'est certes pas un h4x0r de la mort qui tue, mais il pirate bel et bien et peut occasionner de sacrés dégâts. Aussi bien chez un particulier que dans une entreprise, et je ne parle même pas des attaques par rebond et autres bot.
Donc oui (je pense qu') il est plus répandu de trouver des gens qui savent changer d'adresse IP que d'adresse MAC mais ça ne signifie aucunement qu'une méthode soit plus sure que l'autre. C'est typiquement avec ce genre de raisonnement qu'on finit avec une machine à poil sur le net.
Je te l'accorde. C'est bien d'ailleur la raison pour laquelle je suis intervenu sur ce post. J'ai réagis au fait que WinTerMiNator disait que le filtragepar Ip etait une bonen chose, et que le filtrage par Mac adresse non. Or, tu me rejoindras sans doute,
Ben non, tu aurais du douter!
quitte à choisir autant prendrele filtrage par Mac adresse qui necessite du pirate une connaissance plus approfondie des reseaux.
Tu n'as pas repris mon renvois 1, que je copie ici : "Ce qui ne m'empêche pas de filtrer quand je peux par IP, car si le spoofing d'adresse IP est aisé sur un LAN c'est une autre paire de manche via le WAN (je ne sais même pas si il reste dans la nature beaucoup d'OS avec une pile IP prédictible qui font tourner des services sur le net) à cause de la procédure en aveugle qu'on doit lancer."
Pour moi si le gars est déjà sur ton lan, en particulier en position de sniffer et de faire de l'arp cache poisoning) ce n'est pas un filtrage MAC ou IP qui va le bloquer longtemps. Par contre s'il envoit des paquets du WAN un simple filtrage d'IP est assez efficace en TCP. Je ne parle pas ici de l'addresse mac des routeurs et autres gags avec les protocoles de routage (ça m'étonne encore qu'il n'y ait pas eu encore de paralysie quasi totale du net).
Je ne pense pas avoir dit une seule fois que seule le filtrage par Mac Adresse suffisait à protèger son Wifi...
Encore heureux :)
Je me contente donc de reprendre la conclusion : "Bref, le filtrage des adresse MAC est une solution intéressante et il serait stupide de ne pas la mettre en oeuvre si votre point d'accès le permet, mais il ne faut pas compter dessus pour arrêter un pirate déterminé. Tout au plus cela va le retarder, et encore... Mieux vaut compter sur une vraie, longue, clé WPA !"
Je suis entierement d'accord avec toi. Reconnait tout de même que dans le post originale il etait dit clairement : filtrage par Ip imperatif, filtrage par mac optionnel. Il y avait de quoi je pense réagir afin de ne pas laisser croire qu'un filtrage Ip suffit à la protection.
Si tu lis ce que j'ai mis plus haut tu peux comprendre que dans certains cas c'est une demande parfaitement valable. De toute façon en wifi l'adresse MAC est clairement annoncée.
on le fait par macadresse, mais bon ça ne suffit certainement pas ! Sans vouloir trop m'avancer je pense qu'un WPA suffit, le mec qui veut entrer chez toi et qui est capable de peté ton wpa, il entrera de toutes façon quelque soit la protection que tu adopteras.
On va dire que je suis d'accord (même si dans la pratique chaque machine du LAN dispose de ses propres protections ici).
Après le mieux est sans doute d'avoir un firewall independant qui lui reglera les accès sur le lan et sur le net. Une machine sous linux avec un bon iptable sur un vieux 486dx2 66 suffit pour ça.
Mon 486dx2 a rendu l'âme :) Blague à part si ton fw gère la séparation WAN/LAN et que c'est une machine de ton LAN qui est compromise tu vas avoir des problèmes sur les autres aussi.
De mon côté j'ai tendance à penser que si le WPA ne suffit pas à arrêter le pirate ce n'est même pas la peine de filtrer par IP ou MAC[1]
Je suis d'accord avec toi. Mais reconnait que quitte à choisir mieux vaut un filtrage par mac que par Ip (il insiste le bougre lol )
Ben non, je ne reconnais pas! Pour toutes les raisons évoquées plus haut :)
Eric
Le Fri, 13 Oct 2006 15:59:38 +0000, nospheratus a écrit :
Bah c'est mieux que rien du tout. En plus j'ai jamais dis que le Wep etait
une solution fiable. Relis bien les posts.
Oui je relis et je vois que tu argumente avec pas grand chose (3 personnes
de ton entourage)
Bah peu m'importe en fait.
Il faudrait savoir...
Tu argumentes dans mon sens là non ? Si ces gens ne savent meme pas
changer une Ip je pense qu'ils ne savent meme pas que les Mac adresses
existent...
Tu argumente sur le fait que verrouiller l'adresse MAC est une protection
car presque personne ne sait en changer contrairement a l'adresse IP. Je
t'indique juste que ton argument ne tiens pas (d'où sort tu,
accessoirement tes pourcentages? des trois membres de ta famille ou de
l'habitude de croiser, par ton travail par exemple, de nombreux
utilisateurs lambda?).
Et tu as convenu plus bas que le gars qui n'y connais rien peut pénétrer
un système sous WEP simplement en surfant un peu.
Maintenant ici c'est fr.comp.securite, pas fr.misc.cuisine-sans-fil :)
Il ne s'agit pas de se protéger uniquement contre l'internaute qui a
fait une erreur (clickodrome, mauvais AP, toussa) mais de celui qui
veut entrer.
Oui quoi que le post original etait tout de même orienter général
plus que contre la protection contre les vrai pirates.
Peux tu me définir un "vrai" pirate?
Parce que le scrip kiddie qui entre dans un système n'est certes pas un
h4x0r de la mort qui tue, mais il pirate bel et bien et peut occasionner
de sacrés dégâts. Aussi bien chez un particulier que dans une
entreprise, et je ne parle même pas des attaques par rebond et autres bot.
Donc oui (je pense qu') il est plus répandu de trouver des gens qui
savent changer d'adresse IP que d'adresse MAC mais ça ne signifie
aucunement qu'une méthode soit plus sure que l'autre. C'est
typiquement avec ce genre de raisonnement qu'on finit avec une machine
à poil sur le net.
Je te l'accorde. C'est bien d'ailleur la raison pour laquelle je suis
intervenu sur ce post. J'ai réagis au fait que WinTerMiNator disait que
le filtragepar Ip etait une bonen chose, et que le filtrage par Mac
adresse non. Or, tu me rejoindras sans doute,
Ben non, tu aurais du douter!
quitte à choisir autant
prendrele filtrage par Mac adresse qui necessite du pirate une
connaissance plus approfondie des reseaux.
Tu n'as pas repris mon renvois 1, que je copie ici :
"Ce qui ne m'empêche pas de filtrer quand je peux par IP, car si le
spoofing d'adresse IP est aisé sur un LAN c'est une autre paire de manche
via le WAN (je ne sais même pas si il reste dans la nature beaucoup d'OS
avec une pile IP prédictible qui font tourner des services sur le net) à
cause de la procédure en aveugle qu'on doit lancer."
Pour moi si le gars est déjà sur ton lan, en particulier en position de
sniffer et de faire de l'arp cache poisoning) ce n'est pas un filtrage
MAC ou IP qui va le bloquer longtemps. Par contre s'il envoit des paquets
du WAN un simple filtrage d'IP est assez efficace en TCP. Je ne parle pas
ici de l'addresse mac des routeurs et autres gags avec les protocoles de
routage (ça m'étonne encore qu'il n'y ait pas eu encore de paralysie
quasi totale du net).
Je ne pense pas avoir dit une
seule fois que seule le filtrage par Mac Adresse suffisait à protèger
son Wifi...
Encore heureux :)
Je me contente donc de reprendre la conclusion : "Bref, le filtrage des
adresse MAC est une solution intéressante et il serait stupide de ne
pas la mettre en oeuvre si votre point d'accès le permet, mais il ne
faut pas compter dessus pour arrêter un pirate déterminé. Tout au
plus cela va le retarder, et encore... Mieux vaut compter sur une
vraie, longue, clé WPA !"
Je suis entierement d'accord avec toi. Reconnait tout de même que dans
le post originale il etait dit clairement : filtrage par Ip imperatif,
filtrage par mac optionnel. Il y avait de quoi je pense réagir afin de
ne pas laisser croire qu'un filtrage Ip suffit à la protection.
Si tu lis ce que j'ai mis plus haut tu peux comprendre que dans certains
cas c'est une demande parfaitement valable. De toute façon en wifi
l'adresse MAC est clairement annoncée.
on le fait par macadresse, mais bon ça ne suffit certainement pas !
Sans vouloir trop m'avancer je pense qu'un WPA suffit, le mec qui veut
entrer chez toi et qui est capable de peté ton wpa, il entrera de
toutes façon quelque soit la protection que tu adopteras.
On va dire que je suis d'accord (même si dans la pratique chaque machine
du LAN dispose de ses propres protections ici).
Après le
mieux est sans doute d'avoir un firewall independant qui lui reglera les
accès sur le lan et sur le net. Une machine sous linux avec un bon
iptable sur un vieux 486dx2 66 suffit pour ça.
Mon 486dx2 a rendu l'âme :)
Blague à part si ton fw gère la séparation WAN/LAN et que c'est une
machine de ton LAN qui est compromise tu vas avoir des problèmes sur les
autres aussi.
De mon côté j'ai tendance à penser que si le WPA ne suffit pas à
arrêter le pirate ce n'est même pas la peine de filtrer par IP ou
MAC[1]
Je suis d'accord avec toi. Mais reconnait que quitte à choisir mieux
vaut un filtrage par mac que par Ip (il insiste le bougre lol )
Ben non, je ne reconnais pas! Pour toutes les raisons évoquées plus haut :)
Le Fri, 13 Oct 2006 15:59:38 +0000, nospheratus a écrit :
Bah c'est mieux que rien du tout. En plus j'ai jamais dis que le Wep etait une solution fiable. Relis bien les posts.
Oui je relis et je vois que tu argumente avec pas grand chose (3 personnes de ton entourage)
Bah peu m'importe en fait.
Il faudrait savoir...
Tu argumentes dans mon sens là non ? Si ces gens ne savent meme pas changer une Ip je pense qu'ils ne savent meme pas que les Mac adresses existent...
Tu argumente sur le fait que verrouiller l'adresse MAC est une protection car presque personne ne sait en changer contrairement a l'adresse IP. Je t'indique juste que ton argument ne tiens pas (d'où sort tu, accessoirement tes pourcentages? des trois membres de ta famille ou de l'habitude de croiser, par ton travail par exemple, de nombreux utilisateurs lambda?).
Et tu as convenu plus bas que le gars qui n'y connais rien peut pénétrer un système sous WEP simplement en surfant un peu.
Maintenant ici c'est fr.comp.securite, pas fr.misc.cuisine-sans-fil :) Il ne s'agit pas de se protéger uniquement contre l'internaute qui a fait une erreur (clickodrome, mauvais AP, toussa) mais de celui qui veut entrer.
Oui quoi que le post original etait tout de même orienter général plus que contre la protection contre les vrai pirates.
Peux tu me définir un "vrai" pirate? Parce que le scrip kiddie qui entre dans un système n'est certes pas un h4x0r de la mort qui tue, mais il pirate bel et bien et peut occasionner de sacrés dégâts. Aussi bien chez un particulier que dans une entreprise, et je ne parle même pas des attaques par rebond et autres bot.
Donc oui (je pense qu') il est plus répandu de trouver des gens qui savent changer d'adresse IP que d'adresse MAC mais ça ne signifie aucunement qu'une méthode soit plus sure que l'autre. C'est typiquement avec ce genre de raisonnement qu'on finit avec une machine à poil sur le net.
Je te l'accorde. C'est bien d'ailleur la raison pour laquelle je suis intervenu sur ce post. J'ai réagis au fait que WinTerMiNator disait que le filtragepar Ip etait une bonen chose, et que le filtrage par Mac adresse non. Or, tu me rejoindras sans doute,
Ben non, tu aurais du douter!
quitte à choisir autant prendrele filtrage par Mac adresse qui necessite du pirate une connaissance plus approfondie des reseaux.
Tu n'as pas repris mon renvois 1, que je copie ici : "Ce qui ne m'empêche pas de filtrer quand je peux par IP, car si le spoofing d'adresse IP est aisé sur un LAN c'est une autre paire de manche via le WAN (je ne sais même pas si il reste dans la nature beaucoup d'OS avec une pile IP prédictible qui font tourner des services sur le net) à cause de la procédure en aveugle qu'on doit lancer."
Pour moi si le gars est déjà sur ton lan, en particulier en position de sniffer et de faire de l'arp cache poisoning) ce n'est pas un filtrage MAC ou IP qui va le bloquer longtemps. Par contre s'il envoit des paquets du WAN un simple filtrage d'IP est assez efficace en TCP. Je ne parle pas ici de l'addresse mac des routeurs et autres gags avec les protocoles de routage (ça m'étonne encore qu'il n'y ait pas eu encore de paralysie quasi totale du net).
Je ne pense pas avoir dit une seule fois que seule le filtrage par Mac Adresse suffisait à protèger son Wifi...
Encore heureux :)
Je me contente donc de reprendre la conclusion : "Bref, le filtrage des adresse MAC est une solution intéressante et il serait stupide de ne pas la mettre en oeuvre si votre point d'accès le permet, mais il ne faut pas compter dessus pour arrêter un pirate déterminé. Tout au plus cela va le retarder, et encore... Mieux vaut compter sur une vraie, longue, clé WPA !"
Je suis entierement d'accord avec toi. Reconnait tout de même que dans le post originale il etait dit clairement : filtrage par Ip imperatif, filtrage par mac optionnel. Il y avait de quoi je pense réagir afin de ne pas laisser croire qu'un filtrage Ip suffit à la protection.
Si tu lis ce que j'ai mis plus haut tu peux comprendre que dans certains cas c'est une demande parfaitement valable. De toute façon en wifi l'adresse MAC est clairement annoncée.
on le fait par macadresse, mais bon ça ne suffit certainement pas ! Sans vouloir trop m'avancer je pense qu'un WPA suffit, le mec qui veut entrer chez toi et qui est capable de peté ton wpa, il entrera de toutes façon quelque soit la protection que tu adopteras.
On va dire que je suis d'accord (même si dans la pratique chaque machine du LAN dispose de ses propres protections ici).
Après le mieux est sans doute d'avoir un firewall independant qui lui reglera les accès sur le lan et sur le net. Une machine sous linux avec un bon iptable sur un vieux 486dx2 66 suffit pour ça.
Mon 486dx2 a rendu l'âme :) Blague à part si ton fw gère la séparation WAN/LAN et que c'est une machine de ton LAN qui est compromise tu vas avoir des problèmes sur les autres aussi.
De mon côté j'ai tendance à penser que si le WPA ne suffit pas à arrêter le pirate ce n'est même pas la peine de filtrer par IP ou MAC[1]
Je suis d'accord avec toi. Mais reconnait que quitte à choisir mieux vaut un filtrage par mac que par Ip (il insiste le bougre lol )
Ben non, je ne reconnais pas! Pour toutes les raisons évoquées plus haut :)
Eric
Nina Popravka
On 13 Oct 2006 17:30:13 GMT, Sebastien Monbrun aka TiChou wrote:
Dans des conditions optimales, il faut compter quelques dizaines de minutes. Dans des conditions moins optimales (pas de client associé, pas de trafic) on peut alors attendre des journées avant de réunir suffisamment de IVs pour casser la clé WEP. Sans le truc d'injection de trafic, je confirme qu'il faut pas être
pressé :-)))))))) C'est d'ailleurs incroyable ce que mes voisins glandent rien sur leurs boxes. -- Nina
On 13 Oct 2006 17:30:13 GMT, Sebastien Monbrun aka TiChou
<gro.uohcit@uohcit.news.free.fr> wrote:
Dans des conditions optimales, il faut compter quelques dizaines de minutes.
Dans des conditions moins optimales (pas de client associé, pas de trafic)
on peut alors attendre des journées avant de réunir suffisamment de IVs pour
casser la clé WEP.
Sans le truc d'injection de trafic, je confirme qu'il faut pas être
pressé :-))))))))
C'est d'ailleurs incroyable ce que mes voisins glandent rien sur leurs
boxes.
--
Nina
On 13 Oct 2006 17:30:13 GMT, Sebastien Monbrun aka TiChou wrote:
Dans des conditions optimales, il faut compter quelques dizaines de minutes. Dans des conditions moins optimales (pas de client associé, pas de trafic) on peut alors attendre des journées avant de réunir suffisamment de IVs pour casser la clé WEP. Sans le truc d'injection de trafic, je confirme qu'il faut pas être
pressé :-)))))))) C'est d'ailleurs incroyable ce que mes voisins glandent rien sur leurs boxes. -- Nina
Nina Popravka
On 13 Oct 2006 17:30:13 GMT, "WinTerMiNator" wrote:
Quelques minutes si on provoque ces incidents (voir le post précédent pour le type de matériel; et je n'ai pas dit que le logiciel kivabien se trouve sur internet!). Dingue... y a encore du trafic de disquettes et de CDs, de nos jours ?
:-))))))) Si tu fais allusion à la "découverte" d'il y a 3 ou 4 mois, c'est démenti depuis un bail. Ou plutôt réexplicité. -- Nina
On 13 Oct 2006 17:30:13 GMT, "WinTerMiNator" <me@privacy.net> wrote:
Quelques minutes si on provoque ces incidents (voir le post précédent pour
le type de matériel; et je n'ai pas dit que le logiciel kivabien se trouve
sur internet!).
Dingue... y a encore du trafic de disquettes et de CDs, de nos jours ?
:-)))))))
Si tu fais allusion à la "découverte" d'il y a 3 ou 4 mois, c'est
démenti depuis un bail. Ou plutôt réexplicité.
--
Nina
On 13 Oct 2006 17:30:13 GMT, "WinTerMiNator" wrote:
Quelques minutes si on provoque ces incidents (voir le post précédent pour le type de matériel; et je n'ai pas dit que le logiciel kivabien se trouve sur internet!). Dingue... y a encore du trafic de disquettes et de CDs, de nos jours ?
:-))))))) Si tu fais allusion à la "découverte" d'il y a 3 ou 4 mois, c'est démenti depuis un bail. Ou plutôt réexplicité. -- Nina
Sebastien Monbrun aka TiChou
Dans le message <news:452f7f34$0$4405$, *void* tapota sur f.c.securite :
il ne faut que quelques minutes pour casser la clé WEP. N'exagérons rien, ça prend quand même quelques heures ;->
HAHAHA
Je ne pense pas que rire sournoisement puisse apporter quelque chose ici. Ça serait au contraire plus respectueux et cela donnerait plus de sérieux à la discussion si on s'abstenait de le faire. Mais passons.
Plusieurs choses à dire et à a redire sur cette fameuse démonstration.
Déjà, on remarquera sur la capture qu'il ne s'est non pas passé 10 minutes entre la préparation de l'attaque et le moment où la clé a été trouvée, mais plus de 13 minutes (+30%). Certes, c'est un détail. Alors allons plus loin.
Ici, démonstration oblige, les bonnes conditions ont bien évidement été réunies pour, bien entendu, donner du plus bel effet au résultat.
En effet, on constate que la taille de la clé WEP est ici de 64 bits. Connaissez-vous beaucoup d'équipements Wi-Fi configurés en WEP avec une clé de 64 bits ? Pour ma part, non. Force est de plutôt constater qu'une très large majorité des points d'accès Wi-Fi configurés en WEP le sont avec une clé de 128 bits. Pour casser une clé WEP 128 bits, il faut 2 fois plus de IVs qu'avec une clé 64 bits, donc 2 fois plus de temps pour les récupérer. Idem pour cracker la clé avec aircrack.
De plus, il a suffit, dans cette démonstration, de récupérer seulement 128 000 IVs. C'est peu. La pratique montre qu'il faut en moyenne 300 000 IVs pour cracker une clé WEP 64 bits, soit largement deux fois plus qu'ici. Parfois il en faut même beaucoup plus. Pour une clé WEP 128 bits, il faut entre 500 000 et 1 000 000 de IVs, et il arrive qu'il faille jusqu'à 2 000 000 de IVs pour cracker la clé. Enfin, pour réunir autant de IVs en un temps record, il faut bien évidement qu'il y ait un important trafic sur la borne. Soit du trafic « naturel », par exemple un poste associé à la borne qui effectue un gros téléchargement, ou soit du trafic généré par injection de paquets rejoués (et pas n'importe quels paquets, ça serait trop facile sinon) comme ici dans la démonstration. Sauf que pour rejouer des paquets, il faut d'abord en capturer et là il peut se passer des heures ou parfois des journées pour ne choper ne serait-ce qu'un seul paquet avant de pouvoir lancer une attaque de rejeu. Dans la démonstration, la présence d'un trafic est déjà effective.
Une dernière chose, c'est pour que le débit soit suffisamment important, il faut être suffisamment proche de l'équipement Wi-Fi. Dans la démonstration, le signal a une puissance constante de -1. Hmm, hmm. ;-)
Au final, dans la pratique, dans la réalité, dans des conditions normales, bref, dans la situation classique d'un pirate, il faut compter plusieurs dizaines de minutes et non pas, comme laisse le croire cette légende urbaine, quelques secondes ou minutes.
Quand on sait pas on se tait?
Vous dites ?
-- Sébastien Monbrun aka TiChou
Dans le message <news:452f7f34$0$4405$79c14f64@nan-newsreader-06.noos.net>,
*void* tapota sur f.c.securite :
il ne faut que quelques minutes pour casser la clé WEP.
N'exagérons rien, ça prend quand même quelques heures ;->
HAHAHA
Je ne pense pas que rire sournoisement puisse apporter quelque chose ici. Ça
serait au contraire plus respectueux et cela donnerait plus de sérieux à la
discussion si on s'abstenait de le faire. Mais passons.
Plusieurs choses à dire et à a redire sur cette fameuse démonstration.
Déjà, on remarquera sur la capture qu'il ne s'est non pas passé 10 minutes
entre la préparation de l'attaque et le moment où la clé a été trouvée, mais
plus de 13 minutes (+30%). Certes, c'est un détail. Alors allons plus loin.
Ici, démonstration oblige, les bonnes conditions ont bien évidement été
réunies pour, bien entendu, donner du plus bel effet au résultat.
En effet, on constate que la taille de la clé WEP est ici de 64 bits.
Connaissez-vous beaucoup d'équipements Wi-Fi configurés en WEP avec une clé
de 64 bits ? Pour ma part, non. Force est de plutôt constater qu'une très
large majorité des points d'accès Wi-Fi configurés en WEP le sont avec une
clé de 128 bits. Pour casser une clé WEP 128 bits, il faut 2 fois plus de
IVs qu'avec une clé 64 bits, donc 2 fois plus de temps pour les récupérer.
Idem pour cracker la clé avec aircrack.
De plus, il a suffit, dans cette démonstration, de récupérer seulement 128
000 IVs. C'est peu. La pratique montre qu'il faut en moyenne 300 000 IVs
pour cracker une clé WEP 64 bits, soit largement deux fois plus qu'ici.
Parfois il en faut même beaucoup plus. Pour une clé WEP 128 bits, il faut
entre 500 000 et 1 000 000 de IVs, et il arrive qu'il faille jusqu'à 2 000
000 de IVs pour cracker la clé.
Enfin, pour réunir autant de IVs en un temps record, il faut bien évidement
qu'il y ait un important trafic sur la borne. Soit du trafic « naturel »,
par exemple un poste associé à la borne qui effectue un gros téléchargement,
ou soit du trafic généré par injection de paquets rejoués (et pas n'importe
quels paquets, ça serait trop facile sinon) comme ici dans la démonstration.
Sauf que pour rejouer des paquets, il faut d'abord en capturer et là il peut
se passer des heures ou parfois des journées pour ne choper ne serait-ce
qu'un seul paquet avant de pouvoir lancer une attaque de rejeu. Dans la
démonstration, la présence d'un trafic est déjà effective.
Une dernière chose, c'est pour que le débit soit suffisamment important, il
faut être suffisamment proche de l'équipement Wi-Fi. Dans la démonstration,
le signal a une puissance constante de -1. Hmm, hmm. ;-)
Au final, dans la pratique, dans la réalité, dans des conditions normales,
bref, dans la situation classique d'un pirate, il faut compter plusieurs
dizaines de minutes et non pas, comme laisse le croire cette légende
urbaine, quelques secondes ou minutes.
Dans le message <news:452f7f34$0$4405$, *void* tapota sur f.c.securite :
il ne faut que quelques minutes pour casser la clé WEP. N'exagérons rien, ça prend quand même quelques heures ;->
HAHAHA
Je ne pense pas que rire sournoisement puisse apporter quelque chose ici. Ça serait au contraire plus respectueux et cela donnerait plus de sérieux à la discussion si on s'abstenait de le faire. Mais passons.
Plusieurs choses à dire et à a redire sur cette fameuse démonstration.
Déjà, on remarquera sur la capture qu'il ne s'est non pas passé 10 minutes entre la préparation de l'attaque et le moment où la clé a été trouvée, mais plus de 13 minutes (+30%). Certes, c'est un détail. Alors allons plus loin.
Ici, démonstration oblige, les bonnes conditions ont bien évidement été réunies pour, bien entendu, donner du plus bel effet au résultat.
En effet, on constate que la taille de la clé WEP est ici de 64 bits. Connaissez-vous beaucoup d'équipements Wi-Fi configurés en WEP avec une clé de 64 bits ? Pour ma part, non. Force est de plutôt constater qu'une très large majorité des points d'accès Wi-Fi configurés en WEP le sont avec une clé de 128 bits. Pour casser une clé WEP 128 bits, il faut 2 fois plus de IVs qu'avec une clé 64 bits, donc 2 fois plus de temps pour les récupérer. Idem pour cracker la clé avec aircrack.
De plus, il a suffit, dans cette démonstration, de récupérer seulement 128 000 IVs. C'est peu. La pratique montre qu'il faut en moyenne 300 000 IVs pour cracker une clé WEP 64 bits, soit largement deux fois plus qu'ici. Parfois il en faut même beaucoup plus. Pour une clé WEP 128 bits, il faut entre 500 000 et 1 000 000 de IVs, et il arrive qu'il faille jusqu'à 2 000 000 de IVs pour cracker la clé. Enfin, pour réunir autant de IVs en un temps record, il faut bien évidement qu'il y ait un important trafic sur la borne. Soit du trafic « naturel », par exemple un poste associé à la borne qui effectue un gros téléchargement, ou soit du trafic généré par injection de paquets rejoués (et pas n'importe quels paquets, ça serait trop facile sinon) comme ici dans la démonstration. Sauf que pour rejouer des paquets, il faut d'abord en capturer et là il peut se passer des heures ou parfois des journées pour ne choper ne serait-ce qu'un seul paquet avant de pouvoir lancer une attaque de rejeu. Dans la démonstration, la présence d'un trafic est déjà effective.
Une dernière chose, c'est pour que le débit soit suffisamment important, il faut être suffisamment proche de l'équipement Wi-Fi. Dans la démonstration, le signal a une puissance constante de -1. Hmm, hmm. ;-)
Au final, dans la pratique, dans la réalité, dans des conditions normales, bref, dans la situation classique d'un pirate, il faut compter plusieurs dizaines de minutes et non pas, comme laisse le croire cette légende urbaine, quelques secondes ou minutes.
Quand on sait pas on se tait?
Vous dites ?
-- Sébastien Monbrun aka TiChou
pchene
Mais ça c'est pas spécifique a WPA mais s'applique a tout systeme utilsant une clé faible. Donc WPA n'est pas cassable "facilement".
Oui WPA est cassable facilement, ce qui peut permettre de freiner voir de résister à une attaque c'est la complexcité de la passphrase. Voir le mail de Nina sur comment par exemple produire une passphrase efficace. Pour ma part je constate que la communication ou plutot la vulgarisation sur le sujet fait plus état de : remplaçons WEP par WPA. Que remplaçons WEP par WPA mais attention à la passphrase, car sinon même travers que WEP. En espérant que ma pensé aura été claire.
A+
Patrick
Mais ça c'est pas spécifique a WPA mais s'applique a tout systeme utilsant
une clé faible. Donc WPA n'est pas cassable "facilement".
Oui WPA est cassable facilement, ce qui peut permettre de freiner voir
de résister à une attaque c'est la complexcité de la passphrase.
Voir le mail de Nina sur comment par exemple produire une passphrase
efficace.
Pour ma part je constate que la communication ou plutot la
vulgarisation sur le sujet fait plus état de : remplaçons WEP par
WPA. Que remplaçons WEP par WPA mais attention à la passphrase, car
sinon même travers que WEP.
En espérant que ma pensé aura été claire.
Mais ça c'est pas spécifique a WPA mais s'applique a tout systeme utilsant une clé faible. Donc WPA n'est pas cassable "facilement".
Oui WPA est cassable facilement, ce qui peut permettre de freiner voir de résister à une attaque c'est la complexcité de la passphrase. Voir le mail de Nina sur comment par exemple produire une passphrase efficace. Pour ma part je constate que la communication ou plutot la vulgarisation sur le sujet fait plus état de : remplaçons WEP par WPA. Que remplaçons WEP par WPA mais attention à la passphrase, car sinon même travers que WEP. En espérant que ma pensé aura été claire.
A+
Patrick
Eric Masson
"nospheratus" writes:
'Lut,
J'avais que ça sous la main.
On évite donc de généraliser à partir d'un échantillon aussi faible.
En effet j'aurais du etre plus nuancé. Je ferais cette equation : Sait pas changer d'IP > Sait changer une IP > Sait changer une mac adresse.
Pourquoi pas, enfin, les réponses d'Éric restent valides.
Tu devrais donc commencer à t'interroger sur ton systeme de sécurité alors, car dans le genre je sais tout tu es pas le denrier à la crier.
C'est cela oui, pour ma part, j'en apprend tous les jours et j'ai encore l'humilité nécessaire pour l'accepter.
-- Quelqu'un peut me dire comment on fait pour creer un nouveaux groupe Usenet? A qui faut-il s'adresse? Cela coute il de quoi? -+- Moe in GNU - De quoi qu'est ce que ca coute-t-il combien ? -+-
"nospheratus" <nospam@nosland.com> writes:
'Lut,
J'avais que ça sous la main.
On évite donc de généraliser à partir d'un échantillon aussi faible.
En effet j'aurais du etre plus nuancé. Je ferais cette equation :
Sait pas changer d'IP > Sait changer une IP > Sait changer une mac adresse.
Pourquoi pas, enfin, les réponses d'Éric restent valides.
Tu devrais donc commencer à t'interroger sur ton systeme de sécurité alors,
car dans le genre je sais tout tu es pas le denrier à la crier.
C'est cela oui, pour ma part, j'en apprend tous les jours et j'ai encore
l'humilité nécessaire pour l'accepter.
--
Quelqu'un peut me dire comment on fait pour creer un nouveaux groupe
Usenet? A qui faut-il s'adresse? Cela coute il de quoi?
-+- Moe in GNU - De quoi qu'est ce que ca coute-t-il combien ? -+-
On évite donc de généraliser à partir d'un échantillon aussi faible.
En effet j'aurais du etre plus nuancé. Je ferais cette equation : Sait pas changer d'IP > Sait changer une IP > Sait changer une mac adresse.
Pourquoi pas, enfin, les réponses d'Éric restent valides.
Tu devrais donc commencer à t'interroger sur ton systeme de sécurité alors, car dans le genre je sais tout tu es pas le denrier à la crier.
C'est cela oui, pour ma part, j'en apprend tous les jours et j'ai encore l'humilité nécessaire pour l'accepter.
-- Quelqu'un peut me dire comment on fait pour creer un nouveaux groupe Usenet? A qui faut-il s'adresse? Cela coute il de quoi? -+- Moe in GNU - De quoi qu'est ce que ca coute-t-il combien ? -+-
Eric Masson
"WinTerMiNator" writes:
'Lut,
Pour ce second point je recommande, pour des raisons pratiques autant que de sécurité, de ne pas activer le serveur DHCP du modem riuteur, de configurer dons las connexions "à la mimine" et de leur enlever les éléments de réseau Microsoft.
Je suis probablement bouché, mais dans le cas d'un lan classique de particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur et de passer à des configurations ip fixées ?
Pour la désactivation des fonctionnalités SMB/CIFS, on peut effectivement argumenter qu'un éventuel code malicieux compromettant une machine disposera d'un canal de moins pour sa réplication, mais pour la supression du dhcp, dans le cadre précis d'un lan personnel, je ne vois pas bien ce que cela va apporter.
-- Y aurait il quelqu'un pour me dire où je suis et ce qui se passe??? -+- n in GNU : dans les abysses de fr, personne ne vous entend crier-+-
"WinTerMiNator" <me@privacy.net> writes:
'Lut,
Pour ce second point je recommande, pour des raisons pratiques autant que de
sécurité, de ne pas activer le serveur DHCP du modem riuteur, de configurer
dons las connexions "à la mimine" et de leur enlever les éléments de réseau
Microsoft.
Je suis probablement bouché, mais dans le cas d'un lan classique de
particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est
l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur
et de passer à des configurations ip fixées ?
Pour la désactivation des fonctionnalités SMB/CIFS, on peut
effectivement argumenter qu'un éventuel code malicieux compromettant une
machine disposera d'un canal de moins pour sa réplication, mais pour la
supression du dhcp, dans le cadre précis d'un lan personnel, je ne vois
pas bien ce que cela va apporter.
--
Y aurait il quelqu'un pour me dire où je suis et ce qui se passe???
-+- n in GNU : dans les abysses de fr, personne ne vous entend crier-+-
Pour ce second point je recommande, pour des raisons pratiques autant que de sécurité, de ne pas activer le serveur DHCP du modem riuteur, de configurer dons las connexions "à la mimine" et de leur enlever les éléments de réseau Microsoft.
Je suis probablement bouché, mais dans le cas d'un lan classique de particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur et de passer à des configurations ip fixées ?
Pour la désactivation des fonctionnalités SMB/CIFS, on peut effectivement argumenter qu'un éventuel code malicieux compromettant une machine disposera d'un canal de moins pour sa réplication, mais pour la supression du dhcp, dans le cadre précis d'un lan personnel, je ne vois pas bien ce que cela va apporter.
-- Y aurait il quelqu'un pour me dire où je suis et ce qui se passe??? -+- n in GNU : dans les abysses de fr, personne ne vous entend crier-+-
Thierry
"pchene" écrivait news::
Mais ça c'est pas spécifique a WPA mais s'applique a tout systeme utilsant une clé faible. Donc WPA n'est pas cassable "facilement".
Oui WPA est cassable facilement, ce qui peut permettre de freiner voir de résister à une attaque c'est la complexcité de la passphrase. Voir le mail de Nina sur comment par exemple produire une passphrase efficace. Pour ma part je constate que la communication ou plutot la vulgarisation sur le sujet fait plus état de : remplaçons WEP par WPA. Que remplaçons WEP par WPA mais attention à la passphrase, car sinon même travers que WEP.
Non, rien a voir : pour WEP il y a un probleme dans le "protocole" (et dans l'implementation : reutilisation d'IV, qui fait qu'il n'y a pas besoin d'un test exhaustif de l'ensemble des clés possibles) tandis que WPA n'a pas ces problemes-la (ou ils n'ont pas été rendus public) et que dans le cas de PSK la clé est le maillon faible comme tout systeme basé sur une clé, quelque soit la force de l'algo.
De plus WPA peut renouveller les clés toutes les x secondes (activé par défaut à 3600 sur beaucoup de point d'acces) ce qui fait qu'il faut que le temps de crack soit inférieur a ce delai sinon l'attaquant aura cassé une clé deja obsolete.
Concernant la force brute et donc en supposant une passphrase forte: Y'a une demo de crack de WPA qui est connue : http://www.mirrors.wiretapped.net/security/vulnerability- assessment/aircrack/whax-aircrack-wpa/whax-aircrack-wpa.swf (si j'ai bien compris il force une desassociation sur la cible et fait une attaque offline au dico sur des trames reconnaissables, genre DHCP).
Il teste 40 cles par secondes, soit 144000/heure. Ca peut marcher par une attaque au dico mais pas par force brute, sauf avoir une enorme capacité de calcul (compare avec les 218340105584896 possibilités d'une passphrase de seulement 8 caracteres et ne comportant que des caracteres alphanumeriques.
Pour WPA-Radius (EAP) on retombe dans l'eventuelle faiblesse d'un mot de passe faible mais l'attaque doit se faire online (avec des temps de latence du a l'echange des trames) et je pense que les serveurs RADUIS doivent avoir des protections contre trop de demandes d'authentification dans un laps de temps court.
Mais ça c'est pas spécifique a WPA mais s'applique a tout systeme
utilsant une clé faible. Donc WPA n'est pas cassable "facilement".
Oui WPA est cassable facilement, ce qui peut permettre de freiner voir
de résister à une attaque c'est la complexcité de la passphrase.
Voir le mail de Nina sur comment par exemple produire une passphrase
efficace.
Pour ma part je constate que la communication ou plutot la
vulgarisation sur le sujet fait plus état de : remplaçons WEP par
WPA. Que remplaçons WEP par WPA mais attention à la passphrase, car
sinon même travers que WEP.
Non, rien a voir : pour WEP il y a un probleme dans le "protocole" (et dans
l'implementation : reutilisation d'IV, qui fait qu'il n'y a pas besoin d'un
test exhaustif de l'ensemble des clés possibles) tandis que WPA n'a pas ces
problemes-la (ou ils n'ont pas été rendus public) et que dans le cas de PSK
la clé est le maillon faible comme tout systeme basé sur une clé, quelque
soit la force de l'algo.
De plus WPA peut renouveller les clés toutes les x secondes (activé par
défaut à 3600 sur beaucoup de point d'acces) ce qui fait qu'il faut que le
temps de crack soit inférieur a ce delai sinon l'attaquant aura cassé une
clé deja obsolete.
Concernant la force brute et donc en supposant une passphrase forte:
Y'a une demo de crack de WPA qui est connue :
http://www.mirrors.wiretapped.net/security/vulnerability-
assessment/aircrack/whax-aircrack-wpa/whax-aircrack-wpa.swf
(si j'ai bien compris il force une desassociation sur la cible et fait une
attaque offline au dico sur des trames reconnaissables, genre DHCP).
Il teste 40 cles par secondes, soit 144000/heure. Ca peut marcher par une
attaque au dico mais pas par force brute, sauf avoir une enorme capacité de
calcul (compare avec les 218340105584896 possibilités d'une passphrase de
seulement 8 caracteres et ne comportant que des caracteres alphanumeriques.
Pour WPA-Radius (EAP) on retombe dans l'eventuelle faiblesse d'un mot de
passe faible mais l'attaque doit se faire online (avec des temps de latence
du a l'echange des trames) et je pense que les serveurs RADUIS doivent
avoir des protections contre trop de demandes d'authentification dans un
laps de temps court.
Mais ça c'est pas spécifique a WPA mais s'applique a tout systeme utilsant une clé faible. Donc WPA n'est pas cassable "facilement".
Oui WPA est cassable facilement, ce qui peut permettre de freiner voir de résister à une attaque c'est la complexcité de la passphrase. Voir le mail de Nina sur comment par exemple produire une passphrase efficace. Pour ma part je constate que la communication ou plutot la vulgarisation sur le sujet fait plus état de : remplaçons WEP par WPA. Que remplaçons WEP par WPA mais attention à la passphrase, car sinon même travers que WEP.
Non, rien a voir : pour WEP il y a un probleme dans le "protocole" (et dans l'implementation : reutilisation d'IV, qui fait qu'il n'y a pas besoin d'un test exhaustif de l'ensemble des clés possibles) tandis que WPA n'a pas ces problemes-la (ou ils n'ont pas été rendus public) et que dans le cas de PSK la clé est le maillon faible comme tout systeme basé sur une clé, quelque soit la force de l'algo.
De plus WPA peut renouveller les clés toutes les x secondes (activé par défaut à 3600 sur beaucoup de point d'acces) ce qui fait qu'il faut que le temps de crack soit inférieur a ce delai sinon l'attaquant aura cassé une clé deja obsolete.
Concernant la force brute et donc en supposant une passphrase forte: Y'a une demo de crack de WPA qui est connue : http://www.mirrors.wiretapped.net/security/vulnerability- assessment/aircrack/whax-aircrack-wpa/whax-aircrack-wpa.swf (si j'ai bien compris il force une desassociation sur la cible et fait une attaque offline au dico sur des trames reconnaissables, genre DHCP).
Il teste 40 cles par secondes, soit 144000/heure. Ca peut marcher par une attaque au dico mais pas par force brute, sauf avoir une enorme capacité de calcul (compare avec les 218340105584896 possibilités d'une passphrase de seulement 8 caracteres et ne comportant que des caracteres alphanumeriques.
Pour WPA-Radius (EAP) on retombe dans l'eventuelle faiblesse d'un mot de passe faible mais l'attaque doit se faire online (avec des temps de latence du a l'echange des trames) et je pense que les serveurs RADUIS doivent avoir des protections contre trop de demandes d'authentification dans un laps de temps court.
