Je vois passer régulièrement des fils concernant la protection des réseaux
(familiaux) WiFi.
Les réponses données par les différents contributeurs sont souvent
incomplètes, voire contradictoires.
J'ai donc décidé d'apporter ma contribution au débat (et j'espère que
j'éviterai au moins de me contredire, à défaut d'être complet). ;-)
Les conseils que je donne supposent l'utilisation de Windows, mais peuvent
en grande partie s'appliquer à d'autres systèmes.
1) Schéma d'attaque:
Il faut avant tout définir contre quoi on veut se protéger. Voici un
scénario possible, en l'absence de protection du réseau WiFi.
- Un attaquant se connecte à un réseau WiFi "familial" (par exemple un
modem-routeur passerelle NAT parefeu, quelques postes de travail) accès WiFi
non protégé (= dansl'état du déballage).
- Il repère facilement le FAI et donc potentiellement le type du
modem-routeur, simplement par le nom du point d'accès ("Wanadoo xxx",
"Netgear"); ou bien en naviguant sur internet, va sur le site de la CNIL,
obtient l'adresse IP "vue d'internet" du modem-routeur, fait un "Whois" et
identifie le FAI.
- A partir de la liste des modem-routeurs loués par le FAI, et avec les docs
prises sur le site du FAI, l'attaquant détermine le nom d'utilisateur / mot
de passe par défaut (en général, admin / admin).
- Avec un "ipcfg /all" sous Windows il détermine l'adresse du modem-routeur
vue du réseau interne, se connecte en http au modem-routeur avec le nom
d'utilisateur et le mot de passe par défaut.
- Il prend le contrôle du modem-routeur (change le mot de passe), prend
connaissance du nom d'utilisateur et du mot de passe de connexion à
internet.
- Puis il pirate le compte sur le site du FAI (se créée une BAL, prend
connaissance des messages, se crée des pages persos ou change le contenu de
celles qui existent).
- Et peut aussi pirater le contenu des PC du réseau familial, si les
partages de fichiers sont activés (cas par défaut sous Windows).
- Il peut enfin se livrer sur internet à des activités délictueuses ou
frauduleuses, en toute impunité, en se faisant passer pour le détenteur du
compte qui pourra, lui, avoir maille à partir avec la justice...
Bref, sans protection, risque de dégâts maximaux.
2) La protection :
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison
filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir
d'abord une liaison WiFi non sécurisée, et faire vite pour la sécuriser!
- Avant tout, mettez à jour les systèmes d'exploitation des postes de
travail (sous XP le WiFi est intégré au système), le BIOS du modem-routeur
et ceux d'éventuels autres éléments flashables du réseau, les divers drivers
et programmes d'installation des éléments du réseau. Ceci permettra sans
doute de profiter des plus hauts degrés de protection, de boucher des
failles et corriger des bugs.
- Changez le ou les mots de passe du modem-routeur.
- Choisissez en tant que mode de chiffrement: WPA2 / PSK si tous les postes
le peuvent, ou WPA / PSK sinon (le WEP n'est pas sûr); activez le changement
périodique de clé (par exemple toutes les heures); utilisez AES comme
algorithme de chiffrement. Utilisez comme "secret partagé" une longue phrase
de passe. Configurez tous vos postes WiFi de la même manière que le
modem-routeur (ou laissez faire la recherche automatique de réseau) et
copiez la phrase de passe du secret partagé (à transporter dans un fichier,
sur une clé USB, puis copier / coller, ou CTRL C / CTRL V sous Windows, pour
éviter les erreurs de saisie).
- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque
poste la connexion correspondante (celle qui utilise le dispositif WiFi),
avec attribution d'une IP fixe, unique, dans la même tranche que celle du
modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et
255.255.255.0 comme masque de sous-réseau si on vous le demande).
- Si le but de votre réseau local est le simple partage de la liaison à
internet, désactivez dans les propriétés des connexions WiFi les éléments
"Client pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes
pour les réseaux Microsoft". Ne laissez activé que TCPIP et éventuellement
un élément de type "Connexion 802.1x" rajouté parfois lors de l'installation
d'un dispositif de connexion WiFi sécurisée lorsqu'on utilise une ancienne
version de Windows (2000 par exemple). Dans les propriétés de TCPIP,
désactivez Netbios.
- Si vous voulez réellement partager des fichiers, songez à des serveurs /
clients FTP. Pour l'administration des postes à distance, songez à Ultra
VNC. Pour un partage d'imprimante, certains modem-routeurs font serveur
d'impression (USR 9108 par exemple). Bref, même si vous en avez envie,
évitez d'activer les éléments de réseaux Microsoft sur des connexions vers
internet!
- Limitez l'accès des postes autorisés à configurer le modem-routeur aux
seuls postes du réseau interne (liste limitative des IP des appareils
autorisés à administrer le mode-routeur, avec leurs adresses IP internes).
Désactivez le serveur DHCP du routeur.
- Vous pouvez si vous le désirez perdre (un peu) de votre temps avec
quelques babioles inutiles qui n'apporteront rien en matière de sécurité,
mais si ça peut vous rassurer, ça ne fait pas de mal:
* changer le nom SSID du réseau, et ne pas le diffuser ("on" arrivera quand
même à le retrouver, avec un détecteur de réseau WiFi couplé à un analyseur
de paquets) ;
* filtrer l'accès au réseau WiFi par les adresses MAC des dispositifs de
connexion (ça se retrouve, comme le nom SSID du réseau, et puis ça s'usurpe
avec des utilitaires à disposition sur internet) ;
* changer l'adresse par défaut du modem-routeur et la tranche d'adresse des
postes (ça ne sert à rien si le réseau n'est pas protégé, ça ne sert plus à
rien s'il est protégé) ;
* changer le nom du groupe de travail Windows (inutile car vous n'avez pas
de réseau Windows si vous avez suivi ces conseils) ;
* comme l'a suggéré un posteur, mettre une horloge sur l'alimentation
électrique du modem-routeur (s'il est correctement protégé, il l'est tout le
temps; s'il est mal protégé, il ne faut pas le mettre en service).
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
Je ne vois pas bien quel autre mot on pourrait utiliser pour désigner un pareil trou de sécurité. Dans la mesure où ce comportement est parfaitement documenté :
http://faq.free.fr/adsl/6/1/1/2 et où c'est quand même assez rare de la débrancher et rebrancher 5 fois de suite à l'insu de son plein gré, je ne vois pas exactement où est le trou :-))))) -- Nina
On 15 Oct 2006 22:22:26 GMT, Fabien LE LEZ <gramster@gramster.com>
wrote:
Je ne vois pas bien quel autre mot on pourrait utiliser pour désigner
un pareil trou de sécurité.
Dans la mesure où ce comportement est parfaitement documenté :
http://faq.free.fr/adsl/6/1/1/2
et où c'est quand même assez rare de la débrancher et rebrancher 5
fois de suite à l'insu de son plein gré, je ne vois pas exactement où
est le trou :-)))))
--
Nina
Je ne vois pas bien quel autre mot on pourrait utiliser pour désigner un pareil trou de sécurité. Dans la mesure où ce comportement est parfaitement documenté :
http://faq.free.fr/adsl/6/1/1/2 et où c'est quand même assez rare de la débrancher et rebrancher 5 fois de suite à l'insu de son plein gré, je ne vois pas exactement où est le trou :-))))) -- Nina
JOORIS Emmanuel
On 15 Oct 2006 22:22:26 GMT, Fabien LE LEZ wrote:
Je ne vois pas bien quel autre mot on pourrait utiliser pour désigner un pareil trou de sécurité. Dans la mesure où ce comportement est parfaitement documenté :
http://faq.free.fr/adsl/6/1/1/2 et où c'est quand même assez rare de la débrancher et rebrancher 5 fois de suite à l'insu de son plein gré, je ne vois pas exactement où est le trou :-)))))
hum normalement les transformateur de campagne tente de ce réactivé 3 fois si il y a un problème dans leur secteur. après pour les 2 fois de plus je sais pas.
On 15 Oct 2006 22:22:26 GMT, Fabien LE LEZ <gramster@gramster.com>
wrote:
Je ne vois pas bien quel autre mot on pourrait utiliser pour désigner
un pareil trou de sécurité.
Dans la mesure où ce comportement est parfaitement documenté :
http://faq.free.fr/adsl/6/1/1/2
et où c'est quand même assez rare de la débrancher et rebrancher 5
fois de suite à l'insu de son plein gré, je ne vois pas exactement où
est le trou :-)))))
hum normalement les transformateur de campagne tente de ce réactivé 3
fois si il y a un problème dans leur secteur. après pour les 2 fois de
plus je sais pas.
Je ne vois pas bien quel autre mot on pourrait utiliser pour désigner un pareil trou de sécurité. Dans la mesure où ce comportement est parfaitement documenté :
http://faq.free.fr/adsl/6/1/1/2 et où c'est quand même assez rare de la débrancher et rebrancher 5 fois de suite à l'insu de son plein gré, je ne vois pas exactement où est le trou :-)))))
hum normalement les transformateur de campagne tente de ce réactivé 3 fois si il y a un problème dans leur secteur. après pour les 2 fois de plus je sais pas.
moi-meme
[1] Un contrôle rapide de l'alim de la freebox n'a rien donné et la pièce est climatisée
il me semble (par expérience personnelle) que le bloc alim de la freebox a
des déficiences et que ce serait générique. La surveillance de l'alim devrait être faite au niveau du 12v et pas du secteur.
Mais c'est peut-être chercher un peu loin.
C Hiebel
[1] Un contrôle rapide de l'alim de la freebox n'a rien donné et la
pièce est climatisée
il me semble (par expérience personnelle) que le bloc alim de la freebox a
des déficiences et que ce serait générique. La surveillance de l'alim
devrait être faite au niveau du 12v et pas du secteur.
[1] Un contrôle rapide de l'alim de la freebox n'a rien donné et la pièce est climatisée
il me semble (par expérience personnelle) que le bloc alim de la freebox a
des déficiences et que ce serait générique. La surveillance de l'alim devrait être faite au niveau du 12v et pas du secteur.
Mais c'est peut-être chercher un peu loin.
C Hiebel
Nina Popravka
On 16 Oct 2006 04:28:24 GMT, Fabien LE LEZ wrote:
Pour la transmission de l'adresse IP, j'imagine que DHCP peut servir, si le réseau est gros, ou si une machine ne fonctionne que par DHCP. Même pas la peine d'aller sur du gros :-)
Même si il n'y a que 20 machines, c'est quand même beaucoup plus confortable de changer juste une option de ton scope si, par exemple, tu changes les adresses de tes DNS, plutôt que d'user tes godasses à aller le faire manuellement sur les 20 machines.
Mais il faut alors que le serveur DHCP soit fiable. Bah, en général ce sont des trucs qui fonctionnent...
-- Nina
On 16 Oct 2006 04:28:24 GMT, Fabien LE LEZ <gramster@gramster.com>
wrote:
Pour la transmission de l'adresse IP, j'imagine que DHCP peut servir,
si le réseau est gros, ou si une machine ne fonctionne que par DHCP.
Même pas la peine d'aller sur du gros :-)
Même si il n'y a que 20 machines, c'est quand même beaucoup plus
confortable de changer juste une option de ton scope si, par exemple,
tu changes les adresses de tes DNS, plutôt que d'user tes godasses à
aller le faire manuellement sur les 20 machines.
Mais il faut alors que le serveur DHCP soit fiable.
Bah, en général ce sont des trucs qui fonctionnent...
Pour la transmission de l'adresse IP, j'imagine que DHCP peut servir, si le réseau est gros, ou si une machine ne fonctionne que par DHCP. Même pas la peine d'aller sur du gros :-)
Même si il n'y a que 20 machines, c'est quand même beaucoup plus confortable de changer juste une option de ton scope si, par exemple, tu changes les adresses de tes DNS, plutôt que d'user tes godasses à aller le faire manuellement sur les 20 machines.
Mais il faut alors que le serveur DHCP soit fiable. Bah, en général ce sont des trucs qui fonctionnent...
-- Nina
Eric Masson
"WinTerMiNator" writes:
'Lut,
Les raisons pour ne pas utiliser le DHCP sont d'abord pratiques: - si vous voulez ouvrir des ports entrants vers des serveurs (eMule, MSN Messenger etc.), c'est le bronx à régler en DHCP,
Euh, la réservation d'adresse ip pour une adresse MAC donnée fait partie de la rfc initiale sur dhcp, iirc.
Enfin, la majorité des box gère upnp qui permet l'ouverture dynamique de ports sur la box à la requête des clients du lan et qui est amha, largement plus dangereux.
- et en n'utilisant pas le DHCP, vous pouvez désactiver le client DHCP sur les postes du réseau (1 service de moins sous Windows).
Mouais, tu m'aurais dit qu'il y avait eu récemment une faille sur le client dhcp des différents windows, j'aurais été un poil plus réceptif : http://www.microsoft.com/technet/security/Bulletin/MS06-036.mspx
Mais bon, pour réussir, il faut déjà avoir la possibilité d'injecter des trames sur le lan ou la machine est installée. Dans le cas d'un lan derrière une box, si un attaquant éventuel en est là, il aura amha d'autres voies plus simple pour prendre le contrôle des machines rencontrées.
Sur le plan sécurité, bien protégé par WPA2 / PSK + AES il n'y a pas beaucoup de risques. Mais, par principe, les machins automatiques ça me fout des boutons...
Tu ne vas pas aimer ipv6...
-- je suis sur qu'on peut faire encore pire, imagine un mec plus colereux que Jaco, plus chiant que Fleury et plus emmerdeur que moi, non mais, imagine un instant. -+- ST in Guide du linuxien pervers - "Le bon, la brute et le truand." -+-
"WinTerMiNator" <me@privacy.net> writes:
'Lut,
Les raisons pour ne pas utiliser le DHCP sont d'abord pratiques:
- si vous voulez ouvrir des ports entrants vers des serveurs (eMule, MSN
Messenger etc.), c'est le bronx à régler en DHCP,
Euh, la réservation d'adresse ip pour une adresse MAC donnée fait partie
de la rfc initiale sur dhcp, iirc.
Enfin, la majorité des box gère upnp qui permet l'ouverture dynamique de
ports sur la box à la requête des clients du lan et qui est amha,
largement plus dangereux.
- et en n'utilisant pas le DHCP, vous pouvez désactiver le client DHCP sur
les postes du réseau (1 service de moins sous Windows).
Mouais, tu m'aurais dit qu'il y avait eu récemment une faille sur le
client dhcp des différents windows, j'aurais été un poil plus réceptif :
http://www.microsoft.com/technet/security/Bulletin/MS06-036.mspx
Mais bon, pour réussir, il faut déjà avoir la possibilité d'injecter des
trames sur le lan ou la machine est installée. Dans le cas d'un lan
derrière une box, si un attaquant éventuel en est là, il aura amha
d'autres voies plus simple pour prendre le contrôle des machines
rencontrées.
Sur le plan sécurité, bien protégé par WPA2 / PSK + AES il n'y a pas
beaucoup de risques. Mais, par principe, les machins automatiques ça me fout
des boutons...
Tu ne vas pas aimer ipv6...
--
je suis sur qu'on peut faire encore pire, imagine un mec plus colereux que
Jaco, plus chiant que Fleury et plus emmerdeur que moi, non mais,
imagine un instant.
-+- ST in Guide du linuxien pervers - "Le bon, la brute et le truand." -+-
Les raisons pour ne pas utiliser le DHCP sont d'abord pratiques: - si vous voulez ouvrir des ports entrants vers des serveurs (eMule, MSN Messenger etc.), c'est le bronx à régler en DHCP,
Euh, la réservation d'adresse ip pour une adresse MAC donnée fait partie de la rfc initiale sur dhcp, iirc.
Enfin, la majorité des box gère upnp qui permet l'ouverture dynamique de ports sur la box à la requête des clients du lan et qui est amha, largement plus dangereux.
- et en n'utilisant pas le DHCP, vous pouvez désactiver le client DHCP sur les postes du réseau (1 service de moins sous Windows).
Mouais, tu m'aurais dit qu'il y avait eu récemment une faille sur le client dhcp des différents windows, j'aurais été un poil plus réceptif : http://www.microsoft.com/technet/security/Bulletin/MS06-036.mspx
Mais bon, pour réussir, il faut déjà avoir la possibilité d'injecter des trames sur le lan ou la machine est installée. Dans le cas d'un lan derrière une box, si un attaquant éventuel en est là, il aura amha d'autres voies plus simple pour prendre le contrôle des machines rencontrées.
Sur le plan sécurité, bien protégé par WPA2 / PSK + AES il n'y a pas beaucoup de risques. Mais, par principe, les machins automatiques ça me fout des boutons...
Tu ne vas pas aimer ipv6...
-- je suis sur qu'on peut faire encore pire, imagine un mec plus colereux que Jaco, plus chiant que Fleury et plus emmerdeur que moi, non mais, imagine un instant. -+- ST in Guide du linuxien pervers - "Le bon, la brute et le truand." -+-
Nina Popravka
On 16 Oct 2006 08:29:39 GMT, Eric Masson wrote:
Enfin, la majorité des box gère upnp qui permet l'ouverture dynamique de ports sur la box à la requête des clients du lan et qui est amha, largement plus dangereux.
Remarque bien que conntrack, qui est intégré dans, par exemple, le firmware DD-WRT pour le WRT54G, semble, vu de ma fenêtre, faire très exactement la même chose. -- Nina
On 16 Oct 2006 08:29:39 GMT, Eric Masson <emss@free.fr> wrote:
Enfin, la majorité des box gère upnp qui permet l'ouverture dynamique de
ports sur la box à la requête des clients du lan et qui est amha,
largement plus dangereux.
Remarque bien que conntrack, qui est intégré dans, par exemple, le
firmware DD-WRT pour le WRT54G, semble, vu de ma fenêtre, faire très
exactement la même chose.
--
Nina
Enfin, la majorité des box gère upnp qui permet l'ouverture dynamique de ports sur la box à la requête des clients du lan et qui est amha, largement plus dangereux.
Remarque bien que conntrack, qui est intégré dans, par exemple, le firmware DD-WRT pour le WRT54G, semble, vu de ma fenêtre, faire très exactement la même chose. -- Nina
nospheratus
Oui je relis et je vois que tu argumente avec pas grand chose (3 personnes de ton entourage)
Bah j'ai pas d'amis que veux-tu j'fais avec ce que j'ai ;o)
Tu argumente sur le fait que verrouiller l'adresse MAC est une protection car presque personne ne sait en changer contrairement a l'adresse IP. Je t'indique juste que ton argument ne tiens pas (d'où sort tu, accessoirement tes pourcentages? des trois membres de ta famille ou de l'habitude de croiser, par ton travail par exemple, de nombreux utilisateurs lambda?).
J'ai pas dis que le filtragepar Mac constituait une protection. J'ai dis qu'elle etait disons plus protectrice que le filtrage par IP. Ensuite, oui de part mon travail je cotoie des utilisateurs lambda ce qui me fait croire en ce que j'avance. Aprè-s les %tage sont utopiqie, je n'ai aucun chiffre, c'est juste un abus de langage c'est tout.
Et tu as convenu plus bas que le gars qui n'y connais rien peut pénétrer un système sous WEP simplement en surfant un peu.
Oui. Et ?
Peux tu me définir un "vrai" pirate?
un mec avec un bandeau sur l'oeil ;-)
Parce que le scrip kiddie qui entre dans un système n'est certes pas un h4x0r de la mort qui tue, mais il pirate bel et bien et peut occasionner de sacrés dégâts. Aussi bien chez un particulier que dans une entreprise, et je ne parle même pas des attaques par rebond et autres bot.
J'en doute pas !
quitte à choisir autant prendrele filtrage par Mac adresse qui necessite du pirate une connaissance plus approfondie des reseaux.
Tu n'as pas repris mon renvois 1, que je copie ici : "Ce qui ne m'empêche pas de filtrer quand je peux par IP, car si le spoofing d'adresse IP est aisé sur un LAN c'est une autre paire de manche via le WAN (je ne sais même pas si il reste dans la nature beaucoup d'OS avec une pile IP prédictible qui font tourner des services sur le net) à cause de la procédure en aveugle qu'on doit lancer."
Pour moi si le gars est déjà sur ton lan, en particulier en position de sniffer et de faire de l'arp cache poisoning) ce n'est pas un filtrage MAC ou IP qui va le bloquer longtemps. Par contre s'il envoit des paquets du WAN un simple filtrage d'IP est assez efficace en TCP. Je ne parle pas ici de l'addresse mac des routeurs et autres gags avec les protocoles de routage (ça m'étonne encore qu'il n'y ait pas eu encore de paralysie quasi totale du net).
Je vois pas les choses ainsi. Si tu mets en place un filtrage par Mac adresse, en authorisant uniquement quelques mac a entrer sur le routeur, le mec qui va se presenter pour snifer sera jeter direct. Il faudra qu'il spoof une mac adresse pour sniffer ton rezo. Si tu mets en place le filtrage par IP, je dirais que la majorité des routeurs des particuliers qui n'y connaissent pas grand chose laisse la config Ip par defaut, à savoir le routeur a pour IP 192.168.0.1 ou 192.168.0.251 en fonction des marques. Bon tu vas me dire que certains sont en 192.168.0.254, bref, là n'est pas le debat. Je pense que le mec ne mettra pas longtemps à trouver une Ip authorisée, j'dirais que bien souvent l'Ip 192.168.0.2 est authorisé, il suffit de laprendre et hop. Le "pirate" n'a qu'neviron 250 Ip à tester de toutes façon ça va vite ;-) Le filtrage par Mac offre quand meme un peu plus de possibilité non ?
Si tu lis ce que j'ai mis plus haut tu peux comprendre que dans certains cas c'est une demande parfaitement valable. De toute façon en wifi l'adresse MAC est clairement annoncée.
pardon ? Explique un peu car là je te suis pas.
Mon 486dx2 a rendu l'âme :)
Est nominé est santi ;-)
Blague à part si ton fw gère la séparation WAN/LAN et que c'est une machine de ton LAN qui est compromise tu vas avoir des problèmes sur les autres aussi.
Oui c'est sur, il n'y a pas de sécurité 100% de toutes façons.
Je suis d'accord avec toi. Mais reconnait que quitte à choisir mieux vaut un filtrage par mac que par Ip (il insiste le bougre lol )
Ben non, je ne reconnais pas! Pour toutes les raisons évoquées plus haut :)
Tsssssss tete de mule va ;-) -- NosPHeratus http://www.nosland.com
Oui je relis et je vois que tu argumente avec pas grand chose (3 personnes
de ton entourage)
Bah j'ai pas d'amis que veux-tu j'fais avec ce que j'ai ;o)
Tu argumente sur le fait que verrouiller l'adresse MAC est une protection
car presque personne ne sait en changer contrairement a l'adresse IP. Je
t'indique juste que ton argument ne tiens pas (d'où sort tu,
accessoirement tes pourcentages? des trois membres de ta famille ou de
l'habitude de croiser, par ton travail par exemple, de nombreux
utilisateurs lambda?).
J'ai pas dis que le filtragepar Mac constituait une protection. J'ai dis
qu'elle etait disons plus protectrice que le filtrage par IP.
Ensuite, oui de part mon travail je cotoie des utilisateurs lambda ce qui
me fait croire en ce que j'avance. Aprè-s les %tage sont utopiqie, je n'ai
aucun chiffre, c'est juste un abus de langage c'est tout.
Et tu as convenu plus bas que le gars qui n'y connais rien peut pénétrer
un système sous WEP simplement en surfant un peu.
Oui. Et ?
Peux tu me définir un "vrai" pirate?
un mec avec un bandeau sur l'oeil ;-)
Parce que le scrip kiddie qui entre dans un système n'est certes pas un
h4x0r de la mort qui tue, mais il pirate bel et bien et peut occasionner
de sacrés dégâts. Aussi bien chez un particulier que dans une
entreprise, et je ne parle même pas des attaques par rebond et autres bot.
J'en doute pas !
quitte à choisir autant
prendrele filtrage par Mac adresse qui necessite du pirate une
connaissance plus approfondie des reseaux.
Tu n'as pas repris mon renvois 1, que je copie ici :
"Ce qui ne m'empêche pas de filtrer quand je peux par IP, car si le
spoofing d'adresse IP est aisé sur un LAN c'est une autre paire de manche
via le WAN (je ne sais même pas si il reste dans la nature beaucoup d'OS
avec une pile IP prédictible qui font tourner des services sur le net) à
cause de la procédure en aveugle qu'on doit lancer."
Pour moi si le gars est déjà sur ton lan, en particulier en position de
sniffer et de faire de l'arp cache poisoning) ce n'est pas un filtrage
MAC ou IP qui va le bloquer longtemps. Par contre s'il envoit des paquets
du WAN un simple filtrage d'IP est assez efficace en TCP. Je ne parle pas
ici de l'addresse mac des routeurs et autres gags avec les protocoles de
routage (ça m'étonne encore qu'il n'y ait pas eu encore de paralysie
quasi totale du net).
Je vois pas les choses ainsi. Si tu mets en place un filtrage par Mac
adresse, en authorisant uniquement quelques mac a entrer sur le routeur, le
mec qui va se presenter pour snifer sera jeter direct. Il faudra qu'il spoof
une mac adresse pour sniffer ton rezo.
Si tu mets en place le filtrage par IP, je dirais que la majorité des
routeurs des particuliers qui n'y connaissent pas grand chose laisse la
config Ip par defaut, à savoir le routeur a pour IP 192.168.0.1 ou
192.168.0.251 en fonction des marques. Bon tu vas me dire que certains sont
en 192.168.0.254, bref, là n'est pas le debat. Je pense que le mec ne mettra
pas longtemps à trouver une Ip authorisée, j'dirais que bien souvent l'Ip
192.168.0.2 est authorisé, il suffit de laprendre et hop. Le "pirate" n'a
qu'neviron 250 Ip à tester de toutes façon ça va vite ;-) Le filtrage par
Mac offre quand meme un peu plus de possibilité non ?
Si tu lis ce que j'ai mis plus haut tu peux comprendre que dans certains
cas c'est une demande parfaitement valable. De toute façon en wifi
l'adresse MAC est clairement annoncée.
pardon ? Explique un peu car là je te suis pas.
Mon 486dx2 a rendu l'âme :)
Est nominé est santi ;-)
Blague à part si ton fw gère la séparation WAN/LAN et que c'est une
machine de ton LAN qui est compromise tu vas avoir des problèmes sur les
autres aussi.
Oui c'est sur, il n'y a pas de sécurité 100% de toutes façons.
Je suis d'accord avec toi. Mais reconnait que quitte à choisir mieux
vaut un filtrage par mac que par Ip (il insiste le bougre lol )
Ben non, je ne reconnais pas! Pour toutes les raisons évoquées plus haut
:)
Tsssssss tete de mule va ;-)
--
NosPHeratus
http://www.nosland.com
Oui je relis et je vois que tu argumente avec pas grand chose (3 personnes de ton entourage)
Bah j'ai pas d'amis que veux-tu j'fais avec ce que j'ai ;o)
Tu argumente sur le fait que verrouiller l'adresse MAC est une protection car presque personne ne sait en changer contrairement a l'adresse IP. Je t'indique juste que ton argument ne tiens pas (d'où sort tu, accessoirement tes pourcentages? des trois membres de ta famille ou de l'habitude de croiser, par ton travail par exemple, de nombreux utilisateurs lambda?).
J'ai pas dis que le filtragepar Mac constituait une protection. J'ai dis qu'elle etait disons plus protectrice que le filtrage par IP. Ensuite, oui de part mon travail je cotoie des utilisateurs lambda ce qui me fait croire en ce que j'avance. Aprè-s les %tage sont utopiqie, je n'ai aucun chiffre, c'est juste un abus de langage c'est tout.
Et tu as convenu plus bas que le gars qui n'y connais rien peut pénétrer un système sous WEP simplement en surfant un peu.
Oui. Et ?
Peux tu me définir un "vrai" pirate?
un mec avec un bandeau sur l'oeil ;-)
Parce que le scrip kiddie qui entre dans un système n'est certes pas un h4x0r de la mort qui tue, mais il pirate bel et bien et peut occasionner de sacrés dégâts. Aussi bien chez un particulier que dans une entreprise, et je ne parle même pas des attaques par rebond et autres bot.
J'en doute pas !
quitte à choisir autant prendrele filtrage par Mac adresse qui necessite du pirate une connaissance plus approfondie des reseaux.
Tu n'as pas repris mon renvois 1, que je copie ici : "Ce qui ne m'empêche pas de filtrer quand je peux par IP, car si le spoofing d'adresse IP est aisé sur un LAN c'est une autre paire de manche via le WAN (je ne sais même pas si il reste dans la nature beaucoup d'OS avec une pile IP prédictible qui font tourner des services sur le net) à cause de la procédure en aveugle qu'on doit lancer."
Pour moi si le gars est déjà sur ton lan, en particulier en position de sniffer et de faire de l'arp cache poisoning) ce n'est pas un filtrage MAC ou IP qui va le bloquer longtemps. Par contre s'il envoit des paquets du WAN un simple filtrage d'IP est assez efficace en TCP. Je ne parle pas ici de l'addresse mac des routeurs et autres gags avec les protocoles de routage (ça m'étonne encore qu'il n'y ait pas eu encore de paralysie quasi totale du net).
Je vois pas les choses ainsi. Si tu mets en place un filtrage par Mac adresse, en authorisant uniquement quelques mac a entrer sur le routeur, le mec qui va se presenter pour snifer sera jeter direct. Il faudra qu'il spoof une mac adresse pour sniffer ton rezo. Si tu mets en place le filtrage par IP, je dirais que la majorité des routeurs des particuliers qui n'y connaissent pas grand chose laisse la config Ip par defaut, à savoir le routeur a pour IP 192.168.0.1 ou 192.168.0.251 en fonction des marques. Bon tu vas me dire que certains sont en 192.168.0.254, bref, là n'est pas le debat. Je pense que le mec ne mettra pas longtemps à trouver une Ip authorisée, j'dirais que bien souvent l'Ip 192.168.0.2 est authorisé, il suffit de laprendre et hop. Le "pirate" n'a qu'neviron 250 Ip à tester de toutes façon ça va vite ;-) Le filtrage par Mac offre quand meme un peu plus de possibilité non ?
Si tu lis ce que j'ai mis plus haut tu peux comprendre que dans certains cas c'est une demande parfaitement valable. De toute façon en wifi l'adresse MAC est clairement annoncée.
pardon ? Explique un peu car là je te suis pas.
Mon 486dx2 a rendu l'âme :)
Est nominé est santi ;-)
Blague à part si ton fw gère la séparation WAN/LAN et que c'est une machine de ton LAN qui est compromise tu vas avoir des problèmes sur les autres aussi.
Oui c'est sur, il n'y a pas de sécurité 100% de toutes façons.
Je suis d'accord avec toi. Mais reconnait que quitte à choisir mieux vaut un filtrage par mac que par Ip (il insiste le bougre lol )
Ben non, je ne reconnais pas! Pour toutes les raisons évoquées plus haut :)
Tsssssss tete de mule va ;-) -- NosPHeratus http://www.nosland.com
pchene
Bonjour,
Ce n'est pas la peine de t'emballer comme cela. Tu tapes dans google : WPA cracked et tu trouveras un stock d'info la dessus. Ensuite entre un WPA-PSK et un WPA avec serveur RADIUS effectivement il y a différence, mais la version RADIUS n'équipe malheuresement pas le particulier lambda ni l'entreprise lambda. Qui sont les cibles idéals pour se faire passer pour qui je ne suis pas. Et de plus ce sont eux qui constituent le plus fort maillage du territoire. Ce qui offre la porte du risque c'est surtout que l'on met tout les implementations de WPA dans le même sac en criant que c'est la solution de sécurisation d'un réseau WIFI, ce qui est loin d'être totalement vrai. Malgré cela il existe, pour des utilisateurs avertis, tout de même des solutions à faible cout (RADIUS), comme celle-ci par exemple : http://sid.rstack.org/blog/index.php/2006/09/02/116-un-radius-des-radis et ici http://sid.rstack.org/blog/index.php/2006/08/30/115-urban-legend
Pour faire le point un peu la dessus une lecture de chez HSC, même si elle n'est pas de cette année, elle reste d'actualité : http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.pdf
Pour info WPA n'est qu'une amélioration de WEP. Si je n'oubli rien,il n'améliore en gros que les points suivants : Mécanisme d'authentification -> Secret partagé ou sur 802.1x.EAP Mécanisme de dérivation des clés WEP -> Chiffrement des trames Mécanisme nouveau de controle de l'intégrité des trames.
Par contre en terme d'implementation, il y a WPA et WPA en fonction de la game de prix du matériel mis en jeux par exemple. La version low cost et aisée à mettre en oeuvre : WPA-PSK (avec secret partagé) . Qui est de fait la plus répandu (chez les particuliers, artisans, commercants... par exemple) est le WPA avec secret partagé. Comme WPA-PSK est cracké et que le seul frein à l'attaque repose sur la complexité de la passphrase. Faire un petit tout rapide ici pour le comment du casse : http://www.atnewyork.com/news/article.php/3105271 ou http://wifinetnews.com/archives/002452.html Surtout quand les mails postés ne font aucune différence entre les différentes implémentation de WPA; Je crie haut et fort : Attention WPA-PSK oui mais si passphrase complexe sinon pas beaucoup mieux que WEP.
A+
Patrick
Bonjour,
Ce n'est pas la peine de t'emballer comme cela. Tu tapes dans google :
WPA cracked et tu trouveras un stock d'info la dessus.
Ensuite entre un WPA-PSK et un WPA avec serveur RADIUS effectivement il
y a différence, mais la version RADIUS n'équipe malheuresement pas le
particulier lambda ni l'entreprise lambda. Qui sont les cibles idéals
pour se faire passer pour qui je ne suis pas. Et de plus ce sont eux
qui constituent le plus fort maillage du territoire. Ce qui offre la
porte du risque c'est surtout que l'on met tout les implementations de
WPA dans le même sac en criant que c'est la solution de sécurisation
d'un réseau WIFI, ce qui est loin d'être totalement vrai.
Malgré cela il existe, pour des utilisateurs avertis, tout de même
des solutions à faible cout (RADIUS), comme celle-ci par exemple :
http://sid.rstack.org/blog/index.php/2006/09/02/116-un-radius-des-radis
et ici http://sid.rstack.org/blog/index.php/2006/08/30/115-urban-legend
Pour faire le point un peu la dessus une lecture de chez HSC, même si
elle n'est pas de cette année, elle reste d'actualité :
http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.pdf
Pour info WPA n'est qu'une amélioration de WEP. Si je n'oubli rien,il
n'améliore en gros que les points suivants :
Mécanisme d'authentification -> Secret partagé ou sur 802.1x.EAP
Mécanisme de dérivation des clés WEP -> Chiffrement des trames
Mécanisme nouveau de controle de l'intégrité des trames.
Par contre en terme d'implementation, il y a WPA et WPA en fonction de
la game de prix du matériel mis en jeux par exemple.
La version low cost et aisée à mettre en oeuvre : WPA-PSK (avec
secret partagé) . Qui est de fait la plus répandu (chez les
particuliers, artisans, commercants... par exemple) est le WPA avec
secret partagé.
Comme WPA-PSK est cracké et que le seul frein à l'attaque repose sur
la complexité de la passphrase. Faire un petit tout rapide ici pour le
comment du casse : http://www.atnewyork.com/news/article.php/3105271 ou
http://wifinetnews.com/archives/002452.html
Surtout quand les mails postés ne font aucune différence entre les
différentes implémentation de WPA; Je crie haut et fort : Attention
WPA-PSK oui mais si passphrase complexe sinon pas beaucoup mieux que
WEP.
Ce n'est pas la peine de t'emballer comme cela. Tu tapes dans google : WPA cracked et tu trouveras un stock d'info la dessus. Ensuite entre un WPA-PSK et un WPA avec serveur RADIUS effectivement il y a différence, mais la version RADIUS n'équipe malheuresement pas le particulier lambda ni l'entreprise lambda. Qui sont les cibles idéals pour se faire passer pour qui je ne suis pas. Et de plus ce sont eux qui constituent le plus fort maillage du territoire. Ce qui offre la porte du risque c'est surtout que l'on met tout les implementations de WPA dans le même sac en criant que c'est la solution de sécurisation d'un réseau WIFI, ce qui est loin d'être totalement vrai. Malgré cela il existe, pour des utilisateurs avertis, tout de même des solutions à faible cout (RADIUS), comme celle-ci par exemple : http://sid.rstack.org/blog/index.php/2006/09/02/116-un-radius-des-radis et ici http://sid.rstack.org/blog/index.php/2006/08/30/115-urban-legend
Pour faire le point un peu la dessus une lecture de chez HSC, même si elle n'est pas de cette année, elle reste d'actualité : http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.pdf
Pour info WPA n'est qu'une amélioration de WEP. Si je n'oubli rien,il n'améliore en gros que les points suivants : Mécanisme d'authentification -> Secret partagé ou sur 802.1x.EAP Mécanisme de dérivation des clés WEP -> Chiffrement des trames Mécanisme nouveau de controle de l'intégrité des trames.
Par contre en terme d'implementation, il y a WPA et WPA en fonction de la game de prix du matériel mis en jeux par exemple. La version low cost et aisée à mettre en oeuvre : WPA-PSK (avec secret partagé) . Qui est de fait la plus répandu (chez les particuliers, artisans, commercants... par exemple) est le WPA avec secret partagé. Comme WPA-PSK est cracké et que le seul frein à l'attaque repose sur la complexité de la passphrase. Faire un petit tout rapide ici pour le comment du casse : http://www.atnewyork.com/news/article.php/3105271 ou http://wifinetnews.com/archives/002452.html Surtout quand les mails postés ne font aucune différence entre les différentes implémentation de WPA; Je crie haut et fort : Attention WPA-PSK oui mais si passphrase complexe sinon pas beaucoup mieux que WEP.
A+
Patrick
Eric Masson
"pchene" writes:
'Lut,
Comme WPA-PSK est cracké et que le seul frein à l'attaque repose sur la complexité de la passphrase.
WPA-PSK n'est pas cracké, il n'y a pas, pour le moment, de faille avérée au niveau protocolaire.
Par contre, comme tout système basé sur un secret partagé fixe, il est susceptible de faire l'objet d'attaques par dictionnaire, ce n'est pas du tout une attaque du même ordre que celles sur WEP qui sont elles, liées à une faiblesse protocolaire.
Quand à une passphrase correcte, ce n'est pas des plus compliqué à obtenir (concaténation des hash MD5 de deux fichiers quelconques, utilisation de la sortie de /dev/random, générateur de mot de passe sérieux), mais une fois encore, le problème réside dans l'absence de sensibilisation des utilisateurs à ce genre de problématique.
-- Car en normandie nous aimons beaucoup le jeu du saute-moutons. Et j'interdis ici les parisiens centralistes et snobinards de profiter de cet aveu pour briller d'un calembour à tendance zoophile et bocagophobe -+- LC in www.le-gnu.net - Sauter n'est pas jouir -+-
"pchene" <pchene@yahoo.fr> writes:
'Lut,
Comme WPA-PSK est cracké et que le seul frein à l'attaque repose sur
la complexité de la passphrase.
WPA-PSK n'est pas cracké, il n'y a pas, pour le moment, de faille avérée
au niveau protocolaire.
Par contre, comme tout système basé sur un secret partagé fixe, il est
susceptible de faire l'objet d'attaques par dictionnaire, ce n'est pas
du tout une attaque du même ordre que celles sur WEP qui sont elles,
liées à une faiblesse protocolaire.
Quand à une passphrase correcte, ce n'est pas des plus compliqué à
obtenir (concaténation des hash MD5 de deux fichiers quelconques,
utilisation de la sortie de /dev/random, générateur de mot de passe
sérieux), mais une fois encore, le problème réside dans l'absence de
sensibilisation des utilisateurs à ce genre de problématique.
--
Car en normandie nous aimons beaucoup le jeu du saute-moutons. Et
j'interdis ici les parisiens centralistes et snobinards de profiter de
cet aveu pour briller d'un calembour à tendance zoophile et bocagophobe
-+- LC in www.le-gnu.net - Sauter n'est pas jouir -+-
Comme WPA-PSK est cracké et que le seul frein à l'attaque repose sur la complexité de la passphrase.
WPA-PSK n'est pas cracké, il n'y a pas, pour le moment, de faille avérée au niveau protocolaire.
Par contre, comme tout système basé sur un secret partagé fixe, il est susceptible de faire l'objet d'attaques par dictionnaire, ce n'est pas du tout une attaque du même ordre que celles sur WEP qui sont elles, liées à une faiblesse protocolaire.
Quand à une passphrase correcte, ce n'est pas des plus compliqué à obtenir (concaténation des hash MD5 de deux fichiers quelconques, utilisation de la sortie de /dev/random, générateur de mot de passe sérieux), mais une fois encore, le problème réside dans l'absence de sensibilisation des utilisateurs à ce genre de problématique.
-- Car en normandie nous aimons beaucoup le jeu du saute-moutons. Et j'interdis ici les parisiens centralistes et snobinards de profiter de cet aveu pour briller d'un calembour à tendance zoophile et bocagophobe -+- LC in www.le-gnu.net - Sauter n'est pas jouir -+-
Kevin Denis
Le 16-10-2006, nospheratus a écrit :
Je vois pas les choses ainsi. Si tu mets en place un filtrage par Mac adresse, en authorisant uniquement quelques mac a entrer sur le routeur, le mec qui va se presenter pour snifer sera jeter direct. Il faudra qu'il spoof une mac adresse pour sniffer ton rezo.
non. Le snif, c'est passif. C'est comme sur un HUB. Pas besoin d'avoir une mac autorisee sur le routeur pour ecouter ce qui se passe sur le media.
Si tu mets en place le filtrage par IP, je dirais que la majorité des routeurs des particuliers qui n'y connaissent pas grand chose laisse la config Ip par defaut, à savoir le routeur a pour IP 192.168.0.1 ou 192.168.0.251 en fonction des marques. Bon tu vas me dire que certains sont en 192.168.0.254, bref, là n'est pas le debat. Je pense que le mec ne mettra pas longtemps à trouver une Ip authorisée,
Si le pirate a pu ecouter le reseau jusqu'a connaitre le mot de passe, oui, il y a de grandes chances qu'il connaisse l'IP du routeur et au moins une IP autorisee.
Le filtrage par Mac offre quand meme un peu plus de possibilité non ?
changer mon adresse IP:
ifconfig ra0 192.168.1.45 changer mon adresse IP et mon adresse MAC: ifconfig ra0 192.168.1.45 hw ether 00:12:34:AB:CD:EF
contourner un filtrage par adresse mac demande quoi, 10s? -- Je ne sais qu'une chose, c'est que je ne sais rien.
Le 16-10-2006, nospheratus <nospam@nosland.com> a écrit :
Je vois pas les choses ainsi. Si tu mets en place un filtrage par Mac
adresse, en authorisant uniquement quelques mac a entrer sur le routeur, le
mec qui va se presenter pour snifer sera jeter direct. Il faudra qu'il spoof
une mac adresse pour sniffer ton rezo.
non. Le snif, c'est passif. C'est comme sur un HUB. Pas besoin d'avoir
une mac autorisee sur le routeur pour ecouter ce qui se passe sur
le media.
Si tu mets en place le filtrage par IP, je dirais que la majorité des
routeurs des particuliers qui n'y connaissent pas grand chose laisse la
config Ip par defaut, à savoir le routeur a pour IP 192.168.0.1 ou
192.168.0.251 en fonction des marques. Bon tu vas me dire que certains sont
en 192.168.0.254, bref, là n'est pas le debat. Je pense que le mec ne mettra
pas longtemps à trouver une Ip authorisée,
Si le pirate a pu ecouter le reseau jusqu'a connaitre le mot de passe,
oui, il y a de grandes chances qu'il connaisse l'IP du routeur et
au moins une IP autorisee.
Le filtrage par Mac offre quand meme un peu plus de possibilité non ?
changer mon adresse IP:
ifconfig ra0 192.168.1.45
changer mon adresse IP et mon adresse MAC:
ifconfig ra0 192.168.1.45 hw ether 00:12:34:AB:CD:EF
contourner un filtrage par adresse mac demande quoi, 10s?
--
Je ne sais qu'une chose, c'est que je ne sais rien.
Je vois pas les choses ainsi. Si tu mets en place un filtrage par Mac adresse, en authorisant uniquement quelques mac a entrer sur le routeur, le mec qui va se presenter pour snifer sera jeter direct. Il faudra qu'il spoof une mac adresse pour sniffer ton rezo.
non. Le snif, c'est passif. C'est comme sur un HUB. Pas besoin d'avoir une mac autorisee sur le routeur pour ecouter ce qui se passe sur le media.
Si tu mets en place le filtrage par IP, je dirais que la majorité des routeurs des particuliers qui n'y connaissent pas grand chose laisse la config Ip par defaut, à savoir le routeur a pour IP 192.168.0.1 ou 192.168.0.251 en fonction des marques. Bon tu vas me dire que certains sont en 192.168.0.254, bref, là n'est pas le debat. Je pense que le mec ne mettra pas longtemps à trouver une Ip authorisée,
Si le pirate a pu ecouter le reseau jusqu'a connaitre le mot de passe, oui, il y a de grandes chances qu'il connaisse l'IP du routeur et au moins une IP autorisee.
Le filtrage par Mac offre quand meme un peu plus de possibilité non ?
changer mon adresse IP:
ifconfig ra0 192.168.1.45 changer mon adresse IP et mon adresse MAC: ifconfig ra0 192.168.1.45 hw ether 00:12:34:AB:CD:EF
contourner un filtrage par adresse mac demande quoi, 10s? -- Je ne sais qu'une chose, c'est que je ne sais rien.
