Je vois passer régulièrement des fils concernant la protection des réseaux
(familiaux) WiFi.
Les réponses données par les différents contributeurs sont souvent
incomplètes, voire contradictoires.
J'ai donc décidé d'apporter ma contribution au débat (et j'espère que
j'éviterai au moins de me contredire, à défaut d'être complet). ;-)
Les conseils que je donne supposent l'utilisation de Windows, mais peuvent
en grande partie s'appliquer à d'autres systèmes.
1) Schéma d'attaque:
Il faut avant tout définir contre quoi on veut se protéger. Voici un
scénario possible, en l'absence de protection du réseau WiFi.
- Un attaquant se connecte à un réseau WiFi "familial" (par exemple un
modem-routeur passerelle NAT parefeu, quelques postes de travail) accès WiFi
non protégé (= dansl'état du déballage).
- Il repère facilement le FAI et donc potentiellement le type du
modem-routeur, simplement par le nom du point d'accès ("Wanadoo xxx",
"Netgear"); ou bien en naviguant sur internet, va sur le site de la CNIL,
obtient l'adresse IP "vue d'internet" du modem-routeur, fait un "Whois" et
identifie le FAI.
- A partir de la liste des modem-routeurs loués par le FAI, et avec les docs
prises sur le site du FAI, l'attaquant détermine le nom d'utilisateur / mot
de passe par défaut (en général, admin / admin).
- Avec un "ipcfg /all" sous Windows il détermine l'adresse du modem-routeur
vue du réseau interne, se connecte en http au modem-routeur avec le nom
d'utilisateur et le mot de passe par défaut.
- Il prend le contrôle du modem-routeur (change le mot de passe), prend
connaissance du nom d'utilisateur et du mot de passe de connexion à
internet.
- Puis il pirate le compte sur le site du FAI (se créée une BAL, prend
connaissance des messages, se crée des pages persos ou change le contenu de
celles qui existent).
- Et peut aussi pirater le contenu des PC du réseau familial, si les
partages de fichiers sont activés (cas par défaut sous Windows).
- Il peut enfin se livrer sur internet à des activités délictueuses ou
frauduleuses, en toute impunité, en se faisant passer pour le détenteur du
compte qui pourra, lui, avoir maille à partir avec la justice...
Bref, sans protection, risque de dégâts maximaux.
2) La protection :
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison
filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir
d'abord une liaison WiFi non sécurisée, et faire vite pour la sécuriser!
- Avant tout, mettez à jour les systèmes d'exploitation des postes de
travail (sous XP le WiFi est intégré au système), le BIOS du modem-routeur
et ceux d'éventuels autres éléments flashables du réseau, les divers drivers
et programmes d'installation des éléments du réseau. Ceci permettra sans
doute de profiter des plus hauts degrés de protection, de boucher des
failles et corriger des bugs.
- Changez le ou les mots de passe du modem-routeur.
- Choisissez en tant que mode de chiffrement: WPA2 / PSK si tous les postes
le peuvent, ou WPA / PSK sinon (le WEP n'est pas sûr); activez le changement
périodique de clé (par exemple toutes les heures); utilisez AES comme
algorithme de chiffrement. Utilisez comme "secret partagé" une longue phrase
de passe. Configurez tous vos postes WiFi de la même manière que le
modem-routeur (ou laissez faire la recherche automatique de réseau) et
copiez la phrase de passe du secret partagé (à transporter dans un fichier,
sur une clé USB, puis copier / coller, ou CTRL C / CTRL V sous Windows, pour
éviter les erreurs de saisie).
- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque
poste la connexion correspondante (celle qui utilise le dispositif WiFi),
avec attribution d'une IP fixe, unique, dans la même tranche que celle du
modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et
255.255.255.0 comme masque de sous-réseau si on vous le demande).
- Si le but de votre réseau local est le simple partage de la liaison à
internet, désactivez dans les propriétés des connexions WiFi les éléments
"Client pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes
pour les réseaux Microsoft". Ne laissez activé que TCPIP et éventuellement
un élément de type "Connexion 802.1x" rajouté parfois lors de l'installation
d'un dispositif de connexion WiFi sécurisée lorsqu'on utilise une ancienne
version de Windows (2000 par exemple). Dans les propriétés de TCPIP,
désactivez Netbios.
- Si vous voulez réellement partager des fichiers, songez à des serveurs /
clients FTP. Pour l'administration des postes à distance, songez à Ultra
VNC. Pour un partage d'imprimante, certains modem-routeurs font serveur
d'impression (USR 9108 par exemple). Bref, même si vous en avez envie,
évitez d'activer les éléments de réseaux Microsoft sur des connexions vers
internet!
- Limitez l'accès des postes autorisés à configurer le modem-routeur aux
seuls postes du réseau interne (liste limitative des IP des appareils
autorisés à administrer le mode-routeur, avec leurs adresses IP internes).
Désactivez le serveur DHCP du routeur.
- Vous pouvez si vous le désirez perdre (un peu) de votre temps avec
quelques babioles inutiles qui n'apporteront rien en matière de sécurité,
mais si ça peut vous rassurer, ça ne fait pas de mal:
* changer le nom SSID du réseau, et ne pas le diffuser ("on" arrivera quand
même à le retrouver, avec un détecteur de réseau WiFi couplé à un analyseur
de paquets) ;
* filtrer l'accès au réseau WiFi par les adresses MAC des dispositifs de
connexion (ça se retrouve, comme le nom SSID du réseau, et puis ça s'usurpe
avec des utilitaires à disposition sur internet) ;
* changer l'adresse par défaut du modem-routeur et la tranche d'adresse des
postes (ça ne sert à rien si le réseau n'est pas protégé, ça ne sert plus à
rien s'il est protégé) ;
* changer le nom du groupe de travail Windows (inutile car vous n'avez pas
de réseau Windows si vous avez suivi ces conseils) ;
* comme l'a suggéré un posteur, mettre une horloge sur l'alimentation
électrique du modem-routeur (s'il est correctement protégé, il l'est tout le
temps; s'il est mal protégé, il ne faut pas le mettre en service).
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
Je faisais de l'humour, tu n'as peut-etre pas suivis la totalité des echanges qui sont j'(en conviens quelque peu long et je vais écourté le dialogue de sourd qui ne mène à rien.
Sisi. Pour écourter, on va dire que le second degré est difficilement perceptible par écrit, et notamment sur usenet. D'où la nécessité de l'employer avec précautions.
Ensuite il y a pro et pro, dire :"tu as tort et tais toi"
Je n'ai lu personne ici tenter de te réduire au silence. C'est juste que dans la plupart des réponses qui t'ont été faites, tes interlocuteurs sont partis du postulat que tu maîtrisais les bases de la communication réseau, et notamment OSI, arp et IP. Avec ces bases, il est évident que les couches de communication sont empilées les unes sur les autres, que donc il n'y a pas de communication IP sans que la couche liaison (dont font partie les MAC@ et arp) soit montée, et que toutes ces informations figurent dans les entêtes de chauqe paquet transmis sur ce mode de communication.
c'est facile jusqu'à ton post je n'ai vu aucun arguments qui m'ont montré que j'avais tord. Les pros comme tu dis, j'ai plus trouvé qu'ils pensaient que leur savoir était universel sans penser à l'utilisateur lambda qui compose la majorité des internautes.
Mais si. C'est juste qu'ici, on part d'un certain niveau et on considère que certaines connaissances sont acquises et vont de soi, sinon ça prend trop de temps avant d'en venir au vif du sujet.
J'en conviens, mais tout de même plus on reduit le nombres de personnes ayant la possiblité de rentrer mieux c'est, car de toutes façons il n'y a pas de sécurité absolue. A t'ecouter on devrait laisser ouvert, car bon, de toutes façons c'est pénétrable.... Je suis pas d'accord, personnellement je pense qu'il est preferable de complixifier la démarrache d'un eventuel intrus.
Là encore, il faut considérer le problème sous un autre angle : Sur cent personnes qui ont une carte WiFi dans leur portable, seules trois ou quatre auront éventuellement les capacités pour "s'inviter" dans un réseau qui n'est pas le leur. S'ils en ont les capacités, ils se moqueront complètement que tu filtres par MAC@ ou par @IP, parce que leur méthode n'en sera que très peu impactée, et qu'ils emploieront une autre tactique d'intrusion. Donc tu peux toujours filtrer si tu veux, mais dans la mesure ou un intrus écoutera le trafic existant pour s'y insérer, c'est une protection futile, et illusoire. Et c'est ce qu'on t'a dit ici.
Ok je comprends. Donc pour conclure, on peut dire que le filtrage par mac ou par Ip est completement facultatif, car pour entrer sur un reseau wifi, il suffit d'écouter et de paramètrer sa connexion comme il faut.
Non, heureusement, il ne _suffit_ pas (on serait mal, sinon ;) !).
Mais ce n'est pas là que réside la sécurité qui protège l'accès à un réseau WiFi : celle-ci réside dans la négociation WPA et dans la qualité de cette dernière, c'est-à-dire avec une passphrase tellement dure à casser que celle-ci aura étéautomatiquement remplacée avant qu'un quelconque intrus ait eu seulement le temps de la découvrir.
Ok. Je voyais pas le fonctionnement comme ça. Je voyais les bornes wifi fonctionner comme un switch.
Dans un certain sens c'est le cas, mais avec une grosse différence : y'a pas de prise, ou plutôt y'en a qu'une pour _tout le monde_ !
Je pensais qu'il fallait soit même ouvrir une connexion sur la borne pour qu'elle demande les infos. En mot simple, je pensais que toi tu ouvres ta connexion avec la mac authorisée, ensuite elle te donnait l'IP, et ensuite vérifiait la clef cryptée et appliquait les regles. En fait si je suis ce que tu dis, elle envoie à qui écoute qu'elle attends une connexion avec telle mac adresse et telle reseau,
Oui, mais quand bien même ça fonctionnerait comme ça : on attend qu'une connexion s'établisse. Dans les entêtes de chaque paquet de communication se trouvent les MAC@ de la borne et du poste client, suivis de leurs @IP, seulement ensuite viennent les données. Pas besoin de deviner avec quelle adresse se présenter, autant attendre qu'un autre arrive avec une adresse valide, et la lui taxer. C'est sûr qu'il y a des interférences, mais peu importe du moment que ça rentre.
etc.... J'avoue etre un peu surpris de ce fonctionnement, mais vu que tu es un pro (c'est toi qui l'a dit) j'admet mon erreur et corrige donc mon jugement.
Je suis *très* loin d'être le plus qualifié techniquement ici, et les autres réponses qui t'ont été faites valent très largement la mienne. Mon seul mérite c'est justement d'être moins calé techniquement que beaucoup ici, et d'avoir vulgarisé le propos, jusqu'à en rendre le quiproquo intelligible : tu ne savais pas que les MAC@ sont systématiquement diffusées dans une communicaion basée sur le modéle OSI (donc 802.11g).
Tu prends celà trop à coeur.
Ca c'est la réponse du berger à la bèrgère ;).
Je faisais de l'humour. J'ai appris pas mal en lisant ton post, bien plus qu'en 10 enfilades de soit disant pros. Je me suis jamais presenté comme un specialiste loin de là. J'ai juste participé, et indiqué ce que je pensais. Jusqu'à toi, personne ne m'a rien démontré, sans doute parcequ'ils se contentaient de repeter ce qu'ils avaient entendu/lu.
Y'a pas de soi-disants ici (ou alors pas longtemps :) ), il ya juste de sgens qui partent du principe qu'un certain nombre de pré-requis sont acquis, et que parler de sécurité des accès réseau ne devient possible que si l'on connaît les bases des protocoles de réseau.
Désolé je suis pas comme ça, quand j'ai une conviction que je peux démontrer, meme si mes paramètres sont incorrects comme ici, mais j'ignorais certaines choses, je me contente pas de dire comme la majorité et defend mon point de vue. C'est mal ? Ce n'est pas adapté à l'usenet ? Je doute fort...
Non, c'est pas ça, il y a juste eu quiproquo. Je te suggère de te documenter sur le modèle OSI, sur arp (address resolution protocol) et sur la façon dont une trame IP est faite, et tu y verras nettement plus clair.
Je pars du principe que tout le monde peut apprendre de tout le monde, et ce n'est qu'en expliquant les choses qu'on avance, pas en disant "c'est comme ça car on est 100 à le dire."
Ce qu'il y a aussi, c'est que les habitués de ce forum ne disent pas non plus explicitement certaines choses, parce qu'ils cherchent aussi à éviter de publier des "modes d'emploi" en toutes lettres pour pénétrer la borne WiFi de la voisine Mme Michu, parce qu'ils savent qu'ils sont lus par d'éventuels script kiddies qui reprendront leurs bons conseils à mauvais escient pour faire ch... leur voisinage. En vulgarisant, je t'ai rendu service, mais si ça tombe j'ai aussi expliqué à une andouille comment entrer chez son voisin d'en face, et j'ai pas rendu service au voisin. Donc c'est mieux de partir du principe que certaines compétences doivent être acquises pour comprendre ce dont on discute un niveau au-dessus, c'est une (tentative de) garantie de réserver les informations sensibles à ceux qui ont le niveau et le bon sens pour les employer à bon escient. Voilà pourquoi on t'a parlé comme ça ici.
Bonne continuation.
-- Guillaume
nospheratus a wroté :
Je faisais de l'humour, tu n'as peut-etre pas suivis la totalité des
echanges qui sont j'(en conviens quelque peu long et je vais écourté le
dialogue de sourd qui ne mène à rien.
Sisi. Pour écourter, on va dire que le second degré est difficilement
perceptible par écrit, et notamment sur usenet. D'où la nécessité de
l'employer avec précautions.
Ensuite il y a pro et pro, dire :"tu
as tort et tais toi"
Je n'ai lu personne ici tenter de te réduire au silence.
C'est juste que dans la plupart des réponses qui t'ont été faites, tes
interlocuteurs sont partis du postulat que tu maîtrisais les bases de
la communication réseau, et notamment OSI, arp et IP.
Avec ces bases, il est évident que les couches de communication sont
empilées les unes sur les autres, que donc il n'y a pas de
communication IP sans que la couche liaison (dont font partie les MAC@
et arp) soit montée, et que toutes ces informations figurent dans les
entêtes de chauqe paquet transmis sur ce mode de communication.
c'est facile jusqu'à ton post je n'ai vu aucun
arguments qui m'ont montré que j'avais tord. Les pros comme tu dis, j'ai
plus trouvé qu'ils pensaient que leur savoir était universel sans penser à
l'utilisateur lambda qui compose la majorité des internautes.
Mais si. C'est juste qu'ici, on part d'un certain niveau et on
considère que certaines connaissances sont acquises et vont de soi,
sinon ça prend trop de temps avant d'en venir au vif du sujet.
J'en conviens, mais tout de même plus on reduit le nombres de personnes
ayant la possiblité de rentrer mieux c'est, car de toutes façons il n'y a
pas de sécurité absolue. A t'ecouter on devrait laisser ouvert, car bon, de
toutes façons c'est pénétrable.... Je suis pas d'accord, personnellement je
pense qu'il est preferable de complixifier la démarrache d'un eventuel
intrus.
Là encore, il faut considérer le problème sous un autre angle :
Sur cent personnes qui ont une carte WiFi dans leur portable, seules
trois ou quatre auront éventuellement les capacités pour "s'inviter"
dans un réseau qui n'est pas le leur. S'ils en ont les capacités, ils
se moqueront complètement que tu filtres par MAC@ ou par @IP, parce
que leur méthode n'en sera que très peu impactée, et qu'ils
emploieront une autre tactique d'intrusion. Donc tu peux toujours
filtrer si tu veux, mais dans la mesure ou un intrus écoutera le
trafic existant pour s'y insérer, c'est une protection futile, et
illusoire. Et c'est ce qu'on t'a dit ici.
Ok je comprends. Donc pour conclure, on peut dire que le filtrage par mac ou
par Ip est completement facultatif, car pour entrer sur un reseau wifi, il
suffit d'écouter et de paramètrer sa connexion comme il faut.
Non, heureusement, il ne _suffit_ pas (on serait mal, sinon ;) !).
Mais ce n'est pas là que réside la sécurité qui protège l'accès à un
réseau WiFi : celle-ci réside dans la négociation WPA et dans la
qualité de cette dernière, c'est-à-dire avec une passphrase tellement
dure à casser que celle-ci aura étéautomatiquement remplacée avant
qu'un quelconque intrus ait eu seulement le temps de la découvrir.
Ok. Je voyais pas le fonctionnement comme ça. Je voyais les bornes wifi
fonctionner comme un switch.
Dans un certain sens c'est le cas, mais avec une grosse différence :
y'a pas de prise, ou plutôt y'en a qu'une pour _tout le monde_ !
Je
pensais qu'il fallait soit même ouvrir une connexion sur la borne pour
qu'elle demande les infos. En mot simple, je pensais que toi tu ouvres ta
connexion avec la mac authorisée, ensuite elle te donnait l'IP, et ensuite
vérifiait la clef cryptée et appliquait les regles. En fait si je suis ce
que tu dis, elle envoie à qui écoute qu'elle attends une connexion avec
telle mac adresse et telle reseau,
Oui, mais quand bien même ça fonctionnerait comme ça : on attend
qu'une connexion s'établisse. Dans les entêtes de chaque paquet de
communication se trouvent les MAC@ de la borne et du poste client,
suivis de leurs @IP, seulement ensuite viennent les données. Pas
besoin de deviner avec quelle adresse se présenter, autant attendre
qu'un autre arrive avec une adresse valide, et la lui taxer.
C'est sûr qu'il y a des interférences, mais peu importe du moment que
ça rentre.
etc.... J'avoue etre un peu surpris de ce
fonctionnement, mais vu que tu es un pro (c'est toi qui l'a dit) j'admet mon
erreur et corrige donc mon jugement.
Je suis *très* loin d'être le plus qualifié techniquement ici, et les
autres réponses qui t'ont été faites valent très largement la mienne.
Mon seul mérite c'est justement d'être moins calé techniquement que
beaucoup ici, et d'avoir vulgarisé le propos, jusqu'à en rendre le
quiproquo intelligible : tu ne savais pas que les MAC@ sont
systématiquement diffusées dans une communicaion basée sur le modéle
OSI (donc 802.11g).
Tu prends celà trop à coeur.
Ca c'est la réponse du berger à la bèrgère ;).
Je faisais de l'humour. J'ai appris pas mal en
lisant ton post, bien plus qu'en 10 enfilades de soit disant pros.
Je me suis jamais presenté comme un specialiste loin de là. J'ai juste
participé, et indiqué ce que je pensais.
Jusqu'à toi, personne ne m'a rien démontré, sans doute parcequ'ils se
contentaient de repeter ce qu'ils avaient entendu/lu.
Y'a pas de soi-disants ici (ou alors pas longtemps :) ), il ya juste
de sgens qui partent du principe qu'un certain nombre de pré-requis
sont acquis, et que parler de sécurité des accès réseau ne devient
possible que si l'on connaît les bases des protocoles de réseau.
Désolé je suis pas comme ça, quand j'ai une conviction que je peux
démontrer, meme si mes paramètres sont incorrects comme ici, mais j'ignorais
certaines choses, je me contente pas de dire comme la majorité et defend mon
point de vue. C'est mal ? Ce n'est pas adapté à l'usenet ? Je doute fort...
Non, c'est pas ça, il y a juste eu quiproquo.
Je te suggère de te documenter sur le modèle OSI, sur arp (address
resolution protocol) et sur la façon dont une trame IP est faite, et
tu y verras nettement plus clair.
Je pars du principe que tout le monde peut apprendre de tout le monde, et ce
n'est qu'en expliquant les choses qu'on avance, pas en disant "c'est comme
ça car on est 100 à le dire."
Ce qu'il y a aussi, c'est que les habitués de ce forum ne disent pas
non plus explicitement certaines choses, parce qu'ils cherchent aussi
à éviter de publier des "modes d'emploi" en toutes lettres pour
pénétrer la borne WiFi de la voisine Mme Michu, parce qu'ils savent
qu'ils sont lus par d'éventuels script kiddies qui reprendront leurs
bons conseils à mauvais escient pour faire ch... leur voisinage. En
vulgarisant, je t'ai rendu service, mais si ça tombe j'ai aussi
expliqué à une andouille comment entrer chez son voisin d'en face, et
j'ai pas rendu service au voisin. Donc c'est mieux de partir du
principe que certaines compétences doivent être acquises pour
comprendre ce dont on discute un niveau au-dessus, c'est une
(tentative de) garantie de réserver les informations sensibles à ceux
qui ont le niveau et le bon sens pour les employer à bon escient.
Voilà pourquoi on t'a parlé comme ça ici.
Je faisais de l'humour, tu n'as peut-etre pas suivis la totalité des echanges qui sont j'(en conviens quelque peu long et je vais écourté le dialogue de sourd qui ne mène à rien.
Sisi. Pour écourter, on va dire que le second degré est difficilement perceptible par écrit, et notamment sur usenet. D'où la nécessité de l'employer avec précautions.
Ensuite il y a pro et pro, dire :"tu as tort et tais toi"
Je n'ai lu personne ici tenter de te réduire au silence. C'est juste que dans la plupart des réponses qui t'ont été faites, tes interlocuteurs sont partis du postulat que tu maîtrisais les bases de la communication réseau, et notamment OSI, arp et IP. Avec ces bases, il est évident que les couches de communication sont empilées les unes sur les autres, que donc il n'y a pas de communication IP sans que la couche liaison (dont font partie les MAC@ et arp) soit montée, et que toutes ces informations figurent dans les entêtes de chauqe paquet transmis sur ce mode de communication.
c'est facile jusqu'à ton post je n'ai vu aucun arguments qui m'ont montré que j'avais tord. Les pros comme tu dis, j'ai plus trouvé qu'ils pensaient que leur savoir était universel sans penser à l'utilisateur lambda qui compose la majorité des internautes.
Mais si. C'est juste qu'ici, on part d'un certain niveau et on considère que certaines connaissances sont acquises et vont de soi, sinon ça prend trop de temps avant d'en venir au vif du sujet.
J'en conviens, mais tout de même plus on reduit le nombres de personnes ayant la possiblité de rentrer mieux c'est, car de toutes façons il n'y a pas de sécurité absolue. A t'ecouter on devrait laisser ouvert, car bon, de toutes façons c'est pénétrable.... Je suis pas d'accord, personnellement je pense qu'il est preferable de complixifier la démarrache d'un eventuel intrus.
Là encore, il faut considérer le problème sous un autre angle : Sur cent personnes qui ont une carte WiFi dans leur portable, seules trois ou quatre auront éventuellement les capacités pour "s'inviter" dans un réseau qui n'est pas le leur. S'ils en ont les capacités, ils se moqueront complètement que tu filtres par MAC@ ou par @IP, parce que leur méthode n'en sera que très peu impactée, et qu'ils emploieront une autre tactique d'intrusion. Donc tu peux toujours filtrer si tu veux, mais dans la mesure ou un intrus écoutera le trafic existant pour s'y insérer, c'est une protection futile, et illusoire. Et c'est ce qu'on t'a dit ici.
Ok je comprends. Donc pour conclure, on peut dire que le filtrage par mac ou par Ip est completement facultatif, car pour entrer sur un reseau wifi, il suffit d'écouter et de paramètrer sa connexion comme il faut.
Non, heureusement, il ne _suffit_ pas (on serait mal, sinon ;) !).
Mais ce n'est pas là que réside la sécurité qui protège l'accès à un réseau WiFi : celle-ci réside dans la négociation WPA et dans la qualité de cette dernière, c'est-à-dire avec une passphrase tellement dure à casser que celle-ci aura étéautomatiquement remplacée avant qu'un quelconque intrus ait eu seulement le temps de la découvrir.
Ok. Je voyais pas le fonctionnement comme ça. Je voyais les bornes wifi fonctionner comme un switch.
Dans un certain sens c'est le cas, mais avec une grosse différence : y'a pas de prise, ou plutôt y'en a qu'une pour _tout le monde_ !
Je pensais qu'il fallait soit même ouvrir une connexion sur la borne pour qu'elle demande les infos. En mot simple, je pensais que toi tu ouvres ta connexion avec la mac authorisée, ensuite elle te donnait l'IP, et ensuite vérifiait la clef cryptée et appliquait les regles. En fait si je suis ce que tu dis, elle envoie à qui écoute qu'elle attends une connexion avec telle mac adresse et telle reseau,
Oui, mais quand bien même ça fonctionnerait comme ça : on attend qu'une connexion s'établisse. Dans les entêtes de chaque paquet de communication se trouvent les MAC@ de la borne et du poste client, suivis de leurs @IP, seulement ensuite viennent les données. Pas besoin de deviner avec quelle adresse se présenter, autant attendre qu'un autre arrive avec une adresse valide, et la lui taxer. C'est sûr qu'il y a des interférences, mais peu importe du moment que ça rentre.
etc.... J'avoue etre un peu surpris de ce fonctionnement, mais vu que tu es un pro (c'est toi qui l'a dit) j'admet mon erreur et corrige donc mon jugement.
Je suis *très* loin d'être le plus qualifié techniquement ici, et les autres réponses qui t'ont été faites valent très largement la mienne. Mon seul mérite c'est justement d'être moins calé techniquement que beaucoup ici, et d'avoir vulgarisé le propos, jusqu'à en rendre le quiproquo intelligible : tu ne savais pas que les MAC@ sont systématiquement diffusées dans une communicaion basée sur le modéle OSI (donc 802.11g).
Tu prends celà trop à coeur.
Ca c'est la réponse du berger à la bèrgère ;).
Je faisais de l'humour. J'ai appris pas mal en lisant ton post, bien plus qu'en 10 enfilades de soit disant pros. Je me suis jamais presenté comme un specialiste loin de là. J'ai juste participé, et indiqué ce que je pensais. Jusqu'à toi, personne ne m'a rien démontré, sans doute parcequ'ils se contentaient de repeter ce qu'ils avaient entendu/lu.
Y'a pas de soi-disants ici (ou alors pas longtemps :) ), il ya juste de sgens qui partent du principe qu'un certain nombre de pré-requis sont acquis, et que parler de sécurité des accès réseau ne devient possible que si l'on connaît les bases des protocoles de réseau.
Désolé je suis pas comme ça, quand j'ai une conviction que je peux démontrer, meme si mes paramètres sont incorrects comme ici, mais j'ignorais certaines choses, je me contente pas de dire comme la majorité et defend mon point de vue. C'est mal ? Ce n'est pas adapté à l'usenet ? Je doute fort...
Non, c'est pas ça, il y a juste eu quiproquo. Je te suggère de te documenter sur le modèle OSI, sur arp (address resolution protocol) et sur la façon dont une trame IP est faite, et tu y verras nettement plus clair.
Je pars du principe que tout le monde peut apprendre de tout le monde, et ce n'est qu'en expliquant les choses qu'on avance, pas en disant "c'est comme ça car on est 100 à le dire."
Ce qu'il y a aussi, c'est que les habitués de ce forum ne disent pas non plus explicitement certaines choses, parce qu'ils cherchent aussi à éviter de publier des "modes d'emploi" en toutes lettres pour pénétrer la borne WiFi de la voisine Mme Michu, parce qu'ils savent qu'ils sont lus par d'éventuels script kiddies qui reprendront leurs bons conseils à mauvais escient pour faire ch... leur voisinage. En vulgarisant, je t'ai rendu service, mais si ça tombe j'ai aussi expliqué à une andouille comment entrer chez son voisin d'en face, et j'ai pas rendu service au voisin. Donc c'est mieux de partir du principe que certaines compétences doivent être acquises pour comprendre ce dont on discute un niveau au-dessus, c'est une (tentative de) garantie de réserver les informations sensibles à ceux qui ont le niveau et le bon sens pour les employer à bon escient. Voilà pourquoi on t'a parlé comme ça ici.
Bonne continuation.
-- Guillaume
Eric Razny
Le Mon, 16 Oct 2006 08:29:39 +0000, moi-meme a écrit :
[1] Un contrôle rapide de l'alim de la freebox n'a rien donné et la pièce est climatisée
il me semble (par expérience personnelle) que le bloc alim de la freebox a
des déficiences et que ce serait générique. La surveillance de l'alim devrait être faite au niveau du 12v et pas du secteur.
C'est bien comme ça que je l'entendais. Quand je parle d'alim de la freebox je ne parle pas de l'onduleur ;)
Mais c'est peut-être chercher un peu loin.
Oui et non. Dans ce cas précis une alim défaillante peut mettre en cause la sécurité du système derrière et pas par un DoS ou un crash disque (encore que pour ce que j'ai constaté ça ne semble pas être l'alim qui merde).
Le Mon, 16 Oct 2006 08:29:39 +0000, moi-meme a écrit :
[1] Un contrôle rapide de l'alim de la freebox n'a rien donné et la
pièce est climatisée
il me semble (par expérience personnelle) que le bloc alim de la freebox a
des déficiences et que ce serait générique. La surveillance de l'alim
devrait être faite au niveau du 12v et pas du secteur.
C'est bien comme ça que je l'entendais. Quand je parle d'alim de la
freebox je ne parle pas de l'onduleur ;)
Mais c'est peut-être chercher un peu loin.
Oui et non. Dans ce cas précis une alim défaillante peut mettre en cause
la sécurité du système derrière et pas par un DoS ou un crash disque
(encore que pour ce que j'ai constaté ça ne semble pas être l'alim qui
merde).
Le Mon, 16 Oct 2006 08:29:39 +0000, moi-meme a écrit :
[1] Un contrôle rapide de l'alim de la freebox n'a rien donné et la pièce est climatisée
il me semble (par expérience personnelle) que le bloc alim de la freebox a
des déficiences et que ce serait générique. La surveillance de l'alim devrait être faite au niveau du 12v et pas du secteur.
C'est bien comme ça que je l'entendais. Quand je parle d'alim de la freebox je ne parle pas de l'onduleur ;)
Mais c'est peut-être chercher un peu loin.
Oui et non. Dans ce cas précis une alim défaillante peut mettre en cause la sécurité du système derrière et pas par un DoS ou un crash disque (encore que pour ce que j'ai constaté ça ne semble pas être l'alim qui merde).
tweakie
Xavier wrote:
Faudrait cesser de raconter des âneries.
On va essayer :-/
Channger l'adresse MAC est à la portée de n'importe-quelle grand-mère à qui son scriptkiddy de petit-fils aura passé un .BAT de 3 lignes. Et tout fonctionnera comme avant.
Rappelons que le but est de se connecter a un point d'acces Wifi. Donc dans ce contexte le but du changement est de contourner le filtrage (et "avant", rien ne fonctionne). Mais je suis d'accord sur le principe: changer une adresse mac, c'est simple.
Spoofer une adresse IP ne peut se faire de façon simple par un ifconfig, sous peine de perdre immédiatement la connectivité au réseau. Et les problèmes de route retour sont quasiment insolubles, ce qui limite le spoof IP aux protocoles non connectés (typiquement UPD) (Attention, je ne parle pas de proxying)
C'est vrai en dehors d'un LAN, parce que la reponse ne sera pas routee vers la machine de l'attaquant mais vers le proprietaire legitime de l'IP spoofee (ou nulle part). C'est moins vrai sur un LAN (arp cache poisoning). Mais dans le cas present, c'est le point d'acces qui etablit la correspondance IP/mac, c'est lui qu'on cherche a tromper, et il n'y a pas de tel probleme.
Pour revenir au sujet initial:
- Dans le cas ou le point d'acces est correctement securise' (WPA, passphrase correcte), aucun des deux filtrages n'apporte reellement un plus.
- Dans le cas ou le point d'acces n'est pas correctement securise' (pas de chiffrement valable), s'il y a une machine de connectee et qu'on peut sniffer le reseau, aucune des des deux solutions n'apporte une securite'tangible: il est aussi a peu pres aussi simple de changer sa mac que son IP.
- Reste l'opportunite' la plus frequente pour qui pratique le wardriving: un point d'acces ouvert auquel aucun client n'est connecte'. Dans cette configuration, si DHCP est active', la connexion est immediate. Dans le cas contraire, la pratique courante consiste, il me semble, a tester les plages d'IP privees les plus couramment utilisees. Pour ca, un simple script shell et un peu de patience suffisent.
Dans ce contexte, un filtrage mac sera plus efficace (bruteforce plus lent).
-- Tweakie
Xavier wrote:
Faudrait cesser de raconter des âneries.
On va essayer :-/
Channger l'adresse MAC est à la portée de n'importe-quelle grand-mère à
qui son scriptkiddy de petit-fils aura passé un .BAT de 3 lignes. Et
tout fonctionnera comme avant.
Rappelons que le but est de se connecter a un point d'acces Wifi. Donc
dans ce contexte le but du changement est de contourner le filtrage (et
"avant", rien ne fonctionne). Mais je suis d'accord sur le principe:
changer une adresse mac, c'est simple.
Spoofer une adresse IP ne peut se faire de façon simple par un ifconfig,
sous peine de perdre immédiatement la connectivité au réseau. Et les
problèmes de route retour sont quasiment insolubles, ce qui limite le
spoof IP aux protocoles non connectés (typiquement UPD)
(Attention, je ne parle pas de proxying)
C'est vrai en dehors d'un LAN, parce que la reponse ne sera pas routee
vers la machine de l'attaquant mais vers le proprietaire legitime de
l'IP spoofee (ou nulle part). C'est moins vrai sur un LAN (arp cache
poisoning). Mais dans le cas present, c'est le point d'acces qui
etablit la correspondance IP/mac, c'est lui qu'on cherche a tromper, et
il n'y a pas de tel probleme.
Pour revenir au sujet initial:
- Dans le cas ou le point d'acces est correctement securise' (WPA,
passphrase correcte), aucun des deux filtrages n'apporte reellement un
plus.
- Dans le cas ou le point d'acces n'est pas correctement securise' (pas
de chiffrement valable), s'il y a une machine de connectee et qu'on
peut sniffer le reseau, aucune des des deux solutions n'apporte une
securite'tangible: il est aussi a peu pres aussi simple de changer sa
mac que son IP.
- Reste l'opportunite' la plus frequente pour qui pratique le
wardriving: un point d'acces ouvert auquel aucun client n'est
connecte'. Dans cette configuration, si DHCP est active', la connexion
est immediate. Dans le cas contraire, la pratique courante consiste, il
me semble, a tester les plages d'IP privees les plus couramment
utilisees. Pour ca, un simple script shell et un peu de patience
suffisent.
Dans ce contexte, un filtrage mac sera plus efficace (bruteforce plus
lent).
Channger l'adresse MAC est à la portée de n'importe-quelle grand-mère à qui son scriptkiddy de petit-fils aura passé un .BAT de 3 lignes. Et tout fonctionnera comme avant.
Rappelons que le but est de se connecter a un point d'acces Wifi. Donc dans ce contexte le but du changement est de contourner le filtrage (et "avant", rien ne fonctionne). Mais je suis d'accord sur le principe: changer une adresse mac, c'est simple.
Spoofer une adresse IP ne peut se faire de façon simple par un ifconfig, sous peine de perdre immédiatement la connectivité au réseau. Et les problèmes de route retour sont quasiment insolubles, ce qui limite le spoof IP aux protocoles non connectés (typiquement UPD) (Attention, je ne parle pas de proxying)
C'est vrai en dehors d'un LAN, parce que la reponse ne sera pas routee vers la machine de l'attaquant mais vers le proprietaire legitime de l'IP spoofee (ou nulle part). C'est moins vrai sur un LAN (arp cache poisoning). Mais dans le cas present, c'est le point d'acces qui etablit la correspondance IP/mac, c'est lui qu'on cherche a tromper, et il n'y a pas de tel probleme.
Pour revenir au sujet initial:
- Dans le cas ou le point d'acces est correctement securise' (WPA, passphrase correcte), aucun des deux filtrages n'apporte reellement un plus.
- Dans le cas ou le point d'acces n'est pas correctement securise' (pas de chiffrement valable), s'il y a une machine de connectee et qu'on peut sniffer le reseau, aucune des des deux solutions n'apporte une securite'tangible: il est aussi a peu pres aussi simple de changer sa mac que son IP.
- Reste l'opportunite' la plus frequente pour qui pratique le wardriving: un point d'acces ouvert auquel aucun client n'est connecte'. Dans cette configuration, si DHCP est active', la connexion est immediate. Dans le cas contraire, la pratique courante consiste, il me semble, a tester les plages d'IP privees les plus couramment utilisees. Pour ca, un simple script shell et un peu de patience suffisent.
Dans ce contexte, un filtrage mac sera plus efficace (bruteforce plus lent).
-- Tweakie
Eric Razny
Le Mon, 16 Oct 2006 13:51:43 +0000, Eric Razny a écrit :
les applis ne marcheront pas alors qu'en IP fixée il n'y a pas de problème.
Oops raccourcis abusif, par IP fixée j'entends adresse IP de la machine, adresse IP des server DNS et route au minimum. Des fois qu'il y en est qui ne fassent pas l'effort de remettre le post dans le contexte :)
Le Mon, 16 Oct 2006 13:51:43 +0000, Eric Razny a écrit :
les applis
ne marcheront pas alors qu'en IP fixée il n'y a pas de problème.
Oops raccourcis abusif, par IP fixée j'entends adresse IP de la machine,
adresse IP des server DNS et route au minimum. Des fois qu'il y en est qui
ne fassent pas l'effort de remettre le post dans le contexte :)
Le Mon, 16 Oct 2006 13:51:43 +0000, Eric Razny a écrit :
les applis ne marcheront pas alors qu'en IP fixée il n'y a pas de problème.
Oops raccourcis abusif, par IP fixée j'entends adresse IP de la machine, adresse IP des server DNS et route au minimum. Des fois qu'il y en est qui ne fassent pas l'effort de remettre le post dans le contexte :)
Eric Razny
Le Tue, 17 Oct 2006 01:55:47 +0000, tweakie a écrit :
Pour revenir au sujet initial:
- Dans le cas ou le point d'acces est correctement securise' (WPA, passphrase correcte), aucun des deux filtrages n'apporte reellement un plus.
voila :)
- Dans le cas ou le point d'acces n'est pas correctement securise' (pas de chiffrement valable), s'il y a une machine de connectee et qu'on peut sniffer le reseau, aucune des des deux solutions n'apporte une securite'tangible: il est aussi a peu pres aussi simple de changer sa mac que son IP.
wep ou rien avec traffic = adieu Berte.
- Reste l'opportunite' la plus frequente pour qui pratique le wardriving: un point d'acces ouvert auquel aucun client n'est connecte'. Dans cette configuration, si DHCP est active', la connexion est immediate. Dans le cas contraire, la pratique courante consiste, il me semble, a tester les plages d'IP privees les plus couramment utilisees. Pour ca, un simple script shell et un peu de patience suffisent.
Dans ce contexte, un filtrage mac sera plus efficace (bruteforce plus lent).
Dans le contexte que tu indique pas de dhcp est accompagnée également de l'absence de présentation du ssid. (pour la petite histoire j'ai eu l'inverse récement dans un aéroport à Madagascar : pas de dhcp mais du beacon. J'ai pu surfer tranquille en attendant l'avion :) [1] ) Dans ce cas tu n'aura aucune trame qui circule et tu ne verra même pas que tu es passé à côté d'un trou béant :)
Eric
[1] encore qu'étant le seul à avoir un portable ouvert je m'attendais à un peu de visite
Le Tue, 17 Oct 2006 01:55:47 +0000, tweakie a écrit :
Pour revenir au sujet initial:
- Dans le cas ou le point d'acces est correctement securise' (WPA,
passphrase correcte), aucun des deux filtrages n'apporte reellement un
plus.
voila :)
- Dans le cas ou le point d'acces n'est pas correctement securise' (pas
de chiffrement valable), s'il y a une machine de connectee et qu'on
peut sniffer le reseau, aucune des des deux solutions n'apporte une
securite'tangible: il est aussi a peu pres aussi simple de changer sa
mac que son IP.
wep ou rien avec traffic = adieu Berte.
- Reste l'opportunite' la plus frequente pour qui pratique le
wardriving: un point d'acces ouvert auquel aucun client n'est
connecte'. Dans cette configuration, si DHCP est active', la connexion
est immediate. Dans le cas contraire, la pratique courante consiste, il
me semble, a tester les plages d'IP privees les plus couramment
utilisees. Pour ca, un simple script shell et un peu de patience
suffisent.
Dans ce contexte, un filtrage mac sera plus efficace (bruteforce plus
lent).
Dans le contexte que tu indique pas de dhcp est accompagnée également de
l'absence de présentation du ssid. (pour la petite histoire j'ai eu
l'inverse récement dans un aéroport à Madagascar : pas de dhcp mais du
beacon. J'ai pu surfer tranquille en attendant l'avion :) [1] )
Dans ce cas tu n'aura aucune trame qui circule et tu ne verra même pas
que tu es passé à côté d'un trou béant :)
Eric
[1] encore qu'étant le seul à avoir un portable ouvert je m'attendais à
un peu de visite
Le Tue, 17 Oct 2006 01:55:47 +0000, tweakie a écrit :
Pour revenir au sujet initial:
- Dans le cas ou le point d'acces est correctement securise' (WPA, passphrase correcte), aucun des deux filtrages n'apporte reellement un plus.
voila :)
- Dans le cas ou le point d'acces n'est pas correctement securise' (pas de chiffrement valable), s'il y a une machine de connectee et qu'on peut sniffer le reseau, aucune des des deux solutions n'apporte une securite'tangible: il est aussi a peu pres aussi simple de changer sa mac que son IP.
wep ou rien avec traffic = adieu Berte.
- Reste l'opportunite' la plus frequente pour qui pratique le wardriving: un point d'acces ouvert auquel aucun client n'est connecte'. Dans cette configuration, si DHCP est active', la connexion est immediate. Dans le cas contraire, la pratique courante consiste, il me semble, a tester les plages d'IP privees les plus couramment utilisees. Pour ca, un simple script shell et un peu de patience suffisent.
Dans ce contexte, un filtrage mac sera plus efficace (bruteforce plus lent).
Dans le contexte que tu indique pas de dhcp est accompagnée également de l'absence de présentation du ssid. (pour la petite histoire j'ai eu l'inverse récement dans un aéroport à Madagascar : pas de dhcp mais du beacon. J'ai pu surfer tranquille en attendant l'avion :) [1] ) Dans ce cas tu n'aura aucune trame qui circule et tu ne verra même pas que tu es passé à côté d'un trou béant :)
Eric
[1] encore qu'étant le seul à avoir un portable ouvert je m'attendais à un peu de visite
Thierry
Pour faire le point un peu la dessus une lecture de chez HSC, même si elle n'est pas de cette année, elle reste d'actualité : http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.pdf
60 mdp/s... La belle affaire... Il faut combien de temps pour casser une passphrase de 8 caracteres ?
Pour info WPA n'est qu'une amélioration de WEP. Si je n'oubli rien,il n'améliore en gros que les points suivants : Mécanisme d'authentification -> Secret partagé ou sur 802.1x.EAP Mécanisme de dérivation des clés WEP -> Chiffrement des trames Mécanisme nouveau de controle de l'intégrité des trames.
Par contre en terme d'implementation, il y a WPA et WPA en fonction de la game de prix du matériel mis en jeux par exemple. La version low cost et aisée à mettre en oeuvre : WPA-PSK (avec secret partagé) . Qui est de fait la plus répandu (chez les particuliers, artisans, commercants... par exemple) est le WPA avec secret partagé.
Beaucoup des AP grands public supportent aussi RADIUS.
Comme WPA-PSK est cracké
Non. Si Jacques C., prez de son état, prend "coincoin" comme mot de passe pour pouvoir ouvrir sa valise noire, ca veut dire que le super algo d'authentification mis en oeuvre est craqué ?
Faire un petit tout rapide ici pour le
comment du casse : http://www.atnewyork.com/news/article.php/3105271
C'est vieux et la nouveauté etait que l'attaque force brute puisse se faire offline.
Bref, tout les liens que tu donnes mettent en garde contre une passphrase faible, mais ne disent pas que le WPA est cracké.
Pour faire le point un peu la dessus une lecture de chez HSC, même si
elle n'est pas de cette année, elle reste d'actualité :
http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.pdf
60 mdp/s... La belle affaire...
Il faut combien de temps pour casser une passphrase de 8 caracteres ?
Pour info WPA n'est qu'une amélioration de WEP. Si je n'oubli rien,il
n'améliore en gros que les points suivants :
Mécanisme d'authentification -> Secret partagé ou sur 802.1x.EAP
Mécanisme de dérivation des clés WEP -> Chiffrement des trames
Mécanisme nouveau de controle de l'intégrité des trames.
Par contre en terme d'implementation, il y a WPA et WPA en fonction de
la game de prix du matériel mis en jeux par exemple.
La version low cost et aisée à mettre en oeuvre : WPA-PSK (avec
secret partagé) . Qui est de fait la plus répandu (chez les
particuliers, artisans, commercants... par exemple) est le WPA avec
secret partagé.
Beaucoup des AP grands public supportent aussi RADIUS.
Comme WPA-PSK est cracké
Non.
Si Jacques C., prez de son état, prend "coincoin" comme mot de passe
pour pouvoir ouvrir sa valise noire, ca veut dire que le super algo
d'authentification mis en oeuvre est craqué ?
Faire un petit tout rapide ici pour le
comment du casse : http://www.atnewyork.com/news/article.php/3105271
C'est vieux et la nouveauté etait que l'attaque force brute puisse se
faire offline.
Bref, tout les liens que tu donnes mettent en garde contre une
passphrase faible, mais ne disent pas que le WPA est cracké.
Pour faire le point un peu la dessus une lecture de chez HSC, même si elle n'est pas de cette année, elle reste d'actualité : http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.pdf
60 mdp/s... La belle affaire... Il faut combien de temps pour casser une passphrase de 8 caracteres ?
Pour info WPA n'est qu'une amélioration de WEP. Si je n'oubli rien,il n'améliore en gros que les points suivants : Mécanisme d'authentification -> Secret partagé ou sur 802.1x.EAP Mécanisme de dérivation des clés WEP -> Chiffrement des trames Mécanisme nouveau de controle de l'intégrité des trames.
Par contre en terme d'implementation, il y a WPA et WPA en fonction de la game de prix du matériel mis en jeux par exemple. La version low cost et aisée à mettre en oeuvre : WPA-PSK (avec secret partagé) . Qui est de fait la plus répandu (chez les particuliers, artisans, commercants... par exemple) est le WPA avec secret partagé.
Beaucoup des AP grands public supportent aussi RADIUS.
Comme WPA-PSK est cracké
Non. Si Jacques C., prez de son état, prend "coincoin" comme mot de passe pour pouvoir ouvrir sa valise noire, ca veut dire que le super algo d'authentification mis en oeuvre est craqué ?
Faire un petit tout rapide ici pour le
comment du casse : http://www.atnewyork.com/news/article.php/3105271
C'est vieux et la nouveauté etait que l'attaque force brute puisse se faire offline.
Bref, tout les liens que tu donnes mettent en garde contre une passphrase faible, mais ne disent pas que le WPA est cracké.
pchene
Pour faire le point un peu la dessus une lecture de chez HSC, même si elle n'est pas de cette année, elle reste d'actualité : http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.pdf
60 mdp/s... La belle affaire... Il faut combien de temps pour casser une passphrase de 8 caracteres ?
Dans le cadre du WIFI, le temps, je te dirais qu'il n'a pas forcément grande importance car nous sommes offline. Fini dans ce cas l'époque ou il fallait ce connecter physiquement au réseau. Qui plus est l'avantage du wifi c'est le grand anonyma (IP et MAC usurpable) que cela procure. Pas besoin d'étre sur les lieux pour commettre son forfait.
Beaucoup des AP grands public supportent aussi RADIUS.
Tu vas un peu vite, on trouve énomément d'AP avec WPA-PSK inside c'est les moins cher, viennent ensuite les AP qui autorise la connexion à un serveur RADIUS et les AP qui intégrent un serveur RADIUS (http://www.ldlc-pro.com/fiche/PB00040833.html mais gamme de prix 150 euro et produit relativement récent, qui ne couvre donc pas le parc d'AP déployé actuellement). Quels est le fournisseur d'accès français qui propose la solution AP avec serveur radius intégré ? Et je ne parle pas des PDA par exemple qui n'acceptent aucune forme de WPA. Et là on se retrouve avec des AP en WEP. Quel est le taux de renouvellement des PDA dans les entreprises et chez les particuliers français ?
Comme WPA-PSK est cracké
Non. Si Jacques C., prez de son état, prend "coincoin" comme mot de passe pour pouvoir ouvrir sa valise noire, ca veut dire que le super algo d'authentification mis en oeuvre est craqué ?
Ce pb de WPA-PSK n'est effectivement pas un pb récent. Il existe une vulnérabilité pour les réseaux sans fil reposant sur cette implemantation de WPA, on écrit par anglicisme WPA-PSK est cracké (terme anglo saxon largement utilisé dans ce cas par les anglosaxon eux même). Vulnérabilité précisé par notre très célèbre institution le CERTA : http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/index.html Je cite ce document : Le standard WPA définit deux modes disctincts : WPA-PSK Mode : repose sur l'utilisation d'un secret partagé pour l'authentification ; WPA Enterprise Mode : repose sur l'utilisation d'un serveur RADIUS pour l'authentification. Le mode WPA-PSK est vulnérable à des attaques par dictionnaire. Il est donc très important de choisir un secret (passphrase) fort afin de limiter ces risques.
Bref, tout les liens que tu donnes mettent en garde contre une passphrase faible, mais ne disent pas que le WPA est cracké.
Oui les liens que je donne ne dise pas que WPA est cracké, ça c'est ton interprétation de mon mail du vendredi 13 octobre 2006 à 12h07. Je t'invite à le relire. Car toutes les conversations sur ce sujet découle de là. Et donc je disais dans ce mail: WPA-PSK cassable facilement, la durée du casse est proportionnel à la complexité de la passphrase. Et donc commencer par éviter des mots usités dans le dictionnaire.
Ce qui est donc en rapport avec les différents lien que j'ai indiqué par la suite.
Les implémentations de WPA sont multiples. Et elles n'ont malheuresement pas le même niveau de sécurité. Donc toutes les mettre dans le même panier (solution RADIUS) je trouve ça un peu fort. Et malheuresement, toutes les implémentations dans les routeurs grand publique que je peux constater depuis plusieurs années repose sur WPA-PSK d'où ma mise en garde.
A+
Patrick
Pour faire le point un peu la dessus une lecture de chez HSC, même si
elle n'est pas de cette année, elle reste d'actualité :
http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.pdf
60 mdp/s... La belle affaire...
Il faut combien de temps pour casser une passphrase de 8 caracteres ?
Dans le cadre du WIFI, le temps, je te dirais qu'il n'a pas forcément
grande importance car nous sommes offline. Fini dans ce cas l'époque
ou il fallait ce connecter physiquement au réseau. Qui plus est
l'avantage du wifi c'est le grand anonyma (IP et MAC usurpable) que
cela procure. Pas besoin d'étre sur les lieux pour commettre son
forfait.
Beaucoup des AP grands public supportent aussi RADIUS.
Tu vas un peu vite, on trouve énomément d'AP avec WPA-PSK inside
c'est les moins cher, viennent ensuite les AP qui autorise la connexion
à un serveur RADIUS et les AP qui intégrent un serveur RADIUS
(http://www.ldlc-pro.com/fiche/PB00040833.html mais gamme de prix 150
euro et produit relativement récent, qui ne couvre donc pas le parc
d'AP déployé actuellement).
Quels est le fournisseur d'accès français qui propose la solution AP
avec serveur radius intégré ?
Et je ne parle pas des PDA par exemple qui n'acceptent aucune forme de
WPA. Et là on se retrouve avec des AP en WEP. Quel est le taux de
renouvellement des PDA dans les entreprises et chez les particuliers
français ?
Comme WPA-PSK est cracké
Non.
Si Jacques C., prez de son état, prend "coincoin" comme mot de passe
pour pouvoir ouvrir sa valise noire, ca veut dire que le super algo
d'authentification mis en oeuvre est craqué ?
Ce pb de WPA-PSK n'est effectivement pas un pb récent. Il existe une
vulnérabilité pour les réseaux sans fil reposant sur cette
implemantation de WPA, on écrit par anglicisme WPA-PSK est cracké
(terme anglo saxon largement utilisé dans ce cas par les anglosaxon
eux même). Vulnérabilité précisé par notre très célèbre
institution le CERTA :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/index.html
Je cite ce document :
Le standard WPA définit deux modes disctincts :
WPA-PSK Mode : repose sur l'utilisation d'un secret partagé
pour l'authentification ;
WPA Enterprise Mode : repose sur l'utilisation d'un serveur
RADIUS pour l'authentification.
Le mode WPA-PSK est vulnérable à des attaques par dictionnaire.
Il est donc très important de choisir un secret (passphrase) fort afin
de limiter ces risques.
Bref, tout les liens que tu donnes mettent en garde contre une
passphrase faible, mais ne disent pas que le WPA est cracké.
Oui les liens que je donne ne dise pas que WPA est cracké, ça c'est
ton interprétation de mon mail du vendredi 13 octobre 2006 à 12h07.
Je t'invite à le relire. Car toutes les conversations sur ce sujet
découle de là.
Et donc je disais dans ce mail: WPA-PSK cassable facilement, la durée
du casse est proportionnel à la complexité de la passphrase. Et donc
commencer par éviter des mots
usités dans le dictionnaire.
Ce qui est donc en rapport avec les différents lien que j'ai indiqué
par la suite.
Les implémentations de WPA sont multiples. Et elles n'ont
malheuresement pas le même niveau de sécurité. Donc toutes les
mettre dans le même panier (solution RADIUS) je trouve ça un peu
fort.
Et malheuresement, toutes les implémentations dans les routeurs grand
publique que je peux constater depuis plusieurs années repose sur
WPA-PSK d'où ma mise en garde.
Pour faire le point un peu la dessus une lecture de chez HSC, même si elle n'est pas de cette année, elle reste d'actualité : http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/ossir_wpa_wpa2.pdf
60 mdp/s... La belle affaire... Il faut combien de temps pour casser une passphrase de 8 caracteres ?
Dans le cadre du WIFI, le temps, je te dirais qu'il n'a pas forcément grande importance car nous sommes offline. Fini dans ce cas l'époque ou il fallait ce connecter physiquement au réseau. Qui plus est l'avantage du wifi c'est le grand anonyma (IP et MAC usurpable) que cela procure. Pas besoin d'étre sur les lieux pour commettre son forfait.
Beaucoup des AP grands public supportent aussi RADIUS.
Tu vas un peu vite, on trouve énomément d'AP avec WPA-PSK inside c'est les moins cher, viennent ensuite les AP qui autorise la connexion à un serveur RADIUS et les AP qui intégrent un serveur RADIUS (http://www.ldlc-pro.com/fiche/PB00040833.html mais gamme de prix 150 euro et produit relativement récent, qui ne couvre donc pas le parc d'AP déployé actuellement). Quels est le fournisseur d'accès français qui propose la solution AP avec serveur radius intégré ? Et je ne parle pas des PDA par exemple qui n'acceptent aucune forme de WPA. Et là on se retrouve avec des AP en WEP. Quel est le taux de renouvellement des PDA dans les entreprises et chez les particuliers français ?
Comme WPA-PSK est cracké
Non. Si Jacques C., prez de son état, prend "coincoin" comme mot de passe pour pouvoir ouvrir sa valise noire, ca veut dire que le super algo d'authentification mis en oeuvre est craqué ?
Ce pb de WPA-PSK n'est effectivement pas un pb récent. Il existe une vulnérabilité pour les réseaux sans fil reposant sur cette implemantation de WPA, on écrit par anglicisme WPA-PSK est cracké (terme anglo saxon largement utilisé dans ce cas par les anglosaxon eux même). Vulnérabilité précisé par notre très célèbre institution le CERTA : http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/index.html Je cite ce document : Le standard WPA définit deux modes disctincts : WPA-PSK Mode : repose sur l'utilisation d'un secret partagé pour l'authentification ; WPA Enterprise Mode : repose sur l'utilisation d'un serveur RADIUS pour l'authentification. Le mode WPA-PSK est vulnérable à des attaques par dictionnaire. Il est donc très important de choisir un secret (passphrase) fort afin de limiter ces risques.
Bref, tout les liens que tu donnes mettent en garde contre une passphrase faible, mais ne disent pas que le WPA est cracké.
Oui les liens que je donne ne dise pas que WPA est cracké, ça c'est ton interprétation de mon mail du vendredi 13 octobre 2006 à 12h07. Je t'invite à le relire. Car toutes les conversations sur ce sujet découle de là. Et donc je disais dans ce mail: WPA-PSK cassable facilement, la durée du casse est proportionnel à la complexité de la passphrase. Et donc commencer par éviter des mots usités dans le dictionnaire.
Ce qui est donc en rapport avec les différents lien que j'ai indiqué par la suite.
Les implémentations de WPA sont multiples. Et elles n'ont malheuresement pas le même niveau de sécurité. Donc toutes les mettre dans le même panier (solution RADIUS) je trouve ça un peu fort. Et malheuresement, toutes les implémentations dans les routeurs grand publique que je peux constater depuis plusieurs années repose sur WPA-PSK d'où ma mise en garde.
A+
Patrick
Nicolas.Sapa
Eric Masson wrote:
"pchene" writes:
'Lut,
Dans les routeurs Dlink par exemple voir Menu "Special Applications" Comme il disent : Special Application is used to run applications that require multiple connections.
Upnp, ça s'appelle et ça c'est vraiment dangereux, n'importe quelle application causant upnp (spécifications disponibles sur le net, voir Google) peut faire ouvrir tout et n'importe quoi au routeur. Et n'importe quelle application, ça peut recouvrir un code malicieux...
Ce n'est pas UPNP mais une forme de contrack. Suffit qu'une machine envoie une packet sur WAN avec le port en question en source pour que ce port sont NAT vers la machine automatiquement. Ca fonctionne même si upnp n'est pas actif.
Fonction trés sympathique :)
Eric Masson wrote:
"pchene" <pchene@yahoo.fr> writes:
'Lut,
Dans les routeurs Dlink par exemple voir Menu "Special Applications"
Comme il disent : Special Application is used to run applications that
require multiple connections.
Upnp, ça s'appelle et ça c'est vraiment dangereux, n'importe quelle
application causant upnp (spécifications disponibles sur le net, voir
Google) peut faire ouvrir tout et n'importe quoi au routeur.
Et n'importe quelle application, ça peut recouvrir un code malicieux...
Ce n'est pas UPNP mais une forme de contrack.
Suffit qu'une machine envoie une packet sur WAN avec le port en
question en source pour que ce port sont NAT vers la machine
automatiquement.
Ca fonctionne même si upnp n'est pas actif.
Dans les routeurs Dlink par exemple voir Menu "Special Applications" Comme il disent : Special Application is used to run applications that require multiple connections.
Upnp, ça s'appelle et ça c'est vraiment dangereux, n'importe quelle application causant upnp (spécifications disponibles sur le net, voir Google) peut faire ouvrir tout et n'importe quoi au routeur. Et n'importe quelle application, ça peut recouvrir un code malicieux...
Ce n'est pas UPNP mais une forme de contrack. Suffit qu'une machine envoie une packet sur WAN avec le port en question en source pour que ce port sont NAT vers la machine automatiquement. Ca fonctionne même si upnp n'est pas actif.
Fonction trés sympathique :)
pchene
Ce n'est pas UPNP mais une forme de contrack. Suffit qu'une machine envoie une packet sur WAN avec le port en question en source pour que ce port sont NAT vers la machine automatiquement. Ca fonctionne même si upnp n'est pas actif.
Fonction trés sympathique :)
Bonjour,
Effectivement, aucun rapport avec upnp, qui est une option existant sur ces mêmes matériels. Cette fonction est très pratique car elle ressemble dans son paramètrage à la fonction Virtual Serveur avec la non obligation de figer une adresse IP. Uniquement besoin de spécifier les triggers (TCP-UDP + ports) et les ports publiques concernés.
A+
Patrick
Ce n'est pas UPNP mais une forme de contrack.
Suffit qu'une machine envoie une packet sur WAN avec le port en
question en source pour que ce port sont NAT vers la machine
automatiquement.
Ca fonctionne même si upnp n'est pas actif.
Fonction trés sympathique :)
Bonjour,
Effectivement, aucun rapport avec upnp, qui est une option existant sur
ces mêmes matériels.
Cette fonction est très pratique car elle ressemble dans son
paramètrage à la fonction Virtual Serveur avec la non obligation de
figer une adresse IP.
Uniquement besoin de spécifier les triggers (TCP-UDP + ports) et les
ports publiques concernés.
Ce n'est pas UPNP mais une forme de contrack. Suffit qu'une machine envoie une packet sur WAN avec le port en question en source pour que ce port sont NAT vers la machine automatiquement. Ca fonctionne même si upnp n'est pas actif.
Fonction trés sympathique :)
Bonjour,
Effectivement, aucun rapport avec upnp, qui est une option existant sur ces mêmes matériels. Cette fonction est très pratique car elle ressemble dans son paramètrage à la fonction Virtual Serveur avec la non obligation de figer une adresse IP. Uniquement besoin de spécifier les triggers (TCP-UDP + ports) et les ports publiques concernés.
A+
Patrick
j.me
l'adresse MAC est très facilement spoofable.
Exact. Cependant, ça reste une bonne sécurité additionnelle car l'usurpation ne passe pas totalement inaperçue : deux machines avec la même @MAC ne font pas bon ménage. Il faut donc que l'usurpateur attende un moment où l'adresse est disponible.
l'adresse MAC est
très facilement spoofable.
Exact.
Cependant, ça reste une bonne sécurité additionnelle car l'usurpation ne
passe pas totalement inaperçue : deux machines avec la même @MAC ne font pas
bon ménage.
Il faut donc que l'usurpateur attende un moment où l'adresse est disponible.
Exact. Cependant, ça reste une bonne sécurité additionnelle car l'usurpation ne passe pas totalement inaperçue : deux machines avec la même @MAC ne font pas bon ménage. Il faut donc que l'usurpateur attende un moment où l'adresse est disponible.
