Ayé : j'ai installé mon réseau sans fil.
Voici les options de sécurité que j'ai activé :
- ne pas diffuser l'identifiant
- limiter l'accès à des adresses MAC précises
- crypter en WPA le plus long possible (et le plus compliqué possible)
- ne pas utiliser l'identifiant ni le channel par défaut
- ne pas laisser les mdp par défaut de la borne
- limiter les connexions au 802.11g (ça bloquera toujours pendant
quelque temps ceux qui sont en 802.11b)
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des
mesures supplémentaires simples auxquelles je n'aurai pas pensé ?
Merci d'avance !
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des mesures supplémentaires simples auxquelles je n'aurai pas pensé ?
N'activer la borne que lorsque cela est nécessaire (genre la couper la nuit et le we si personne n'en a besoin pendant ces heures).
-- Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
Bege
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des mesures supplémentaires simples auxquelles je n'aurai pas pensé ?
N'activer la borne que lorsque cela est nécessaire (genre la couper la nuit et le we si personne n'en a besoin pendant ces heures). c'est vrai que c'est des bonnes idées tout ça,
le logiciel qui a été livré avec mon routeur Netgear MR814v2 fait tout ça très bien, bloquer l'accès à certaines heures ou à d'autres IP, bloquer certains sites, ou bloquer l'accès avec un ou des mots clés etc. dommage qu'il soit en Anglais, qq sait peut être s'il en existe en Français ou l'équivalent en Français ?
merci
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des
mesures supplémentaires simples auxquelles je n'aurai pas pensé ?
N'activer la borne que lorsque cela est nécessaire (genre la couper la
nuit et le we si personne n'en a besoin pendant ces heures).
c'est vrai que c'est des bonnes idées tout ça,
le logiciel qui a été livré avec mon routeur Netgear MR814v2
fait tout ça très bien,
bloquer l'accès à certaines heures ou à d'autres IP,
bloquer certains sites, ou bloquer l'accès avec un ou des mots clés etc.
dommage qu'il soit en Anglais,
qq sait peut être s'il en existe en Français ou l'équivalent en Français ?
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des mesures supplémentaires simples auxquelles je n'aurai pas pensé ?
N'activer la borne que lorsque cela est nécessaire (genre la couper la nuit et le we si personne n'en a besoin pendant ces heures). c'est vrai que c'est des bonnes idées tout ça,
le logiciel qui a été livré avec mon routeur Netgear MR814v2 fait tout ça très bien, bloquer l'accès à certaines heures ou à d'autres IP, bloquer certains sites, ou bloquer l'accès avec un ou des mots clés etc. dommage qu'il soit en Anglais, qq sait peut être s'il en existe en Français ou l'équivalent en Français ?
merci
Romain Francoise
"Bege" <"bejean sanspub"@wanadoo.fr> writes:
N'activer la borne que lorsque cela est nécessaire (genre la couper la nuit et le we si personne n'en a besoin pendant ces heures).
le logiciel qui a été livré avec mon routeur Netgear MR814v2 fait tout ça très bien,
Une bonne ligne de conduite à mon avis est de toujours privilégier une protection physique même si une protection logicielle est disponible. Rien ne dit que le logiciel de ton routeur est infaillible.
Pour l'alimentation des bornes wifi, on peut utiliser les programmateurs pour aquarium qui sont originellement conçus pour simuler un cycle jour/nuit pour les poissons, ils te permettent de programmer les heures où le courant passe dans les prises (e.g. 8h-18h) et ça marche directement en 220V. C'est un peu du bricolage mais c'est simple, efficace et difficilement contournable...
-- Romain Francoise | Wait, stop, wait just hold on it's a miracle -- http://orebokech.com/ | a minute.
"Bege" <"bejean sanspub"@wanadoo.fr> writes:
N'activer la borne que lorsque cela est nécessaire (genre la couper la
nuit et le we si personne n'en a besoin pendant ces heures).
le logiciel qui a été livré avec mon routeur Netgear MR814v2
fait tout ça très bien,
Une bonne ligne de conduite à mon avis est de toujours privilégier une
protection physique même si une protection logicielle est
disponible. Rien ne dit que le logiciel de ton routeur est infaillible.
Pour l'alimentation des bornes wifi, on peut utiliser les programmateurs
pour aquarium qui sont originellement conçus pour simuler un cycle
jour/nuit pour les poissons, ils te permettent de programmer les heures
où le courant passe dans les prises (e.g. 8h-18h) et ça marche
directement en 220V. C'est un peu du bricolage mais c'est simple,
efficace et difficilement contournable...
--
Romain Francoise <romain@orebokech.com> | Wait, stop, wait just hold on
it's a miracle -- http://orebokech.com/ | a minute.
N'activer la borne que lorsque cela est nécessaire (genre la couper la nuit et le we si personne n'en a besoin pendant ces heures).
le logiciel qui a été livré avec mon routeur Netgear MR814v2 fait tout ça très bien,
Une bonne ligne de conduite à mon avis est de toujours privilégier une protection physique même si une protection logicielle est disponible. Rien ne dit que le logiciel de ton routeur est infaillible.
Pour l'alimentation des bornes wifi, on peut utiliser les programmateurs pour aquarium qui sont originellement conçus pour simuler un cycle jour/nuit pour les poissons, ils te permettent de programmer les heures où le courant passe dans les prises (e.g. 8h-18h) et ça marche directement en 220V. C'est un peu du bricolage mais c'est simple, efficace et difficilement contournable...
-- Romain Francoise | Wait, stop, wait just hold on it's a miracle -- http://orebokech.com/ | a minute.
benoit.sansspam
Romain Francoise wrote:
Pour l'alimentation des bornes wifi, on peut utiliser les programmateurs pour aquarium qui sont originellement conçus pour simuler un cycle jour/nuit pour les poissons, ils te permettent de programmer les heures où le courant passe dans les prises (e.g. 8h-18h) et ça marche directement en 220V. C'est un peu du bricolage mais c'est simple, efficace et difficilement contournable...
Humm. Attention aux surtensions qui peuvent être générées par les programateurs qui sont conçus pour des lampes ou des radiateurs qui peuvent se prendre des petites claques sans soucis. Par contre le transformateur du routeur peut ne pas apprécier du tout. Ce ne sera qu'un transfo qui génère du 3V à racheter mais bon...
-- Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
Romain Francoise <romain@orebokech.com> wrote:
Pour l'alimentation des bornes wifi, on peut utiliser les programmateurs
pour aquarium qui sont originellement conçus pour simuler un cycle
jour/nuit pour les poissons, ils te permettent de programmer les heures
où le courant passe dans les prises (e.g. 8h-18h) et ça marche
directement en 220V. C'est un peu du bricolage mais c'est simple,
efficace et difficilement contournable...
Humm. Attention aux surtensions qui peuvent être générées par les
programateurs qui sont conçus pour des lampes ou des radiateurs qui
peuvent se prendre des petites claques sans soucis. Par contre le
transformateur du routeur peut ne pas apprécier du tout. Ce ne sera
qu'un transfo qui génère du 3V à racheter mais bon...
--
Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
Pour l'alimentation des bornes wifi, on peut utiliser les programmateurs pour aquarium qui sont originellement conçus pour simuler un cycle jour/nuit pour les poissons, ils te permettent de programmer les heures où le courant passe dans les prises (e.g. 8h-18h) et ça marche directement en 220V. C'est un peu du bricolage mais c'est simple, efficace et difficilement contournable...
Humm. Attention aux surtensions qui peuvent être générées par les programateurs qui sont conçus pour des lampes ou des radiateurs qui peuvent se prendre des petites claques sans soucis. Par contre le transformateur du routeur peut ne pas apprécier du tout. Ce ne sera qu'un transfo qui génère du 3V à racheter mais bon...
-- Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
Castor
- ne pas laisser les mdp par défaut de la borne - limiter les connexions au 802.11g (ça bloquera toujours pendant quelque temps ceux qui sont en 802.11b)
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des mesures supplémentaires simples auxquelles je n'aurai pas pensé ? Merci d'avance !
J'ai lu sur des fils precedents, qu'il etait preferrable pour la securite de ne pas avoir de service DHCP sur le reseau WiFi... Cela evite la distribution automatique d'adresses IP au cas ou les intrus passent le barrage MAC addresse par spoofing ... Il faut bien sur personnaliser son adressage WLAN/LAN (192.168.xxz.nnn par exemple --- xyz est ton sous reseau et nnn le numero de chaque mstation sur le sous reseau ...) .. Good luck !!!
- ne pas laisser les mdp par défaut de la borne
- limiter les connexions au 802.11g (ça bloquera toujours pendant
quelque temps ceux qui sont en 802.11b)
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des
mesures supplémentaires simples auxquelles je n'aurai pas pensé ?
Merci d'avance !
J'ai lu sur des fils precedents, qu'il etait preferrable pour la securite de
ne pas avoir de service DHCP sur le reseau WiFi... Cela evite la
distribution automatique d'adresses IP au cas ou les intrus passent le
barrage MAC addresse par spoofing ... Il faut bien sur personnaliser son
adressage WLAN/LAN (192.168.xxz.nnn par exemple --- xyz est ton sous reseau
et nnn le numero de chaque mstation sur le sous reseau ...) ..
Good luck !!!
- ne pas laisser les mdp par défaut de la borne - limiter les connexions au 802.11g (ça bloquera toujours pendant quelque temps ceux qui sont en 802.11b)
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des mesures supplémentaires simples auxquelles je n'aurai pas pensé ? Merci d'avance !
J'ai lu sur des fils precedents, qu'il etait preferrable pour la securite de ne pas avoir de service DHCP sur le reseau WiFi... Cela evite la distribution automatique d'adresses IP au cas ou les intrus passent le barrage MAC addresse par spoofing ... Il faut bien sur personnaliser son adressage WLAN/LAN (192.168.xxz.nnn par exemple --- xyz est ton sous reseau et nnn le numero de chaque mstation sur le sous reseau ...) .. Good luck !!!
Cedric Blancher
Le Tue, 20 Apr 2004 07:45:15 +0000, Castor a écrit :
J'ai lu sur des fils precedents, qu'il etait preferrable pour la securite de ne pas avoir de service DHCP sur le reseau WiFi... Cela evite la distribution automatique d'adresses IP au cas ou les intrus passent le barrage MAC addresse par spoofing ...
Pour récupérer une IP, l'intrus aura dû passer la barrière du chiffrement (WEP, TKIP, AES), s'il y en. Et dans ce cas là, il a accès au contenu des trames en clair. Et dans la mesure où l'intrus aura utilisé une écoute du réseau pour récupérer une adresses MAC valide, il lui sera trivial de récupérer par la même occasion une IP valide, ou d'en considérer une dans la plage par simple déduction (genre X.X.X.N+1 ou X.X.X.N-1), voire même de deviner la plage en observant le trafic de broadcast.
-- BOFH excuse #153:
Big to little endian conversion error
Le Tue, 20 Apr 2004 07:45:15 +0000, Castor a écrit :
J'ai lu sur des fils precedents, qu'il etait preferrable pour la securite de
ne pas avoir de service DHCP sur le reseau WiFi... Cela evite la
distribution automatique d'adresses IP au cas ou les intrus passent le
barrage MAC addresse par spoofing ...
Pour récupérer une IP, l'intrus aura dû passer la barrière du
chiffrement (WEP, TKIP, AES), s'il y en. Et dans ce cas là, il a accès
au contenu des trames en clair. Et dans la mesure où l'intrus aura
utilisé une écoute du réseau pour récupérer une adresses MAC valide,
il lui sera trivial de récupérer par la même occasion une IP valide, ou
d'en considérer une dans la plage par simple déduction (genre X.X.X.N+1
ou X.X.X.N-1), voire même de deviner la plage en observant le trafic de
broadcast.
Le Tue, 20 Apr 2004 07:45:15 +0000, Castor a écrit :
J'ai lu sur des fils precedents, qu'il etait preferrable pour la securite de ne pas avoir de service DHCP sur le reseau WiFi... Cela evite la distribution automatique d'adresses IP au cas ou les intrus passent le barrage MAC addresse par spoofing ...
Pour récupérer une IP, l'intrus aura dû passer la barrière du chiffrement (WEP, TKIP, AES), s'il y en. Et dans ce cas là, il a accès au contenu des trames en clair. Et dans la mesure où l'intrus aura utilisé une écoute du réseau pour récupérer une adresses MAC valide, il lui sera trivial de récupérer par la même occasion une IP valide, ou d'en considérer une dans la plage par simple déduction (genre X.X.X.N+1 ou X.X.X.N-1), voire même de deviner la plage en observant le trafic de broadcast.
-- BOFH excuse #153:
Big to little endian conversion error
Castor
dans la mesure où l'intrus aura
utilisé une écoute du réseau pour récupérer une adresses MAC valide, il lui sera trivial de récupérer par la même occasion une IP valide, ou d'en considérer une dans la plage par simple déduction (genre X.X.X.N+1 ou X.X.X.N-1), voire même de deviner la plage en observant le trafic de broadcast.
OK, si on est sur que le chiffrement est mis en service avant l'dentification ds le reseau ...
dans la mesure où l'intrus aura
utilisé une écoute du réseau pour récupérer une adresses MAC valide,
il lui sera trivial de récupérer par la même occasion une IP valide, ou
d'en considérer une dans la plage par simple déduction (genre X.X.X.N+1
ou X.X.X.N-1), voire même de deviner la plage en observant le trafic de
broadcast.
OK, si on est sur que le chiffrement est mis en service avant
l'dentification ds le reseau ...
utilisé une écoute du réseau pour récupérer une adresses MAC valide, il lui sera trivial de récupérer par la même occasion une IP valide, ou d'en considérer une dans la plage par simple déduction (genre X.X.X.N+1 ou X.X.X.N-1), voire même de deviner la plage en observant le trafic de broadcast.
OK, si on est sur que le chiffrement est mis en service avant l'dentification ds le reseau ...
Cedric Blancher
Le Tue, 20 Apr 2004 08:43:03 +0000, Castor a écrit :
OK, si on est sur que le chiffrement est mis en service avant l'dentification ds le reseau ...
J'ai dû louper un truc là... De deux choses l'une. Ou tu as du chiffrement 802.11 ou tu n'en as pas.
Si tu as du chiffrement 802.11, alors tu n'auras pas accès au médium si tu n'as pas la clé, la passphrase ou les identifiants qui vont bien (selon la méthode d'authentification utilisée). Et si tu n'as pas accès au médium de communication (couche 2), tu n'as _aucune_ chance de récupérer une IP (couche 3) en DHCP. C'est la norme 802.11 qui est comme ça et tous les équipements WiFi l'appliquent.
Si tu n'as pas de chiffrement 802.11, alors tu as un accès libre au médium, et donc tu as accès aux informations qui te permettront au minimum de trouver une adresse IP utilisable dans le plan d'adressage, voire le plan d'adressage lui-même, par simple écoute passive du trafic 802.11. Que tu sois en DHCP ou non, l'accès est immédiat. Si maintenant tu veux mettre en place une protection par dessus avec authentification et chiffrement (SSH, SSL, IPSEC, etc.), alors tu ne dois pas considérer l'adresse IP comme un élément probant pour autoriser l'accès. Et donc du coup, ton intrus peut avoir autant d'adresses IP valides qu'il veut, tant qu'il n'aura pas les credentials pour accéder à ton système, il restera dans le jardin.
Donc dans les deux cas, la mise en place d'un plan d'adressage statique n'apporte strictement rien en terme de sécurité. Et tous les lecteurs de ce newsgroups qui ont eu l'occasion de pentester des WLAN pourront te le confirmer. Dès que tu as accès au médium, le plan d'adressage peut être statique ou affecté en DHCP, ça ne fait _aucune_ différence, si bien que les intrus (enfin, ceux qui ont un cerveau) préfèreront largement sniffer quoi qu'il arrive pour se donner une IP manuellement même s'il y a un DHCP, pour ne pas y laisser de trace.
-- BOFH excuse #51:
Cosmic ray particles crashed through the hard disk platter
Le Tue, 20 Apr 2004 08:43:03 +0000, Castor a écrit :
OK, si on est sur que le chiffrement est mis en service avant
l'dentification ds le reseau ...
J'ai dû louper un truc là... De deux choses l'une. Ou tu as du
chiffrement 802.11 ou tu n'en as pas.
Si tu as du chiffrement 802.11, alors tu n'auras pas accès au médium si
tu n'as pas la clé, la passphrase ou les identifiants qui vont bien
(selon la méthode d'authentification utilisée). Et si tu n'as pas accès
au médium de communication (couche 2), tu n'as _aucune_ chance de
récupérer une IP (couche 3) en DHCP. C'est la norme 802.11 qui est comme
ça et tous les équipements WiFi l'appliquent.
Si tu n'as pas de chiffrement 802.11, alors tu as un accès libre au
médium, et donc tu as accès aux informations qui te permettront au
minimum de trouver une adresse IP utilisable dans le plan d'adressage,
voire le plan d'adressage lui-même, par simple écoute passive du trafic
802.11. Que tu sois en DHCP ou non, l'accès est immédiat. Si maintenant
tu veux mettre en place une protection par dessus avec authentification et
chiffrement (SSH, SSL, IPSEC, etc.), alors tu ne dois pas considérer
l'adresse IP comme un élément probant pour autoriser l'accès. Et donc
du coup, ton intrus peut avoir autant d'adresses IP valides qu'il veut,
tant qu'il n'aura pas les credentials pour accéder à ton système, il
restera dans le jardin.
Donc dans les deux cas, la mise en place d'un plan d'adressage statique
n'apporte strictement rien en terme de sécurité. Et tous les lecteurs de
ce newsgroups qui ont eu l'occasion de pentester des WLAN pourront te le
confirmer. Dès que tu as accès au médium, le plan d'adressage peut
être statique ou affecté en DHCP, ça ne fait _aucune_ différence, si
bien que les intrus (enfin, ceux qui ont un cerveau) préfèreront
largement sniffer quoi qu'il arrive pour se donner une IP manuellement
même s'il y a un DHCP, pour ne pas y laisser de trace.
--
BOFH excuse #51:
Cosmic ray particles crashed through the hard disk platter
Le Tue, 20 Apr 2004 08:43:03 +0000, Castor a écrit :
OK, si on est sur que le chiffrement est mis en service avant l'dentification ds le reseau ...
J'ai dû louper un truc là... De deux choses l'une. Ou tu as du chiffrement 802.11 ou tu n'en as pas.
Si tu as du chiffrement 802.11, alors tu n'auras pas accès au médium si tu n'as pas la clé, la passphrase ou les identifiants qui vont bien (selon la méthode d'authentification utilisée). Et si tu n'as pas accès au médium de communication (couche 2), tu n'as _aucune_ chance de récupérer une IP (couche 3) en DHCP. C'est la norme 802.11 qui est comme ça et tous les équipements WiFi l'appliquent.
Si tu n'as pas de chiffrement 802.11, alors tu as un accès libre au médium, et donc tu as accès aux informations qui te permettront au minimum de trouver une adresse IP utilisable dans le plan d'adressage, voire le plan d'adressage lui-même, par simple écoute passive du trafic 802.11. Que tu sois en DHCP ou non, l'accès est immédiat. Si maintenant tu veux mettre en place une protection par dessus avec authentification et chiffrement (SSH, SSL, IPSEC, etc.), alors tu ne dois pas considérer l'adresse IP comme un élément probant pour autoriser l'accès. Et donc du coup, ton intrus peut avoir autant d'adresses IP valides qu'il veut, tant qu'il n'aura pas les credentials pour accéder à ton système, il restera dans le jardin.
Donc dans les deux cas, la mise en place d'un plan d'adressage statique n'apporte strictement rien en terme de sécurité. Et tous les lecteurs de ce newsgroups qui ont eu l'occasion de pentester des WLAN pourront te le confirmer. Dès que tu as accès au médium, le plan d'adressage peut être statique ou affecté en DHCP, ça ne fait _aucune_ différence, si bien que les intrus (enfin, ceux qui ont un cerveau) préfèreront largement sniffer quoi qu'il arrive pour se donner une IP manuellement même s'il y a un DHCP, pour ne pas y laisser de trace.
-- BOFH excuse #51:
Cosmic ray particles crashed through the hard disk platter
