Reseau sans fil

Le
Alain Godet
Ayé : j'ai installé mon réseau sans fil.
Voici les options de sécurité que j'ai activé :
- ne pas diffuser l'identifiant
- limiter l'accès à des adresses MAC précises
- crypter en WPA le plus long possible (et le plus compliqué possible)
- ne pas utiliser l'identifiant ni le channel par défaut
- ne pas laisser les mdp par défaut de la borne
- limiter les connexions au 802.11g (ça bloquera toujours pendant
quelque temps ceux qui sont en 802.11b)

Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des
mesures supplémentaires simples auxquelles je n'aurai pas pensé ?
Merci d'avance !

--
Cordialement

Alain Godet
Enlever le .bizarre pour répondre
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
benoit.sansspam
Le #562922
Alain Godet
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des
mesures supplémentaires simples auxquelles je n'aurai pas pensé ?


N'activer la borne que lorsque cela est nécessaire (genre la couper la
nuit et le we si personne n'en a besoin pendant ces heures).

--
Benoît Leraillez

La douleur des autres est tout à fait supportable, hors les cris.

Bege
Le #562646
Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des
mesures supplémentaires simples auxquelles je n'aurai pas pensé ?


N'activer la borne que lorsque cela est nécessaire (genre la couper la
nuit et le we si personne n'en a besoin pendant ces heures).
c'est vrai que c'est des bonnes idées tout ça,


le logiciel qui a été livré avec mon routeur Netgear MR814v2
fait tout ça très bien,
bloquer l'accès à certaines heures ou à d'autres IP,
bloquer certains sites, ou bloquer l'accès avec un ou des mots clés etc.
dommage qu'il soit en Anglais,
qq sait peut être s'il en existe en Français ou l'équivalent en Français ?

merci


Romain Francoise
Le #562640
"Bege"
N'activer la borne que lorsque cela est nécessaire (genre la couper la
nuit et le we si personne n'en a besoin pendant ces heures).


le logiciel qui a été livré avec mon routeur Netgear MR814v2
fait tout ça très bien,


Une bonne ligne de conduite à mon avis est de toujours privilégier une
protection physique même si une protection logicielle est
disponible. Rien ne dit que le logiciel de ton routeur est infaillible.

Pour l'alimentation des bornes wifi, on peut utiliser les programmateurs
pour aquarium qui sont originellement conçus pour simuler un cycle
jour/nuit pour les poissons, ils te permettent de programmer les heures
où le courant passe dans les prises (e.g. 8h-18h) et ça marche
directement en 220V. C'est un peu du bricolage mais c'est simple,
efficace et difficilement contournable...

--
Romain Francoise it's a miracle -- http://orebokech.com/ | a minute.


benoit.sansspam
Le #562360
Romain Francoise
Pour l'alimentation des bornes wifi, on peut utiliser les programmateurs
pour aquarium qui sont originellement conçus pour simuler un cycle
jour/nuit pour les poissons, ils te permettent de programmer les heures
où le courant passe dans les prises (e.g. 8h-18h) et ça marche
directement en 220V. C'est un peu du bricolage mais c'est simple,
efficace et difficilement contournable...


Humm. Attention aux surtensions qui peuvent être générées par les
programateurs qui sont conçus pour des lampes ou des radiateurs qui
peuvent se prendre des petites claques sans soucis. Par contre le
transformateur du routeur peut ne pas apprécier du tout. Ce ne sera
qu'un transfo qui génère du 3V à racheter mais bon...

--
Benoît Leraillez

La douleur des autres est tout à fait supportable, hors les cris.

Castor
Le #562357
- ne pas laisser les mdp par défaut de la borne
- limiter les connexions au 802.11g (ça bloquera toujours pendant
quelque temps ceux qui sont en 802.11b)

Même si je suis conscient que ce ne sera jamais suffisant, y-a-t-il des
mesures supplémentaires simples auxquelles je n'aurai pas pensé ?
Merci d'avance !


J'ai lu sur des fils precedents, qu'il etait preferrable pour la securite de
ne pas avoir de service DHCP sur le reseau WiFi... Cela evite la
distribution automatique d'adresses IP au cas ou les intrus passent le
barrage MAC addresse par spoofing ... Il faut bien sur personnaliser son
adressage WLAN/LAN (192.168.xxz.nnn par exemple --- xyz est ton sous reseau
et nnn le numero de chaque mstation sur le sous reseau ...) ..
Good luck !!!

Cedric Blancher
Le #562356
Le Tue, 20 Apr 2004 07:45:15 +0000, Castor a écrit :
J'ai lu sur des fils precedents, qu'il etait preferrable pour la securite de
ne pas avoir de service DHCP sur le reseau WiFi... Cela evite la
distribution automatique d'adresses IP au cas ou les intrus passent le
barrage MAC addresse par spoofing ...


Pour récupérer une IP, l'intrus aura dû passer la barrière du
chiffrement (WEP, TKIP, AES), s'il y en. Et dans ce cas là, il a accès
au contenu des trames en clair. Et dans la mesure où l'intrus aura
utilisé une écoute du réseau pour récupérer une adresses MAC valide,
il lui sera trivial de récupérer par la même occasion une IP valide, ou
d'en considérer une dans la plage par simple déduction (genre X.X.X.N+1
ou X.X.X.N-1), voire même de deviner la plage en observant le trafic de
broadcast.

--
BOFH excuse #153:

Big to little endian conversion error

Castor
Le #562355
dans la mesure où l'intrus aura
utilisé une écoute du réseau pour récupérer une adresses MAC valide,
il lui sera trivial de récupérer par la même occasion une IP valide, ou
d'en considérer une dans la plage par simple déduction (genre X.X.X.N+1
ou X.X.X.N-1), voire même de deviner la plage en observant le trafic de
broadcast.


OK, si on est sur que le chiffrement est mis en service avant
l'dentification ds le reseau ...

Cedric Blancher
Le #562354
Le Tue, 20 Apr 2004 08:43:03 +0000, Castor a écrit :
OK, si on est sur que le chiffrement est mis en service avant
l'dentification ds le reseau ...


J'ai dû louper un truc là... De deux choses l'une. Ou tu as du
chiffrement 802.11 ou tu n'en as pas.

Si tu as du chiffrement 802.11, alors tu n'auras pas accès au médium si
tu n'as pas la clé, la passphrase ou les identifiants qui vont bien
(selon la méthode d'authentification utilisée). Et si tu n'as pas accès
au médium de communication (couche 2), tu n'as _aucune_ chance de
récupérer une IP (couche 3) en DHCP. C'est la norme 802.11 qui est comme
ça et tous les équipements WiFi l'appliquent.

Si tu n'as pas de chiffrement 802.11, alors tu as un accès libre au
médium, et donc tu as accès aux informations qui te permettront au
minimum de trouver une adresse IP utilisable dans le plan d'adressage,
voire le plan d'adressage lui-même, par simple écoute passive du trafic
802.11. Que tu sois en DHCP ou non, l'accès est immédiat. Si maintenant
tu veux mettre en place une protection par dessus avec authentification et
chiffrement (SSH, SSL, IPSEC, etc.), alors tu ne dois pas considérer
l'adresse IP comme un élément probant pour autoriser l'accès. Et donc
du coup, ton intrus peut avoir autant d'adresses IP valides qu'il veut,
tant qu'il n'aura pas les credentials pour accéder à ton système, il
restera dans le jardin.

Donc dans les deux cas, la mise en place d'un plan d'adressage statique
n'apporte strictement rien en terme de sécurité. Et tous les lecteurs de
ce newsgroups qui ont eu l'occasion de pentester des WLAN pourront te le
confirmer. Dès que tu as accès au médium, le plan d'adressage peut
être statique ou affecté en DHCP, ça ne fait _aucune_ différence, si
bien que les intrus (enfin, ceux qui ont un cerveau) préfèreront
largement sniffer quoi qu'il arrive pour se donner une IP manuellement
même s'il y a un DHCP, pour ne pas y laisser de trace.


--
BOFH excuse #51:

Cosmic ray particles crashed through the hard disk platter

Publicité
Poster une réponse
Anonyme