Je suis en pleine étude WIFI et une question m'a été posée :
Soit un laptop avec une carte WIFI mettons qu'elle est sécurisée en
802.11i. On blinde le point d'accès
Qu'est ce qui garanti que personne n'est capable de s'associer
directement sur le client.
Mon avis est que cela est possible si et seulement si le client est en
mode adhoc.
En mode infrastructure cela ne doit pas être possible.
KKun a t'il une connaissance plus poussée de la norme pour me donner des
arguments techniques sur ce point.
Le corolaire est d'empécher le passage en mode adhoc ! Ca se gère
comment sous windows ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Thu, 30 Jun 2005 19:43:41 +0000, Sylvain Eche a écrit :
Qu'est ce qui garanti que personne n'est capable de s'associer directement sur le client. Mon avis est que cela est possible si et seulement si le client est en mode adhoc.
Mouais, à mitiger, cf. ci-dessous.
En mode infrastructure cela ne doit pas être possible.
À part si ton client se transforme en AP, ça va être chaud en effet :) Mais il ne faut pas oublier l'inverse, à savoir que ton client s'associe à un Fake AP :)))
KKun a t'il une connaissance plus poussée de la norme pour me donner des arguments techniques sur ce point.
802.11i est applicable au ad-hoc.
Le corolaire est d'empécher le passage en mode adhoc ! Ca se gère comment sous windows ?
Windows possède un gestionnaire de réseau WiFi. On peut le configurer pour :
1. ne s'associer qu'à des "profils" connus 2. s'arranger pour qu'il n'y ait pas de profil faible dans ces profils connus
À partir de là, si aucun profil de type "si c'est ouvert, on y va" (en infra ou adhoc) n'existe, il ne devrait pas y avoir trop de risque. Reste enfin le trou d'implémentation (y'en a déjà eu), mais là, il faut changer de supplicant 802.11i (wpa_supplicant par exemple).
-- BOFH excuse #410:
Electrical conduits in machine room are melting.
Le Thu, 30 Jun 2005 19:43:41 +0000, Sylvain Eche a écrit :
Qu'est ce qui garanti que personne n'est capable de s'associer
directement sur le client.
Mon avis est que cela est possible si et seulement si le client est en
mode adhoc.
Mouais, à mitiger, cf. ci-dessous.
En mode infrastructure cela ne doit pas être possible.
À part si ton client se transforme en AP, ça va être chaud en effet :)
Mais il ne faut pas oublier l'inverse, à savoir que ton client s'associe
à un Fake AP :)))
KKun a t'il une connaissance plus poussée de la norme pour me donner des
arguments techniques sur ce point.
802.11i est applicable au ad-hoc.
Le corolaire est d'empécher le passage en mode adhoc ! Ca se gère
comment sous windows ?
Windows possède un gestionnaire de réseau WiFi. On peut le configurer
pour :
1. ne s'associer qu'à des "profils" connus
2. s'arranger pour qu'il n'y ait pas de profil faible dans ces profils
connus
À partir de là, si aucun profil de type "si c'est ouvert, on y va" (en
infra ou adhoc) n'existe, il ne devrait pas y avoir trop de risque. Reste
enfin le trou d'implémentation (y'en a déjà eu), mais là, il faut
changer de supplicant 802.11i (wpa_supplicant par exemple).
Le Thu, 30 Jun 2005 19:43:41 +0000, Sylvain Eche a écrit :
Qu'est ce qui garanti que personne n'est capable de s'associer directement sur le client. Mon avis est que cela est possible si et seulement si le client est en mode adhoc.
Mouais, à mitiger, cf. ci-dessous.
En mode infrastructure cela ne doit pas être possible.
À part si ton client se transforme en AP, ça va être chaud en effet :) Mais il ne faut pas oublier l'inverse, à savoir que ton client s'associe à un Fake AP :)))
KKun a t'il une connaissance plus poussée de la norme pour me donner des arguments techniques sur ce point.
802.11i est applicable au ad-hoc.
Le corolaire est d'empécher le passage en mode adhoc ! Ca se gère comment sous windows ?
Windows possède un gestionnaire de réseau WiFi. On peut le configurer pour :
1. ne s'associer qu'à des "profils" connus 2. s'arranger pour qu'il n'y ait pas de profil faible dans ces profils connus
À partir de là, si aucun profil de type "si c'est ouvert, on y va" (en infra ou adhoc) n'existe, il ne devrait pas y avoir trop de risque. Reste enfin le trou d'implémentation (y'en a déjà eu), mais là, il faut changer de supplicant 802.11i (wpa_supplicant par exemple).
-- BOFH excuse #410:
Electrical conduits in machine room are melting.
Dominique Blas
[...]
Qu'est ce qui garanti que personne n'est capable de s'associer directement sur le client. Si l'implémentation suit strictement le standard (et le bon sens) c'est
niet. Maintenant avec les soucis de codage on peut arriver à des comportements hallucinants.
Souvenons-nous du Bluetooth ou il était possible de s'associer, avec un esclave déjà mais bon le type est permutable facilement en bluetooth, mais surtout avec un noeud sensé être fermé.
On peut alors imaginer un client configuré en mode infrastructure comprenant également les trames en mode IBSS et acceptant l'association dans ce mode. C'est le processeur MAC d'une interface qui s'occupe de la gestion à ce niveau et le processeur fait ce qu'on lui dit de faire. Si, pour une raison ou une autre, les développeurs ont joué l'économie en factorisant, à mort, certaines fonctions on peut très bien se retrouver avec le comportement décrit.
db
--
Courriel : usenet blas net
[...]
Qu'est ce qui garanti que personne n'est capable de s'associer
directement sur le client.
Si l'implémentation suit strictement le standard (et le bon sens) c'est
niet.
Maintenant avec les soucis de codage on peut arriver à des comportements
hallucinants.
Souvenons-nous du Bluetooth ou il était possible de s'associer, avec un
esclave déjà mais bon le type est permutable facilement en bluetooth,
mais surtout avec un noeud sensé être fermé.
On peut alors imaginer un client configuré en mode infrastructure
comprenant également les trames en mode IBSS et acceptant l'association
dans ce mode.
C'est le processeur MAC d'une interface qui s'occupe de la gestion à ce
niveau et le processeur fait ce qu'on lui dit de faire. Si, pour une
raison ou une autre, les développeurs ont joué l'économie en
factorisant, à mort, certaines fonctions on peut très bien se retrouver
avec le comportement décrit.
Qu'est ce qui garanti que personne n'est capable de s'associer directement sur le client. Si l'implémentation suit strictement le standard (et le bon sens) c'est
niet. Maintenant avec les soucis de codage on peut arriver à des comportements hallucinants.
Souvenons-nous du Bluetooth ou il était possible de s'associer, avec un esclave déjà mais bon le type est permutable facilement en bluetooth, mais surtout avec un noeud sensé être fermé.
On peut alors imaginer un client configuré en mode infrastructure comprenant également les trames en mode IBSS et acceptant l'association dans ce mode. C'est le processeur MAC d'une interface qui s'occupe de la gestion à ce niveau et le processeur fait ce qu'on lui dit de faire. Si, pour une raison ou une autre, les développeurs ont joué l'économie en factorisant, à mort, certaines fonctions on peut très bien se retrouver avec le comportement décrit.
