Wifi : Etre seul

Le
arnoraes
Bonjour,

J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment,
toutes les personnes qui se connectent sur ce point d'accès se voient les
unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient
plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point
d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.

J'ai trouvé la doc suivante : http://www.wlanfr.net/contenus.php?id0.
Avec cette doc seul les personnes autorisées se connectent mais rien
n'empêche les gens de se voir entre eux.

Par avance,
Merci.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude
Le #572730
Bonjour,

J'ai à ma disposition un Access Point que je dois sécuriser.
toutes les personnes qui se connectent sur ce point d'accès se voient les unes les autres.
Je souhaiterait qu'elle ne voit personne d'autre qu'elle.
Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.


Quelques remarques ou peut etre pistes.
Tes machines connectes a ton acces point ont une adresse de passerelle ?
Cette passerelle c'est ton acces point, non ?
Ton acces point c'est un switch (en fait hub puisque sur le wifi la bande passante est partagée) ou un routeur ?
Est ce que sur cette passerelle tu ne pourrais mettre des regles (routage, firewall) pour autoriser seulement l'acces vers l'exterieur.

Donne des retours d'infos STP ca m'interesse.
J.C

benoit.sansspam
Le #572724
Arno
J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment,
toutes les personnes qui se connectent sur ce point d'accès se voient les
unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient
plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point
d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.


Une proposition :

Est-ce-que ta borne d'accès wifi peut-être transparente en IP c'est à
dire qu'elle ne fait pas de NAT mais juste retransmet sur wifi ce qui
était sur ethernet ? Si c'est le cas alors tu donnes au routeur
d'origine autant d'adresses IP que tu as de clients wifi et tu fournis à
chaque client wifi une adresse IP avec une adresse de routeur différente
et un masque qui fait qu'elle ne voit que le routeur genre :
adresse : 10.0.0.1
routeur : 10.0.0.0
masque : 255.255.255.254

adresse suivante :

adresse : 10.23.36.1
routeur : 10.23.36.0
masque : 255.255.255.254

Ces adresses tu les tires au hasard et tu les renouvelles en DHCP toutes
les dix minutes afin de réduire les probabilités que quelqu'un qui
essaye en brut-force de trouver quelqu'un d'autre puisse conserver la
connection longtemps (sauf à ce que tu saches interdire les connections
entre adresses privées sur des plages différentes depuis ton routeur).

--
Benoît Leraillez

La douleur des autres est tout à fait supportable, hors les cris.

Cedric Blancher
Le #572489
Le Thu, 22 Apr 2004 12:28:47 +0000, Benoit a écrit :
Ces adresses tu les tires au hasard et tu les renouvelles en DHCP toutes
les dix minutes afin de réduire les probabilités que quelqu'un qui
essaye en brut-force de trouver quelqu'un d'autre puisse conserver la
connection longtemps (sauf à ce que tu saches interdire les connections
entre adresses privées sur des plages différentes depuis ton routeur).


Je ne connais pas de serveur DHCP qui soit capable de faire ça. Il
faudrait donc avoir un script qui réécrit la configuration du DHCP à
chaque demande... Ça me semble un peu léger comme solution amha. Surtout
que si je veux lire mon mail en HTTPS, j'en ai en général pour plus de
10mn.

La seule solution potable que je vois à ce soucis est d'avoir à
disposition une borne qui soit capable de filtrer au niveau 2 les
échanges entre clients. Hostap sous Linux le fait par exemple.
Certaines bornes "professionnelles" le font aussi, mais certainement pas
les bornes bon marché. C'est une sorte de PVLAN sur WiFi.

Sinon, tu peux utiliser du PPPoE avec une passerelle située derrière
l'AP. Ça n'empêchera pas quelqu'un de motivé de regarder ce que font
les autres et d'interférer avec eux, mais dans le cadre d'une utilisation
normale, il ne se "verront" pas entre eux.


--
Pour l'année 2000, Elizabeth Teyssier a prévu beaucoup de changements,
mais je ne sais pas si elle a parlé de Debian, je regarderai son bouquin
ce soir et je te dis.
-+- DB in Debian-french : "manchot ascendant gnou" -+-

Vincent Bernat
Le #572487
OoO En ce début d'après-midi nuageux du jeudi 22 avril 2004, vers
14:40, Cedric Blancher
La seule solution potable que je vois à ce soucis est d'avoir à
disposition une borne qui soit capable de filtrer au niveau 2 les
échanges entre clients. Hostap sous Linux le fait par exemple.
Certaines bornes "professionnelles" le font aussi, mais certainement pas
les bornes bon marché. C'est une sorte de PVLAN sur WiFi.


J'ai pour ma part mis en place une solution avec des bornes filtrantes
au niveau 2. Il s'agit de Linksys WRT54G (70 euros) que nous avons
modifiées en incluant notamment le patch bridge-nf. Je ne laisse alors
passer que de l'IPsec (en plus du DHCP) [et c'est du niveau 2 dans le
sens où la borne fait bridge]. Ces bornes sont vraiment très
pratiques, on peut faire beaucoup de choses avec, ce qui permet
ensuite de les déployer très rapidement et de les administrer
facilement à distance (par ssh ou par récupération automatique d'un
script d'autoconfiguration).

Je n'ai par contre pas testé si deux clients en clair pouvaient
communiquer entre eux. A priori, c'est filtré, mais pas testé. Cela ne
faisait pas partie des préoccupations.
--
BOFH excuse #206:
Police are examining all internet packets in the search for a narco-net-traficer

totoy81
Le #572480
(Arno) wrote in message news:
Bonjour,

J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment,
toutes les personnes qui se connectent sur ce point d'accès se voient les
unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient
plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point
d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.


Si l'AP le supporte, il est possible de mettre en place des VLANs .
Bien que comparé au monde filaire certaines caractéristiques
d'affectation ne sont pas transposables (ex:vlan par port), tu es
libre de choisir comment regrouper les machines par vlan. Il est même
possible sur certains matériels d'établir des VLANs en fonction des
moyens d'authentification (aka si on utilise 802.1x/EAP j'ai tel
vlan-id,etc..), et non pas classiquement, comme tu pourrais le faire
sur adresse MAC ou IP par exemple.

à l'adresse ci dessous tu trouveras un exemple de déploiement cisco,
toutes les fonctionnalités sont peut être pas supportées par ton
matériel...http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_technical_reference09186a00801444a1.html

Cedric Blancher
Le #570143
Le Thu, 22 Apr 2004 14:07:50 +0000, anth0 a écrit :
Il est même possible sur certains matériels d'établir des VLANs en fonction
des moyens d'authentification (aka si on utilise 802.1x/EAP j'ai tel
vlan-id,etc..), et non pas classiquement, comme tu pourrais le faire
sur adresse MAC ou IP par exemple.


Et avec un bon RADIUS, tu peux même affecter le VLAN selon les éléments
d'authentification, c'est à dire être capable d'affecter son VLAN par
utilisateur, et d'avoir un VLAN poubelle pour ceux qui ne peuvent pas
s'authentifier.


--
Parce qu'il y a des faux linux ?
Bien sûr. Tous ceux qui n'ont pas les lettres «BSD» dans leurs noms.

Lima India November Delta Oscar Whisky Sierra ?

-+- TB in GFA : "Argh, TB m'a tuer." -+-


benoit.sansspam
Le #570139
Cedric Blancher
Je ne connais pas de serveur DHCP qui soit capable de faire ça. Il
faudrait donc avoir un script qui réécrit la configuration du DHCP à
chaque demande... Ça me semble un peu léger comme solution amha. Surtout
que si je veux lire mon mail en HTTPS, j'en ai en général pour plus de
10mn.


OK pour la durée du bail DHCP.

Par contre tout serveur DHCP peut le faire si tu sais donner à la
machine comme adresses toutes les IP paires et qu'il envoie les IP
impairs avec le masque 255.255.255.254.

J'ai volontairement prévu le cas de la tentative d'attaque, sinon il
suffit de rester dans la plage 192.168.O.X (par exemple) si l'on
considère qu'on ne veut pas que les utilisateurs se voient dans le cadre
d'une utilisation « normale ».

--
Benoît Leraillez

La douleur des autres est tout à fait supportable, hors les cris.

totoy81
Le #569695
Et avec un bon RADIUS, tu peux même affecter le VLAN selon les éléments
d'authentification, c'est à dire être capable d'affecter son VLAN par
utilisateur, et d'avoir un VLAN poubelle pour ceux qui ne peuvent pas
s'authentifier.


Effectivement.Pour l'assignement d'un vlan-id suite à une
authentification se basant sur 802.1x/EAP, la séquence simplifiée est
la suivante :

EAP-request/user-ID : antho
Me ----------------------------------> Serveur Radius

EAP-Success/user-ID:antho,VLAN-ID=XXX
Me <-------------------------------------------Serveur Radius

XXX étant le numéro du VLAN-ID d'affectation, positionné au niveau des
attributs de l'utilisateur Radius "Tunnel Private Group ID".

Par contre, je n'ai jamais pratiqué la dessus, quelqu'un sait comment
on définit l'assignation au VLAN "pouvelle", en cas d'échec de l'auth
?

Cedric Blancher
Le #569694
Le Fri, 23 Apr 2004 08:47:41 +0000, anth0 a écrit :
Par contre, je n'ai jamais pratiqué la dessus, quelqu'un sait comment
on définit l'assignation au VLAN "pouvelle", en cas d'échec de l'auth


Je n'ai plus le truc en tête, mais ce n'est pas en cas _d'échec_ de
l'authentification que j'affectais un VLAN poubelle, mais en cas de non
réponse à la requête d'authentification (i.e. le client ne peut pas
s'authentifier). C'est assez utile pour les entreprises qui veulent mettre
en place un WLAN en laissant une possibilité hotspot pour leurs visiteurs.

L'échec de l'authentification (i.e. je file un mauvais loing/mdp) est une
violation de la politique de sécurité et doit être traitée comme
telle. T'as joué au con, tu touches pas à mon bac à sable :)

--
Normal c'est un XT, il n'y a pas de BIOS !!
Et c'est quoi qui t'affiche "Keyboard Failure, press any key"

L'écran ?

-+- CL in GFA : T'as de bons yeux tu sais... -+-


T0t0
Le #571201
"Arno" news:
J'aurais besoin de faire en sorte qu'elles ne se voient
plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point
d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.


Cisco propose une solution qu s appelle PSFP je crois qui permet de
faire un filtrage des adresses MAC des postes connectes entre eux.
C est interessant, et ca marche, par contre je me demande comment ca
reagit en faisant de l ARP cache poisonning et en utilisant une machine
du réseau local comme rebond... a voir.

Si ta borne n est pas du cisco, il y a peut etre des alternatives chez
les concurents, mais je n en connais pô :-(


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Publicité
Poster une réponse
Anonyme