[Linux-bruxelles] Aide sécurisation AP wifi
Laurent Léonard
laurent at open-minds.org
Mar 15 Sep 00:47:21 CEST 2009
Le mardi 15 septembre 2009 à 00:22, nicodache a écrit :
> on rajoute désactiver l'annonce SSID, et passer en ip statique (c'est
> toujours ca de pris, surtout si c'est un range abscon, genre
> 3.19.54.32/29. les bons routeurs permettent théoriquement de faire ca.
> mais les mauvais programmes se merdent parfois la dessus :()
>
> --
> Matthieu
>
> 2009/9/14 eric hanuise <ehanuise at fantasybel.net>:
> > Marc Arnoldy wrote:
> >> Je pense à un script qui mettrait en liste noire les mac adresse d'un
> >> attaquant après trois tentatives ratées. L'AP ne doit être utilisé que
> >> par une machine et était sécurisé avec une clef wap (ou wep) je sais pas
> >> : )
> >
> > Si une seule machine l'utilise, c'est trivial : tu whiteliste son/ses
> > MAC adress(es), et tu bloque le reste.
> > (je mets au pluriel parce qu'en dehors du laptop elle a peut-être une
> > wii, un pda, ...)
> >
> >
> > Pour le reste, du wpa est meilleur que du wep, mais j'ai lu en diagonale
> > récemment que ca tient 15 minutes tout au plus le wpa, et le wep encore
> > moins.
> >
> > Donc
> > - filtrage MAC whitelist
> > - considérer que tout trafic wireless est public, et utiliser des
> > tunnels cryptés pour les choses plus sensibles (https, tls pour
> > imaps/pops, ssh, ...)
> >
> >
> > --
> > Linux-bruxelles mailing list
> > Linux-bruxelles at lists.bxlug.be
> > http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
Le whitelist des adresses MAC c'est une barrière de plus, mais rien de très
solide... C'est pas difficile de sniffer le réseau pour récupérer une adresse
MAC autorisée et de simuler cette dernière pour une interface.
La désactivation du SSID peut être une bonne idée, pour autant que tout son
matériel wifi l'accepte...
Oublie les clés WEP et utilise du WPA(2) avec une clé plus costaud, rien n'est
infaillible mais avec une clé de 508 bits (ou un peu moins si tu as la flemme
de taper 63 caractères pour la clé) ça devrait tenir la route pour un moment,
ou du moins le gars devrait passer son chemin et tenter sa chance sur un
autre réseau...
Je ne crois pas que les algorithmes utilisés avec WPA(2) ont déjà été cassés à
ce jour, par contre on n'est jamais à l'abris d'attaques dictionnaire ou
bruteforce. Mais à partir d'une certaine longueur de clé ça devient très
théorique comme attaques... Évidemment si ton mot de passe est "toto", tu as
beau utiliser les meilleurs algorithmes cryptographiques qui existent, tu
auras beaucoup plus de chance qu'on trouve ton mot de passe en 15 minutes...
--
Laurent Léonard
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 197 octets
Desc: This is a digitally signed message part.
URL: </pipermail/linux-bruxelles/attachments/20090915/43c712c5/attachment-0001.sig>
Plus d'informations sur la liste de diffusion Linux-bruxelles