[Linux-bruxelles] Aide sécurisation AP wifi

Thomas d'Otreppe tdotreppe at gmail.com
Mar 15 Sep 09:00:17 CEST 2009


Didier a raison.
Du simple WPA2 avec une bonne clé et comme passphrase, quelque chose
de compliqué, qui n'est pas un mot simple mais une composition de
mots. Pour le SSID, rien ne sert de le cacher (il est de toute façon
donné à chaque connexion et dans beaucoup de cas, le pc cherchera ce
SSID lorsqu'il veut se connecter à l'AP;). Et à propos du filtre mac,
c'est tout bonnement inutile car on sait facilement le bypasser.
Passer son IP en statique, toujours inutile (et ça risque de te
compliquer la vie) puisqu'il y a/aura une bonne passphrase sur l'AP.

Eric, concernant l'article à propos du WPA, vous devriez lire les
papiers pour mieux comprendre l'attaque. Elle n'est pas super facile à
mettre en place.

Laurent, 508 bit n'est pas le chiffre correct (FYI, 508/8 != 63). Je
n'ai pas le temps d'expliquer ça en détails, mais le WPA est composé
de plusieurs clés.

Thomas



2009/9/14 Didier Misson <didier.linux at gmail.com>:
> Laurent Léonard a écrit :
>> Le mardi 15 septembre 2009 à 00:22, nicodache a écrit :
>>> on rajoute désactiver l'annonce SSID, et passer en ip statique (c'est
>>> toujours ca de pris, surtout si c'est un range abscon, genre
>>> 3.19.54.32/29. les bons routeurs permettent théoriquement de faire ca.
>>> mais les mauvais programmes se merdent parfois la dessus :()
>>>
>>> --
>>> Matthieu
>
> Ne pas "afficher" le SSID ? ... mouwai...
> mais il suffit de sniffer le trafic normal pour voir le SSID qui passera
>  de toute façon.
> Même s'il n'est pas transmis régulièrement, il est transmis entre le PC
> portable et le routeur WiFi.
>
> Il parait que c'est très peu efficace de cacher le SSID...
> Dés que tu vas utiliser le WiFi, le Pc va demander "est-ce que le WiFi
> "SSID=mon_WiFi" est là ??? "  ... et le routeur répond !
> Suffit d'écouter et on verra passer le SSID.
>
>
> En IP statique... oui, ça complique un peu en effet... mais ça peut
> aussi se prendre une IP dans le même range.
>
> Et la MAC, ça se copie aussi... mais c'est malgré tout une bonne
> protection de bloquer les MAC ayant accès au routeur.
>
> Maintenant, réalistement, ça va quand même perturber la majorité des
> petits bricoleurs qui vont utiliser un petit soft trouvé sur le Net :p)
>
> La sécurité du WPA2 ? Et même du WPA...
> à ma connaissance, elle n'est pas cassée... pas dans tous les cas en
> tout cas ! C'est juste un algorithme d'un type de clé qui est cassé, pas
> tout le reste.
>
> Par contre, si le routeur WiFi était en WEP, ça, ça commence à être
> connu et ça se casse (il parait) facilement, et je suppose que les softs
> se trouvent facilement pour faire ça automatiquement.
>
> (pffff... je suis en WEP... car Nintendo DS, ça ne connait pas le WPA !)
> (lol... si c'est juste pour un accès, dans le coin il y a des modems
> Télé2 MEME PAS protégé du tout ! c'est encore plus simple...)
>
>
>
> et la crainte des zondes WiFi... bof... faut pas exagérer non plus !
>
>
> Puis, certains routeurs permettent de configurer la puissance (le mien
> le permet)... Pas tj nécessaire d'être à 100% de puissance pour un
> laptop à 4m du routeur derrière un mur en gyproc :p)
>
>
> Donc, en résumé (c'est mon avis) :
>
> - cacher le SSID : peu utile !
> - MAC autorisée : oui, ça va bloquer certains hardwares qui ne peuvent
> pas modifier leur MAC, puis de tte façon ça va nettement compliquer
> l'attaque
> - IP fixe... mouwai... peu utile, mais facile à mettre : ok
> - WPA, ou si possible WPA2 si le routeur et le laptop le permettent :
> OUI ! C'est le plus important : ne plus utiliser WEP...
>
>
>
>
>>> 2009/9/14 eric hanuise <ehanuise at fantasybel.net>:
>>>> Marc Arnoldy wrote:
>>>>> Je pense à un script qui mettrait en liste noire les mac adresse d'un
>>>>> attaquant après trois tentatives ratées. L'AP ne doit être utilisé que
>>>>> par une machine et était sécurisé avec une clef wap (ou wep) je sais pas
>>>>> : )
>>>> Si une seule machine l'utilise, c'est trivial : tu whiteliste son/ses
>>>> MAC adress(es), et tu bloque le reste.
>>>> (je mets au pluriel parce qu'en dehors du laptop elle a peut-être une
>>>> wii, un pda, ...)
>>>>
>>>>
>>>> Pour le reste, du wpa est meilleur que du wep, mais j'ai lu en diagonale
>>>> récemment que ca tient 15 minutes tout au plus le wpa, et le wep encore
>>>> moins.
>>>>
>>>> Donc
>>>> - filtrage MAC whitelist
>>>> - considérer que tout trafic wireless est public, et utiliser des
>>>> tunnels cryptés pour les choses plus sensibles (https, tls pour
>>>> imaps/pops, ssh, ...)
>
> oui, d'accord avec toi...
> mais je pense qu'ici, c'est une utilisation standard, simple...
> Pas de SSH, pas de Telnet, pas de FTP...
>
> et le reste, on est bien obligé d'être en HTTP si le site Web ne permet
> que ça...
> et si on utilise la boîte mail de son fournisseur ADSL ou câble, souvent
> tu n'as pas le choix : POP/SMTP ... rien d'autre :p)
> Je déconseille ces boîtes mails des providers !
>
> ;-)
>
>
>> Le whitelist des adresses MAC c'est une barrière de plus, mais rien de très
>> solide... C'est pas difficile de sniffer le réseau pour récupérer une adresse
>> MAC autorisée et de simuler cette dernière pour une interface.
>
> oui ok
>
>> La désactivation du SSID peut être une bonne idée, pour autant que tout son
>> matériel wifi l'accepte...
>
> faible...
>
>> Oublie les clés WEP et utilise du WPA(2) avec une clé plus costaud, rien n'est
>> infaillible mais avec une clé de 508 bits (ou un peu moins si tu as la flemme
>> de taper 63 caractères pour la clé) ça devrait tenir la route pour un moment,
>> ou du moins le gars devrait passer son chemin et tenter sa chance sur un
>> autre réseau...
>
> WPA2 si possible oui...
>
> Attention aux clés en texte !
> Même un WPA2 se craque si la clé = le nom de famille, de la rue, le
> prénom, etc ... trop facile à trouver ...
> Je pense aussi qu'une bonne partie des crackings sont en fait des mots
> de passe ou clés beaucoup trop faibles.
>
>
>> Je ne crois pas que les algorithmes utilisés avec WPA(2) ont déjà été cassés à
>> ce jour, par contre on n'est jamais à l'abris d'attaques dictionnaire ou
>> bruteforce. Mais à partir d'une certaine longueur de clé ça devient très
>> théorique comme attaques... Évidemment si ton mot de passe est "toto", tu as
>> beau utiliser les meilleurs algorithmes cryptographiques qui existent, tu
>> auras beaucoup plus de chance qu'on trouve ton mot de passe en 15 minutes...
>
> oui ;-)
>
>
>
>
> --
> Didier
>
> http://misson.tel  Annuaire Misson
> http://drupal.tel  Annuaire Drupal
>
>
>
> --
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
>




Plus d'informations sur la liste de diffusion Linux-bruxelles