Autor: Jerome KIEFFER Datum: To: guilde Betreff: Wifi ... encore mais plus philosophique
Salut,
J'ai pas mal réfléchi et torturé google sur comment mettre en place un
acces wifi pour mes voisins et copains tout en restant un tant soit peu
sécurisé.
au début je me suis dit "wep128 ca suffit pour le niveau de secu voulu".
le problème c'est que le wep128 j'ai prévu de garder la clé 1 mois et
c'est crackable en moins d'un 1 mois. comme il y a un IUT d'info de
l'autre coté de la rue, ... pas bonne solution.
Finalement ce que l'on cherche c'est l'authentification (de la personne,
mais aussi de la machine) plus que la crypto des données qui passent.
mon AP parlerait le "WPA+radius" radius étant un moyen de s'autentifier,
WPA étant le nouveau protocole de sécu de chhez Micromoooo. Il existe
bien des serveurs radius pour linux (je sais pas comment cela
fonctionne, si vous avec des infos) mais j'ai pas réussi a dégoter de
"client" qui crypte WPA sous linux (et autres OS car il n'y a que
micromoooo XP et server 2003 qui le supportent). bien sur comme tout
produit micromoooo, le truc est closes sources.
Là j'ai une autre idée : laisser le noeud ouvert (pas de crypto, pas
d'ACL au niveau de l'AP, ESSID en broadcast, un serveur DHCP ...) mais
il n'y a acces qu'a un nombre réduit de ports (ftp, ssh et apache). Mais
par contre pas de forward WIFI->internet.
Par la suite on authentifie les gens/machines par ssh et on ouvre l'IP
correspondante dans le firewall.
les gens se logguent en ssh et en guise de shell il y a un message de
bienvenue et ajout de leur IP sans la liste de celle qui ont le droit de
sortir.
Iptables permet de ne flusher (-F) qu'une seule chaine et de ne recréer
qu'elle, cela devrait donc être rapide et pas trop perturber les autres.
Toutes les 5 minutes, un cron passe par là et regarde qui est connecté
en SSH et relance cette partie du firewall.
Qu'en pensez vous ? Moi cela m'a l'air trop simple pour qu'il n'y ait
pas un trou se sécu gros comme une maison.
--
Jérôme @taz : Morgan 1200 + 1Go DDR in a 10L SS40G
"Windows 95 is a 32-bit shell for a 16-bit extension to an 8-bit
operating system designed for a 4-bit microprocessor by a 2-bit company
that can't stand one bit of competition."