Auteur: Reveret Julien Date: À: Guilde Linux Sujet: Re: Wifi ... encore mais plus philosophique
On Fri, Aug 22, 2003 at 11:36:52AM +0200, Jérôme KIEFFER wrote: > On sait tous la bonne solution c'est VPN. mais c'est pas faisable pour
> tout le monde, et le reseau est concu pour communiquer, pas pour empecher
> la communication. (sont saoulant ces windowsiens)
> La solution que j'ai proposé présente 1 faiblesse : le couple
> utilisateur/machine est identifié de manière sure (les echanges sont
> cryptés en ssl), mais par la suite le sesame est donné au couple mac-ip.
C'est le problème du petit malin qui passe wardriver ça.
En même temps, faudrait que le gars fasse de l'arp spoofing pour arriver
à ce qu'il veut, et ensuite je ne sais pas bien ce qu'il pourrait faire.
Il pourra sniffer ce que l'autre fait, mais pourra-t-il avoir son propre
trafic ?
> J'ai pévu de faire tenir le bail tant qu'il y a du traffic (présence dans
> le table ARP) mais on pourrait le limiter dans le temps. Si quelqu'un
> spoof la mac/ip de kk1 d'entegistré, il obtient le sésame. (ca doit foutre
> la merde d'acoir 2 cartes avec la même MAC).
Pas si la personne modifie ta table arp (je ne pense pas qu'elle puisse
être statique, faudrait que tu demandes les adresses mac de tous les
gens qui se connecteront, ça fait du boulot quoi), et fait ensuite du
forwarding vers la seconde carte (c'est ce que font les outils d'arp
spoofing).
> Question sur le WEP :
> si j'ai la clé WEP, est ce que je peux sniffer les paquets des autres ?
> en d'autre termes avec le wep est ce qu'on est en configuration "hub" ou
> "switch" ?
Un AP, qu'il utilise le wep ou pas, c'est un hub il me semble. Si
quelqu'un pouvait corriger si j'ai dit une bêtise.
PS: La solution que tu veux mettre en place (ssh, ou auth en ssl sur un
apache) me semble bien. Sur openbsd, il y a authpf, qui permet de faire
ça. Un utilisateur se connecte en ssh sur une machine, et les règles
sont automatiquement changées. Tu voulais faire un script, c'est une
idée aussi. Maintenant pour l'apache avec auth en ssl, je ne
connaissais que la solution nocat, mais je n'ai pas de retour
d'expérience dessus.
--
We are the knights who say
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc