On Fri, Aug 22, 2003 at 11:54:31AM +0200, Reveret Julien wrote:
> On Fri, Aug 22, 2003 at 11:36:52AM +0200, Jérôme KIEFFER wrote:
> > On sait tous la bonne solution c'est VPN. mais c'est pas faisable pour
> > tout le monde, et le reseau est concu pour communiquer, pas pour empecher
> > la communication.
> (sont saoulant ces windowsiens)
oui mais ils sont la majorité. et ils provent en ce moment que ce n'est
pas une bonne idée de les délaisser, sinon ils saturent tous les reseaux.
http://www.crans.org/~lacoux/fax_microsoft_blast.png
(Easter Eggs est une société qui ne fait QUE du linux ;)
>
> C'est le problème du petit malin qui passe wardriver ça.
POur "limiter" le wardriving, je pensais mettre quand même un WEP128
> En même temps, faudrait que le gars fasse de l'arp spoofing pour arriver
> à ce qu'il veut, et ensuite je ne sais pas bien ce qu'il pourrait faire.
> Il pourra sniffer ce que l'autre fait, mais pourra-t-il avoir son propre
> trafic ?
Bonne question.
>
> > J'ai pévu de faire tenir le bail tant qu'il y a du traffic (présence dans
> > le table ARP) mais on pourrait le limiter dans le temps. Si quelqu'un
> > spoof la mac/ip de kk1 d'entegistré, il obtient le sésame. (ca doit foutre
> > la merde d'acoir 2 cartes avec la même MAC).
>
> Pas si la personne modifie ta table arp (je ne pense pas qu'elle puisse
> être statique, faudrait que tu demandes les adresses mac de tous les
> gens qui se connecteront, ça fait du boulot quoi), et fait ensuite du
> forwarding vers la seconde carte (c'est ce que font les outils d'arp
> spoofing).
La table ARP n'est pas statique, on avait essayé mais c'est pas génial.
Par contre avec un arpwatch, tu reperes la MAC de la personne, puis tu lui
attribue une IP fixe mais obtenue par DHCP. à partir de là tu as tout ce
qu'il faut pout faire de l'authentification MAC-IP.
Pour info, au crans on fait cela sur 700 IPs. De plus j'ai (encore) acces
à toutes les moulinettes de generations de DHCP, DNS, ... à partir d'un
fichier de conf unique.
Chain wlan-ext (1 references)
target prot opt source destination
ext all -- anywhere anywhere
ACCEPT all -- 192.168.8.18 anywhere MAC
00:00:FC:FA:D5:94
(La Regle par defaut est LOGandDROP mais je devrais plutot mettre reject
pour degugger)
C'est cette regle qui est ajouté ou retiré suivant que l'on se log ou que
l'on se delogue.
>
> PS: La solution que tu veux mettre en place (ssh, ou auth en ssl sur un
> apache) me semble bien.
ce qui me deplait avec ssh : c'est l'utilisation de comptes utilisateurs.
> idée aussi. Maintenant pour l'apache avec auth en ssl, je ne
> connaissais que la solution nocat, mais je n'ai pas de retour
> d'expérience dessus.
Je suis pas convaincu. le concept est bon mais c'est fouilli (perl). et
surtout c'est concu pour tourner avec un serveur et un (des) routeur(s).
A+
--
Jérôme __ __
/ _) (_ \
_.----._/ / Dinosaurus \ \_.----._
/ / \ \
__/ ( | ( | Psykorigidus | ) | ) \__
/__.-'|_|--|_| |_|--|_|`-.__\