Re: Sécuriser un réseau WIFI [était : dongle WIFI netgear WG…

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: ML Guilde
Subject: Re: Sécuriser un réseau WIFI [était : dongle WIFI netgear WG111T]
    Bonsoir,

Patrice Karatchentzeff a écrit :
> Le 16/06/06, Olivier Allard-Jacquin<olivieraj@???> a écrit :
>> Patrice Karatchentzeff a écrit :
>
> [...]
>
>> >
>> > Je suis en train d'essayer le wifi :)
>>
>>         C'est dommage, tu avais un réseau sécurisé... AVANT !! :)

>>
>>         Pour info, le cryptage WEP se crack en 10 minutes.


    En fait, maintenant le temps pour casser la clef WEP s'est encore
raccourci. On parle maintenant en secondes... ;)


http://linuxfr.org/2006/08/16/21198.html

>> J'espère
>> donc pour
>> toi que ta carte supporte le WPA ou le WPA2.
>
> Bon, je rebondis là-dessus...
>
> Je commence à regarder un peu comment sécuriser - et surtout si c'est
> possible - de sécuriser un réseau WIFI...
>
> Je fais la synthèse de ce que j'ai trouvé :
>
> - réseau en l'air -> on n'y pense même pas :)
> - réseau en l'air avec serveur DHCP et liste des adresses MAC
> autorisées -> trop facile encore
> - réseau chiffré avec une clé WEP (et DHCP restreint aux adresses MAC
> du réseau) -> trop facile de casser la clé donc au final, on se
> retrouve dans le cas précédent
>
> Il ne reste que le cas du chiffrement pas WPA ou WPA2.
>
> A priori, si la clé est suffisamment longue, c'est incassable.


    Mouai.... La longueur ne fait pas tout. C'est surtout la complexité de
la clef qui est importante. On trouve très facilement sur Internet des
softs qui font des attaques de WPA/WPA2 à base de dictionnaires.


    Donc tu as intérêt d'opter sur une clef à base de caractères
aléatoires, du genre d'une sortie MD5
<extrait>
[olivier@phoenix ~]$ echo toto | md5sum
11a3e229084349bc25d97e29393ced1d  -
</extrait>


et en y rajoutant majuscules, minuscules, caractères spéciaux, etc...

    Bref, il faut appliquer le manuel du "mot de passe pour parano"...



> Si on
> cumule cela avec
>
> - DHCP restreint aux adresses MAC connues


    Dans tout les cas, il ne faut pas considérer la protection par filtrage
d'adresse MAC comme ne serait-ce qu'un *tout petit peu* fiable. Si un
pirate a cassé ta clef W*P*, il passera la protection MAC.


    En fait, cette protection par adresse MAC ne sert que dans le cas où tu
veux interdire temporairement à un néophyte (dont lui a donné la clef
W*P*) d'utilisé ton réseau Wifi.


> - routeur éteint quand non utilisé


    C'est toujours utile en effet lors des longues périodes de non
utilisation (vacances...). Mais c'est un peu léger comme protection.


> Est-ce que ce dernier cas est considéré comme réellement suffisant ?


    Personnellement, la seul solution efficace et fiable que je vois c'est
le VPN. C'est faisable sur ton réseau, car ta passerelle de connexion à
Internet est un Linux, et donc qu'elle peut faire tourner un  serveur VPN.


    Sans oublier bien sûr de fermer TOUT les ports de toutes les toutes
machines (netfilter est là pour t'aider), sauf les ports de VPN. Tout
les flux (partages Samba, NFS, SSH, DNS, mail, etc...) passant par
l'interface réseau "virtuelle" du VPN.


> Qu'est-ce que l'on risque ainsi ?


    Personnellement, je suis trop parano pour utiliser du Wifi. Dans le
pire des scénario, ce que tu risques, c'est qu'un intrus se trouve à
l'intérieur de ton LAN. Le wifi, cela reviens donc à mettre un prise
réseau à l'extérieur de ta maison... Avec en plus un gros néon rouge qui
clignote "Venez ici pour vous connecter dans mon LAN"


    Mais en fait, on peut très bien accepter cet état de faits. Mais la
seul chose, c'est qu'il faut considérer que TOUT le réseau LAN est
hostile, et donc il faut protéger chaque machine contre toutes celles du
LAN.


    C'est faisable, mais carrément plus pénible que dans ta configuration
actuelle, où c'est ta passerelle qui assure la protection du LAN.


> Merci


    De rien.
                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!