Le 16/08/06, Olivier Allard-Jacquin<olivieraj@???> a écrit :
> Patrice Karatchentzeff a écrit :
[...]
> > Il ne reste que le cas du chiffrement pas WPA ou WPA2.
> >
> > A priori, si la clé est suffisamment longue, c'est incassable.
>
> Mouai.... La longueur ne fait pas tout. C'est surtout la complexité de
> la clef qui est importante. On trouve très facilement sur Internet des
> softs qui font des attaques de WPA/WPA2 à base de dictionnaires.
On est d'accord : je parlais simplement du principe fonctionnel, pas
de la réalisation pratique.
[...]
> Bref, il faut appliquer le manuel du "mot de passe pour parano"...
Toujours d'accord.
[...]
> Dans tout les cas, il ne faut pas considérer la protection par filtrage
> d'adresse MAC comme ne serait-ce qu'un *tout petit peu* fiable. Si un
> pirate a cassé ta clef W*P*, il passera la protection MAC.
Toujours d'accord. Je ne l'ajoute que comme bretelle à un truc solide
(WPA). On peut aussi blinder /etc/hosts.allow/deny etc. Bretelle,
ceinture et tout le tralala :)
[...]
> C'est toujours utile en effet lors des longues périodes de non
> utilisation (vacances...). Mais c'est un peu léger comme protection.
Je le voyais surtout comme protection passive, pour éviter qu'un
pirate ait tout son temps pour casser une clé par attaque de
dictionnaire et/ou attaque brute.
> > Est-ce que ce dernier cas est considéré comme réellement suffisant ?
>
> Personnellement, la seul solution efficace et fiable que je vois c'est
> le VPN. C'est faisable sur ton réseau, car ta passerelle de connexion à
> Internet est un Linux, et donc qu'elle peut faire tourner un serveur VPN.
>
> Sans oublier bien sûr de fermer TOUT les ports de toutes les toutes
> machines (netfilter est là pour t'aider), sauf les ports de VPN. Tout
> les flux (partages Samba, NFS, SSH, DNS, mail, etc...) passant par
> l'interface réseau "virtuelle" du VPN.
Je n'avais pas pensé à cela.
Donc, pour résumer, je monte un VPN sur le WIFI et ma passerelle sert
de FW/routeur/serveur VPN entre le réseau filaire interne, le réseau
VPN constitué des machines connectées sous WIFI et le réseau internet.
> > Qu'est-ce que l'on risque ainsi ?
>
> Personnellement, je suis trop parano pour utiliser du Wifi. Dans le
> pire des scénario, ce que tu risques, c'est qu'un intrus se trouve à
> l'intérieur de ton LAN. Le wifi, cela reviens donc à mettre un prise
> réseau à l'extérieur de ta maison... Avec en plus un gros néon rouge qui
> clignote "Venez ici pour vous connecter dans mon LAN"
oui mais non.
Si l'on est capable de montrer que la clé WPA(2) assure une totale
confiance dans la connexion au réseau, le seul reproche que l'on peut
faire au WIFI est que l'intrus potentiel peut *tenter* d'essayer
d'entrer avec, quand même l'avantage d'être déjà sur le réseau
*physique* (ce qui est presque gagné sur un réseau filaire mais pas
gagné si c'est du WIFI en WPA(2)).
Si *en plus*, on blinde le réseau WIFI, il est impossible d'entrer
dans le réseau.
> Mais en fait, on peut très bien accepter cet état de faits. Mais la
> seul chose, c'est qu'il faut considérer que TOUT le réseau LAN est
> hostile, et donc il faut protéger chaque machine contre toutes celles du
> LAN.
Sauf si on crée deux LAN, un « sûr » filaire, composé de machine
contrôlé totalement (des linux box, pas de Windows) et un autre LAN,
potentiellement dangereux, sur le WIFI... si on crée un VPN sur le
second LAN, on peut raisonnablement penser que l'association des deux
LAN est alors sûr.
> C'est faisable, mais carrément plus pénible que dans ta configuration
> actuelle, où c'est ta passerelle qui assure la protection du LAN.
bah, oui, mais on n'a rien sans rien. Il n'est pas toujours possible
de tirer un câble :)
Et puis, ne nous leurrons pas, dans quelques années, il n'y aura plus
du tout de câble... alors, autant prendre les devants... pour le
moment, c'est à usage privé. Donc, j'ai toute la souplesse des choix
et mon expérience à faire...
Ce que je veux déterminer avec certitude, ce sont les limites du système.
En gros, peut-on raisonnablement assurer le même niveau de
confidentialité sur un LAN en filaire et en WIFI.
Il semble que la réponse est finalement oui.
Mais je suis preneur de tous les arguments, contre-arguments et expérience(s).
PK
--
|\ _,,,---,,_ Patrice KARATCHENTZEFF
ZZZzz /,`.-'`' -. ;-;;,_ mailto:p.karatchentzeff@free.fr
|,4- ) )-,_. ,\ ( `'-' http://p.karatchentzeff.free.fr
'---''(_/--' `-'\_)
