Re: Sécuriser un réseau WIFI [était : dongle WIFI netgear WG…

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: ML Guilde
Subject: Re: Sécuriser un réseau WIFI [était : dongle WIFI netgear WG111T]
    Bonsoir Patrice,

Patrice Karatchentzeff a écrit :

[...]

> Je le voyais surtout comme protection passive, pour éviter qu'un
> pirate ait tout son temps pour casser une clé par attaque de
> dictionnaire et/ou attaque brute.
>
>> > Est-ce que ce dernier cas est considéré comme réellement suffisant ?
>>
>>         Personnellement, la seul solution efficace et fiable que je
>> vois c'est
>> le VPN. C'est faisable sur ton réseau, car ta passerelle de connexion à
>> Internet est un Linux, et donc qu'elle peut faire tourner un  serveur
>> VPN.

>>
>>         Sans oublier bien sûr de fermer TOUT les ports de toutes les
>> toutes
>> machines (netfilter est là pour t'aider), sauf les ports de VPN. Tout
>> les flux (partages Samba, NFS, SSH, DNS, mail, etc...) passant par
>> l'interface réseau "virtuelle" du VPN.

>
> Je n'avais pas pensé à cela.
>
> Donc, pour résumer, je monte un VPN sur le WIFI et ma passerelle sert
> de FW/routeur/serveur VPN entre le réseau filaire interne, le réseau
> VPN constitué des machines connectées sous WIFI et le réseau internet.


    Oui.


    Et j'insiste sur le fait que toutes les machines qui ont une connexion
wifi, la passerelle y compris, ne doivent avoir que les seuls ports VPN
d'ouverts. Plus éventuellement la réponse aux ICMP (cela facilite le
débuggage des configurations). Tout le reste DOIT être fermé.


    Il est par exemple ridicule de laisser exposé le port "portmap" aux
attaques d'un pirate. Car si il y a une faille de sécurité sur portmap,
la machine en question peut-être corrompu.


    Il faut donc considérer que les interfaces réseaux wifi sont en "zone
de guerre", et donc les protéger à fond.



>> > Qu'est-ce que l'on risque ainsi ?
>>
>>         Personnellement, je suis trop parano pour utiliser du Wifi.
>> Dans le
>> pire des scénario, ce que tu risques, c'est qu'un intrus se trouve à
>> l'intérieur de ton LAN. Le wifi, cela reviens donc à mettre un prise
>> réseau à l'extérieur de ta maison... Avec en plus un gros néon rouge qui
>> clignote "Venez ici pour vous connecter dans mon LAN"

>
> oui mais non.
>
> Si l'on est capable de montrer que la clé WPA(2) assure une totale
> confiance dans la connexion au réseau,


    Le problème est bien là. Avec le wifi tu exposes une partie de ton
infrastructure réseau à l'extérieur. La réussite de l'intrusion ne
dépendra principalement que du temps donc disposera l'intrus pour
rentrer chez toi. Le temps jouant contre toi, je ne vois pas comment on
peut assurer une "totale confiance" au wifi.


    A moins que tu ne veuilles changer ta clef WAP* toutes les semaines.
Mais c'est vraiment lourd comme mesure...


> le seul reproche que l'on peut
> faire au WIFI est que l'intrus potentiel peut *tenter* d'essayer
> d'entrer avec, quand même l'avantage d'être déjà sur le réseau
> *physique* (ce qui est presque gagné sur un réseau filaire mais pas
> gagné si c'est du WIFI en WPA(2)).


    Il ne faut pas se leurrer. Du moment que l'intrus est dans le réseau,
il a gagné :
- un accès à Internet pour y faire des "bêtises". Si le lendemain à 6h
la gendarmerie débarque chez toi parce qu'un serveur gouvernementale a
été attaqué depuis ton adresse IP, tu seras super content... Sans parlé
de la possibilité pour que l'intrus se serve de ta connexion pour
envoyer toutes sortes de cochonnerie sur Internet : spam, virus, images
pédophiles, etc...


- la possibilité d'attaquer les machines de ton réseau :
+ Je doute que tu n'ais pas de serveur NFS sur ton réseau. C'est une
cible "facile", qui de toute façon n'a pas été pensé pour être vraiment
résistante aux attaques
+ tu as un serveur DHCP, et probablement un serveur DNS interne. Ce
sont des cibles sensibles, car elles tournent sur ta passerelle. Et si
elles tombent et que ta passerelle est corrompue, l'intrus fera ce qu'il
veut de ton réseau. Y compris par exemple de mettre un serveur de
contenu illégale sur ta passerelle.

> Si *en plus*, on blinde le réseau WIFI, il est impossible d'entrer
> dans le réseau.


    Le seul blindage vraiment efficace au niveau du wifi me semble être au
minimum une solution à base de VPN. Tout le reste (WEP, WPA*, filtrage
d'adresse MAC, etc...), c'est du bonus nécessaire MAIS PAS SUFFISANT.


>>         Mais en fait, on peut très bien accepter cet état de faits.
>> Mais la
>> seul chose, c'est qu'il faut considérer que TOUT le réseau LAN est
>> hostile, et donc il faut protéger chaque machine contre toutes celles du
>> LAN.

>
> Sauf si on crée deux LAN, un « sûr » filaire, composé de machine
> contrôlé totalement (des linux box, pas de Windows) et un autre LAN,
> potentiellement dangereux, sur le WIFI... si on crée un VPN sur le
> second LAN, on peut raisonnablement penser que l'association des deux
> LAN est alors sûr.


    Oui, c'est comme cela que je le pensais. Il n'est pas obligatoire de
rajouter du VPN sur le LAN filaire.


>>         C'est faisable, mais carrément plus pénible que dans ta
>> configuration
>> actuelle, où c'est ta passerelle qui assure la protection du LAN.

>
> bah, oui, mais on n'a rien sans rien. Il n'est pas toujours possible
> de tirer un câble :)


    Cela dépend. Personnellement, j'ai tiré 60m de câbles chez moi, en
passant par la cave et les fondations. 1 journée de sale boulot a ramper
parfois dans des zones exiguës. Mais au final j'ai un réseau 100%
sécurisé, et performant.


> Et puis, ne nous leurrons pas, dans quelques années, il n'y aura plus
> du tout de câble...


    Que tout les saints binaires nous en protège ! Ne serait-ce qu'en terme
de rayonnement électromagnétique, un câble réseau, tout gigabit qu'il
soit, n'a pas d'impact sur le corps humain. Par contre, je n'en dirait
pas autant d'un point d'accès wifi !


> alors, autant prendre les devants... pour le
> moment, c'est à usage privé. Donc, j'ai toute la souplesse des choix
> et mon expérience à faire...
>
> Ce que je veux déterminer avec certitude, ce sont les limites du système.
>
> En gros, peut-on raisonnablement assurer le même niveau de
> confidentialité sur un LAN en filaire et en WIFI.
>
> Il semble que la réponse est finalement oui.


    A condition d'utiliser les solutions "lourdes", et pas très flexibles.
Ce n'est pas à la porté de tout le monde. Et certainement pas à celle de
l'utilisateur lambda.


> Mais je suis preneur de tous les arguments, contre-arguments et
> expérience(s).


    Pour ce qui est des arguments contre le wifi:
- prix de périphériques : Moins de 15€ pour une carte réseau filaire,
bien plus pour du wifi


- compatibilité avec Linux. Il n'y a pas beaucoup de produit à fournir
des drivers libres pour des cartes wifi. Alors que pour les cartes
réseau, il y a NETTEMENT moins de problème (merci à certaines sociétés
commerciales et aux développeurs libres !)

- problème de la "pollution" micro-onde. C'est un sujet "tabou" que tout
le monde veut ignorer. Mais personnellement, je préfère un câble réseau
qui émet (presque) rien, qu'un accès-point wifi qui peut dégager en
permanence du 100mW. Le "rien" est toujours mieux que le "un petit peu
mais en continu".

- performance et stabilité du signal : Une carte réseau, c'est
100Mb/1Gb, avec un temps de réponse presque constant. Du wifi, c'est
54Mb/s, et ca répond quand ca veut. D'un autre coté, tu peux surveiller
l'activité de ton four à micro-onde avec GKrellm et sa sonde réseau... ;)

    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!