2006/8/18, Olivier Allard-Jacquin <olivieraj@???>:
> Patrice Karatchentzeff a écrit :
>
[...]
> Et j'insiste sur le fait que toutes les machines qui ont une connexion
> wifi, la passerelle y compris, ne doivent avoir que les seuls ports VPN
> d'ouverts. Plus éventuellement la réponse aux ICMP (cela facilite le
> débuggage des configurations). Tout le reste DOIT être fermé.
>
> Il est par exemple ridicule de laisser exposé le port "portmap" aux
> attaques d'un pirate. Car si il y a une faille de sécurité sur portmap,
> la machine en question peut-être corrompu.
Si on a un autre port que le VPN ouvert sur le VPN, ce n'est plus un VPN ;)
[...]
> > Si l'on est capable de montrer que la clé WPA(2) assure une totale
> > confiance dans la connexion au réseau,
>
> Le problème est bien là. Avec le wifi tu exposes une partie de ton
> infrastructure réseau à l'extérieur. La réussite de l'intrusion ne
> dépendra principalement que du temps donc disposera l'intrus pour
> rentrer chez toi. Le temps jouant contre toi, je ne vois pas comment on
> peut assurer une "totale confiance" au wifi.
>
> A moins que tu ne veuilles changer ta clef WAP* toutes les semaines.
> Mais c'est vraiment lourd comme mesure...
Bof... la sécurité n'a pas de prix dans l'absolu.
C'est au pire contraignant mais pas lourd. Et scripter cela ne prend
pas beaucoup de temps. L'intervalle de temps entre deux mises à jour
est alors à tester (si le WIFI est éteint 5 jour par semaine par
exemple, on peut pousser à un mois entre les changements de clé).
En fait, tout le nœud du problème est là : comme la sécurité du WIFI
repose sur la clé WPA et que *théoriquement*, elle est craquable dans
le temps, il suffit de la changer de temps en temps pour être assuré
d'avoir un réseau blindé (je répète qu'il s'agit d'un réseau privé).
[...]
> Il ne faut pas se leurrer. Du moment que l'intrus est dans le réseau,
> il a gagné :
Non. Avec une clé WPA, il peut *tenter* sa chance. Il n'a pas gagné du
tout... ce que tu dis est vrai sur un réseau filaire où quand la
personne est root sur une machine du réseau, il a pratiquement
gagné... là, c'est faux. Tant que la clé WPA résiste, il reste comme
un con à la porte...
Sans compter - mais là, je n'ai pas trop fait de recherche là-dessus -
que l'on doit quand même pouvoir détecter une tentative de dialogue
depuis l'extérieur (sauf si le craquage est purement passif...).
[...]
> Le seul blindage vraiment efficace au niveau du wifi me semble être au
> minimum une solution à base de VPN. Tout le reste (WEP, WPA*, filtrage
> d'adresse MAC, etc...), c'est du bonus nécessaire MAIS PAS SUFFISANT.
Là, je ne suis pas trop d'accord. Autant le WEP, pseudo-filtrage MAC
sur DHCP, etc. sont des leurres anti-scripts kiddies, autant le WPA(?)
à lui tout seul est déjà une mesure a priori infranchissable.
SI maintenant, on ajoute *en plus* un VPN sur le réseau WIFI au-dessus
du WPA, on a un accès *encore plus* sécurisé qu'un réseau filiaire...
La sécurité de ton réseau filaire repose intégralement sur le filtrage
de la passerelle - qui est par définition beaucoup plus facilement
cassable - qu'une clé WPA. Et derrière, c'est la fête du slip... ton
LAN est un peu près le paradis pour le cracker du coin qui y fera ce
qu'il voudra... ou peu s'en faut.
[...]
> Oui, c'est comme cela que je le pensais. Il n'est pas obligatoire de
> rajouter du VPN sur le LAN filaire.
Toi qui es parano, tu devrais :)
> >> C'est faisable, mais carrément plus pénible que dans ta
> >> configuration
> >> actuelle, où c'est ta passerelle qui assure la protection du LAN.
> >
> > bah, oui, mais on n'a rien sans rien. Il n'est pas toujours possible
> > de tirer un câble :)
>
> Cela dépend. Personnellement, j'ai tiré 60m de câbles chez moi, en
> passant par la cave et les fondations. 1 journée de sale boulot a ramper
> parfois dans des zones exiguës. Mais au final j'ai un réseau 100%
> sécurisé, et performant.
Encore une fois, tout dépend de la configuration des lieux. Autant là
où je veux le faire, c'est impossible sans gros travaux.
>
> > Et puis, ne nous leurrons pas, dans quelques années, il n'y aura plus
> > du tout de câble...
>
> Que tout les saints binaires nous en protège ! Ne serait-ce qu'en terme
> de rayonnement électromagnétique, un câble réseau, tout gigabit qu'il
> soit, n'a pas d'impact sur le corps humain. Par contre, je n'en dirait
> pas autant d'un point d'accès wifi !
Bof... il faut arrêter de psychoter sur n'importe quoi : ton
micro-onde est autrement plus dangereux... si cela se trouve, comme tu
habites en villes, tu habites juste à côté des antennes de relais de
téléphone, d'un transfo haute-tension EDF et autres joyeusetés encore
plus nocive (comme l'environnement d'un fumeur tout simplement).
Le danger dans les ondes EM, c'est la puissance par rapport à la
distance. La carte réseau et le routeur, tu ne t'assois pas dessus,
non ? :)
[...]
> A condition d'utiliser les solutions "lourdes", et pas très flexibles.
> Ce n'est pas à la porté de tout le monde. Et certainement pas à celle de
> l'utilisateur lambda.
Cela ne me dérange pas : on est entre informaticien, non ? Si en tant
qu'informaticien, on en n'est pas capable, alors, il vaut mieux
changer de métier...
> > Mais je suis preneur de tous les arguments, contre-arguments et
> > expérience(s).
>
> Pour ce qui est des arguments contre le wifi:
> - prix de périphériques : Moins de 15€ pour une carte réseau filaire,
> bien plus pour du wifi
>
> - compatibilité avec Linux. Il n'y a pas beaucoup de produit à fournir
> des drivers libres pour des cartes wifi. Alors que pour les cartes
> réseau, il y a NETTEMENT moins de problème (merci à certaines sociétés
> commerciales et aux développeurs libres !)
C'est en effet ce qui m'embête le plus : ndiswrapper étant une
solution à la con (à quoi cela sert-il de se casser la tête à faire
une solution sécurisée pour avoir un élément clé du réseau comme une
boîte noire potentiellement trouée ?)
> - problème de la "pollution" micro-onde. C'est un sujet "tabou" que tout
> le monde veut ignorer. Mais personnellement, je préfère un câble réseau
> qui émet (presque) rien, qu'un accès-point wifi qui peut dégager en
> permanence du 100mW. Le "rien" est toujours mieux que le "un petit peu
> mais en continu".
bof... ne démarre plus ta voiture, Olivier, le moteur émeut de
méchantes OEM très dangereuses :)
PK
--
|\ _,,,---,,_ Patrice KARATCHENTZEFF
ZZZzz /,`.-'`' -. ;-;;,_ mailto:p.karatchentzeff@free.fr
|,4- ) )-,_. ,\ ( `'-' http://p.karatchentzeff.free.fr
'---''(_/--' `-'\_)
