Re: Sécuriser un réseau WIFI [était : dongle WIFI netgear WG…

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: ML Guilde
Subject: Re: Sécuriser un réseau WIFI [était : dongle WIFI netgear WG111T]
    Bonjour,

    ouf, retour sur un sujet informatique... ;)


Patrice Karatchentzeff a écrit :
>>         Il est par exemple ridicule de laisser exposé le port
>> "portmap" aux
>> attaques d'un pirate. Car si il y a une faille de sécurité sur portmap,
>> la machine en question peut-être corrompu.

>
> Si on a un autre port que le VPN ouvert sur le VPN, ce n'est plus un VPN ;)


    Je voulais simplement rappeler que sur une machine, un démon écoute
*par défaut* sur toutes les interfaces réseaux. Ainsi, par exemple
"portmap" écoutera par défaut sur l'interface VPN ET sur l'interface
réseau connectée au wifi (wifi0) ou sur Internet (ppp0 / eth0). A
priori, "portmap" de pourra pas être attaqué sur l'interface VPN (à
moins que celle-ci ne soit corrompu), par contre l'intrus pourra
l'attaquer via l'interface physique (wifi ou internet).


    Trop souvent l'utilisateur ignore ou ne fait pas attention à ce
problème là.


    Exemple chez moi :


root@#####:~# netstat -taupn
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Adresse locale  Adresse distante Etat       PID/Program name
tcp        0 0.0.0.0:2049    0.0.0.0:*        LISTEN     4982/rpc.nfsd
tcp        0 0.0.0.0:111     0.0.0.0:*        LISTEN     3410/portmap
tcp        0 192.168.x.x:19 0.0.0.0:*         LISTEN     5845/xinetd


Ici, les 2 premiers démons (portmap et nfs) écoutent sur toutes les
interfaces réseaux (le "0.0.0.0:2049" et "0.0.0.0:111" le prouve). Y
compris ppp0, qui est la connexion Internet. C'est MAL. Ici, "netfilter"
(le firewall) est l'unique protection qui évite que ces démons ne soient
attaqués par l'exterieur.

Par contre, le port 19 n'écoute QUE sur l'interface réseau locale
(192.168.x.x). Ceci a été rendu possible par l'utilisation de "xinetd".
Ainsi, même si le firewall laisse passer quelque chose, l'intrus ne
pourra pas attaquer le port 19.

> [...]
>
>> > Si l'on est capable de montrer que la clé WPA(2) assure une totale
>> > confiance dans la connexion au réseau,
>>
>>         Le problème est bien là. Avec le wifi tu exposes une partie de
>> ton
>> infrastructure réseau à l'extérieur. La réussite de l'intrusion ne
>> dépendra principalement que du temps donc disposera l'intrus pour
>> rentrer chez toi. Le temps jouant contre toi, je ne vois pas comment on
>> peut assurer une "totale confiance" au wifi.

>>
>>         A moins que tu ne veuilles changer ta clef WAP* toutes les
>> semaines.
>> Mais c'est vraiment lourd comme mesure...

>
> Bof... la sécurité n'a pas de prix dans l'absolu.


    D'accord avec toi.


> C'est au pire contraignant mais pas lourd. Et scripter cela ne prend
> pas beaucoup de temps.


    A condition de pouvoir scripter la chose. Sous Linux, ce ne sont pas
les langages de scripts qui manquent. Sous d'autres OS (Windows, ...),
les outils sont nettement moins courants.


> L'intervalle de temps entre deux mises à jour
> est alors à tester (si le WIFI est éteint 5 jour par semaine par
> exemple, on peut pousser à un mois entre les changements de clé).


    Attention: Là, tu supposes que ton wifi n'est piratable que lorsqu'il
est allumé. Mais :
- pendant 2 jours, l'intrus peut tenter une attaque par force brute ou
dictionnaire contre les clefs WPA*
- pendant les 5 jours qui restent, il peut tenter de casser TES propres
trames CRTYPES qui sont passés entre tes machines et ta passerelle
Linux, et qu'il aura sniffé pendant les 2 premiers jours.


    Ce sont 2 méthodes d'attaques différentes, qui peuvent être utilisés
alternativement. Et la 2nd peut être utilisée 24h/24.


> En fait, tout le nœud du problème est là : comme la sécurité du WIFI
> repose sur la clé WPA et que *théoriquement*, elle est craquable dans
> le temps, il suffit de la changer de temps en temps pour être assuré
> d'avoir un réseau blindé (je répète qu'il s'agit d'un réseau privé).


    Le changement régulier d'une clef WEP/WPA* est effectivement le seul
moyen de se protéger. Tout comme le changement régulier des mots de passe.


    Mais combien de personne le font il ? ;)


>>         Il ne faut pas se leurrer. Du moment que l'intrus est dans le
>> réseau,
>> il a gagné :

>
> Non. Avec une clé WPA, il peut *tenter* sa chance. Il n'a pas gagné du
> tout... ce que tu dis est vrai sur un réseau filaire où quand la
> personne est root sur une machine du réseau, il a pratiquement
> gagné... là, c'est faux. Tant que la clé WPA résiste, il reste comme
> un con à la porte...


    C'est pourquoi j'ai écrit "du moment que l'intrus est dans le
réseau (wifi)". Et pour rentrer dans le réseau, il lui faut casser le WPA*.


> Sans compter - mais là, je n'ai pas trop fait de recherche là-dessus -
> que l'on doit quand même pouvoir détecter une tentative de dialogue
> depuis l'extérieur (sauf si le craquage est purement passif...).


    Cela va dépendre de la techno que tu utilises (point d'accès du genre
"boîte noire commerciale" ou un Linux). Sur ton Linux, SNORT
http://www.snort.org/ peut t'indiquer une activité anormale dans ton
réseau. Mais je ne suis pas sûr qu'il sache descendre en-dessous de la
couche IP, et de surveiller ce qu'il se passe au niveau de
l'authentification wifi. Tout va dépendre si Linux peut accéder à ces
informations.


    Et puis, si tu trouves quelque chose, tu fais quoi ? Tu vas aller voir
tout tes voisins, et leur demander "Dites moi chez voisin, est-ce que ce
ne serait pas vous qui seriez en train de casser ma clef WPA ?". Et
puis, si l'intrus utilise une antenne à haut gain, il peut se trouver
sacrément loin !!!


> [...]
>
>>         Le seul blindage vraiment efficace au niveau du wifi me semble
>> être au
>> minimum une solution à base de VPN. Tout le reste (WEP, WPA*, filtrage
>> d'adresse MAC, etc...), c'est du bonus nécessaire MAIS PAS SUFFISANT.

>
> Là, je ne suis pas trop d'accord. Autant le WEP, pseudo-filtrage MAC
> sur DHCP, etc. sont des leurres anti-scripts kiddies, autant le WPA(?)
> à lui tout seul est déjà une mesure a priori infranchissable.


    Utilise un mot du dictionnaire, ou "123456798" comme clef WPA*, et tu
verras si cette mesure est vraiment infranchissable !!!


    Et puis, en son temps le WEP était lui-aussi considéré comme
infranchissable. Est-ce qu'à l'heure où j'écris ces lignes, il n'y a pas
quelques labo ou mathématiciens qui sont en train de travailler et de
trouver une méthode permettant de casser le WPA. Nous le saurons dans
quelques jours/mois/années (rayer la mention inutile).


    Enfin, est-tu sûr à 100% de la fiabilité de l'implémentation du WPA
dans ta carté wifi ? Ce ne serait pas la première fois qu'un
constructeur de hardware fasse une GROSSE boulette au niveau
l'implémentation hardware... Le scandale d'il y a quelques années des
cartes bleus cassées par un mathématicien, cela ne te rappelle rien ?


> SI maintenant, on ajoute *en plus* un VPN sur le réseau WIFI au-dessus
> du WPA, on a un accès *encore plus* sécurisé qu'un réseau filiaire...


    Raison pour laquelle j'ai parlé de l'importance du VPN il y a déjà
quelques mails...


> La sécurité de ton réseau filaire repose intégralement sur le filtrage
> de la passerelle - qui est par définition beaucoup plus facilement
> cassable - qu'une clé WPA.


    Pas d'accord. La protection de mon réseau filaire est assurée par les
murs de mon habitat. Si quelqu'un rentre chez moi, effectivement il
pourra s'attaquer à mon réseau filaire. Mais il fera sans doute mieux de
voler mon ordinateur, et cela, ni Linux ni WPA ni quoi que ce soit ne
peuvent rien contre.


    Par contre, ma connexion Internet est protégé par un Linux configuré au
petits oignons, avec AUCUN port d'ouvert sur Internet. Netfilter (le
firewall de Linux) est configuré pour bloquer tout ce qu'il rentre sur
ma machine. Bref, exactement comme pour ta passerelle Linux. Chez toi,
il y a donc 2 moyens (informatique) de rentrer sur ton réseau interne.
Chez moi, il n'y en a qu'un.


> Et derrière, c'est la fête du slip... ton
> LAN est un peu près le paradis pour le cracker du coin qui y fera ce
> qu'il voudra... ou peu s'en faut.


    Qu'il casse déjà ma passerelle, après on en discutera. Au vu de mes
logs, ils sont déjà nombreux à avoir tenté de rentrer dessus (100% de
robots et de scripts automatique je pense), mais tous sont resté dehors...


> [...]
>
>>         Oui, c'est comme cela que je le pensais. Il n'est pas
>> obligatoire de
>> rajouter du VPN sur le LAN filaire.

>
> Toi qui es parano, tu devrais :)


    T'inquiètes, j'y travaille... ;) J'ai déjà supprimé tout les écrans,
clavier et souris des machines, et je ne travaille dessus que par
liaison télépathiques... ;)


[...]

> Bof... il faut arrêter de psychoter sur n'importe quoi : ton
> micro-onde est autrement plus dangereux... si cela se trouve, comme tu
> habites en villes, tu habites juste à côté des antennes de relais de
> téléphone, d'un transfo haute-tension EDF et autres joyeusetés encore
> plus nocive (comme l'environnement d'un fumeur tout simplement).


    Je suis d'accord. Alors, autant ne pas en rajouter en plus, tu ne crois
pas ?


> Le danger dans les ondes EM, c'est la puissance par rapport à la
> distance.


    Pas seulement. Il y a aussi l'aspect de la durée d'exposition.


> La carte réseau et le routeur, tu ne t'assois pas dessus,
> non ? :)


    Si j'avais une carte wifi, l'antenne serait à moins de 50cm de mes
pieds (j'ai une grande tour, posé par terre). Ce n'est donc pas l'idéal...


> [...]
>
>>         A condition d'utiliser les solutions "lourdes", et pas très
>> flexibles.
>> Ce n'est pas à la porté de tout le monde. Et certainement pas à celle de
>> l'utilisateur lambda.

>
> Cela ne me dérange pas : on est entre informaticien, non ? Si en tant
> qu'informaticien, on en n'est pas capable, alors, il vaut mieux
> changer de métier...


    Il n'y a pas que des informaticiens chevronnés qui sont abonnés à cette
liste et qui nous lisent. Et lorsque je poste, c'est toujours à
guilde@??? et pas seulement à PK ! :)


>> > Mais je suis preneur de tous les arguments, contre-arguments et
>> > expérience(s).
>>
>>         Pour ce qui est des arguments contre le wifi:
>> - prix de périphériques : Moins de 15€ pour une carte réseau filaire,
>> bien plus pour du wifi

>>
>> - compatibilité avec Linux. Il n'y a pas beaucoup de produit à fournir
>> des drivers libres pour des cartes wifi. Alors que pour les cartes
>> réseau, il y a NETTEMENT moins de problème (merci à certaines sociétés
>> commerciales et aux développeurs libres !)
>
> C'est en effet ce qui m'embête le plus : ndiswrapper étant une
> solution à la con (à quoi cela sert-il de se casser la tête à faire
> une solution sécurisée pour avoir un élément clé du réseau comme une
> boîte noire potentiellement trouée ?)


    CF ma remarque plus haut sur le niveau de fiabilité de l'implémentation
WPA*


>> - problème de la "pollution" micro-onde. C'est un sujet "tabou" que tout
>> le monde veut ignorer. Mais personnellement, je préfère un câble réseau
>> qui émet (presque) rien, qu'un accès-point wifi qui peut dégager en
>> permanence du 100mW. Le "rien" est toujours mieux que le "un petit peu
>> mais en continu".
>
> bof... ne démarre plus ta voiture, Olivier, le moteur émeut de
> méchantes OEM très dangereuses :)


    Raison pour laquelle je fais le plus de vélo possible !!


    Bon WE,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!