Cette après-midi j’ai eu un message de Eset (centre de sécurité) m’avertissant que l’IP 192.168.1.18 avait envoyé de nombreuses requêtes sur mon poste.
Sachant que j’ai une Freebox V5 (pas HD, je suis en zone non dégroupé), je n’ai trouvé aucun moyen de savoir à quel appareil appartenait cet IP. (bon après une enquête de 20 secondes j’ai trouvé que c’était le PC de ma femme) Sachant qu’un réseau domestique de geek monte rapidement à une dizaine d’appareils connectés
Avec un vrai routeur on peux savoir en permanence qui est connecté sur le réseau et notamment leur adresse MAC, leur trafic etc…
Est-il possible de trouver cette information quelque part avec une “simple” Freebox (dont l’interface se gère encore en ligne :doh: ) ?
Je trouve ça d’autant plus surprenant que l’Hadopi a rendu chacun responsable de l’usage qui est fait de sa ligne. Comment maîtriser cette usage si on ne peut même pas vérifier qui est connecté dessus ?
J’y connais rien en freebox, mais perso je tenterai de lui ouvrir le bide à coup de telnet et d’opérer la chose en ligne de commande, c’est ce que j’ai fait sur une belacom box 2 (vraie saloperie au passage), parce que je trouvais pas l’option pour changer son ip dans l’interface de gestion…
La Freebox n’a pas cette option (contrairement aux dernières SFRBox et LiveBox)
Par contre il existe des soft qui te permettent ça, je ne sais plus le nom mais il averti en cas de nouvelle IP sur ton LAN.
Dans tous les cas un arp -a te montrera qui ton PC connait sur le réseau. Sinon plus sioux, tu mets par exemple un masque /29 (255.255.255.248) et il ne pourra pas y avoir plus de 6 machines sur le réseau.
Le meilleur palliatif à tout ça reste une loooongue clef WPA2
EDIT : Après un doute, je viens de vérifier on ne peut pas changer le masque sur la freebox, on est forcement sur une classe C classique/
sur la v5 je sais pas ,mais sur la v6 il y a une option de filtrage par adresse mac. Soit une liste noire ou tu dit quels sont les adresses mac a rejeter, soit une liste blanche ou tu inscrit les seuls adresses mac autorisees. Regarde si tu as ca, comme ca tu inscris tout ton matos en liste blanche une bonne fois pour toute et t’es tranquille.
Mode parano ON : si tu fais ça mais que ton WiFi est mal sécurisé, une personne peut obtenir les adresses MAC autorisées (celles qui son connectées), attendre que tu te déconnectes, spoofer sa MAC, et se connecter tranquillou à te place
PS: c’est à la porté de n’importe quel script kiddie (aka Kevin, 13ans le fils du voisin)
En plus, il n’y a même pas forcement besoin d’attendre que tu déconnectes…
Une clef WPA de 10 caractères vraiment aléatoires (Dµe&DF!zh:a), ça fait l’affaire (ça occupe un moment en brute force). Pour les smartphones, je conseille d’imprimer un QRcode avec la clef (Le QRcode Wifi n’est pas assez supporté)
Clair que le filtrage MAC n’a jamais été une sécurité très poussée, bien que couplé à un bonne clef WPA ça fait une défense de plus pour décourager un voisin.
Le filtrage MAC on peut le gerer sur l’interface, mais c’est ultra mal foutu: vu que tu ne sais pas qui est connecté, tu n’as pas les adresse MAC sous la main pour les passer en liste blanche. Resultat: obliger de rechercher pour chacun de tes matos l’adresse MAC, pour ensuite la retaper à la main sur le site de Free…pour ton PC un copier-coller suffit, mais pour la Wii ou le WDTV Live c’est papier-crayon obligatoire.
Bref je crois que je vais finir par ressortir mon routeur netgear.
L’autre problème du filtrage MAC, c’est le manque de souplesse. Un pote qui passe chez toi et qui veut connecter son téléphone ou son laptop ? Et hop, on repasse à la config…
[quote=“zontrax, post:7, topic: 54496”]
En plus, il n’y a même pas forcement besoin d’attendre que tu déconnectes…
[/quote]Comment ça ?
2 adresses MAC similaires sur un réseau ça merde, le switch (ou dans ce cas l’AP) ne saura pas à qui envoyer quoi.
cacher le ssid (il est envoyé en clair à chaque connexion, il suffit de sniffer et d’attendre quelques heures)
filtrer les mac (elles sont envoyés en clair à chaque trame ! même chose suffit de sniffer)
le Wep, a cause de sa faille
Les deux premières méthodes apportent un faux sentiment de sécurité, tout en étant super contraignant.
Reste le WPA avec une clef pas trop évidente (genre 10 caractères au pif ou une phrase de 30 caractères, genre ‘Le petit chat est mort de citrouille !’. La connexion est assez simple pour celui qui a le droit et très compliqué pour celui qui n’a pas le droit.
[quote=“AcidBen, post:13, topic: 54496”]
Comment ça ?
2 adresses MAC similaires sur un réseau ça merde, le switch (ou dans ce cas l’AP) ne saura pas à qui envoyer quoi.
[/quote]
Une AP, c’est plus un Hub qu’un switch.
[quote=“zontrax, post:14, topic: 54496”]
Une AP, c’est plus un Hub qu’un switch.
[/quote]Hmmm donc tu dis que 2 MAC identiques sur le même AP ça ne pose aucun souci ?
Un hub balance tout sur tous ses ports et c’est au destinataire de faire le ménage, genre « oh, une trame qui n’est pas pour moi, je drop ». Il me semble que les AP modernes sont quand même moins cons que ça.
Je sais pas les détails mais AES est plus récent et sécure que TKIP, mais pas supporté par les vieilles cartes WiFi.
Pour ta deuxième question, WPA(2) Entreprise, requiert un serveur RADIUS.
Oui, c’est au destinataire de faire le ménage. Et non, aucun ap ne sait envoyer des ondes qu’à un seul client… Si tu as 2 personnes face à toi, comment faire pour parler à l’une sans que l’autre entende ?
Par moins cons je voulais dire qu’ils vérifient les adresses MAC connectées, parce que faut quand même se connecter à un AP et d’en obtenir une ip pour communiquer.
