Le routeur de la muerte

Bah je connais pas de sites à proprement parler , ca vient juste avec l’habitude

Sur le linksys, y a pas grand chose à regler, le DHCP , la securité Wifi, le Nat et eventuellement l’administration à distance, mais bon… là ça depend des besoins de chacun …

Ce qu’il lui manque à ce linksys , c’est justement une bonne vraie notice , meme en PDF, parce que meme sur le site , c’est inexistant… ce qui peut laisser presager effectivement des pbm de SAV … !

Si tu as besoin de conseils Lord Amano, hesites pas à demander

Lord_Amano> Vu que quasiement tout marche tout seul sur le routeur, les trucs que tu peux configurer c’est surtout par rapport à la sécurité.
Par rapport au wifi, il y a plusieurs précautions à prendre:
[ul]
[li]désactiver le broadcast ssid [/li][li]n’autoriser que les adresses mac connues [/li][li]éventuellement activer un cryptage (wep ,wpa) mais, c’est pas forcément super utile, et en plus ca cause des problèmes de débit à pas mal de monde.[/li][/ul] Après, faut faire faire quelques recherches sur les ports que tu dois ouvrir pour les quelques applications qui acceptent des connexions entrantes (bt, serveurs en tous genres … ).
Une fois ces ports identifiés, il faut créer des règles de redirection, et la ca peut devenir compliqué.
Si tu n’as besoin de faire tourner ces applications que sur une seule machine de ton réseau, pas de problème, tu mets un ip en dur pour la machine en question et tu crées une règle de port forwarding ( port range forwarding si tu dois ouvrir une plage) qui redirige vers la machine en question et basta.
Si dois les faire tourner sur plusieurs pcs, c’est plus compliqué! Chaque pc doit utiliser un port différent qu’il faut configurer directement dans les applications concernées et au niveau du routeur.

Plus généralement, pas vraiment besoin de tutorial, mais d’une connaissance de base de TCP/IP (surtout TCP) et du fonctionnement d’un NAT.

A oui, un petit truc aussi, activer l’universal PNP sur le routeur (désactivé par défaut). avec les logiciels compatibles, ça marche du feu de dieu (par ex smart ftp, on est pas obligé de faire du passif)

[quote]Bah je connais pas de sites à proprement parler , ca vient juste avec l’habitude

Sur le linksys, y a pas grand chose à regler, le DHCP , la securité Wifi, le Nat et eventuellement l’administration à distance, mais bon… là ça depend des besoins de chacun …

Ce qu’il lui manque à ce linksys , c’est justement une bonne vraie notice , meme en PDF, parce que meme sur le site , c’est inexistant… ce qui peut laisser presager effectivement des pbm de SAV … !

Si tu as besoin de conseils Lord Amano, hesites pas à demander [/quote]ouais c’est vrais que dans la doc et sur le site, c’est assez light
moi je voudrais juste un tuto ou des conseils pour parametrer mon routeur aux petits oignons

sinon c’est avec plaisir que j’aurais besoin de tes conseils Monsieur_Max

bon par quoi je commence lol

• dans l’onglet security firewall, est ce qu’il est besoin de filtrer les Proxy, applet java, cookies et activeX?
  moi par defaut j’ai laissé decoché par contre j’ai coché “Block Anonymous Internet Requests” alors ai je bien fait?

• sinon ya une option VPN j’en entend bcp parler, mais qu’est ce qu’un VPN?

• autre question de newbie, sur mon routeur donc j’ai un firewall hardware integré, donc est ce que j’ai encore besoin d’un firewall software?
    [quote]plein de truc interessant [/quote]merci joeman, j’ai suivis tes conseil
  par contre qu’est ce que le broadcast ssid?

Bon ben moi j’ai le modele sans le modem (Linksys) et j’en suis SUPER content. Non seulement je trouve l’interface de paramétrage HYPEr bien faite (et avcec toutes les axplications pour savoir a quoi sert chaque paramètre que même un neu neu comme moi arrive à tout règler comme il faut), mais en plus le Wifi marche nickel : 10m de distance, 2 murs (extérieurs, donc EPAIS) et ça marche top moumoutte. Non, vraiment, Linksys c’est de la balle !

Si je ne raconte pas de connerie, losque le broascast ssid est mis, ton routeur diffuse le nom de ton ssid. Ce qui fait que quelqu’un passant par hasard dans la rue avec un portable wifi (wardriving ) ou tout simplement un de tes voisins avec une carte wifi dans son pc “voit” que ton réseau sans fils existe.

Le fait de n’autoriser que les adresses mac connues empeche ce genre de personne de se connecter sur ton réseau.
Mais ca n’empeche pas de voir qu’il existe ! Avec le matériel adéquat il est possible sans trop de problemes d’intercepter les communications entre le routeur et tes pcs sans fil. Rajouter un cryptage ne change pas grand chose (un peu quand même ). Ca devient juste un peu plus compliqué de voir ce que tu communiques avec le routeur.

Tout ca tombe un peu dans la paranoïa mais comme ce sont des options de sécurité accessibles, autant s’en servir.

En fait , le reseau wifi est loin d’etre tres tres securisé …

Le SSID, le nom du reseau wifi en gros, peut etre diffusé ( broadcasté ) ou non …
Comme Joeman l’a dit, ça pose effectivement des pbm d’intrusion TRES facile…
Par contre ça peut permettre au niveau depannage pour voir si un matériel peut reconnaitre un reseau.

La clé WEP , 128 ou 64 bits, crypte les données… Le decryptage par les piratins se fait par “brute force” donc pas tellement de possibilités de bloquer ça.
La clé WPA elle, a l’avantage d’etre changée dynamiquement à intervalles reguliers, par contre c’est assez recent , et je sais pas encore ce que ça peut donner

Le linksys permet de ne permettre l’acces wifi qu’aux adresses MAC ( les adresses uniques inscrites materiellement sur chaque carte reseau ) specifiées. En gros sur mon reseau , je n’ai qu’une carte Wifi, et c’est celle-çi uniquement qui peut se connecter.
Un piratin peut sans trop de difficulté spoofer cette adresse pour se connecter au reseau en se faisant passer pour l’ordinateur ayant cette carte.

Donc le wifi SAIBON mais faisez gaffe quand meme, une petite verification des traffics permettent de s’assurer de l’integrité de son reseau.

Au niveau des options du firewall , tu as reglé correctement les choses Lord_Amano

Par contre merci pour le petit conseil donné pour Upnp, j’ignorais que ça servait concretement à cela

Edit : rajout de reponse …

Le VPN ( ou Virtual Private Network - reseau privé virtuel ) donne la possibilité à un ordinateur de se connecter à un reseau d’entreprise via le net, c’est tout … ( simplifions nous la vie ! )

Au niveau du firewall Hardware, oui tu peux te passer d’un firewall logiciel…
Par contre, tu ne sauras pas si tu recois des attaques, il ne me semble pas que le linksys logue tout cela.
Autre chose, le firewall Hardware ne bloque pas l’acces des programmes vers le net. Donc si tu veux empecher l’acces d’un programme qui veut envoyer des infos de ton ordi ou de lui meme sur le net, je te conseille d’installer un petit firewall qui fera uniquement cela.
Ce message a été édité par Monsieur_Max le 12/04/2004

Le crytage sert à quoi en fait, empecher que quelqu’un qui “ecouterait” le wifi ne puisse enregistrer les données qui transitent ou bien à empecher l’acces au reseau?

[quote]Le crytage sert à quoi en fait, empecher que quelqu’un qui “ecouterait” le wifi ne puisse enregistrer les données qui transitent ou bien à empecher l’acces au reseau?[/quote]Les deux.

En fait , le cryptage “crypte” les echanges entre l’ordinateur et le routeur.
Ca empeche pas un ordinateur de se connecter au reseau , mais de dialoguer avec !

Si par exemple le nom de reseau est bon , mais pas la clé wep , l’ordi serait integré au reseau, mais il ne pourra rien faire …

Si un piratin a le nom de reseau, il pete la clé WEP en 3h avec une bonne becane …

donc en gros les clés wep codé 128 bit c’est pas si inviolable que ça?
tain ça fait flipper tous ça

sinon pour revenir au VPN, si j’ai bien compris, si je configure ça bien, ça permettrait quand je suis au taf, d’accéder au rezo de mon petit chez moi
intéressant
par contre je viens de regarder ça, ça a pas l’air facile a configurer

[quote]Si un piratin a le nom de reseau, il pete la clé WEP en 3h avec une bonne becane …[/quote]128 bits? 3heures ? Je demande a voir en vrai et pas sur des sites de caids H4Ck3Rs de la mort qui se la petent…

Ce message a été édité par GloP le 12/04/2004

Tout dépends de la “bonne bécane”.
Avec un Cray c’est possible.
A moins que tout les hackerzzzzZzzzZzzzz ne se donnent le mot et mettent au point un logiciel de calcul partagé pour peter les clefs afin d’acceder aux prochaines photos pour le post du dredi sur mon pc!

Je suis pas un pro et j’ai jamais essayer mais je crois qu’il y a des softs exprets pour casser les codes … J’en ai vu dans le arbre de portage de Gentoo donc ca doit etre facile trouvable …

128 bits c’est dur a casser mais faut voire comment c’est codé le tout !

Koubiak

Calculs alacon™ en restant dans les moyens accessibles au script kiddie de base.

128 bits ca fait l’equivalent d’un cadena a 38 chiffres (en base 10) quand meme et d’un mot de passe de ln(2^128)/ln(36)= 24.7 lettres+chiffres (si je me gourre pas dans mes calculs alacon™)

2^128, en 3heures ca fait 2^128/(36003) par secondes. En admettant que tu trouves en moyenne a la moitie du temps si t’as du pot il te faut faire 2^128/(360032) tests par secondes, ce qui fait 1.575310^34 par seconde.

En prenant un PC a 3.4GHz et en considerant un seul front d’horloge pour faire un test (hahahaha!!! on est sur le reseau, en wireless, mais bon, allons y) et toujours en considerant la moitie des tests seulement il te faut (2^128)/(3.410^92*3600)= 13900423485332453572850269.911428 heures pour y arriver… Meme en s’y mettant a 5 ou 6 Pcs a la maison, c’est pas pour demain.

Alors ou

1. la methodologie de crypto utilisee est completement craquee, ou completement mal implementee. Mais dans ce cas la c’est vraiment pas la peine de mettre un cryptage different d’un XOR… et c’est pas la faute a la “crypto” elle meme et certainement pas la faute au fait que la clef fasse 128 bits.

2. C’est du gros pipo car meme si en sachant a quoi s’attendre et avec une bonne analyse cryptographique (demandant des madskillz en maths ou meme en utilisant un prog deja tout fait) on peut fortement diminuer ce chiffre je penche plutot perso vers le gros pipotage a la con

Mais je peux me tromper… j’attends juste des vrais preuves et pas des chiffres balances “comme ca” sans preuve en l’air qui disent “bah ca tombe en 3h” parceque c’est du bon FUD pour l’instant…

Ce message a été édité par GloP le 13/04/2004

Bon en vrai… avec des calculs si je me rappelle mes probas.

Le truc c’est la formule de poisson
P(X = k) = e ^(- µ) * µ^k / k!

Si on prend la proba d’avoir sur une seconde 1/(2^128)3.410^9 (proba moyenne de l’evennement sur une seconde) et qu’on veut la probabilite de trouver en 3 heures (3600*3 secondes) on trouve une probabilite de vraiment pas beaucoup comme chance de trouver en trois heures…

Ce message a été édité par GloP le 13/04/2004

Effectivement j’apporterai pas de preuves, mais à mon taf un mec a mis au point effectivement son propre logiciel pour decrypter ça , il a pretendu l’avoir pété en 3h.
 
Connaissant le loulou ca doit etre plus …apres , au niveau brute force , 3h ou 3 jours, c’est pas tellement different… si tu chopes un SSID à coté de chez toi, tu lances le soft et zou

Maintenant j’ai adoré la demo de Glop j’essaierai de titiller le prétendu hackourze  !

[quote]Calculs alacon™ en restant dans les moyens accessibles au script kiddie de base.
…

…
Ce message a été édité par GloP le 13/04/2004[/quote]Je ne connais pas les clef WEP, mais, pour rire… a ton avis ça prend comment de temps pour casser un mot de passe Windows ? (LanManager & NT password)

Ok ça a pas grand chose a voir, mais la reponse est drôle.

http://wepattack.sourceforge.net/ qui j’ai vite lu pas le temps nous fait des attaques par dico et http://airsnort.shmoo.com/ que j’ai pas le temps de lire …

Koubiak  128 c’est pas bien de toute facon !

Bah les attaques par dico ont rien a voir, c’est ridicule. Forcement si le mot de passe est FredRulez et que l’admin s’appelle Fred… On parle ici de clef qui ont ete generees aleatoirement avec un vrai generateur de nombre aleatoire qui a ete “seede” comme il faut. Je parle que d’attaque “brute force” pure. Si l’admin est un con, y a pas de remede contre ca…

Et ca vaut pour la crypto ou les mots de passe sous windows, sous linux ou n’imoporte ou sur un domaine ou ailleurs… Essaye un peu de rentrer sur ma machine a la maison tiens qu’on rigole Tu va bouffer toute ma bande passante avec ton attaque par dico, je vais te banner ton ip alacon et meme en y passant 15 jours t’auras toujours rien trouve avec une attaque par dico de base… le power d’un mot de passe vraiment aleatoire…

D’ailleurs… Personne a une TI sous la main ou un programme pour les probabilites cumulative de variable aleatoire de poisson… parceque calculer ca a la main sur la calculatrice de windows… merci quoi… juste pour avoir la probabilite de trouver en moins de 3 heures en brute force pure pour rigoler…

Ce message a été édité par GloP le 13/04/2004