[OpenBSD]Sécuriser un réseau wifi

Bon voilà, j’ai une carte wifi en mode Access Point sur une toute petite config (p133 et 32mo de RAM)

L’idée c’est de rendre le wifi secure. Déjà, OpenBSD ne supporte pas le WPA ce qui est (à mon sens) un gros problème. La solution la plus secure que je connaisse est le tunnel VPN mais les performances du pentium 133 sont pas assez suffisantes pour garantir un bon accès à plusieurs utilisateurs simultanément.

Pour l’instant, j’utilise authpf : c’est un filtrage au niveau du firewall. Les regles de firewall par défaut ne permettent que la connection SSH sur la passerelle. Dans le cas d’une connection SSH réussie sur la passerelle, on ajoute quelque regles de firewall (autoriser le http(s) le ftp et le pop3). Ces regles ne sont valables que pour l’IP le temps de la connection SSH.

Le truc qui me derange : c’est que les données circulent quand même en clair. C’est dangereux ou pas à votre avis ?

PS: selon moi, j’ai la même sécurité que sur une LAN dont le cache ARP du switch est saturé.

tout dépends de l’utilisation du réseau wifi.

Tu peux en profiter pour encourager tes utilisateurs à utiliser (voir les forcer, via quelques blocages) des protocoles sécurisés (ftp over SSL, pops, smtps …). A défaut de VPN, tu peux aussi regarder du coté d’IPSec (amuse toi bien ).

Sinon, t’as effectivement la même sécurité que sur un hub, mais note que n’importe qui peut virtuellement se brancher sur ce hub.

Tu peux aussi regarder du côté de OpenVPN. Très bon produit …

A+

Une simple connection SSH avec un screen irssi me fait monter à presque 0.20 de charge. J’ai un peu peur qu’OpenVPN sature assez vite. (je tenterais quand meme si j’ai le temps)

Comment tu mets un carte wifi en access Point ?
Parce que je vais peut etre faire ca plutot que de m´acheter un point d accés je savais pas que c’etait possible.

Koubiak

[quote=“koubiak, post:5, topic: 28411”]Comment tu mets un carte wifi en access Point ?
Parce que je vais peut etre faire ca plutot que de m´acheter un point d accés je savais pas que c’etait possible.

Koubiak[/quote]

Sous OpenBSD, je fais un

Après faut un chipset compativle. Pour linux ça doit etre pareil mais ça doit surement pas marcher avec les drivers ndiswrapper qui utilisent les drivers windows qui ne supportent que très rarement ce genre de fonctionnalités.

Perso j’ai pris celle-là : http://www.ldlc.fr/fiche/PB00022138.html (chipset ralink 2500, c’est très bien supporté dans les systèmes alternatifs en général)

T’arrive a faire du hostAP sur un RT2500 ? Avec WEP ?
J’avais galéré a mort lorsque j’avais testé …

interressant je note tout ca peut etre que je vais faire ca aussi.

Koubiak

[quote=“Tzim, post:7, topic: 28411”]T’arrive a faire du hostAP sur un RT2500 ? Avec WEP ?
J’avais galéré a mort lorsque j’avais testé …[/quote]
Je suis en OpenBSD-current avec un snapshot de y’a 2 semaines. Je passerais en 3.9 quand elle sortira. T’es sur que t’as un RT2500 et pas la nouvelle version qui est tres mal supporté (RT2600 je crois).

Sinon j’ai pas mis de WEP, j’ai vu comment c’était facile à cracker donc je me suis dis que ça servait à rien.

[quote=“majinboo, post:1, topic: 28411”]Bon voilà, j’ai une carte wifi en mode Access Point sur une toute petite config (p133 et 32mo de RAM)

L’idée c’est de rendre le wifi secure. Déjà, OpenBSD ne supporte pas le WPA ce qui est (à mon sens) un gros problème. La solution la plus secure que je connaisse est le tunnel VPN mais les performances du pentium 133 sont pas assez suffisantes pour garantir un bon accès à plusieurs utilisateurs simultanément.

Pour l’instant, j’utilise authpf : c’est un filtrage au niveau du firewall. Les regles de firewall par défaut ne permettent que la connection SSH sur la passerelle. Dans le cas d’une connection SSH réussie sur la passerelle, on ajoute quelque regles de firewall (autoriser le http(s) le ftp et le pop3). Ces regles ne sont valables que pour l’IP le temps de la connection SSH.

Le truc qui me derange : c’est que les données circulent quand même en clair. C’est dangereux ou pas à votre avis ?

PS: selon moi, j’ai la même sécurité que sur une LAN dont le cache ARP du switch est saturé.[/quote]

Le problème dans ta solution, c’est que tu ne sécurises que les données niveau 3+ avec SSH (le problème serait le même avec un VPN). Les données de niveau inférieur, cad les trames 802.11, ne sont pas cryptées et sont donc lisibles par tout le monde. Autrement dit, tu es sujet à diverses attaques mettant en oeuvre les couches basses, pas la peine de te faire une liste (l’arp spoofing devrait te suffir :P)

Est-ce suffisant ou non ? Tout dépend du contexte, de la sensibilité des données qui transitent et du niveau de sécurité que tu veux obtenir en terme de confidentialité et d’intégrité des données. Si ton Wi-Fi appartient à une entreprise, j’aurais tendence à dire non. Pour un réseau perso, ça peut être valable.

Mais attention, c’est une grosse erreur de croire que le cryptage seul suffit à sécuriser un réseau Wi-Fi. Il y a un tas d’autre fateurs à prendre en compte : lister les adresses MAC autorisées à se connecter (ça se spoof très facilemet mais il faut quand même le faire), séparer le Wi-Fi du filaire par un firewall bien configuré, mettre le WiFi dans un sous-réseau IP, éventuellement placer un proxy dans ce sous-réseau et n’ouvrr le firewall qu’à ce proxy, authentifier les utilisateur sur un serveur radius (802.1x), ne pas diffuser le SSID… Il faut également prévoir des défenses proactive type IDS, détection d’attaque, détection de borne pirate, analyseur de spectre, etc, etc, etc.

Bref, il faut piocher dans tout ça en fonction de ton budget, des risques et du niveau de sécu que tu désires atteindre.

Le plus simple ne serait-il pas d’acheter une borne tout simplement ?

universal tonton> Je précise quand même que le Wifi est séparé du filiaire par le firewall OpenBSD, les utilisateurs du Wifi n’ont accès qu’aux DNS de mon FAI, au HTTP, FTP, POP, SMTP et SSH. Le reste ça passe pas.

Sinon, c’est un réseau domestique et pas d’entreprise.

OK, mais ça ne changera rien au fait qu’un pirate, une fois connecté à ton Wi-Fi pourra sniffer toutes les trames contenant du DNS, HTTP, FTP, POP, SMTP d’une IP qui a été “authentifiée” par SSH. Et à partir de là, tu t’exposes à quantité impressionnante d’attaques…

Toutes les données peuvent être récupérées (login/pass notamment bien sûr) si elles ne sont pas cryptées par une couche haute. Ton FW ne te servira plus à rien : un petit coup d’IP Spoofing, voir même tout simplement un changement de l’adresse IP du pirate et hop, ton FW est bypassé.

Bref, dans cette configuration, en 2 min, un pirate a accès ton WiFi, ton filaire, tes login/pass… Quitte à ne rien mettre, autant mettre quand même du WEP.

Bah c’est les failles classiques d’une LAN avec un switch floodé ou un hub. Je vais mettre un WEP en plus, ça bouffe pas trop de perfs mais niveau sécu c’est pas beaucoup mieux.

Oui, mais se brancher chez toi et saturer ton switch, cela demande un peu plus de boulot que déployer la rue en bas de ton immeuble…

Certes, le WEP, ce n’est pas bcp mieux, mais c’est toujours mieux que rien.

PS : Regarde si tu peux faire du TKIP avec le WEP. Normalement, le TKIP est spécifique à WPA mais il est entièrement compatibles avec le WEP et il me SEMBLE qu’on peut l’appliquer à ce dernier. L’avantage de TKIP par rapport au WEP simple, c’est que les clés sont renouvelées tous les 10000 paquets. Même si l’algorithme reste « faible » (RC4), le niveau de sécirité atteint est tout à fait acceptable pour un réseau domestique.

Je peux faire que du WEP simple sur OpenBSD, je quand même mettre un WEP avec un script pour changer les clefs régulierement. D’après ce que j’ai lu, il faut bien plus de 10 000 pakets pour cracker une clef WEP.

Et c est pas sur non plus avec si peu de paquets le plus gros trucs pour casser du WEP ca depends du traffic dessus…

Koubiak

[quote=“universal_tonton, post:14, topic: 28411”]Oui, mais se brancher chez toi et saturer ton switch, cela demande un peu plus de boulot que déployer la rue en bas de ton immeuble…

Certes, le WEP, ce n’est pas bcp mieux, mais c’est toujours mieux que rien.

PS : Regarde si tu peux faire du TKIP avec le WEP. Normalement, le TKIP est spécifique à WPA mais il est entièrement compatibles avec le WEP et il me SEMBLE qu’on peut l’appliquer à ce dernier. L’avantage de TKIP par rapport au WEP simple, c’est que les clés sont renouvelées tous les 10000 paquets. Même si l’algorithme reste “faible” (RC4), le niveau de sécirité atteint est tout à fait acceptable pour un réseau domestique.[/quote]

Le WEP, ca se casse, de toutes facons. (et non, on peut pas faire de TKIP en WEP).
Par contre, je m’insurge : RC4 est un très bon algo de chiffrement a flots (ou de flux). Juste que les ingés qui on concu le wifi ont fait ca comme des sagouins, et ont utilisé un algo de chiffrement a flots au lieu d’utiliser un algo de chiffrement en blocs.

En effet, le propre du chiffrement a flot, c’est qu’une clé est censée être à usage unique, pour chiffrer un flot continu, et ces cons réutilisent la même clé (modulée, OK, mais avec une modulation publique) pour chiffrer les paquets. Pire, c’est cette modulation qui va générer des failles dans le systeme en produisants de cas “limites” (d’ailleurs, certains AP pros ont été mis à jour afin d’éviter ces cas limites évitant grandement les attaques avec les outils des skiddies).

Pour ce qui est du nombre de paquets, il en faut effectivement plus de 10000 pour casser facilement une clé WEP, et c’est cette propriété qu’utilise WPA/TKIP, mais il est aussi très aisé pour un attaquant de générer artificiellement du trafic utilile. (Le coup classique : chopper une requette ARP - taille facilement repérable - et la répeter).

La solution adoptée me parrait pas si mal. A ceci que je conseillerais a mes utilisateurs de n’utiliser que des protocoles applicatifs sécurisés. C’est en gros ce qui est fait chez nous, à la fac : les APs sont publics. Mais mis a part le http (qui est proxié de manière transparentent), seuls passent les ports sécurisés. (ssh, https, pop3s, smtps, imaps …). Après, faut faire comprendre aux utilisateurs que le web non sécurisé peux être sniffé et qu’ils doivent faire attention.

Si vraiment il y’a besoin de plus de flexibilité :

• IPSec (direct)
• Tunnels (PPTP, ou L2TP/IPsec)

Si t’es interressé sur la solution l2tp/ipsec, on peux regarder ensemble. J’ai monté y’a pas longtemps un serveur l2tp (sans ipsec) pour d’autres besoins, et ca m’interresserai d’experimenter ca.

[quote=« Tzim, post:17, topic: 28411 »]Le WEP, ca se casse, de toutes facons. (et non, on peut pas faire de TKIP en WEP).
Par contre, je m’insurge : RC4 est un très bon algo de chiffrement a flots (ou de flux). Juste que les ingés qui on concu le wifi ont fait ca comme des sagouins, et ont utilisé un algo de chiffrement a flots au lieu d’utiliser un algo de chiffrement en blocs.

En effet, le propre du chiffrement a flot, c’est qu’une clé est censée être à usage unique, pour chiffrer un flot continu, et ces cons réutilisent la même clé (modulée, OK, mais avec une modulation publique) pour chiffrer les paquets. Pire, c’est cette modulation qui va générer des failles dans le systeme en produisants de cas « limites » (d’ailleurs, certains AP pros ont été mis à jour afin d’éviter ces cas limites évitant grandement les attaques avec les outils des skiddies).[/quote]

D’où le « faible » entre guillemets, pour simplifier et pas rentrer dans des considérations trop techniques qui ne servent pas à grand chose

Je persise et signe : quitte à ne rien mettre, autant mettre du WEP, ça évitera au moins quelques tentatives. Et si tu peux changer les clés assez régulièrement avec un script, pourquoi pas.

[quote=« Tzim, post:17, topic: 28411 »]Si vraiment il y’a besoin de plus de flexibilité :

• IPSec (direct)
• Tunnels (PPTP, ou L2TP/IPsec)[/quote]

Si j’ai bien compris, sa machine n’est pas assez puissante pour ça, mais effectivement c’est l’une des meilleures solutions pour sécuriser les flux IP. Mais ca n’empêchera personne de voir les trames de niveau 2- passer, ce qui, pour moi, est totalement inenvisageable sur un Wi-Fi.

Je me répète, mais bon, un point d’accès, ça ne coute que 30/40€, avec ça tu pourras avoir du WPA2 (s’il est compatible), c’est-à-dire un cryptage plus sûr (AES avec renouvellement des clés à chaque paquet), un bien meilleur contrôle d’intégrité des paquets (CBC-MAC) et l’authentification 802.1x (en mettant un petit OpenRADIUS sur ton OpenBSD, tu peux n’accorder l’accès au Wi-Fi qu’aux personnes autorisées).

Je persiste est signe : le WEP sers à ce que le voisin ne ce connecte pas par erreur sur ton réseau wifi. Point.

Ensuite, je vois pas le problème a ce que la couche 2 passe en clair, si tout ce qui est dessus est chiffré. Eventuellement, tu demande à l’AP de ne pas forwarder les trammes entres les stations.

Sinon, pour ce qui est de la puissance de la machine, tout dépends du nombre de clients potentiels. Mais je doute qu’une dizaine de tunels fasse peur, même a une aussi petite config.

[quote=“Tzim, post:19, topic: 28411”]Je persiste est signe : le WEP sers à ce que le voisin ne ce connecte pas par erreur sur ton réseau wifi. Point.

Ensuite, je vois pas le problème a ce que la couche 2 passe en clair, si tout ce qui est dessus est chiffré. Eventuellement, tu demande à l’AP de ne pas forwarder les trammes entres les stations.

Sinon, pour ce qui est de la puissance de la machine, tout dépends du nombre de clients potentiels. Mais je doute qu’une dizaine de tunels fasse peur, même a une aussi petite config.[/quote]

Pour le WEP, on est tout à fait d’accord, mais c’est toujours mieux que rien !!

Ensuite, si les trames 802.11, ne sont pas cryptées, le risque c’est tout simplement des attaques du type ARP spoofing et/ou ARP poisoning. Exemple tout bête mais qui peut être fatal, le pirate que se fait passer pour la passerelle VPN. Top facile à faire, surtout s’il n’y a pas de système de détection d’intrusion (ça aussi, on l’oublie dans 90% des réseaux Wi-Fi, c’est pourtout vital) ou de contre-mesures aux attaques ARP.

Enfin, moi je dis ça, je dis rien, mais je ne mettrai jamais un Wi-Fi comme ça, ni dans ma boite, ni chez moi d’ailleurs (pour info, je supervise justement la mise en place d’un réseau Wi-Fi dans ma boite, quand je vois toutes les mesures que l’on prend, ça me hérisse un peu les poils de lire ce genre de chose… mais c’est vrai que c’est un réseau d’entreprise).