En fait il faudrait pouvoir avoir une liste de clés ou un moyen de la recalculer, et en changer automatiquement toutes les 2mn pour être à peu près peinard.
moi mon wifi est pas capté depuis la route et les maisons voisines sont egalement hors de portee, donc un gars avec son portable sur les genoux dans mon jardin c’est reperable. Sinon j’utilise juste le filtrage par adresse MAC.
J’ai l’ultime protection: pas de wifi activé, et voilà le tour est joué B)
[quote=“zontrax, post:1, topic: 30639”]1 - Désactiver le broadcast SSID ne sert à rien, c’est un peu comme enlever son nom sur la sonnette de l’immeuble, ça emmerde juste ceux qui viennent vous voir. Je m’explique : le ssid est un paramètre obligatoire pour le fonctionnement d’un réseau wifi, il doit être partagé de tous. Ce paramètre circule en clair sur le réseau (quelque soit le cryptage en place) lors des phases de connection et de reconnection. Un pirate a juste à attendre la bonne trame (au besoin la provoquer en envoyant un faux paquet de déconnection). En gros, ça protège contre tata nicole et certains équipements merdent si le SSID n’est pas diffusé.
2 - Filtrer les adresses MAC. Encore une lubie d’apprentie sécuritaires. L’adresse MAC circule en clair et dans chaque trame, il suffit d’attendre que le PC ne soit plus utilisé pour piquer l’adresse MAC en question (pour modifier son adresse MAC, aller dans les propriétés de la carte réseaux, toutes en sont capables). Donc a part être méga-geek et laisser tous ses équipements wifi allumé 24/24, c’est pas très utile…[/quote]
Attention, si effectivement ces protections sont effectivement contournables très facilement, cela ne vaut pour autant pas dire qu’il faut les laisser de côté. En particulier surtout quand il s’ait d’une ou deux cases à cocher, franchement, pourquoi s’en priver ?? Ce qui est dangereux, c’est de croire que ces mesures suffisent.
Dans ton sondage, il y a quand même un manque énorme. Crypter c’est bien, crypter et authentifier c’est mieux. Autrement dit, un utilisateur qui s’est correctement connecté à ton réseau Wi-Fi devra fournir des informations type login/pass, sans quoi il ne sera jamais connecté. Personnellement, j’ai installé FreeRADIUS sur ma gw et j’utilise la méthode PEAP+MSCHAP.
On a donc : cryptage et authentification, ça limite déjà pas mal le vecteur d’attaque. Pour se protéger encore mieux, on peut isoler le réseau Wi-Fi du réseau filaire en plaçant un FW entre les 2, et n’ouvrir que les flux nécessaires.
PS : On s’éloigne un peu du Wi-Fi pûrement personnel B)
C’est pour ça que je suis en train d’acheter des prises réseau murales, je vais faire passer du cable dans les goulottes de l’électricité, et comme ça je pourrai dégager le wifi, qui n’est là qu’à cause du laptop de ma copine.
petit point après 2 heures de sondage :
2/3 ont un ssid visible (contre 1/3 dans mon immeuble), la population geek semble connaitre l’innéficacité de cette mesure (et la gène que ça apporte en environement mouvant)
2/3 filtrent les macs, c’est compréhensible sur un environement statique
au niveau du cryptage, certain emploient rien, en campagne, c’est normal. en centre ville près d’un resto ça peut être risqué (pour la bande passa,te).
Pour moi, j’en ai pas parlé. Le plus gros risque pour un particulier, c’est de se faire exploiter sa connection internet à des fins moyennement légales (pédophilie, attaque de machines sensibles ou spam).
Ce qui me fait peur (parano mode), c’est la facilité pour automatiser une attaque :
- écoute passive avec ethereal pour noter les MACs et les SSID
- envoie d’une trame de déconnexion (en cas de SSID masqué) avec ethereal
- cassage du wep avec les 3 scripts perl (utilise les capture ethereal)
Le pb c’est qu’en france on peut se retrouver à être perquisitionné, même si ça donne à un non-lieu, il y a de quoi avoir les boules.
Enfin, la meilleure protection reste des voisins laxistes B)
Il existe un autre moyen de se protéger, c’est de baisser la puissance de l’AP afin de ne pas trop baver…
Par contre je suis scandalisé que les consoles portables ne sachent pas prendre en compte le WPA.
avec une antenne directionnelle, on peut augmenter la porté de façon spectaculaire !
Topic très intéressant sachant que je n’ai pas la WIFI mais que je compte bien me faire une installation bientôt (<6mois).
Sinon je pensais mettre SSID bloqué + filtrage MAC + WEP.
J’aurais bien aimé faire du WPA mais ma DS me limite…
Sinon je suis un gros parano.
Il existe rien d’autres de plus fiable?
si… les cables ! B)
ok ok
oui, je n’ai parlé que du WPA-PSK, le WPA-RADIUS c’est mieux. mais l’archi à mettre en place est autrement plus complexe, surtout pour un particulier.
Pour moi la protection idéal est sûre et simple. C’est pourquoi j’élimine les masquage du ssid et le filtrage mac (le ratio travail/sécurité est pas favorable) et ne garde que le wpa-psk. Le radius complique un peu la tache pour un gain assez faible (surtout si en plus on utilise des certificats)
Une clef WEP ca se casse en 30 sec (et encore) B)
[quote=« universal_tonton, post:24, topic: 30639 »]Personnellement, j’ai installé FreeRADIUS sur ma gw et j’utilise la méthode PEAP+MSCHAP.
On a donc : cryptage et authentification, ça limite déjà pas mal le vecteur d’attaque. Pour se protéger encore mieux, on peut isoler le réseau Wi-Fi du réseau filaire en plaçant un FW entre les 2, et n’ouvrir que les flux nécessaires.[/quote]
Oui, Radius et compagnie c’est le top mais ca s’applique plus aux entreprises qu’aux grand publique.
WPA c’est une case a cocher, ca a rien a voir avec les vrai protections lourdes a mettre en place comme un serveur Radius. Maintenant 100% des equipements vendu sont compatible WPA (voir WPA2). Pour les equipements un peu plus vieux, il y a toujours possibilité de les flasher. Enfin c’est vrai que la DS aime pas le WPA (c’est la seul bonne excuse que j’accepte 
).
C’est quand même curieux pour la DS, parce que la puce wifi qu’ils mettent dedans, elle, gère très bien le WPA et le fait en ce moment même sur ma machine. Je soupçonne que ce soit une histoire de firmware et que Nintendo pourrait très bien corriger cela un jour ou l’autre.
Pareil…
Avant l’arrivée de la DS :
SSID Broadcast disabled
Filtrage MAC
WPA2 AES
DHCP désactivé
- Accès au routeur désactivé en wifi et https activé
Après l’arrivé de la DS :
SSID Broadcast disabled
Filtrage MAC
WEP
DHCP désactivé
- Accès au routeur désactivé en wifi et https activé
Le problème étant que si le WEP est cracké tout le reste est facilement crackable…
Alors que avant en WPA2 c’etait beaucoup moins évident…
et si on laisse volontairement son réseau local ouvert (sans cryptage), avec un filtre sur l’adresse mac pour empecher les machines non déclarées d’accéder à certains services (ports et serveurs edonkey, bt, ce genre de choses) et une limitation de la bande passante au passage (parcequ’on est sympa on veut bien laisser le type qui passe dans la rue utiliser un peu notre internet mais qu’il faut pas non plus nous prendre pour des cons), qu’on utilise un controleur de domaine pour sécuriser un peu (par Login/mdp) tout ce qui est partage de fichiers/imprimantes, on est considéré comme sécurisé ou pas?
(perso j’ai encore rien de tout ça, ayant déménagé encore récemment j’ai toujours pas récupéré mon routeur/nat/serveur/etc (sous openbsd, parce que pf c’est le bien), donc mon wifi est ultra-sécurisé grace à la technologie RJ45, mais dès que j’aurai le matos pour personnaliser un poil mon réseau ça donnera un truc comme ça)
[quote=“fingah, post:27, topic: 30639”]Topic très intéressant sachant que je n’ai pas la WIFI mais que je compte bien me faire une installation bientôt (<6mois).
Sinon je pensais mettre SSID bloqué + filtrage MAC + WEP.
J’aurais bien aimé faire du WPA mais ma DS me limite…
Sinon je suis un gros parano.
Il existe rien d’autres de plus fiable?[/quote]
Un peu pareil sauf que moi “je suis rano” (!). On est obligé de mettre les mains dans le combien, tous ces sigles ça me fait peur moi, plug’n’play c’est mon dada. B)
honnetement c’est tres simple.
Puis je rappel a ces messieurs que le cpl pour une baraque c’est top aussi et largement plus sécurisé vu que c’est filaire ^^
Bussiere
en coup de vent B)
hum… le CPL, c’est cher pour ce que c’est je trouve… Cela dit un cafzonard vend un couple 85MBits pour 100€.
Hmm… On ferme tous notre maison a clef tout en sachant que cela n’empechera pas quelqu’un qui le désire de rentrer.
WEP(depuis la DS)+Filtrage MAC+Non envoi du SSID pour ma part.
Perso, si mon PocketPC est censé géré WPA et WEP, j’ai jamais pu configurer mon hostAP pour que ca marche.
Du coup, c’est pas de broadcast SSID, et filtrage MAC, surtout pour éviter que des voisins se connectent par erreurs.
Dans le cas très peu probable ou un pirate s’interresserais à ma connection, le réseau wifi n’as acces qu’a une partie du réseau interne. (RDP, et quelques ports pour des applis perso).
Sinon, pour info, le cassage du WEP en quelques secondes, c’est par attaques à dictionnaires. Ca marche pas si la clé est vraiment aléatoire.
Après, c’est vrai qu’en générant du traffic, on casse assez facilement (a peu près 5 minutes). Après, certains AP ont été mis à jour pour un WEP un peu plus robuste (Cisco, entre autres), évitant d’emmettres les trammes “faibles” exploitées par les soft de type aircrack.
Chez moi : access point via ma gw linux avec WEP (pas de filtrage MAC) sans DHCP. Aucun filtrage vers le Net, par contre firewall qui bloque presque tout wifi -> Ethernet. Par dessus, je fais tourner OpenVPN dont le endpoint est routé vers le reseau filaire sans filtrage : 2 niveaux de sécurité donc.