Chez moi WiFi avec un routeur WRT54GL qui tourne sous OpenWRT, WiFi WPA2 avec filtrage mac et SSID activé B)
Je note quand même quelques incohérences.
D’un côté, on ne désactive pas le broadcast SSID et on ne filtre pas les adresses MAC parce que “c’est facilement contournable” ; d’un autre, on met du WEP, pourtant lui aussi complètement inutile. Si vous voulez mon avis, un attaquant qui ne sait pas casser du WEP avec un simple outil déjà fait saura encore moins sniffer des trames pour écupérer le SSID et une adresse MAC valide.
Idem pour le DHCP (à moins que ce soit plus un choix philosophique/pratique/autre que sécuritaire). A partir du moment où le WEP est cracké, DHCP ou pas, ça n’a plus beaucoup d’importance.
Comme d’hab, la sécurité se fait plus au feeling que logiquement B)
Bah a mon avis, l’absence de DHCP et subnet à la con (pas 192.168.0/24 ou .1/24 donc) vont pas mal troubler Kevin qui s’improvise hacker (et qui sait pas utiliser Ethereal ou tool du genre). B)
Edit : et tant qu’à faire, IP gw peu courante, genre .254 chez moi B)
Perso pas de DHCP parce que j’ai un réseau de 5-10 machines au plus, et ça ne change pas tous les jours B)
Genre:
2 pc fixe
1 serveur d’impression (qui me squattait 2 ip en fait, j’ai trouvé ça par hasard)
1 serveur de fichier
1 portable encore plus vieux que le truc de Garuffo! B)
1 routeur vala.
Faut pas que tu tombes sur un Kevin qui s’y connait un peu alors, parce que les gw en .254, c’est quand même un peu une convention B)
Bah si tu tombes sur kevin mitnick c’est plus risqué c’est sur B)
Pour ma part : aucun blocage particulier. Pourquoi ? Simple : mes plus proches voisins sont à plus de 100 m et ont plus de 80 ans (pour eux, un ordi ressemble à des trucs qu’on peut voir dans cosmos 99)
Moi c’est simple : toutes les protections desactivés et mon réseau s’appelle “welcome”.
Serieusement, j’ai une freebox, j’ai 30 megs, largement plus que ce dont je pourrais avoir besoin. Si je peux dépanner quelqu’un (qui a une connexion en rade, ou qui utilise suffisament peu internet pour que ça justifie pas le coût d’un abonnement) ben tant mieux, et en attendant quand je veux connecter mes trucs en wifi c’est tout simple.
[quote=“Clad, post:48, topic: 30639”]Moi c’est simple : toutes les protections desactivés et mon réseau s’appelle “welcome”.
Serieusement, j’ai une freebox, j’ai 30 megs, largement plus que ce dont je pourrais avoir besoin. Si je peux dépanner quelqu’un (qui a une connexion en rade, ou qui utilise suffisament peu internet pour que ça justifie pas le coût d’un abonnement) ben tant mieux, et en attendant quand je veux connecter mes trucs en wifi c’est tout simple.[/quote]
Cool, une bonne adresse pour venir télécharger du kiddie porn. B)
Oui, comme les milliers de hotspots FON, les cybercafés, les mcdo, les réseaux d’universités et même toutes les connexions wifi “secure” qu’on peut facilement cracker de toute façon…
C’est vrai, il y a tellement de cambriolages, autant laisser sa porte ouverte.
B)
[quote=“Faskil, post:51, topic: 30639”]C’est vrai, il y a tellement de cambriolages, autant laisser sa porte ouverte.
B)[/quote]
Ben oui, comme ça on évite de se faire casser sa serrure B)
Bah je trouve que c’est plutot sympa comme concept. Et j’ai personnellement été fort content de trouver un réseau non protégé quand j’ai emmenagé dans mon nouvel appart et que FT avait réussi à me décabler mon accès adsl activé quelques jours avant.
Après, ce qui me gène avec un wifi non protégé ce n’est pas qu’on me consomme ma bande passante, mais plutot qu’on s’amuse à sniffer mes données (logins sur des sites, accès ftp, imap non crypté…). Mais à terme j’aimerais bien avoir un 2ieme reseau wifi non protégé (et firewallé pour interdire p2p et co) si jamais y’a un voisin dans le besoin…
[quote=“unreal, post:53, topic: 30639”]Bah je trouve que c’est plutot sympa comme concept. Et j’ai personnellement été fort content de trouver un réseau non protégé quand j’ai emmenagé dans mon nouvel appart et que FT avait réussi à me décabler mon accès adsl activé quelques jours avant.
Après, ce qui me gène avec un wifi non protégé ce n’est pas qu’on me consomme ma bande passante, mais plutot qu’on s’amuse à sniffer mes données (logins sur des sites, accès ftp, imap non crypté…). Mais à terme j’aimerais bien avoir un 2ieme reseau wifi non protégé (et firewallé pour interdire p2p et co) si jamais y’a un voisin dans le besoin…[/quote]
C’est comme ca que fonctionne le réseau wifi du departement info de la fac.
Pas de WEP, ni de filtre. Par contre, hormis le http qui est redirigé vers un proxy (pour des raisons légales), seuls les ports des protocoles chiffrés passent (pops, smtps, imaps, ssh …).
Après, c’est aux utilisateurs de faire attention à ce qu’ils font.
Roooh, si on peut même plus vanner Jean-Clad. B)
+1 unreal.
Sur le principe, c’est bien. En pratique, ça me ferait peur, surtout d’un point de vu légal (qui sera attaqué par la SACEM si un inconnu se connecte chez toi et partage plein de mp3 ?)
[quote=“Tzim, post:54, topic: 30639”]C’est comme ca que fonctionne le réseau wifi du departement info de la fac.
Pas de WEP, ni de filtre. Par contre, hormis le http qui est redirigé vers un proxy (pour des raisons légales), seuls les ports des protocoles chiffrés passent (pops, smtps, imaps, ssh …).
Après, c’est aux utilisateurs de faire attention à ce qu’ils font.[/quote]
D’un point de vue légal ?
Sinon moi je filtre jsute les adresses mac et je surveille souvent pour voir si quelqu’un se connecte ou pas, histoire de se faire un pote (j’en connais pas des masses IRL qui sachent piquer internet B)).
Mais d’un point de vue strictement perso j’ai que des fils dans ma chambre (ça coute cher une carte wifi B), et un ifconfig eth0 ça va tellement plus vite … )
Mais sur le principe je suis absolument pas contre le fait de partager un peu ma connec avec un visiteur qui veut fetch ses mails…
Ah sinon, si je vois un jour un gar qui se connecte un peu trop je pense que je me pencherai sur ce qu’il fait : site qu’ils fréquente, pass etc …
Un dernier truc : c’est vrai que sous windows ça va vite de se connecter par erreur, des fois qu’il soit en mode “je me connecte a vue” => pour rendre service a la blebe un ptit non broadcast de l’essid re activé quand il faut ajouter du matos.
Une question “presque pertinante” : il parait que sur une livebox il faut associer un pc avec la livebox, physiquement.
Dans quel cas?
Serait-ce une/la protection ultime?
[quote=“fser, post:57, topic: 30639”]Une question “presque pertinante” : il parait que sur une livebox il faut associer un pc avec la livebox, physiquement.
Dans quel cas?
Serait-ce une/la protection ultime?[/quote]
Non, car il s’agit d’une simple table de filtrage par @MAC, à la différence que cette dernière rest remplie “automatiquement” (pendant la phase d’association). Mais une @MAC, ça se spoofe très facilement.
C’est simple, à l’heure actuelle, les moyens techniques les plus efficaces (car les plus dfficilement contournables) pour empêcher les connexions illicites un réseau Wi-Fi (ce qui ne représente qu’une partie de la sécurisation) sont un cryptage fort (WPA(2) à l’heure actuelle) couplé à une authentification (qui peut être à plusieurs niveaux). Tout le reste est contournable plus ou moins facilement (ce qui ne veut pas dire qu’il ne faut pas les mettre en place).
Baaaaaaaah,
J’me disais que si t’es en wifi, que tu filtres ET route par @mac + WEP, le mec qui vient spoofer ton adresse et la squatter, ça doit te faire bizarre quand certaines applis ne fonctionnent plus car c’est plus routé… Donc dans le genre truc pas flippant pour le geek mais bon.
Ensuite, pour les paranos (non parce que bon sérieux se dire que tu tombes sur kevin le blaireau du coin qui a qu’une envie c’est de casser ton WEP/WPA, sachant que statistiquement t’as pas mal de chances de tomber sur le gars en connexion non secure, c’est que t’as pas de bol), je trouve la méthode QoS et p’tit proxy en sus on ne peut plus sympatoche B) La première te permet de limiter les services utilisables par le wifi (tranquille Emile) et la seconde permet de s’amuser avec l’utilisateur non authentifié, genre pages affichées inversées ou autre :].
[quote=“universal_tonton, post:58, topic: 30639”]Non, car il s’agit d’une simple table de filtrage par @MAC, à la différence que cette dernière rest remplie “automatiquement” (pendant la phase d’association). Mais une @MAC, ça se spoofe très facilement.
C’est simple, à l’heure actuelle, les moyens techniques les plus efficaces (car les plus dfficilement contournables) pour empêcher les connexions illicites un réseau Wi-Fi (ce qui ne représente qu’une partie de la sécurisation) sont un cryptage fort (WPA(2) à l’heure actuelle) couplé à une authentification (qui peut être à plusieurs niveaux). Tout le reste est contournable plus ou moins facilement (ce qui ne veut pas dire qu’il ne faut pas les mettre en place).[/quote]
Merci c’est ce que je voulais savoir (ie que l’association c’est pour l’adresse mac).
Pourquoi on ne met pas en place un truc dans ce genre là : une phase d’association hardware ?
exemple tonton vient prendre le café, il ramene son portable flambant neuf : meme du wifi !
on envoie le larbin (le ptit frere) appuyer sur un boutton d’association, qui a pour but de préparer un nouvel ordi, en générant un pass de ouf de malade que l’on consulte via l’interface admin du routeur (https s’il vous plait) pour le filler a tonton, en plus des clé wap wep et whatever.
Et on dit que par exemple le slot reste disponible <<un temps configurable par l’utilisateur>> minutes (genre 5 par défaut).