jeancharles 62

Connection WIFI: securité et optimisations (conseils)
« le: 18 septembre 2006 12:22:09 »
Bonjour,
Voyant le nombre accru de messages sur le WIFI, je voudrais apporter mes quelques connaissances et mon expérience:

Le but du topic est de renforcer la sécurité du reseau WIFI, tout en améliorant ses performances.
Je pars du principe que nous sommes sous Windows XP. Je signale que le danger vient surtout en local, càd par ceux qui crackent les clés WEP ou WPA et s'introduisent dans votre reseau local. Le danger provenant d'Internet est souvent freiné par un Pare-feu, par la fonction Routeur...

1) C'est bête et méchant, mais mettre à jour Windows XP et activer le pare-feu, si vous n'en avez pas d'autre.

2) Tenter de sécuriser son reseau:
- le mieux est d'utiliser un point d'accès (du type Linksys) et une carte client compatible WPA 2. Pour le prix, franchement, il vaut mieux acheter une carte wifi client 54G (25 €) + point d'accès (60 €), qu'une carte MIMO qui, de toute façon, va utiliser le WIFI de la FHD, qui est très moyen, que ce soit en sécurité, comme en performances (car si vous utilisez déjà le WIFI entre votre TV et la Freebox, il va y avoir saturation avec le 2eme reseau Freebox - PCs, des coupures...). Il vaut mieux utiliser un 2eme reseau WIFI dédié.
Le point d'accès est relié en Ethernet à la FHD. Filtrage MAC et clé WPA 2 longue et surtout pas de passphrase (utilisez des caractères spéciaux). Désactivez le reseau WIFI de la FHD (je le répète, la TV en WIFI MIMO fonctionnera qd même, même si vous avez désactivé votre reseau WIFI).
- Ne pas diffuser son SSID. Utiliser un canal peu répandu (pas le 6, car utilisé par le MIMO, pas 10, 11 non plus car courant).
- activez la fonction routeur de la FHD
- Ne pas activer la fonction DHCP de la FHD (comme cela, celui qui arrive à casser votre clé devra fixer son adresse IP, et surtout sa passerelle). A vous de fixer vos adresses Ip sur vos PCs (utilisez des IP non courantes).
- faire des réservations de baux (dans ce cas, pas besoin de fixer des adresses IP sur les PCs ou point d'accès), comme cela, même si une personne parvient à entrer dans le reseau, si elle utilise une adresse IP identique à la votre, vous aurez un message de conflit d'adresse IP
- changer l'adresse IP par defaut de la FHD, donc celui qui sera sur votre reseau devra trouver les DNS (facile) mais aussi la passerelle (l'adresse IP de la FHD)
- enlever les partages administratifs de Windows XP (les C$, d$) (sinon un ip du PCc$ et c'est l'accès au DD)
-Mettez un mot de passe à votre compte Windows
- changer votre groupe de travail (workgroup)
- changer l'adresse Ip du Freeplayer (par defaut 192.168.0.1), car le PC qui a le prog a une adresse IP connue (comme ce PC est tout le tps allumé...)
- Pour le DD du module HD, ne pas laisser "ecriture anonyme.." (sinon, en tapant l'adresse ftp du disque, on a accès aux données), et mettez un mot de passe [différent de 0000 ou 1234]
- Attention aux partages avec accès "tout le monde" sur le PC. Activez l'onglet "securité de Windows (outils/options/affichage et décocher dernière ligne [partage simple]), afin d'affiner les protections sur les dossiers.

Si d'autres freenautes ont des idées ou solutions pour compléter...

Jean-charles.

jeancharles 62

Connection WIFI: securité et optimisations (conseils)
« Réponse #1 le: 18 septembre 2006 14:09:35 »
Pour la carte client WIFI 54G, préférez un chipset RALINK.

sideo

Connection WIFI: securité et optimisations (conseils)
« Réponse #2 le: 20 octobre 2006 13:42:08 »
Bonjour,

Pourriez-vous apportez des complements à propos des manipulations pour les utilisateurs novice en reseau wifi please ?!

par ex pour ceci =>

Désactivez le reseau WIFI de la FHD (je le répète, la TV en WIFI MIMO fonctionnera qd même, même si vous avez désactivé votre reseau WIFI).
- Ne pas diffuser son SSID. Utiliser un canal peu répandu (pas le 6, car utilisé par le MIMO, pas 10, 11 non plus car courant).
- activez la fonction routeur de la FHD
- Ne pas activer la fonction DHCP de la FHD (comme cela, celui qui arrive à casser votre clé devra fixer son adresse IP, et surtout sa passerelle). A vous de fixer vos adresses Ip sur vos PCs (utilisez des IP non courantes).
- faire des réservations de baux (dans ce cas, pas besoin de fixer des adresses IP sur les PCs ou point d'accès), comme cela, même si une personne parvient à entrer dans le reseau, si elle utilise une adresse IP identique à la votre, vous aurez un message de conflit d'adresse IP.

Je vais également chercher chez mon ami google :), merci d'avance.

JavaCupiX

Connection WIFI: securité et optimisations (conseils)
« Réponse #3 le: 20 octobre 2006 16:33:31 »
Hum, ça serait pas un peu parano tout ça?
Le WPA fournit par Free est largement suffisant, ayant personnelement quelques compétences en la matière je peux t'assurer qu'à moins de pas avoir de bol et de mettre une clé WPA pourrie genre "maison" le risque est proche de 0 (il ne peut jamais être nul).
De plus changer les IP de ta freebox, désactiver le DHCP et tout le tralala ne sert selon moi à rien, en effet si le mec est assez fort et patient pour casser ta clé WPA une ou deux minutes avec Ethereal ou autre lui permettront de déterminer toutes ces infos sans aucune difficultée...
Alors bon, investir 85€ pour se sur-sécuriser je sais pas si ça vaut vraiment le coup...


zephrat

Connection WIFI: securité et optimisations (conseils)
« Réponse #4 le: 20 octobre 2006 17:37:25 »
D'accord avec toi JavaCupiX.

Utiliser du WPA/WPA2 est le seul moyen de sécuriser une connexion Wifi à l'heure actuelle et il est suffisant
(pour peu que le mot de passe soit correct évidemment).

Parmi les mesures de sécurité Wifi souvent répétées à tort :

- faire une restriction d'accès sur une ou plusieurs adresses MAC. Cela ne sert à rien car il tout à fait possible de spoofer (usurper)
une adresse MAC. Une simple commande à taper ou quelques clics de souris, pas besoin d'être un gourou système.

- ne pas diffuser le SSID : inutile car de nos jours tous les scanner/sniffeurs Wifi sont capables de répérer un réseau Wifi malgré cela.
Au mieux ça "protégera" le réseau pendant quelques secondes.


Vouloir brouiller les pistes en changeant l'adresse IP de la Freebox, et autres : Une fois la protection du cryptage passée (cas du WEP)
avec un sniffeur Wifi toutes ces infos apparaîtront en clair au bout de quelques secondes.

Par ailleurs il ne faut pas mélanger les mesures spécifiques au Wifi (type de cryptage, canal ,etc.) et des mesures de sécurité
qui sont applicables quelque soit le moyen de connexion à Internet (activer le mode routeur de la Freebox, enlever des partages
de disque dur Windows, mettre un firewall en place, etc.) Ces mesures ont leur utilité mais ne sont pas du tout liées au Wifi.

JavaCupiX

Connection WIFI: securité et optimisations (conseils)
« Réponse #5 le: 21 octobre 2006 11:00:34 »
Citation de: zephrat
Vouloir brouiller les pistes en changeant l'adresse IP de la Freebox, et autres : Une fois la protection du cryptage passée (cas du WEP)
avec un sniffeur Wifi toutes ces infos apparaîtront en clair au bout de quelques secondes.
Même dans le cas du WPA Commview par exemple permet en connaissant la clé WPA de decrypter tout les paquets transitants sur le réseau... donc bon, mettez du WPA et le reste c'est pour faire joli :)

Saxophile

Connection WIFI: securité et optimisations (conseils)
« Réponse #6 le: 21 octobre 2006 12:00:39 »
Citation de: zephrat
D'accord avec toi JavaCupiX.

Utiliser du WPA/WPA2 est le seul moyen de sécuriser une connexion Wifi à l'heure actuelle et il est suffisant
(pour peu que le mot de passe soit correct évidemment).
Et installer un serveur RADIUS en supplément .
Ce n'est pas simple ni gratuit, mais cela permet de dormir encore plus tranquillement.


zephrat

Connection WIFI: securité et optimisations (conseils)
« Réponse #7 le: 21 octobre 2006 13:17:10 »
Citation de: JavaCupiX
Citation de: zephrat
Vouloir brouiller les pistes en changeant l'adresse IP de la Freebox, et autres : Une fois la protection du cryptage passée (cas du WEP)
avec un sniffeur Wifi toutes ces infos apparaîtront en clair au bout de quelques secondes.
Même dans le cas du WPA Commview par exemple permet en connaissant la clé WPA de decrypter tout les paquets transitants sur le réseau... donc bon, mettez du WPA et le reste c'est pour faire joli :)
Oui mais justement le pirate ne connait pas la clef WPA ... ce qui fait qu'il n'a pas accès au reste (couche TCP/IP)

zephrat

Connection WIFI: securité et optimisations (conseils)
« Réponse #8 le: 21 octobre 2006 13:21:12 »
Citation de: saxophil
Citation de: zephrat
D'accord avec toi JavaCupiX.

Utiliser du WPA/WPA2 est le seul moyen de sécuriser une connexion Wifi à l'heure actuelle et il est suffisant
(pour peu que le mot de passe soit correct évidemment).
Et installer un serveur RADIUS en supplément .
Ce n'est pas simple ni gratuit, mais cela permet de dormir encore plus tranquillement.
Certes mais pour protéger le réseau Wifi d'un particulier c'est peut-être "un peu beaucoup" quand même :)

JavaCupiX

Connection WIFI: securité et optimisations (conseils)
« Réponse #9 le: 22 octobre 2006 10:17:07 »
Lol, un serveur RADIUS... sérieux je veux bien que l'on fasse le recencement des gens qui ont ça chez eux ^^

G une solution moins onéreuse : le câble ethernet :)

Saxophile

Connection WIFI: securité et optimisations (conseils)
« Réponse #10 le: 23 octobre 2006 09:09:22 »
Citation de: JavaCupiX
Lol, un serveur RADIUS... sérieux je veux bien que l'on fasse le recencement des gens qui ont ça chez eux ^^

G une solution moins onéreuse : le câble ethernet :)
C'était un sourire sympa aux anxieux. Je suis tout à fait d'accord avec le fait qu'une authentification WPA ou WPA2 est suffisant pour nos réseaux personnels. Craquer WPA est loin d'être simple et d'aucun intérêt pour nos réseaux Freebox.

J'ai effectivement monté un serveur RADIUS et un AP Cisco sur le réseau de ma V4 mais c'est uniaquement dans le cadre d'un test bien précis.  Quand j'aurai fini je retourne au WPA et a ma carte PCMCIA free ;).

jeancharles 62

Connection WIFI: securité et optimisations (conseils)
« Réponse #11 le: 23 octobre 2006 10:38:09 »
Bonjour,

Par expérience, notamment des clés WEP, je peux vous dire que n'importe qui (un copain l'a fait la semaine dernière) peut casser une clé WEP, sans aucune connaissance réseau, juste avec le petit logiciel qui va bien.
Mais comme il n'a aucune connaissance réseau, après avoir obtenu la clé WEP, il devra trouver l'IP.... Et là, pour lui, c incompréhensible pour lui car il ne peut pas aller sur Internet (ce qu'il cherchait à faire), car pas d'adresse IP, connait pas la passerelle....

Je pense que casser une clé WPA va devenir assez facile dans peu de temps, commme le WEP, pour n'importe qui, juste à l'aide d'un soft qui fera tout.

Donc, je réitère mes propos: les protections que j'ai énumérées permettent quand même d'éviter à l'utilisateur lambda d'aller piquer vos données ou connection.
C'est évident qu'un utilisateur averti pourra sans problème sniffer le réseau et trouver, mais ce n'est pas à la portée de tout le monde, alors que casser une clé WEP l'est et casser un clé WPA le devient.
Jean-charles.

JavaCupiX

Connection WIFI: securité et optimisations (conseils)
« Réponse #12 le: 23 octobre 2006 11:11:28 »
@jeancharles 62  : encore une fois désolé de te contredire mais pour le coup du cassage WPA c'est pas du tout aussi simple que pour le WEP et à priori ça ne le sera jamais. Je m'explique...

Le fait que casser du WEP puisse se faire en 5 minutes réside dans le fait que l'algorithme de cryptage du WEP possède une faille (voir explications WIKIpedia pour plus d'infos et tous les détails) qui fait que lorsque tu récoltes 2 millions de paquets sur un réseau protégé par du WEP tu peux déduire les clés probables, les tester et obtenir la bonne clé. Effectivement cette  manip est assez simple, maintenant lancer Ethereal pour connaitre l'ip du réseau c encore plus simple mais bon...

Pour le WPA ça se passe pas du tout comme ça! En gros actuellement il n'y a pas de failles réelle dans le cryptage WPA, la seule manière de casser du WPA c'est par bruteforce! Casser une clé 128bits en bruteforce autant dire que c'est pas vraiment faisable, la seule faille existante est donc du côté du l'utilisateur qui met "maison" comme mot de passe, là avec un dictionnary attak tu as vite fait de connaitre la clé...

Tout ça pour dire que le WPA ne risque pas actuellement de devenir la passoir qu'est le WEP aujourd'hui et ne risque pas de le devenir.

zephrat

Connection WIFI: securité et optimisations (conseils)
« Réponse #13 le: 23 octobre 2006 14:40:03 »
Citation de: JavaCupiX
@jeancharles 62  : encore une fois désolé de te contredire mais pour le coup du cassage WPA c'est pas du tout aussi simple que pour le WEP et à priori ça ne le sera jamais. Je m'explique...

Le fait que casser du WEP puisse se faire en 5 minutes réside dans le fait que l'algorithme de cryptage du WEP possède une faille (voir explications WIKIpedia pour plus d'infos et tous les détails) qui fait que lorsque tu récoltes 2 millions de paquets sur un réseau protégé par du WEP tu peux déduire les clés probables, les tester et obtenir la bonne clé. Effectivement cette  manip est assez simple, maintenant lancer Ethereal pour connaitre l'ip du réseau c encore plus simple mais bon...

Pour le WPA ça se passe pas du tout comme ça! En gros actuellement il n'y a pas de failles réelle dans le cryptage WPA, la seule manière de casser du WPA c'est par bruteforce! Casser une clé 128bits en bruteforce autant dire que c'est pas vraiment faisable, la seule faille existante est donc du côté du l'utilisateur qui met "maison" comme mot de passe, là avec un dictionnary attak tu as vite fait de connaitre la clé...

Tout ça pour dire que le WPA ne risque pas actuellement de devenir la passoir qu'est le WEP aujourd'hui et ne risque pas de le devenir.
Encore d'accord avec toi JavaCupiX ;)


JavaCupiX

Connection WIFI: securité et optimisations (conseils)
« Réponse #14 le: 23 octobre 2006 15:32:39 »
@Zephrat : arrêtes d'aller dans mon sens on va finir par croire que je suis ton compte secondaire :)

CedMac

Connection WIFI: securité et optimisations (conseils)
« Réponse #15 le: 23 octobre 2006 16:28:05 »
Citation de: JavaCupiX
@Zephrat : arrêtes d'aller dans mon sens on va finir par croire que je suis ton compte secondaire :)
Hum, ..., j'étais en train de me dire quelque chose..mais pas qu'il est ton compte secondaire .... :-P

zephrat

Connection WIFI: securité et optimisations (conseils)
« Réponse #16 le: 23 octobre 2006 17:04:53 »
Citation de: JavaCupiX
@Zephrat : arrêtes d'aller dans mon sens on va finir par croire que je suis ton compte secondaire :)
Voilà que je me parle tout seul maintenant ... ça ne va plus fort moi :D

zephrat

Connection WIFI: securité et optimisations (conseils)
« Réponse #17 le: 23 octobre 2006 17:06:26 »
Citation de: CedMac
Citation de: JavaCupiX
@Zephrat : arrêtes d'aller dans mon sens on va finir par croire que je suis ton compte secondaire :)
Hum, ..., j'étais en train de me dire quelque chose..mais pas qu'il est ton compte secondaire .... :-P
Ah ben si JavaCupiX est une femme je dis pas non :P

I love geekette :lol: !

JavaCupiX

Connection WIFI: securité et optimisations (conseils)
« Réponse #18 le: 23 octobre 2006 17:39:38 »
@Zephrat : désolé c'est pas la cas, un peu geek mais pas très femme :)

freenaute974

Connection WIFI: securité et optimisations (conseils)
« Réponse #19 le: 29 octobre 2006 10:17:18 »
Citation de: jeancharles 62
Pour la carte client WIFI 54G, préférez un chipset RALINK.
bonjour merci pour ton expliquation du dessus , effectivement la tv fonctionne en wifi meme s'il est désactivé. pour le wifi net les clés Usb D link ou Netgear 54g est compatible  également à plus.