Encore une question sur la sécurité.

D'ici la fin de l'année, on doit mettre en place un reseau wifi.
Or d'apres ce que j'ai pu lire, le wep c'est zero niveau securité.
Autre chose qui m'inquiete un peu c'est le wardriving: methode qui consiste avec un PC portable ou un PDA equipé d'une carte wifi de s'invité sur le réseau.

Donc pour tester ça j'aimerai faire un mini reseau de test et avec un pda equipé d'une carte wifi et faire du wardriving sur mon reseau pour trouver les failles.
J'ai trouvé un logiciel (le plus connu, celui dont on parle partout sur le net). Mais par contre j'ai du mal a utiliser le wlan de windows pocket pc 2003.

Est ce que vous savez ou je pourrai trouver le "mode d'emploi" pour utiliser le wlan de windows pocket pc 2003 ainsi qu"un bon site expliquant comment bien se proteger du wardriving.
J'ai deja trouvé des trucs mais je suis preneur de bons conseils et de bons sites.
merci

Le wardriving c'est le fait de sniffer les réseau sans fil nous environant (avec le logiciel netstumbler par exemple).
J'ai deja fait des balades dans Lyon avec mon portable, le résultat est impressionnant puisque je suis monté a 300 AP en 30min

Le logiciel t'indique le SSID, le type de cryptage (WEP ou non), le type de réseau (infra ou adhoc), l'adresse MAC de l'AP (donc sa marque...), la qualité du signal, et si on a un GPS on a les coordonnées de l'endroit ou l'on a capté le signal.

Pour lutter contre ca, tu peux deja desactiver la diffusion du SSID.

Ensuite le fait de mettre du WEP a 128bits et un filtrage par adresses MAC rebutera la plupart des intrus. Apès ca il faut être motivé et avoir du temps pour pénétrer le réseau...

Il existe d'autres solutions (WPA, VPN, Firewall...) qui permettent d'ajouter un niveau de sécurité.

J'ai noté le fait de ne pas diffusé le SSID

Le problème du wep c'est qu'en quelques minutes, la clé peut être cassée.

Pour le filtrage d'adresse MAC ça nous pose un problème:
Le but de notre reseau wifi c'est :
- d'autoriser des clients, fournisseur, partenaires à avoir une connexion internet en etant sur le site sans passer par notre reseau.
- de pouvoir faire du ftp via un acces ne dependant pas de notre reseau (le ftp a été banni dans le reseau d'entreprise). Donc certains employés pourront avoir un acces ftp via cette connexion sans être en même temps connecté au reseau (par le systeme de boot sur profil).

Ca fait donc pas mal de gestion en plus par rapport au adresse mac. (mais bon on devra peut être passer par ça).

Quant à la l'utilisation de vpn, le fait de crypter en ipsec ça ne fait pas trop descendre le debit?

J'aimerai bien qu'on me montre comment on casse une clef WEP en quelques minutes !!! en une demi-journée, je veux bien mais moins, j'en suis pas sur.
Tu peux aussi voir du côté de la norme i, c'est du 54Mb mais avec des certificats installés sur ton serveur, ça parait costaud.

Le VPN est une solution facile mais rapidement onéreuse...
L'avantage : n'importe qui peut se connecter à condition d'avoir un compte, pourvu qu'ils installent un soft client VPN...

Sinon, pour le WEP, si vous choisissez bien votre clé (128 bit), il faut plus d'une journée pour la casser... En pratique, on est plutôt du coté du mois...

Sinon, un Radius ou un Kerberos...

Bref, y a plein de moyens de sécuriser un Wifi

Concernant la clé de cryptage WEP, voici ce que j'ai trouvé:
(je ne donne pas l'adresse afin de ne pas faire de proselitisme sur le piratage)


Afin « d’augmenter » la sécurité, l’idée du cryptage des communications paraît une bonne solution. WEP (Wired Equivalent Privacy) propose cette solution. Ce système permet d’intégrer une clé de cryptage basé sur l’algorithme RC4 jusqu’à 128 bits, sur l’AP et sur les clients. Cette clé a le défaut d’être statique et donc en cas de changement, la modification doit se faire sur tous les matériels utilisant le réseau sans-fil.

Le principal problème du WEP est qu’il est basé sur un algorithme de chiffrage le RSA (inventé en 1977 par Rivest-Shamir-Adleman).

Cet algorithme est public depuis 1994 et des mathématiciens (Fluhrer, Mantin et Shamir) ont montré qu’il y avait des failles dans cet algorithme.

En effet, sur une clé de 64 bits (ou 128 bits), 24 servent pour l’initialisation et les 40 (ou 104) autres servent pour le chiffrement. De plus la partie qui sert au chiffrement est statique et peut être « facilement » découverte si le vecteur d’initialisation n’est pas correctement généré (mode pseudo aléatoire, compteurs …) ou simplement en récupérant les en-têtes des paquets IP.

Il a été démontré qu’en moins de 20 minutes d’écoute du réseau tous ces éléments sont crackés.

Malgré le chiffrage, il existe donc des trous de sécurité. Certaines trames passent en clair lors d’échanges, il est donc possible à partir de ces trames et d’un outils tel airsnort (http://airsnort.shmoo.com/) et wepcrack (http://wepcrack.sourceforge.net/), de déduire la clé Wep.

Bien que ces trous de sécurité soient connus, les constructeurs proposent encore des matériels potentiellement piratables via ce biais. Récemment (02 Décembre 2003) sur les modèles airconect 1100, 1200 et 1400 de Cisco un correctif sécurité a du être proposé:

J'ai pas testé les outils proposés ci-dessus, mais ça ne donne pas confiance. J'ai pu lire à peu près le même type de commentaire sur des site comme www.commentcamarche.com (des sites plutot serieux). Tous ces sites parles de ces trois mathematiciens (Fluhrer, Mantin et Shamir) qui ont decouvert les failles du wep et de la faiblesse du cryptage (même avec une clé de 128bits).

Sinon d'après ce que j'ai pu lire, il semblerai que la solution d'un serveur Radius serait la meilleur solution couplé à la maitrise (en reduisant la puissance de la borne) de la porté de la zone à couvrir.

EDIT: gégé, tu peux me tutoyer

Je sais pas si ca a deja été dis. Mais tu peut associé chaque IP a une @ physique(MAC) ce qui evite les clients non désirés. Tu peut en plus mettre en place des clefs privées genre certificats.
Sinon a la bourin tu pose en serveur radius mais apres ca vaut peut etre moyennement le coup en fonction du nombre de clients wlan.

Le 03 mai 2005 - 10 h 51, darkangelinos a écrit : Je sais pas si ca a deja été dis. Mais tu peut associé chaque IP a une @ physique(MAC) ce qui evite les clients non désirés. Tu peut en plus mettre en place des clefs privées genre certificats. Sinon a la bourin tu pose en serveur radius mais apres ca vaut peut etre moyennement le coup en fonction du nombre de clients wlan.

ça a été dit.
En plus il y a un probleme avec le filtrage par adresse mac. Certains logiel sd'ecoute permettent aussi de connaitre les adresses mac des postes wifi.
Il suffit d'un logiciel tel que newmac (qui fonctionne du feu de dieu) pour redefinir son adresse mac en fonction d'une adresse autorisé et de se faire passer pour celle ci ... testé et approuvé par mézig!

Même si le filtrage mac n'apporte aucune sécurité d'un point de vue théorique, d'un point de vue pratique ça emmerde bien l'éventuel pirate. Il doit d'abord trouver une adresse Mac, puis attendre que l'appareil cloné soit éteint, ou émettre suffisamment fort pour prendre sa place... Si on rajoute en plus du WEP et une puissance maîtrisée c'est suffisant pour atteindre une sécurité moyenne (largement suffisant dans la plupart des cas, à chacun d'estimer son besoin).

Pour les besoins de sécurité forts, j'aurais tendance à me méfier du wifi, et à partir du principe qu'il ne peut pas être sûr à 100%. On fait alors remonter la sécurisation au niveau supérieur (VPN en particulier)

je fais un peu de parano car la borne wifi que l'on veut installer est seulement pour un acces Internet.
Alors qu'un "petit pirate" s'y connecte pour surfer, faire du mulet ou des conneries ça n'a pas trop de conséquence pour notre reseau (peut etre que juridiquement l'entreprise est responsable, ça je ne sais pas).

Ce qui est plus inquietant c'est si un poste client se fait pirater. Si on accède à la base SAM du poste (entre autre) on peut s'ouvrir les portes du réseau (faut un peu de maitrise là).
Vu ce qui tourne sur le net (j'ai recuperer un soft - c'est du linux lol - qui tient sur une disquette et qui permet de faire ce qu'on veut de la base SAM (changement de mot de passe, création de compte local ...).
Pas evident la sécurité sur un réseau

Mais vu qu'on doit mettre ça en place, autant connaitre les "risques" qu'on encoure. Et en plus j'apprends des trucs

Pour le hacking de clé WEP, j'avais lu un truc intéressant
En résumé, il s'agissait de récupérér des trames spéciales dont la clé pouvait être retrouvée à partir d'eux...

Cependant, ces trames n'étaient présentes qu"au nombre d'une pour 1000 ou un million, je ne m'en souviens plus... Et il fallait en récupérer un million ou un truc dans le genre...
De plus, à la fin, il fallait récupérer la clé, plus ou moins facile suivant la complexité...

C'est pour ca qu'avec ces logiciels (que j'ai testé ) que tu cites, il est quand meme relativement long d'obtenir une clé 128 bit, 2 semaines étant une bonne moyenne dans le cas d'un débit important (cela joue bcp sur la rapidité de hacking)
En plus, il faut une carte fonctionnant en mode monitor (mieux que promiscuous)...

Bref, c'est pas à la portée du premier péquin venu...

Maintenant, c'est clair que pour une entreprise, c'est inacceptable...
Donc met en place une solution à base d'authentification, c'est mieux

Sinon, pour le vouvoiement, je m'adressais à toute ton équipe réseaux

Yep VPN c'est bon ca. mais en meme temps pour parler de securité des failles y en a de partout. Et si on veut toujours 100% de secu pour des budget que je dirais moyen. Et bah tu fait jamais rien. Apres on estime au mieu les risques. Mais mis a part si tu est une multinationnale l'interet de la donnée est limitée hors entreprise.(moi perso je m'occupe de PME)

Et un dernier truc les brute de reseau vont pas s'attaquer a un petit wlan isolé. C'est quand meme vachement plus la classe de se créer un squat chez un hebergeur qui up/down avec Un 1TB/S. La effectivement tu peut en faire du bourico.

Mais apres ce n'est que mon avis.

Le 03 mai 2005 - 11 h 50, darkangelinos a écrit : Yep VPN c'est bon ca. mais en meme temps pour parler de securité des failles y en a de partout. Et si on veut toujours 100% de secu pour des budget que je dirais moyen. Et bah tu fait jamais rien. Apres on estime au mieu les risques. Mais mis a part si tu est une multinationnale l'interet de la donnée est limitée hors entreprise.(moi perso je m'occupe de PME) Et un dernier truc les brute de reseau vont pas s'attaquer a un petit wlan isolé. C'est quand meme vachement plus la classe de se créer un squat chez un hebergeur qui up/down avec Un 1TB/S. La effectivement tu peut en faire du bourico. Mais apres ce n'est que mon avis.

Pas forcément d'accord...
Les hackers aiment bien les petites PME parce que justement, elles sont pas trop sécurisées et n'ont pas vraiment bcp de ressources humaines en réseaux...

J'irais pas jusqu'à mettre un VPN, mais un serveur d'auth à la Kerberos ou Radius devrait suffir...

Après, ca depend si vous avez des itinérants... Dans ce cas, ok pour un VPN (ca permettrait un accès itinérant) mais si possible, externe à l'intranet avec droits limités (style DMZ) pour limiter la casse si pb...

Le 03 mai 2005 - 11 h 09, loz a écrit : Même si le filtrage mac n'apporte aucune sécurité d'un point de vue théorique, d'un point de vue pratique ça emmerde bien l'éventuel pirate. Il doit d'abord trouver une adresse Mac, puis attendre que l'appareil cloné soit éteint, ou émettre suffisamment fort pour prendre sa place... Si on rajoute en plus du WEP et une puissance maîtrisée c'est suffisant pour atteindre une sécurité moyenne (largement suffisant dans la plupart des cas, à chacun d'estimer son besoin). Pour les besoins de sécurité forts, j'aurais tendance à me méfier du wifi, et à partir du principe qu'il ne peut pas être sûr à 100%. On fait alors remonter la sécurisation au niveau supérieur (VPN en particulier)

en gros sans vouloir troller pour avoir du 100% securisé, c est soit un serveur radius soit une solution filaire quoi

Le 03 mai 2005 - 11 h 50, darkangelinos a écrit : Yep VPN c'est bon ca. mais en meme temps pour parler de securité des failles y en a de partout. Et si on veut toujours 100% de secu pour des budget que je dirais moyen. Et bah tu fait jamais rien. Apres on estime au mieu les risques. Mais mis a part si tu est une multinationnale l'interet de la donnée est limitée hors entreprise.(moi perso je m'occupe de PME) Et un dernier truc les brute de reseau vont pas s'attaquer a un petit wlan isolé. C'est quand meme vachement plus la classe de se créer un squat chez un hebergeur qui up/down avec Un 1TB/S. La effectivement tu peut en faire du bourico. Mais apres ce n'est que mon avis.

C'est une grosse multinationale ... et le jour ou on a un audit de sécu, si y a plein de trous on risque de se faire taper sur les doigts voir pointer au chomage
Je sais que le 100% de secu ça n'existe pas, mais plus on s'en approche mieux c'est.
Puis le jour ou il y a un gros pepin, si le reseau est nickel chrome on nous le reprochera pas de s'être fait piraté

EDIT: je suis d'accord avec gégé, plus une boite est petite et plus le risque de se faire emmerder par un pirate en herbe augmente.
Et comme malgré le fait qu'on soit une filiale d'un grand groupe, on ressemble à une PMI donc ça peut attirer des mouches à caca

il faut:

- broadcast interdit du ssid
- clé WPA de second ordre (derniere génération kwa)
- maj firmware des bornes wifi ainsi que des clients wifi

c'est déja pas mal à ce sujet.

heu je peut etre mal elevé 2 sec. puisqu'on parle de wifi reseau et tout ca personne a d'idée pour mon PB perso??

http://forums.france-hardware.com/disc/reseaux_telecoms/securite_reseaux/sujet-64645.html

Le 03 mai 2005 - 15 h 22, djalex a écrit : il faut: - broadcast interdit du ssid - clé WPA de second ordre (derniere génération kwa) - maj firmware des bornes wifi ainsi que des clients wifi c'est déja pas mal à ce sujet.

je regarderai tout ça
merci

Le 03 mai 2005 - 15 h 41, darkangelinos a écrit : heu je peut etre mal elevé 2 sec. puisqu'on parle de wifi reseau et tout ca personne a d'idée pour mon PB perso?? http://forums.france-hardware.com/disc/reseaux_telecoms/securite_reseaux/sujet-64645.html

ben fait comme chez mémé

Bah au moins j'aurais essayé y a personne qui reponds