Necessité ou pas de BLUE(berry)

[lereg]

Bonjour bonjour...

J'ai recemment fait l'acquisition d'un point d'acces wifi. Pour le moment, celui ci possede une
IP sur Green(L'ipcop n'a que 3 zones : red(!) , orange et green)

Ce point d'acces wifi permet le wep en 128 ainsi que le controle d'acces par macaddress. De plus,
le broadcast du ssid est desactivé.

L'utilisation prevue est pour des machines devant acceder a green, orange et red. Ces machines
sont a priori (et pour le moment puisque blue n'existe pas) des machines green.

J'en viens a la question : Est t'il selon vous necessaire de deployer un blue, sachant que celui se
comportera grosso modo comme une DMZ, et que les machines sur blue doivent de toutes facons se
voir autoriser l'acces a green.

Bien que les diverses techniques de "protection" citees plus haut au niveau du point d'acces ne soient
pas le top du top (je ne vais pas deployer non plus un serveur radius , je ne suis a priori pas
dans une hacking street -)))

Vozavis ?

Merci d'avance!

[DaftTitan]

avec un bete soft sous ms win kkn trouve ton réseau wifi
avec un autre soft sous ms win et avec une carte wifi compatible à ce soft ta clef wep est crackée
niveau crack protection mac faut deja pas mal de compétences je penses?

l aventage de blue est que quand un nouveau client veut se connecter tu dois lui accorder la connect via l interface ipcop.....

puis config les permissions de blue à green c est encore vit fait.

[lereg]

Alors, sans avoir lu au prealable la doc je precise, une petite question : je suppose que
l'autorisation se fait une fois pour toute (je suppose hein Dans ce cas, sur quoi est basée
l'authentification ? La macaddress ? autre ?

En meme temps, et toujours sans avoir lu la doc (RTFM ? Quoi ? Qui ??? Comment ???), j'espere
que l'autorisation n'est pas a donner a chaque connexion (improbable!)....peut etre un bail ?

[DaftTitan]

chez moi le dhcp donne une ip au client blue quoi qu il arrive

ensuite dans blue acces tu donne l ip et la mac puis tu coches enable
sa ne se fait que une x oui

2.6.6. Blue Access Administrative Web Page :
http://www.ipcop.org/1.4.0/en/admin/htm ... lue-access

[lereg]

Bien bien bien....en cumulant les protections, ca peut etre pas mal.

Je m'en va tester tout cela...

[SNORK]

Si je peux me permettre....
Le réseau Bleu est surtout un moyen de ne pas mélager avec les autres réseaux (vert, orange)

Tu as un AP même protégé, il est possible de "casser" et de rentrer (tout le monde le dit, moins savent le faire) mais tu rentre dans ce cas sur le bleu et éventuellement vers le rouge mais en aucun cas tu ne pourra accéder au machines situées sur le réseau Vert.

Voila c'est tout ...

[Gandalf]

Tu as un AP même protégé, il est possible de "casser" et de rentrer (tout le monde le dit, moins savent le faire) mais tu rentre dans ce cas sur le bleu et éventuellement vers le rouge mais en aucun cas tu ne pourra accéder au machines situées sur le réseau Vert.

Voila c'est tout ...

Oui, c'est là tout l'intérêt d'une autre zone, dans le pire des cas on te pompe de la bande passante, mais l'essentiel est d'isoler les réseaux !
Même si, comme disent certains, tout le monde parle de "facilité" de hacker un réseau Wifi sans savoir le faire, il suffit de le savoir pour protéger son réseau ! Mais attention quand même à bien sécuriser l'accès à Bleu car si un petit plaisantin s'amuse à pirater à partir de ton IP, c'est toi le responsable !
Alors pourquoi ne pas mettre en place un serveur RADIUS, ça fonctionne bien !

[lereg]

Je voyais bien le fonctionnemet de blue comme d'une zone a part, type dmz (puisque theoriquement,
tout le monde peut se pointer via wfi - sous reserve de casser les protections)

Mais comme je dois autoriser l'acces vert green (puisque les machines wifi sont des machines green)
est ce que cela ne rend pas un peu inutile la presence de cette zone separee ? Concretement, si
l'acces de blue vers green est autorise, toute personne se connectant sur blue se trouve dans
la meme position qu'une personne sur green (ou se trouve l'AP pour le moment)

Me trompe je ?

[neodragon]

Par défaut un client sur blue n'a accès à rien. Il faut mettre son adresse MAC dans accès BLUE, pour que ce client ait accès au RED et au Orange.
Ensuite pour que le client puisse accéder à des machines du Green, il faut créer des pinholes dans accès à la DMZ. Ces pinholes se font sur des ips de machines, pas des ips de réseaux. Donc permettre à une machine BLUE un accès vers le Green, ne donne pas le mm droit à tous les autres machines Blue.

[lereg]

Me voici convaincu. je recaptilue donc :

Au niveau de l'AP : clef wep 128 + controle de la macadress
Au niveau de l'Ipcop : controle de la macaddress, puis acces a green (ou autre) en fonction de l'IP (une fois la macaddress validée)

right ?

kido, je vais donc m'y mettre

Merci encore a tous!

(Si je peux aider aussi c'est avec plaisir, mon domaine d'expertise etant plus specialement Lotus Domino - oui, je sais, encore une vil application proprietaire )))

[xMaximex]

Mais dans le cas ou le réseau bleu DOIT acceder aux machines du réseau vert .. (comme dans mon cas). J'ai modifier les regle de firewall pour permettre a bleu d'acceder a vert .. Alors il n'y plus aucune utilisé d'utiliser un réseau bleu et ca revien au meme que de mettre l'AP sur le vert ??

[lereg]

C'est un peu (beaucoup) la question que je me posais : mais comme il semble que les acces
puissent se faire en fonction de la macaddress & de l'ip...ca permet de gerer finement (a priori)
qui peut faire quoi.

Concretement, telle machine a acces a greend, telle autre a rouge seulement....

Enfin il faut que je teste, parceque pour le moment, je suppute ))

[xMaximex]

Je ne pense pas que tu puisse faire de tel regles ...

[leso]

et y'a aussi la possibilté de mettre un vpn entre blue et green...

Sinon quelqu'un a une bonne doc sur un radius et son mode de fonctionnement surtout?

[neodragon]

Oui le vpn entre blue et green est une bonne solution lorsqu'on a beaucoup de machines blue, ou lorsque celles-ci doivent accéder au green par beaucoup de ports différents. Dans l'accès à la DMZ, les règles nécessitent une ip et un port, donc s'il y a des ip ou des ports multiples, cela devient vite fastidieux. D'où l'intérêt d'un vpn.

Je ne pense pas que tu puisse faire de tel regles ...

Si en disant cela tu fais référence à

Concretement, telle machine a acces a greend, telle autre a rouge seulement....

En fait on peut arriver à avoir ce genre de règle. Du genre, cette machine blue à accès au red, orange et à des machines du green, mais l'autre machine blue n'a accès que au red et orange.
Cela est possible grâce ou à cause des deux niveaux de permissions pour le blue :
le premier dans accès bleu, pour les connexions vers le red et orange
le second dans accès à la DMZ, pour les connexions vers des machines du green.