mise en place d'une plus grande sécurité wi-fi

Forum dédié aux discussions concernant les réseaux sans fil tels que IEEE 802.11a, 802.11b, bluetooth et tous les autres standards que l'on peut trouver sur le marché.

Modérateur: modos Ixus

mise en place d'une plus grande sécurité wi-fi

Messagepar paire_saune » 03 Oct 2005 11:10

bonjour,

je dois mettre en place une solution sécurité sur le wifi de mon entreprise.
Actuellement nous n'avons qu'un cryptage wep et une non diffusion du broadcast ssid malheuresement ceci n'est pas sécurisé du tout car en voulant tester ce réseau j'ai mi juste un peu plus de 3h pour casser la clé. :?

Je cherche donc une solution très sécuritaire tel que un serveur d'authentification etc.... qui permettrait de gérer aussi le hotspot (client qui doivent avoir accès a internet pour un jour par exemple). :?:


J'ai deja effectué plusieurs recherche mais cela reste un peu floue pour moi.
j'aurais tendance a me pencher sur une solution eap tls ou un serveur radius (win2003) ou une solution linux ou ...
enfin je sais pas trop!
peut etre combiner radius + active directory??
pour le cryptage: wpa semble deja etre le debut!
apres pour l'authentification ou le vpn il faut que ce soit facilement configurable (pda),
sinon comme solution j'ai entendu parler de radius (serveur 2003 avec authentification mutuelle serveur client)+une base de donnée.
ou des solutions linux tels que WPA -suppliant ou HypperWRT ? :?:


donc si vous pouviez m'apporter vos connaissances sur tel ou tel solution sécurité wifi avec le maximum d'informations dessus, ca m'aiderai fortement! :hello: (je tiens a rassemebler le plus d'infos possible afin de choisir la mieux adapté !! :) )

--> notre materiel wifi sont bornes cisco 1200 et des portables - PC - PDAs wifi..

merci!
blablabli bliblabli blabla
paire_saune
Matelot
Matelot
 
Messages: 3
Inscrit le: 03 Oct 2005 11:04

Messagepar jdh » 03 Oct 2005 11:50

C'est extrement intéressant et j'attends avec toi des réponses concrètes (en environnement Linux :) ).

Aujourd'hui, on trouve aisément sur le net une video montrant en temps réel une attaque sur un réseau Wifi protégé par WEP (avec SSID visible) (hors temps de capture de traffic, la durée de crack de la cle est ... de quelques minutes seulement).

Je pense que le basic est effectivement

- SSID non broadcasté (nom long et aléatoire)
- WAP + TKIP (clé longue et aléatoire)
- filtrage MAC
- réseau wifi distint si possible du filaire

Chaque point est contournable mais l'addition rend le crackage plus difficile.
A noter que "hot-spot" rend certaines possibilités impossibles (p.e. filtrage MAC).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Billou02 » 03 Oct 2005 13:56

Cette question me branche aussi beaucoup car, comme pas mal de monde, je possede un reseau wifi et, maheureusement pour moi pas encore sur la patte bleue de mon ipcop (ca c'est un autre probleme...)
Je désire sécuriser le tout. je possede aussi un répéteur de signal (pour les zones d'ombre).
donc bien sur, le wep est facilement crackable, il me faut un truc plus solide que ca...

jdh a écrit:- SSID non broadcasté (nom long et aléatoire)
- WAP + TKIP (clé longue et aléatoire)
- filtrage MAC
- réseau wifi distint si possible du filaire


ca me parait etre une bonne solution, mais par ou commencer ??? :oops:

- réseau wifi distint si possible du filaire

ca j'y ai répondu plus haut :lol: ok !

- filtrage MAC

le point d'acces le gere : ok !

- SSID non broadcasté (nom long et aléatoire)
- WPA + TKIP (clé longue et aléatoire)

mais alors la, :-k , je vois pas !
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar Gandalf » 03 Oct 2005 14:06

Salut, outre les règles élémentaires de sécurité ( pas de broadcast, WPA-PSK, inscription des MAC address .... ) je préconise un point d'accès qui "emmène " tous les clients sans fils dans une zone à part sur le firewall, avec identification RAS sur un serveur RADIUS ! Ce dernier doit être dans une autre zone, et il faut autoriser les flux entre les 2 zones concernées !
Ainsi si toutes tes protections de bases tombent, l'intrus se retrouve isolé dans une zone où il n'y a rien !
C'est tout du moins comme ça que j'ai effectué quelques archoitectures Wifi, qui jusque là ont tenu le coup !

@ +
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar jdh » 03 Oct 2005 14:19

Tout à fait juste Gandalf ! Quand les users auront été validés par le RADIUS (dont il existe une implantation open source), il faudra qu'ils puissent bien accéder aux ressources de Orange ou Green (srv fichier !) et c'est pas toujours facile (wins par exemple).

Pour Billou, je conseille de créer des clés (SSID ou WPA) avec un début qui signifie quelque chose et 8, 10, 12, 16 caractères aléatoires attentivement notés pour les saisir sur toutes les machines.

J'ai donné une formule pour tableur dans un récent post pour générer ces caractères aléatoires.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar paire_saune » 03 Oct 2005 16:05

j'ai aussi entendu parler d'une distrib linux qui serait spécialisée dans le réseau et le hot spot, si quelq'un pouvait m'éclairer ?

du genre de tete cat quelque chose.....

oui je sais c très vague
:?
blablabli bliblabli blabla
paire_saune
Matelot
Matelot
 
Messages: 3
Inscrit le: 03 Oct 2005 11:04

Messagepar yves_mag » 03 Oct 2005 19:02

si ça peut aider:
http://yves.maguer.free.fr/WiFi/page_wifi_yves.html#Avec_le_WiFi_est_ce_que_je_serais_pirate

Du bon wifi a été exposé durant 4 heures à des milliers de pirates et a résisté.
yves_mag
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 05 Déc 2004 19:59
Localisation: Toulouse

Messagepar Gandalf » 03 Oct 2005 21:01

Bonsoir Yves, ton site est toujours aussi intéressant =D> !

J'en profite juste pour dire ( comme on a abordé RADIUS ) que l'implémentation d'un serveur RADIUS avec certificat sous Windows 2000 server est une M.E.R.D.E sans nom ! 2003 serveur fonctionne un peu mieux, sinon il existe des solutions libres mais je ne les ai pas testées .. alors si vous avez du retour n'hésitez pas ....

@ +
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar micjack » 03 Oct 2005 23:00

Tout a été dit, protections WPA, PKI, filtrage MAC , séparer les reseaux, Radius (autentification employé par les FAI) ..etc

Par contre, utiliser Radius sur un Win ou sur un Linux, qui reste une sécuritée de connexion certaine, ce n'est pas cela qui me derrange, mais ce qui transite par les aires (spoofing) , pas forcement une connexion direct sur le reseau (cela existe sur les reseau filaires et/ou internet)...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar barbak » 03 Oct 2005 23:17

pour repondre a paire_saune au sujet d'une distrib spécialisée dans le hot-spot il y en a une du nom de "zone cd". le site officiel

je suis tombé dessus par hasard, j'ai téléchargé, mais je n'ai pas encore testé.
<HARD> : PIII 700, 128Mo RAM, HDD 40Go IDE; 3Com (LAN), Realtec (DMZ) et D-Link (WAN)
<SOFT> : pfSense "stock"
Avatar de l’utilisateur
barbak
Premier-Maître
Premier-Maître
 
Messages: 69
Inscrit le: 21 Oct 2004 14:32
Localisation: Picardie

Messagepar micjack » 03 Oct 2005 23:26

Par contre, ceux qui veulent tester la secu, il y'a un livecd ...
--> http://www.remote-exploit.org/index.php/Auditor_main

La section "Wireless" sur l' ISO regroupe entre autre,

* apmode.sh (Act as accesspoint)
* Airpwn (Client penetration)
* Hotspotter (Client penetration)
* GpsDrive
* start-gps-daemon (GPS daemon)
* stop-gps-daemon (GPS daemon)
* ASLeap (LEAP/PPTP cracker)
* Genkeys (Hash generator for ASLeap)
* Airforge
* File2air (Packet injector)
* Void11
* Void11-Hopper (Channel hopper)
* GKismet (Graphical wireless scanner)
* GPSMAP (wireless mapping)
* KLV (Kismet Log Viewer)
* Kismet (Ncurses wireless scanner)
* Wellenreiter (Graphical Wireless scanner)
* 802ether (Dumpfile format convertor)
* airodump (Traffic recorder)
* aircrack (Modern WEP cracker)
* Aireplay (Wireless packet injector)
* Wep_Crack (Wep Cracker)
* Wep_Decrypt (Decrypt dump files)
* Airsnort (GUI based WEP cracker)
* ChopChop (Active WEP attack)
* DWEPCrack (WEP cracker)
* Decrypt (Dump file decrypter)
* WEPAttack (Dictionary attack)
* WEPlab (Modern WEP cracker)
* Cowpatty (WPA PSK bruteforcer)
* changemac.sh (MAC address changer)
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Billou02 » 04 Oct 2005 07:45

Merci a yves_mag pour le lien très sympa ! :wink:

merci a tous pour vos explications, barbak, rendez vous un dimanche pour essayer de cracker mes protections :lol:
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar paire_saune » 04 Oct 2005 10:17

moi pour cracker le réseau j'avais utilisé whax (successeur de whoppix qui s'appuie sur knoppix) :
voici le lien : :o

http://linuxfr.org/2005/07/04/19248.html

en fait il comprend beaucoup d'outils (comme Auditor_main) dont airodump (recuperer les packets d'un connexion wifi ) aireplay (pour generer plus de IVs) et aircrack ( pour trouver la clé).

:wink:
-------------------------------
et voici un lien vers un script qui est bien utile pour utiliser ces programmes sans se casser la tete avec les arguments a passer derriere! :roll:

http://www.r4ndom.com/staulkor/projects ... index.html

en fait ce sont deux scripts shell : wepcap permet de recuperer les packets rapidement et wepcrack permet de casser la clé.

-------------------------------
sinon merci beaucoup pour zone cd (distrib linux qui contient un hot spot du nom de nocat! programme que je cherchais). :D
au point de vue de securité, on va essayer d'implenter de l'eap tls ou eap ttls mais après faut voir avec l'equipement wifi..
si il y en a qui ont d'autres solutions de sécurités qui tiennent bon jusqu'a présent, qu'ils ne se comportent pas comme des carpes!!! :wink:

---------------------------
ah voici aussi un lien vers pleins de distributions linux (en live cd je crois) sur les réseaux et sécurité wifi :

http://distrowatch.com/
blablabli bliblabli blabla
paire_saune
Matelot
Matelot
 
Messages: 3
Inscrit le: 03 Oct 2005 11:04

Messagepar barbak » 06 Oct 2005 15:20

@paire_saune:
y'a pas de quoi. content d'avoir pu t'aider un peu.

et merci a toi aussi pour les liens. ca risque de m'etre tres utile ce WE (hein Billou02 :wink: )
<HARD> : PIII 700, 128Mo RAM, HDD 40Go IDE; 3Com (LAN), Realtec (DMZ) et D-Link (WAN)
<SOFT> : pfSense "stock"
Avatar de l’utilisateur
barbak
Premier-Maître
Premier-Maître
 
Messages: 69
Inscrit le: 21 Oct 2004 14:32
Localisation: Picardie

Messagepar vanvan » 06 Oct 2005 15:32

Question réseau wifi, que ce soit wep, wpa ou wpa2 t'auras jamais une sécurité 100 %

Mais pour limiter les soucis essayes ça :

Un serveur LDAP dans lequel tu mets tes utilisateurs ( genre openldap )
Un serveur Radius pour l'authentification.
Tu relies tes bornes à un portail captif ( qui a un client radius et un DHCP ), puis tu routes le tout vers tes serveurs radius et ldap avec entre tout ça un firewall pour interdire les rebonds vers autre chose ou interdire tout autre type de traffic genre p2p.

Comme ça le gars qui chope l'un de tes channels, il devra s'authentifier et alors pas moyen de passer sans etre dans la base ldap.

Sinon si tu as du Cisco regardes du côté de WLSE et WDS c vraiment pas mal.
WLSE te centralise les infos et te permet de gérer tes bornes à distances.
et WDS remonte les infos d'un groupe de bornes et par triangulation chope le positionnement exact ( a quelques metres près ) des bornes pirates.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Suivant

Retour vers Réseaux sans fil

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron