Un voisin trop curieux

Forum dédié aux discussions concernant les réseaux sans fil tels que IEEE 802.11a, 802.11b, bluetooth et tous les autres standards que l'on peut trouver sur le marché.

Modérateur: modos Ixus

Un voisin trop curieux

Messagepar Crackoo » 09 Oct 2005 14:55

Bonjour,

Un problème de voisinage m'ammène à réléchir à la sécurité de mon reseau wifi. Il y a quelques jours mon nouveau voisin sonne à ma porte : "Bonjour, [...] blablabla [...] j'ai détecté votre borne wifi, seriez vous d'accord pour me louer un peu de bande passante"

Ne logant pas les connexions à mon reseau et ne connaissant le voisin que depuis 2min, je refuse pour des raisons évidentes ; je ne veux pas me retrouver avec les flics à ma porte un matin à 6h tapante !

Actuellement ma config ressemble à peu près à ca :

-2 portables en wifi
-1 PDA en Wifi
-2 PC en filaire
-1 PS2 en filaire
-1 Modem-routeur SMC Barricade 7204BRA
-1 PA Belkin (Modèle : F5D6130) relié au routeur

*Le DHCP est désactivé sur mon routeur, je n'utilise pas des IPs de type 192.168.x.x, j'ai un masque 255.255.255.240

*Mon PA utilise le cryptage WEP 128Bits (WPA non dispo) et le filtrage des adresses MAC.

J'ai de bonnes raisons de penser que mon voisin pourrait essayer de s'introduire sur mon reseau afin de bénéficier de ma connexion ADSL... Il m'a avoué utilisé le Wifi d'un autre voisin qui avait laissé son reseau ouvert, mais s'est vite aperçu de l'intrusion.

On en arrive à la partie questions :lol: :

-Quelle(s) précaution(s) supplémentaire(s) envisager ?
-Comment tester la sécurité de mon reseau ?
-Je pensais changer mon PA car celui-ci est limité à 11MBps :s Est-il plus interressant d'acheter un PA seul ou de me diriger vers un modem-routeur-wifi ?

Dans vos réponses, merci de tenir compte du fait que je ne veux pas laissé tourner une machine en permanence qui pourrait servir de passerelle ou de serveur d'authenfication.

A vous de jouer.
Merci par avance
Avatar de l’utilisateur
Crackoo
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Déc 2003 01:00

Messagepar jdh » 09 Oct 2005 15:38

Utiliser la connexion Wifi de quelqu'un d'autre est, ni plus ni moins, du vol de bande passante (et par conséquent interdit). Mais pas vu pas pris.

Les contrats usuels des FAI n'autorisent en aucune sorte le partage à d'autres personnes et encore moins de façon payante. Mais pas vu pas pris.

Même des revues comme PC Expert explique comment cracker une clé WEP en 5 opérations (n° de ce mois).

Les sécurités de base à mettre en oeuvre sont :

- filtrage d'adresse MAC
- SSID non broadcasté, assez long et aléatoire
- cryptage de type WPA, clé assez longue et aléatoire
- ne pas utiliser DHCP (ou alors limité à certaines adresses MAC)

Pour une sécurité encore meilleure, on peut

- isoler le réseau Wifi avec une patte réseau d'un firewall (Bleu pour IPCOP)
- ajouter un serveur Radius d'identification

Idéalement le mieux est un firewall et un Access Point sur une patte dédiée. Mais si tu ne veux pas laisser de machine, il existe de bons routeurs + Access Point intégrant un minimum de firewall. J'ai choisi un usuel et réputé Lynksys WRT54G notamment parce qu'il est possible de changer de firmware (OpenWRT).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Crackoo » 09 Oct 2005 17:51

jdh a écrit:- isoler le réseau Wifi avec une patte réseau d'un firewall (Bleu pour IPCOP)

Idéalement le mieux est un firewall et un Access Point sur une patte dédiée. Mais si tu ne veux pas laisser de machine, il existe de bons routeurs + Access Point intégrant un minimum de firewall. J'ai choisi un usuel et réputé Lynksys WRT54G notamment parce qu'il est possible de changer de firmware (OpenWRT).


Mon routeur a un Firewall et il est également possible de filtrer les flux entrant<=>sortant.

Quel type de règle(s) faut il appliquer ? Une règle autorisant seulement mes adresses IP ? Simple à contourner à partir du moment où l'une des machines est éteinte.
Je ne crois pas pouvoir filtrer à partir de l'adresse MAC.
Je ne peux pas empêcher le broadcast du SSID sur mon PA. Comment savoir quel model le fait ? Il ya-t-il une marque à préférer à une autre ?

Merci d'avoir pris le temps de répondre.
Avatar de l’utilisateur
Crackoo
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Déc 2003 01:00

Messagepar Billou02 » 09 Oct 2005 21:41

Salut,
Essaye de nous donner la marque et le modele de ton AP.
si pour des raisons particulieres, tu penses que ton voisin peut lire ceci, envoie le en mp.
je veux bien t'aider.
je suis dans le meme cas que toi, sauf que moi, c'est pour éviter d'avoir une intrusion. je n'ai pas de voisin génant...
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar Crackoo » 09 Oct 2005 23:15

Billou02 a écrit:Salut,
Essaye de nous donner la marque et le modele de ton AP.
si pour des raisons particulieres, tu penses que ton voisin peut lire ceci, envoie le en mp.
je veux bien t'aider.
je suis dans le meme cas que toi, sauf que moi, c'est pour éviter d'avoir une intrusion. je n'ai pas de voisin génant...


Bonsoir,

Comme dit dans le premier message mon PA est un Belkin (Modèle : F5D6130)

A pluche
Avatar de l’utilisateur
Crackoo
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Déc 2003 01:00

Messagepar jdh » 09 Oct 2005 23:32

J'ai écrit que PC Expert de ce mois comporte 13 pages sur le Wifi et 16 pages de comparatifs entre matériels.

Aujourd'hui, les routeurs/Access Points en 802.11b (11Mb) qui ne gère pas WPA sont dépassés. Ceux en 802.11g (54Mb) sont en passe de l'être : la norme 802.11n "devrait" arriver mi 2006. Faut-il patienter ?

Les recommandations (que l'on trouvent un peu partout) peuvent être couvertes par les matériels de bonne facture. Il faut savoir s'il existe une procédure de mise à jour de firmware : cela permet d'espérer (sans aucune garantie) une possibilité d'évolution pour suivre les recommandations ... à venir.

Comme d'habitude, il vaut mieux acheter un matériel assez populaire.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Billou02 » 10 Oct 2005 08:01

Yes comme un bon vieux Linksys WRT54G d'occaz

J'en ai trouvé un sur Ebay a 45 Euros. :P
Dernière édition par Billou02 le 10 Oct 2005 10:10, édité 4 fois au total.
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar tomtom » 10 Oct 2005 09:23

Et neuf à 65 euros rue Mongallet ;)

Voir aussi son remplaçant plus compact (mais pas sous linux :( ) le WRT54GC
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Billou02 » 10 Oct 2005 10:07

j'en ai trouvé un sur Ebay a 45 Euros. :P


Frais de ports compris ! :D

jdh a écrit:la norme 802.11n "devrait" arriver mi 2006. Faut-il patienter ?


c'est un des gros problème de l'informatique en général.
plus on patiente, plus on a mieux.... mais au final, on attends toujours que ca soit mieux, et on a rien :lol:

Je pense que la n'est pas le sujet... :wink:
Concentrons nous sur le topic.

Sur le probleme de la norme en 802.11b c'est clair qu'elle est dépassée. vaut mieux investir un peu en 802.11g. car 54 Mb pour surfer c'est suffisant. et au niveau sécurité, on peut déjà faire beaucoup avec ce type de norme (WEP (bof), WPA, Radius :wink: ). a suivre...
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar Crackoo » 10 Oct 2005 22:29

Merci pour vos réponses :D

Je pars en déplacement jusqu'à vendredi, je vais mijoter tout ca cette semaine avec mon PC Expert sous le bras ;)

A pluche
Avatar de l’utilisateur
Crackoo
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Déc 2003 01:00

Messagepar Billou02 » 10 Oct 2005 22:35

n'hésite pas a poster pour faire suivre :wink:
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Re: Un voisin trop curieux

Messagepar shunshi » 15 Oct 2005 20:55

Crackoo a écrit:
*Mon PA utilise le cryptage WEP 128Bits (WPA non dispo) et le filtrage des adresses MAC.




Bonjour,

Ca doit suffire le filtrage des adresses mac sur le PA

/shunshi

bye
shunshi
Second Maître
Second Maître
 
Messages: 33
Inscrit le: 26 Avr 2004 10:02

Messagepar M@nu » 16 Oct 2005 18:25

Le filtrage par adresse MAC ne suffit pas, puisqu'un sniffer wifi fournit les @MAC qui "discutent" sur le reseau.
Il faut combiner le tout (mac + cryptage).
Mettre les IP en dur et couper le dhcp.
Desactiver le broadcast SSID (parfois difficile a configurer sur les postes clients sous windows)

Sur mon Linksys wrt54g (firmware Free-man/basic .0.4), il est possible de limiter les accès par tranche horaire ou par service (pas de p2p, par exemple), par MAC et/ou par IP.
Les logs fonctionnent en in et en out. Il est donc possible de savoir qu'un parasite navigue...

En combinant un peu tout, on obtient quelque chose de raisonnablement long a cracker.
De plus, je coupe le wifi lorsque cela ne m'est pas utile.
La puissance d'emission est également limitée au strict necessaire a mon usage.

Cela n'a toutefois pas empecher un voisin de s'y coller. Je lui ai retourné la politesse en envoyant 200 pages noires sur son imprimante wifi.... C'est très dissuasif, il me laisse tranquille depuis.
M@nu
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 14 Mai 2004 17:20

Messagepar Billou02 » 16 Oct 2005 18:31

M@nu a écrit:Cela n'a toutefois pas empecher un voisin de s'y coller. Je lui ai retourné la politesse en envoyant 200 pages noires sur son imprimante wifi.... C'est très dissuasif, il me laisse tranquille depuis.


:lol: C'est pas mal ca ! :lol:

Le tout est de savoir si le point d'accès de Crackoo va permettre de couper le broadcast, couper le DHCP, filtrer les adresses Mac et surtout de limiter la puissance. a ma connaissance, très peu de points d'accès ont cette dernière possiblité. :?
Image
Avatar de l’utilisateur
Billou02
Amiral
Amiral
 
Messages: 1177
Inscrit le: 27 Jan 2004 01:00
Localisation: Picardie

Messagepar yves_mag » 17 Oct 2005 13:03

"200 pages noires sur son imprimante wifi"

merci manu, c'est bon de rigoler!! :)
yves_mag
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 05 Déc 2004 19:59
Localisation: Toulouse

Suivant

Retour vers Réseaux sans fil

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron