Sécurisation WIFI sans WPA : l'avis des experts

[Astroboy]

Bonjour,

j'ai un petit réseau interne à la maison, achitecturé autour d'un IPCOP et d'un routeur WIFI qui fait point d'accès.
Au niveau configuration sans fil, le SSID est non broadcasté avec un nom bien long et exotique (je ne sais pas ce que dit la norme d'ailleurs, mais j'ai remarqué que le caractère "°" est diversement apprécié par les périphériques wifi )
Il y a un filtrage MAC + IP en place et le réseau wifi est distinct du réseau LAN
Par contre, je suis en WEP 128 par obligation, mon Ipaq ne disposant pas dans ses driver du cryptage WPA. Mes machines WIFI ont donc accès uniquement à Internet et quelques ports bien spécifiques sur une machine du LAN.

J'aimerais désormais qu'elles aient un accès total à mon réseau interne.
La difficulté, c'est que je ne peux pas faire de WPA, encore moins du WPA2. Du coup, je cherche un moyen de sécuriser mon réseau wifi, mais à partir de vieilles recettes, cad de solutions supportées par mon Ipaq.

Ce que j'envisage, c'est de mettre en place un vpn sur la patte WIFI ; toutes les machines WIFI devraient donc se connecter au point d'accès ET au vpn pour accèder à mon réseau interne sans restriction.

J'imagine que je peux flasher le firmware du wrt54GL avec dd-wrt et monter un vpn directement dessus (pptp ou openvpn). Une fois le vpn monté, je connecterai le routeur wifi non plus sur la patte bleu de mon IPCOP (WIFI), mais sur la patte verte (LAN)
J'envisage aussi du ocup de ne plus mettre de cryptage sur le routeur wifi, histoire de gagner un peu de bande passante.

J'aimerais bien avoir votre opinion (et vos autres idées) sur l'architecture que j'envisage.
Tapez pas trop fort..


Astro

En annexe, la description de mon réseau actuel :
Un IPCOP relié à une freebox v4 (RED : 82.233.51.109 -> Freebox)
Sur la patte lan, quelques pc (GREEN : 192.168.1.1 -> hub -> 5 pc)
Sur la patte wifi, un routeur WIFI qui fait ponit d'accès pour un portable, et un pda ne supportant que le WEP (BLUE : 192.168.2.1 -> routeur wifi D-LINK WRT54GL v1.1 utilisé en point d'accès -> IPAQ 5450)
IPCOP est relié au routeur wifi par un cable droit branché sur l'une de ses prises lan (la prise wlan n'est pas utilisée). Au niveau configuration IPCOP, j'ai déclaré le routeur et le Pocket PC dans les accès BLUE.

[Astroboy]

Bon, pas trop de réponses pour l'instant, alors je me lance solo sur mon idée...
Pour l'instant, je note ce que je fais, je remetterai le tout au propre plus tard

WORK IN PROGRESS :

1- je flashe mon routeur (linksys WRT54GL 1.1) avec DD-WRT v23 SP2 VPN

2- je me connecte à l'interface web de DD-WRT et j'active JFFS2, ce qui me permet d'écrire sur la mémoire flash du routeur

3- je me connecte via telnet et je regarde comment le routeur est foutu...
je veux voir les interfaces du routeur :
#ifconfig
ça me retourne br0, eth0, eth1, lo, vlan0, vlan1

#nvram show | grep br0
#nvram show | grep eth0
#nvram show | grep eth1
etc..
ça me donne plus d'infos sur les interfaces (notamment leur nom); aucune idée de à quoi correspond eth0 mais d'après les docs sur le routeur, cette interface n'est pas utilisée.

Au final
vlan0 = lan (port 0, 1, 2, 3)
vlan1 =wan (port 4)
eth1 = wifi
lo = loopback
br0 = bridge lan-wifi

4- je verrais plus tard ce qu'il faut modifier sur le découpage réseau et je revient à la config de mon vpn.
Je vérifie que toutes mes partitions sont bien montées
#mount

5- je crée un répertoire pour ma config ; je veux utiliser OpenVPN, donc :
#mkdir /jffs/openvpn

6- je teste si mon repertoire est là : rien !!?
#df
tout est à 100% utilisé !!
Bon, je suis bon pour reflasher mon routeur avec un firmware plus léger...


ça va être fin de chantier pour ce soir, je continuerai plus tard...

Astro

[jdh]

Concernant le Wifi, il faut savoir :

- le SSID doit être long, aléatoire et non broadcasté,
- on peut utiliser un filtrage MAC,
- on DOIT utiliser un cryptage AU MOINS avec WPA.

Les 2 premières mesures ne sont pas "majeures" car elles sont aisément contournables. Un logiciel comme NetS... donne le SSID même non broadcasté, et on peut sous linux par exemple, se connecter directement à un AP à partir de son adresse mac. En cas de filtrage mac, il suffit de faire du "spoofing", c'est assez aisé.

Concernant le cryptage WEP, celui ci peut être aisément cassé : des outils le font, de façon presque automatique, en moins de 10 minutes (voire moins).

On peut imaginer que chaque client d'un réseau wifi crypté en WEP fasse un VPN. MAIS il NE FAUT PAS que ce soit le routeur wifi qui fasse cela ! En effet si n'importe qui peut se connecter au routeur et que le routeur à accès, cela ne va pas.

Il est préférable de mettre en oeuvre un hotspot de type "chilispot" à l'image du réseau FON : le signal wifi comporte un réseau "ouvert" mais à la première page http, une redirection vers une page d'authentification (vers un serveur RADIUS). Ce type de réseau ouvert reste néanmoins contournable (parce que certains services, comme le DNS, sont ouverts même non authentifiés).

Donc de mon point de vue, mettre un vpn dans le routeur wifi est une mauvaise idée.

[Astroboy]

"On peut imaginer que chaque client d'un réseau wifi crypté en WEP fasse un VPN. MAIS il NE FAUT PAS que ce soit le routeur wifi qui fasse cela ! En effet si n'importe qui peut se connecter au routeur et que le routeur à accès, cela ne va pas. "

Mmm, comme d'habitude, soit je ne comprends pas bien ce que tu me dis, soit je n'ai pas été clair sur ce que j'envisage de faire :

mon routeur a trois pattes :
- Wan
- Lan
- Wifi
Pour l'instant, la patte Wifi et la patte lan sont bridgés ensemble.

Ce que j'envisage, c'est
- de séparer la patte Lan et la patte Wifi en réseaux distincts (au sein du routeur, hein..)
- de mettre en place sur le routeur un serveur vpn
- que ce serveur vpn attendent des clients vpn sur la patte wifi uniquement

Dans mon esprit (j'avoue que c'est encore confus ), n'importe qui va pouvoir se connecter à mon routeur en wifi, mais une fois connecté, aucun dialogue ne va être possible vers les autres réseau si la personne n'ouvre pas de vpn ; autrement dit, l'intrus potentiel se connecte sur un point d'accès qui ne mène à rien.

Quand à observer ce que je fabrique lors de mes accès wifi, le cryptage du VPN doit remplacer avantageusement le cryptage WPA (que je ne peux de toute façon pas me permettre..), non ?

Astro

[jdh]

Je comprends ceci :

- le routeur wifi possède 3 zones : "Wan" sous la forme d'un connecteur RJ, "Lan" sous la forme de 4 prises RJ (en switch), "Wifi" sous la forme de l'antenne.

- un routeur WRT avec le firmware d'origine "bridge" les zones "Lan" et "Wifi".

- un routeur WRT avec le firmware dd-wrt peut différencier ces 2 zones.

Tu veux ensuite installer un serveur vpn (openvpn) sur le routeur WRT. Celui acceptera les clients venant de la zone "Wifi" : le trafic réseau sortant du tunnel apparaitra comme issu d'une nouvelle zone "ipsec" et, toc un coup d'iptables aura accès à la zone "Lan".

Bien vu !

Dans le script iptables, ajoute donc un filtrage en entrée sur la zone "Wifi" : "que VPN" ce sera encore plus sur.

[Astroboy]

C'est exactement ça..
Et youhou, j'ai l'approbation d'un amiral !!!


Bon, maintenant, ne reste plus qu'à mettre en pratique (et là, ça va être une autre paire de manche... mais j'ai beaucoup appris en lisant le forum et en bidouillant IPCOP).

La suite peut-être ce soir...

Merci pour les commentaires en tout cas.
Astro.

[Astroboy]

bon, je recommence :

1- je branche le portable sur le secteur, histoire ne pas voir celui-ci s'éteindre en plein flashage...
on n'est jamais assez prudent

2- je désactive le wifi sur portable histoire d'être certain de dialoguer avec le routeur par une bonne connexion bien stable

3- je raccorde le routeur en direct à mon pc (si je passe par mon réseau, le flash du firmware va remettre le routeur avec l'ip 192.168.1.1, ip déjà utilisé par mon IPCOP...)

4- je passe par IE, firefox étant déconseillé pour le flashage du wrt54gl

5- j'accède à l'interface web du routeur et je demande la restauration des paramètres usine.

6- j'attends l'apparition du bouton continuer et normalement c'est bon, je vais pouvoir flasher sans risque.

7- je télécharge une version plus light du firmware, la mini

8- je demande la mise à jour du firmware à travers l'interface du routeur.

9- je croise les doigts en espérant ne pas avoir transformé mon appareil en joli presse-papier et je vais faire un tour, histoire d'être sûr de ne pas recommencer à bidouiller trop tôt...

10- je me connecte à l'interface, tout roule (l'interface de la version mini réagit beaucoup plus rapidement que celle du précédent firmware en place...)

Astro

[Astroboy]

A travers l'interface web du routeur :

1- je remets l'adresse ip du routeur, 192.168.1.254 (c'est la partie lan) et les ip de la passerelle et du serveur dns, 192.168.1.1 (IPCOP). Je me reconnecte ensuite sur la nouvelle IP.

2- je désactive le serveur DHCP

3- c'est marrant, je n'avais vraiment pas bien parcouru l'interface, je peux débridger le wifi du lan sans taper une ligne de shell... (Configuration\Lan virtuel : sans fil = aucun)

4- pendant que j'y suis, je réactive le support de JFFS2

Je reconnecte le routeur à mon réseau, et je réactive le wifi sur mon portable, histoire de voir ce que ça donne... Pour l'instant, mon routeur est invisible au niveau wifi. Bizarre.
En plus, mon routeur affiche son logo en orange, ce qu'il ne fait pas d'habitude ??!!
Pfff, problème en vue.

Je continuerai tout à l'heure...

Astro.

[Gandalf]

En plus, mon routeur affiche son logo en orange, ce qu'il ne fait pas d'habitude ??

Ca c'est normal quand tu flashes un WRT54GL avec un DDWRT, le bouton "miracle" ne sert que pour le firmware d'origine et donc ne "retrouve plus ses petits" au sein du nouveau. De toute façon c'est un bouton de m.... sur ces routeurs, comme si en appuyant dessus on avait plus rien à faire !

[Astroboy]

ok pour le logo en orange , mais c'est quand même bizarre que je ne trouve plus mon interface wifi...

bon, donc un coup de telnet et j'essaye de paramétrer tout ça :

1- ifconfig eth1 me renvoie bien quelque chose...

eth1 Link encap:Ethernet HWaddr 00:18:F8:D2:7D:D0
inet addr:10.0.0.1 Bcast:10.255.255.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:63 errors:0 dropped:0 overruns:0 frame:87326
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4915 (4.7 KiB) TX bytes:5321 (5.1 KiB)
Interrupt:2 Base address:0x5000

je reconfigure l'adresse ip de ma carte wifi de portable
ip : 10.0.0.2
masque : 255.255.255.0
passerelle : 10.0.0.1
dns : 10.0.0.1

je reteste, je vois mon SSID "DD-WRT" (je changerai celui-ci plus tard, pour un SSID plus complexe..) dans la liste des réseau sans fil... Mmmm, je ne vois pas bien le rapport !!??

2- vu que je ne comprends pas, je stoppe l'interface wifi, je refais sa config et je la remonte (via telnet)
wl -i eth1 down
ifconfig eth1 up inet 10.0.0.1 netmask 255.255.255.0
wl -i eth1 up
Je reteste, tout roule.
Bon, j'avoue que je ne comprends pas, et que je viens d'y passer 1h, mais ce n'est pas grave, ça fonctionne....

3- ce que je viens de faire au point 3, ça ne tient que le temps où le routeur est allumé.
c'est la variable nvram rc_startup qui stocke ça. Donc :
nvram set rc_startup=wlconf eth1 up;ifconfig eth1 10.0.0.1 netmask 255.255.255.0

4- je reboote le routeur et je re-teste, tout a l'air en ordre

5- tout content, je repasse sur l'interface web de mon routeur et j'active le filtrage par mac adresse ; je n'autorise que l'adresse mac de la carte wifi de mon portable.

6- je viens de me bagarrer 2h parce que je ne m'y connais pas trop, je suis mort, la suite au prochain épisode...

Astro

[Gandalf]

ok pour le logo en orange , mais c'est quand même bizarre que je ne trouve plus mon interface wifi...

Astro

! C'est à dire ? Normalement tu devrais y avoir accès, j'ai un WRT54GL sur une zone dédiée et j'ai accès sans problème à l'interface web. Dans DDWRT tu peux définir à partir d'où tu dois avoir accès à la GUI ( wifi et/ou filaire ), c'est paramétré comment ça chez toi ?
Pour un peu plus de sécurité, tu devrais avoir accès à la GUI depuis le réseau filaire et désactiver l'accès à partir du wifi.

[Astroboy]

mmm, je voulais dire qu'à cet instant-là, je ne voyais plus, à partir de l'explorateur de réseau wifi de mon portable, mon routeur et son SSID...

Comme si l'activation de la case pour débrigder l'interface lan et wifi avait laissé l'interface wifi plus ou moins HS (le SSID est apparu pendant quelques secondes 10 minutes plus tard, avant de redisparaître....)

Après remise à 0 et désactivation de l'interface wifi du routeur puis sa réactivation, tout était ok..

[Astroboy]

Bon,

je profite d'un petit moment de temps libre...

Bon, j'ai mon routeur avec ses réseaux séparés, le lan en 192.168.1.x et le wlan en 10.0.0.x.
Ces deux zones sont indépendantes et ne communiquent pas.
Il est temps de monter le serveur vpn sur le routeur. C'est reparti pour un petit coup de telnet.

1- un petit "mount" pour voir si tout est là..
/dev/root on / type squashfs (ro)
none on /dev type devfs (rw)
proc on /proc type proc (rw)
ramfs on /tmp type ramfs (rw)
/dev/mtdblock/4 on /jffs type jffs2 (rw)
ok, c'est bon.

2- je vérifie que j'ai de la place, cette fois ci : df
Filesystem 1k-blocks Used Available Use% Mounted on
/dev/root 1984 1984 0 100% /
/dev/mtdblock/4 1280 324 956 25% /jffs
c'est beaucoup mieux.

3- je pars à la recherche du package OpenVPn pour DD-WRT ; je peux le trouver ici.

4- le nom de destination de l'installation doit être "root" si je veux que mon package s'installe dans /jffs (mémoire flash du routeur)
ipkg -d root install http://downloads.openwrt.org/whiterussi ... mipsel.ipk
Argll, ça ne roule pas du tout :
Downloading http://downloads.openwrt.org/whiterussi ... mipsel.ipk ...
ipkg_download: ERROR: Failed to retrieve http://downloads.openwrt.org/whiterussi ... mipsel.ipk, returning

très pratique, de ne pas avoir le type d'erreur rencontré...

-5 ok, j'ai trouvé le pb, c'est ma partition jffs qui n'est toujours pas au carré ; j'ai activé le support jffs2
mais pas la deuxième option (que fait-elle ??) "Effacer jffs2" dans l'interface web de DD-WRT.
Cette manipulation effectuée, tout fonctionne... En fait, non.
L'installation crie car il me manque un autre package, dont dépend OpenVpn, liblzo_2.02-1_mipsel.ipk
Bref :
ipkg -d root install http://downloads.openwrt.org/whiterussi ... mipsel.ipk
ipkg -d root install http://downloads.openwrt.org/whiterussi ... mipsel.ipk
Cette fois--ci, c'est bon.

la suite un peu plus tard... (je devrais minuter le temps que je passe à faire ces avancées misérables... )

Astro

[Gandalf]

Euh ... le VPN est intégré au firmware DD-WRT, pourquoi tu t'em ..... ?

[Astroboy]

(intermède d'une semaine pour cause de déplacement...)

Parce que je n'ai pas le choix.... mon routeur ne dispose pas d'assez d'espace de stockage pour utiliser la version officielle de dd-wrt vpn ; il y a trop de packages annexes qui bouffent de la place (par exemple, le support kai pour les jeux xbox...)

Donc c'est tout à la mano.