sécurité wifi

par **staple** » 12 Oct 2003 12:26

Bonjour, Je cherche à avoir quelques informations sur la sécurité du Wifi. Je m’explique, je travaille actuellement sur une plateforme de test dont le but est de mettre en place un réseau wifi sécurisé. En regardant sur le net, j’ai pu voir que le protocole 802.1x est à la mode actuellement. J’ai donc monté une plateforme avec serveur radius en 802.1x et protocole de cryptage de type EAP-TTLS (gestion plus simplifiée des certificats !!!). Après avoir testé que cette plateforme fonctionne et après avoir regardé sur différents sites, j’ai l’impression que cette sécurité ne suffit pas (risque de piratage par « man in the middle », « hijacking »). Apparemment l’une des sécurités fortes est la mise en place d’un vpn. Je débute dans le domaine et je cherche donc des informations sur ce type sujet. Le but étant de sécuriser la partie wifi pour pouvoir se connecter au réseau local. Quel type de vpn ? Est-il toujours utile d'avoir du 802.1x en plus d'un vpn ? Quel vpn à utiliser pour effectuer des tests ? <IMG SRC="images/smiles/icon_help.gif"> Merci pour votre aide

par **tomtom** » 12 Oct 2003 12:31

Salut.. Tu trouveras deja de nombreuses infos sur les forums ixus, puisque d'autres sont dans ton cas.. N'hsites donc pas à farfouiller ici ! Sinon, un bon depart peut-etre le sit de hsc : <a href="http://www.hsc.fr/ressources/themes.html.fr" target="_blank">http://www.hsc.fr/ressources/themes.html.fr</a> Tu as dans la section "sans fil" de nombreux documents et liens fort interressants ! t.

par **staple** » 13 Oct 2003 11:28

Merci de ta réponse. En effet je connais déjà ce site et en plus j'ai déjà eu l'occasion de travailler avec eux. Moi je cherche des infos pour commencer dans un domaine que je ne connais pas de trop ( vpn ) et avoir les retours d'expérience de chacun. Voici un peti schéma: PC portable wifi -------------Point d'accès---------- Serveur W2k( radius ) | | | Passerelle ( vpn ) | | Réseau local Donc voici les questions que je me pose: J'utilise l'EAP-TTLS pour m'authentifier en wifi. Est-ce que je peux combiner un canal vpn en plus pour accéder à mon réseau local ??? de ce que j'ai pu voir, on parle bcp de vpn entre 2 firewalls ou 2 routeurs, moi je veux entre 1 client ( w2k,XP ) et 1 firewall vpn ou 1 routeur vpn. Que puis-je utiliser du côté client ???? Et du côté du firewall / routeur VPN ???? Est-ce que cette architecture tiens la route, ou est ce que je fais fausse route ??? S'il y a déjà des pb similaires, désolé de re-poster un msg du même type, mais j'ai trouver l'info qui m'intéressais. En gros je suis prenneur de tout type d'infos. A+ <IMG SRC="images/smiles/icon_confused.gif">

par **elbibelo64** » 22 Oct 2003 22:16

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-12 12:31, tomtom a écrit: Salut.. Tu trouveras deja de nombreuses infos sur les forums ixus, puisque d'autres sont dans ton cas.. N'hsites donc pas à farfouiller ici ! Sinon, un bon depart peut-etre le sit de hsc : <a href="http://www.hsc.fr/ressources/themes.html.fr" target="_blank">http://www.hsc.fr/ressources/themes.html.fr</a> Tu as dans la section "sans fil" de nombreux documents et liens fort interressants ! t. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Il est vraiment excellent, Herve Schauer...Du grand art dans ces conférences....deux fois que je l'acoute et j'adore!!! un fou! mais il est bon! <a href="http://www.hsc.fr" target="_blank">http://www.hsc.fr</a> == bon site.....et je n'ai pas d'action!

par **albatore** » 02 Nov 2003 00:21

staple prend contact avec moi par msn albatore44(at)hotmail.com je suis ds le même cas que toi, nos esprits se rencontrent .... a bientôt <IMG SRC="images/smiles/icon_find.gif">

par **koolmatt** » 05 Nov 2003 15:15

euh,, moi aussi je suis en pleine recherche de solutions de secu wifi fiable, mais je voi pas en koi un radius+eap-ttls fait k'on peut attaquer par hijacking ou par man in the middle? le serveur radius ne crypte t 'il pas tous les paquets avec des clés dynamiques? si ces clés sont dynamiques et généreés à partir des certificatz clients serveurs comment peut on alors les decrypter? éclairez ma lanterne svp! Ps: je rend mmon memoire ds 2 semaines et c po gagné alors tte aide est la bienvenue ! merci!

par **staple** » 06 Nov 2003 17:45

en effet le serveur radius utilise des clés dynamiques. Si j'ai bien compris tt ce que j'ai pu lire ( s'il y a erreur, je m'en excuse et merci de m'éclairer <IMG SRC="images/smiles/icon_biggrin.gif"> ), en résumé, le serveur radius te fourni un clé par session. Il me semble, du moins avec le serveur que j'utilise, que tu ne peux pas descendre en dessous des 15 minutes, cad que tu aura une nouvelle clé à chaque renouvellement de ta session, cad ttes les 15 minutes. Maintenant, il existe également un mécanisme sur les AP qui te permette de regénérer une clé tte les 5 mn au minimum sur la base de ta clé fourni par le serveur ( pour info, l'algorithme utilisé est le même que pour un clé wep ). Donc le pirate sniffe ton réseau, capture les trames et identifie l'AP. Il usurpe l'identité de l'AP, le client n'y voit rien et continu de travailler. Ensuite le pirate capture tes trames et usurpe ton identité ( @mac/@IP ) et te jette du réseau. Il a donc accès au réseau le temps de la regénération de la session ( opn appelle cette attaque man in the middle ). Voili,voilou ce que j'ai compris mais la aussi rien de sûre je suis comme vous, je débute dans le domaine et je vais à la pèche aux infos un peu partout. Sinon une chose dont j'en suis sûre, la meilleur solution actuelle est le vpn. Je n'en suis pas encore là, mais j'espère bientôt. Bon courage Staple

par **staple** » 06 Nov 2003 18:03

Juste pour info. Merci à KOOLMATT qui nous permet d'y voir un peu plus clair: yop, merci pour ta reponse rapide! en fait tu peu pas faire d'attaque man in the middle si t utilise des certificats (via eap-ttls ou peap) car sans ce certificat coté serveur et coté client impossible de s'associer! les certificatssont associés avec une identité et donc a part connaitre un compte windows (que tu ne peu pas sniffer si t utlise epa-ttls ou peap car ces protocoles forment un tunnel ssl pour autentifierl utilisateur sur le serveur radius). Je connais la page que tu m a soumis et si tu regarde bien a la fin ils disent que si tous les certificats sont deployés clients et serveur alors y te reste plus que le social engeneering . Voial , alors kon me dise pas que le wifi c po secu ou je lui pete les dents!!! a++ On a encore de quoi investiguer sur le sujet <IMG SRC="images/smiles/icon_confused.gif"> et encore merci à KOOLMATT qui nous permet de faire avancé les choses et d'y voir plus clair. Sinon autre chose, je suis actuellement en train d'expérimenter airsnort qui permet de craquer les clés wep. Je suis en train de monter un plateforme à mon boulot sur ce sujet. Quelqu'un a t-il une expérience sur ce soft ??? Combien de temps faut-il pour craquer une clé car pour moi g pas l'impression que ça marche ( attention je n'utilise pas de 802.1x dans cette architecture. J'ai bien trouvé le SSID mais je ne sais pas comment récupérer la clé wep. Si quelqu'un à des infos je suis prenneur ) Thanks @+ Staple

par **staple** » 20 Nov 2003 23:19

Salut à tous, J'ai passé ma journée sur le salon interop et j'ai également suivi un débat sur le wifi. Je commence à avoir du mal à tt saisir. Qd j'écoute des dsi ou des rssi qui disent qu'ils utilisent une architecture de type eap-tls sur leurs réseaux wifi et qui n'ont pas l'air de s'inquiété !!! Là, je pige plus <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> Ces derniers temps je suis régulièrement sur le net pour avoir des infos sur les archirecture wifi "sécurisé" ( type eap-tls, eap-ttls ) et ce que je trouve c'est qu'il y a un risque de piratage non négligeable. Alors j'aimerai avoir votre point de vu sur ce sujet: - Est-ce qu'une architecture qui repose sur du 802.1x est assez fiable, ou il y a t-il un gros risque à mettre cette architecture en palce ??? -Sinon j'ai également investigué sur un protocol de type peap ( selon les constructeur c'est un eap-ttls à la sauce microsoft ). Quelqu'un a t-il des infos sur ce sujet ??? Est-ce vraiment la même chose, ou il y a t-il une grande différence <IMG SRC="images/smiles/icon_boxe2.gif"> Merci pour votre aide @+ Staple

par **albatore** » 26 Nov 2003 19:48

stp staple parlons ensemble sur msn car mon TFE est sur le même sujet je bosse là dessus en ce moment ça peut être super intéressant !!! ok ?? <IMG SRC="images/smiles/icon_confused.gif">

par **Athanase** » 26 Nov 2003 20:26

Si tu veux mon avis, la zone WiFi doit être considéré comme une zone non sûre au même titre qu'Internet. Cela veut dire qu'à mon sens, il faut au grand minimum un FW qui la sépare du réseau ethernet normal de l'entreprise et une gestion de l'authentification des postes par filtrage sur les adresses MAC avec un chiffrement WEP. Maintenant, comme je suis un vrai parano (consultant sécurité inside), j'aurais tendance à utiliser des VPN IPSec au dessus <IMG SRC="images/smiles/icon_wink.gif"> En fait, comme toujours, je pense que tout dépend de l'utilisation qui est faite du réseau. Si le réseau Wifi est utilisé au sein de l'entreprise pour atteindre un joli petit proxy pour surfer sur le web et envoyer quelques mails, la mise en place d'un VPN est sûrement disproportionnée en regard du risque. Maintenant, si la zonne WIFI est utilisée pour accéder à des serveurs sensibles, il me parait obligatoire de mettre en place un VPN. Maintenant, libre à chacun d'évaluer les solutions de sécurité à mettre en place en fonction des risques estimés <IMG SRC="images/smiles/icon_razz.gif">

par **deglingo60** » 04 Déc 2003 11:59

Bonjour a tous Je taf egalement sur le sujet du WIFI LA politik sécurité de mon entreprise c VPN + IPSec Mais actuellement on taf sur 802.1X/EAP et notamment EAP-TLS et PEAP. Mais je ne'arrive pas trop a configurer WIN2000 server pour avoir un RADIUS et un serveur de certificats?sinon je l'ai mis en place sous FreeRadius et cela merche bien quelqu'un si connaitrait? Merci d'avance PS/mon mail: <a href="mailto:tag78@caramail.com">tag78@caramail.com</a> si quelqu'un veut me poser des questions je pense bien connaitre les sujet du 802.11

par **staple** » 11 Déc 2003 18:46

Salut, sous ton serveur w2K, as tu installé 1 soft qui fait office de serveur radius ??? Sinon, W2k n'intègre pas cette fonctionnalité, il te faut W2003 serveur. Je n'ai pas encore eu le temps de l'installer, mais je compte me lancer sur le sujet rapidement. Concernant le vpn, c'est quoi comme archi que tu utilises ??? Moi je n'ai encore rien fait sur ce sujet, et je pensais mettre une solution cisco en place ( concentrateur 3000 vpn + client cisco vpn ). Je ne sais pas si c'est bien mais je pense ne pas trop me tromper sur le matériel <IMG SRC="images/smiles/icon_wink.gif"> Par contre je cherche également une solution moins couteuse. AS tu une expéreince sur ce sujet et si oui, quoi. Thanks Staple

par **albatore** » 18 Déc 2003 13:48

j'ai testé radius sous 2000 serveur qui possède ce service staple....... et sous 2003 serveur.... 1) sous 2000 serveur j'arrive à prendre le certificat et tout et tout..... mais j'ai un problème au niveau de l'identification de l'user...je ne comprend pas pq ?? 2) sous 2003 serveur je n'arrive pas à faire la demande du certificat en appellant <a href="http://server/certsrv" target="_blank">http://server/certsrv</a> qqun à t'il une idée.. merci bcp !!!!!!!!!

par **drlin** » 18 Déc 2003 14:25

sous 2003, t'a bien installé ton service de certificats, ainsi que iis??

sécurité wifi

Qui est en ligne ?