MISC 6 : (in)sécurité du wireless

Posté par  (site Web personnel) . Modéré par kalahann.
Étiquettes : aucune
0
28
fév.
2003
Presse
Je viens de le recevoir :)
Cette fois, nous avons opté pour un dossier sur les réseaux wireless. Comme cette technologie est encore peu répandue, nous avons surtout insisté sur sa présentation.
Vous y retrouverez également toutes les rubriques habituelles (cryptographie, virus, science, système, réseau ...) Champ libre : cyberterrorisme : fiction ou menace réelle ?
Cryptographie : génération d'aléa
Virus : un virus de boot furtif : stealth

Dossier : (In)sécurité du wireless
Présentation du WiFI
Principes de la norme 802.11
Attaques sur les réseaux 802.11b
La sécurité du WEP
Bluetooth, hiperlan, les autres normes du wireless

Programmation : communication userland/kernelland
Système : sécuriser un FreeBSD 4.7
Fiche pratique : réseaux sans fil : menaces, enjeux et parades
Réseau : protégez votre infrastructure réseau IP : IPv6 et IP anycast
Science : récupérez votre code PIN ou une clé RSA avec un chronomètre

Aller plus loin

  • # Re: MISC 6 : (in)sécurité du wireless

    Posté par  (site Web personnel) . Évalué à 7.

    1 - De la balle! Je commençais à finir les articles des premiers Misc!

    2 - Je me serais bien installé un réseau sans fil chez wam : ça tombe bien.

    3 - Pappy : t'es abonné à "ton propre" magazine?

    4 - Merci merci merci. J'ai découvert le monde de la sécu info avec Misc en Novembre (Misc 4) et depuis je n'arrête pas d'apprendre (lire). Une sensation magnifique. Bientôt, je pense avoir acquis suffisament de connaissances pour passer à la pratique et participer aux discutions.
    • [^] # Re: MISC 6 : (in)sécurité du wireless

      Posté par  (site Web personnel) . Évalué à 10.

      3 - Pappy : t'es abonné à "ton propre" magazine?
      Ben quoi, moi aussi faut bien que je le lise pour savoir de quoi il parle ;-)

      4 - Merci merci merci. ...</>
      Bah, faut pas se gêner de toute façon ;-)
  • # Re: MISC 6 : (in)sécurité du wireless

    Posté par  . Évalué à 5.

    Les objectifs du wireless sont autres que la securité à tout prix : mobilité, "universalité" (bon ok, y'a 11 versions de wireless...)

    Il est aussi possible d'utiliser l'encription pour protéger un minimum les communications, ca n'atteint pas le niveau d'IPsec, mais c'est relativement bien et n'entraine que peu de perte de performance...
    • [^] # Re: MISC 6 : (in)sécurité du wireless

      Posté par  (site Web personnel) . Évalué à 8.

      ca n'atteint pas le niveau d'IPsec
      Pourquoi ne pas utiliser IPsec justement ?

      La mobilité est le plus important, les performances le sont moins à mon avis.
      • [^] # Re: MISC 6 : (in)sécurité du wireless

        Posté par  . Évalué à 9.

        La mobilité est le plus important, les performances le sont moins à mon avis. En ce qui me concerne, je crois que si le wireless émerge actuellement, c'est justement grâce à ses performances, qui sont tout à fait acceptable pour un réseau local. J'ai cru comprendre que les 3 points suivants sont les points importants du wireless : - les performances : avoir un débit correct en réseau local - la sécurité : éviter que Jean-Kevin, dans la rue avec son laptop, ne sniffe les mots de passe des habitants alentours, alors que ceux-ci consultent leurs mails, ou accèdent à des ftp. Qu'on ne me parle pas de crypto, de ssh, et autres, je parle des utilisateurs moyens d'aujourd'hui, genre Luce et Henri. - la mobilité : permettre de conserver les connexions/transferts malgré un changement de point d'accès Bon, actuellement, il me semble que les protocoles (je ne parle pas de leurs implémentations) couvrent seulement deux de ces points, à savoir la performance et la mobilité. La sécurité était prévue avec l'algorithme de crypatge WEP, mais il a été cracké rapidement, et je ne crois pas qu'une solution de remplacement ait été mise en place (mais ça fait quelques mois que je n'ai plus le nez dans les docs). Je pense donc qu'actuellement, le plus important dans le wireless, c'est la sécurité, mais pas au détriment des deux autres points.
        • [^] # Re: MISC 6 : (in)sécurité du wireless

          Posté par  . Évalué à 2.

          le wi-fi fait face aux 2 mêmes problemes que les communications qui transitent par internet: encryption et authentification

          les réponses sont donc en grande partie les mêmes: ipsec, ssh, ssl, gpg, etc.
        • [^] # Re: MISC 6 : (in)sécurité du wireless

          Posté par  . Évalué à 1.

          Salut

          ---
          Qu'on ne me parle pas de crypto, de ssh, et autres, je parle des utilisateurs moyens d'aujourd'hui, genre Luce et Henri.
          ---

          Pourquoi ne pourraient-ils par utiliser la cryptographie si les logiciels qu'ils utilisent le propose ?

          @+
    • [^] # Re: MISC 6 : (in)sécurité du wireless

      Posté par  (site Web personnel) . Évalué à 10.

      Les objectifs du wireless sont autres que la securité à tout prix
      oui mais non quand même ;-)
      Il y a des contraintes de sécurité qui sont différentes de celles des réseaux filaires, ne serait-ce que parce que les paquets te parviennent sans que tu n'aies rien à faire.
      Et puis, je ne comprends cette vision qui consiste à considérer la sécurité comme une espèce de truc bonus qu'on ajoute à la fin après tout le reste ... alors que c'est quand même plus facile, et souvent plus efficace, de l'intégrer directement dans le processus.

      Il est aussi possible d'utiliser l'encription pour protéger un minimum les communications, ...
      Perso, si tu ne veux pas que tout le monde lise tes trames, je recommande de chiffrer en wep128. Pour la charge, effectivement, ça ne change (presque) rien parce que c'est fait directement sur les cartes en hardware.
      Maintenant, rien ne t'empêche d'ajouter de l'IPSec (ou n'importe quoi d'autres) parce que le WEP se situe au niveau 2 du modèle OSI. Donc, tu lui passe ce que tu veux comme données, même des données chiffrées
      • [^] # Re: MISC 6 : (in)sécurité du wireless

        Posté par  . Évalué à 8.

        Discours de puriste mais bon, on ne dit pas encryption qui est de l'anglais ni cryptage qui n'est pas français mais chiffrement... Les dernières cartes DLINK propose du WEP 256. Je ne sais pas si c'est légal, si une déclaration a été faite à la DCSSI mais çà existe. IPSEC peut etre une bonne solution mais (cf post plus bas), rajouter encore un stunnel par dessus le couple wep+ipsec bonjour l'overhead et les temps de chiffrement/déchiffrement pour un gain de sécurité nul. Il y a aussi des sociétés qui veulent refaire le cablage de leurs locaux et prenant le moins cher, se rendent compte, une fois installé, qu'aucun lien filaire n'est en place mais tout est en WiFi. Et ces sociétés peuvent avoir des besoins de confidentialité.
        • [^] # Re: MISC 6 : (in)sécurité du wireless

          Posté par  . Évalué à 4.


          > Il y a aussi des sociétés qui veulent refaire le cablage de leurs locaux
          > et prenant le moins cher, se rendent compte, une fois installé, qu'aucun
          > lien filaire n'est en place mais tout est en WiFi. Et ces sociétés peuvent
          > avoir des besoins de confidentialité.


          Eh oui, y'a des inconscients partout. Personnellement, je pense que si je signais un contrat avec un fournisseur (ici, un câbleur), j'aurais au moins la présence d'esprit de me renseigner sur ce qu'il va exactement faire dans mes locaux... même (et peut-être surtout) si c'est le moins cher !
          • [^] # Re: MISC 6 : (in)sécurité du wireless

            Posté par  . Évalué à 2.

            Oui mais le décideur pressé qui signe, il se moque des fils (au contraire moins il y en a mieux il se porte)... Tout ce qui l'intéresse c'est d'avoir un réseau pour le meilleur prix possible. A charge des administrateurs réseaux, d'assurer la sécurité de ces choix dont ils ne sont pas responsables...
      • [^] # Re: MISC 6 : (in)sécurité du wireless

        Posté par  . Évalué à 5.

        Je suis d'accord avec toi pour ce qui concerne l'importance de la securite, mais mon propos etait putot de dire qu'il ne faut pas non plus crier systématiquement au loup; une baisse de performances de 50 à 120 % (IPsec) doit pouvoir se justifier, et honnètement le WEP est suffisant pour la plupart des usages, tant qu'on ne crie pas le code de la cle d'encription sur tous les toits...

        IPsec est plus lourd, plus lent, charge les machines et n'est pas trivial a configurer (combien de personnes savent configurer racoon ou ISAkmp de tete ???).
        • [^] # Re: MISC 6 : (in)sécurité du wireless

          Posté par  . Évalué à 4.

          une baisse de performances de 50 à 120 % (IPsec)
          Ca dépend quand meme énormément des équipements et des algos utilisés.

          C'est clair que du 3DES fait en soft par mon téléphone portable, je prefere pas y penser, alors qu'il commence à y avoir des chips pas trop chers de chiffrement AES.

          Et apres, il faut aussi voir les besoins en terme de débits. Souvent, on choisit de mauvais algos/pas d'algos du tout car "c'est plus rapide", alors qu'on a un debit effectif ridicule....


          et honnètement le WEP est suffisant pour la plupart des usages, tant qu'on ne crie pas le code de la cle d'encription sur tous les toits

          Moyen quand meme, puisque (de mémoire), il y a des problèmes d'IV qui facilitent beaucoup le "travail" de l'attaquant éventuel.....

          combien de personnes savent configurer racoon ou ISAkmp de tete ???

          moi, moi !! :-)

          Mais tu triches, la, deja: Luce et Henri ont plutot besoin d'un client sous Windows, et certains sont "relativement" faciles à configurer....
        • [^] # Re: MISC 6 : (in)sécurité du wireless

          Posté par  . Évalué à 3.

          Tant qu'on est dans une utilisation personnelle ou sans besoin fort de confidentialité, le WEP sera effectivement très bien : il devient une sorte de moyen d'authentification (alors que normalement c'est de la confidentialité) car les personnes n'ayant pas la clé WEP ne pourront se connecter au réseau.

          Mais dès qu'un besoin de confidentialité existe, je ne pense pas que l'on puisse faire confiance (actuellement) uniquement au WEP dont certaines implémentations sont foireuses.

          Sans vouloir faire l'apologie de Microsoft, il faut reconnaitre que IPSec n'est pas trivial à configurer sous linux (installation de FreeSWAN, paramètrage, gestion des incompatibilités mineures si le réseau est hétérogène) mais sous Win2000 avec un secret prépartagé, çà peut être fait en 2mn...
        • [^] # Re: MISC 6 : (in)sécurité du wireless

          Posté par  . Évalué à -4.

          Un baisse de performances de 120% ????

          Ca veut dire que si tu as 1 Mo à envoyer, une fois que tu as fini il t'e reste 1,2 Mo à émettre ?

          J'ai rarement vu des baisses dépasser les 100% moi...
    • [^] # Re: MISC 6 : (in)sécurité du wireless

      Posté par  (site Web personnel) . Évalué à 5.

      Les objectifs du wireless sont autres que la securité à tout prix : mobilité, "universalité" (bon ok, y'a 11 versions de wireless...) Un bon niveau de sécurité fait partie des prérecquis pour un deployement rapide des réseau wireless. Le problème actuellement, c'est que les instituts comme IETF peinent à faire aboutir leurs normes alors que les industriels sortent déjà plusieurs évolutions des technos. Pour exemple, 802.11g n'est pas encore normalisé mais déjà pas mal de versions sont sorties (mais quant à l'interopérabilité ... ;) Donc mettre d'accord tout le monde pour aboutir à un standard wireless, c'est pas évident. Pour aboutir en plus à une solution sécurisée, il va falloir attendre un peu.
      • [^] # Re: MISC 6 : (in)sécurité du wireless

        Posté par  . Évalué à 0.

        Je ne sais pas si les lenteurs de l'IETF sont plus à mettre en cause que l'appat du gain des constructeurs. Par exemple, un constructeur dont je ne me souviens plus du nom a très vite sorti un WiFi WEP mais leur implémentation du WEP avait une faiblesse sur certaines clés de chiffrement. Ces dernières pouvaient etre décryptées (j'ai bien dit "décryptées") moyennant une écoute de qq heures du réseau...

        Du coup, dans la version suivante, un certain nombre de clés dites faibles ont été écartées (pas possible de les utiliser) et on ne pouvait plus alors parler de 128 bits...
        • [^] # Re: MISC 6 : (in)sécurité du wireless

          Posté par  (site Web personnel) . Évalué à 10.

          Tous les costructeurs ont sortis du WEP foireux, parce que l'attaque de S. Fluhrer, I. Mantin et A. Shamir n'était pas encore connue. Suite à la publication d cet article, les constructeurs ont commencé à détecter les clés faibles (ce qui est très facile et pas du tout coûteux) et ne les ont plus utilisées.

          Maintenant, je ne vois pas là de pb d'incompatibilité entre ls matériels qui les utilisent les les autres : quand l'émetteur qui utilise un IV faible[1], le récepteur reçoit quand même le paquet et le déchifre sans se soucier de savoir si l'IV est faible ou pas, puisqu'il dispose de toutes les informations nécessaires au déchiffrement.


          [1] l'IV (vecteur d'initialisation) est en fait constitué des premiers octets qui serviront au RC4 (algo de chiffrement) utilisé par le WEP. Certains IVs révèlent des bits de la clé secrète, d'où le qualificatif de "faible"
          • [^] # Re: MISC 6 : (in)sécurité du wireless

            Posté par  . Évalué à 5.

            Une remarque cependant: de source interne a CISCO, il semble que leur implementation du WEP n'a JAMAIS ete sujette aux vecteurs d'initialisation faibles. De leur propre aveu, ce n'etait pas grace a un visionnaire chez eux mais plutot a un bug qui ecartait involontairement certains IV (dont les faibles).
            Il faut bien que les "bugs" aient de bon coté aussi ...
          • [^] # Re: MISC 6 : (in)sécurité du wireless

            Posté par  . Évalué à 6.

            Maintenant, je ne vois pas là de pb d'incompatibilité entre ls matériels qui les utilisent les les autres

            Je pense qu'il parlait de l'incompatibilite materielle au niveau 802.11g.
            802.11g prend du retard en standardisation a cause de la gue-guerre economiquement justifiable entre Intersil et Texas Instruments.
            Pour information : TI propose un schema de modulation appele PBCC (Packet binary Convolutional Code) et Intersil propose CCK-OFDM (Complementary Code Keying - orthogonal frequency division multiplexing).
            Comme la solution de TI etait mature des constructeurs comme DLINK ont sortis des equipements sous le nom 802.11b+ atteignant les 22 Mbps soit le double du 802.11b. Bien entendu, cela ne marche qu'entre appareil qui comprennent le PBCC ....

            ahhh ca fait du bien d'etaler sa culture :)

            Pour ceux qui veulent un bon resume de la situation actuelle de 802.11g, je vous conseille cet article :
            http://www.80211-planet.com/columns/article.php/1478441(...)
  • # Re: MISC 6 : (in)sécurité du wireless

    Posté par  . Évalué à 5.

    Dommage que le site ne soit pas à jour. On ne peut pas voir la couv'.
  • # Re: MISC 6 : (in)sécurité du wireless

    Posté par  . Évalué à 4.

    g une question !!! g 1 réseau sans fil, si j'active, le WEP, ensuite IPSEC, et ensuite STUNNEL, tout ceci afin d'éviter le sniffing, est-ce utile ?
    • [^] # Re: MISC 6 : (in)sécurité du wireless

      Posté par  (site Web personnel) . Évalué à 4.

      oui, mais pa ssuffisant : il faut aussi prévoir l'infrastructure PKI avec du kerberos en reliant les noeuds par des tunnels SSH (pas la peine de fire trop compliqué) ;-)
      • [^] # Re: MISC 6 : (in)sécurité du wireless

        Posté par  (site Web personnel) . Évalué à 2.

        Tiens, je me demande ce que ca couterait d'introduire une notion
        d'agilité de fréquence dans le Wifi.

        Come ca, ca deviendrait VRAIMENT difficile "d'écouter" un réseau en particulier.

        C'est une idée comme ca, lançée avant d'aller déjeuner, et
        certainement ridicule, mais bon.

        A votre avis, c'est quoi le pour et le contre ?
    • [^] # Re: MISC 6 : (in)sécurité du wireless

      Posté par  (site Web personnel) . Évalué à 7.

      A ma connaissance, pas moyen d'éviter un certain niveau de sniffing ... c'est dans la nature même d'un réseau radio qui ne communique que par "broadcast" au niveau physique ...
      Actuellement, le 802.11b ne permet aucune protection contre le repèrage de réseau wireless (wardriving). On peut localiser ton réseau, mais pas y entrer.
      Ensuite, si la clé WEP est déchiffrée (ce qui peut se faire en quelques heures), on peut eventuellement accéder à du contenu (s'il n'est pas chiffré), mais aussi tenter des attaques par spoofing. Par exemple, un terminal changeant son adresse MAC peut simuler une deconnection (qui est une requete du terminal vers le point d'acces). La victime se retrouve alors violemment ejecter du réseau ...

      La sécurité WEP se remplace aujourd'hui des solutions 802.11i (tkip), basées sur des changements périodiques de clés. Malheureusement, peu de points d'acces le proposent, comme les Cisco assez onereux. A noter que ces solutions ne permettent pas encore de se proteger contre des DoS :]
      • [^] # Re: MISC 6 : (in)sécurité du wireless

        Posté par  . Évalué à 1.

        ouf !

        et dire que g faillis en installer un au boulot ! je le laisserais à la maison....

        bon, donc g mon petit réseau wifi avec wep, ipsec et stunnel (pour chaque service). si en plus j'applique une politique de certification des postes clients. je peux être tranquille ?

        si un des client ce fait jetter du réseau à cause d'une sotre de "spoof arp", le pirate devrait avoir du mal à accéder au serveur puisqu'il n'a pas de certificat ??? dites mois si je fais fausse route."
    • [^] # Re: MISC 6 : (in)sécurité du wireless

      Posté par  . Évalué à 1.

      Amha, IPSec est pratiquement nécessaire, mais largement suffisant.....
      Enfin, bien configuré, avec des algos efficaces, etc.... :-)
  • # Re: MISC 6 : (in)sécurité du wireless

    Posté par  . Évalué à 3.

    Ça va trop vite ! Je n'ai pas encore eu le temps de finir le MISC 5 tellement sont contenu était dense ;-)
    Mais c'est parfait, continuez ainsi et merci pour tout.
  • # A propos du WEP

    Posté par  . Évalué à 1.

    J'ai lu il y a quelques temps un excellent article sur l'insécurité du WEP (voir: http://citeseer.nj.nec.com/476592.html(...)). Cet article démontre que la plus part des implémentations du WEP sont totalement inefficaces à protéger quoi que ce soit.

    Une suggestion est (évidemment) d'encapsuler le traffic dans de l'IPsec, mais cela ne fait que régler le probleme de la confidentialité et pas de la non répudiation ou de l'authentification (il me semble).

    Est-ce que le protocole WEP a évolué depuis ou est-ce toujours une rigolade?
    • [^] # Re: A propos du WEP

      Posté par  . Évalué à 3.

      > Est-ce que le protocole WEP a évolué depuis ou est-ce toujours une rigolade?

      Sans commentaire...

      Les efforts qui ont ete faits portent essentiellement sur la suppression des IV faibles, mais du coup, on diminue la taille de l'espace des cles, sans compter que l'algorithme de generation n'est plus aleatoire (il deviendrait meme tres previsible).

      Sinon, on nous sort le WEP a 256 bits. Sympa, ca ne fait que doubler le temps pour le casser...

      Donc on va pencher pour la rigolade ;)
      • [^] # Re: A propos du WEP

        Posté par  . Évalué à 5.

        Passer de 128 bits à 256 bits ne multiplie pas par deux la taille de l'espace de clés. Pour doubler l'espace des clés, il aurait fallu passer de 128 bits à 129 bits.
        • [^] # Re: A propos du WEP

          Posté par  . Évalué à 2.

          Comme tu as pu le lire, je n'ai pas parle de "la taille de l'espace des cles", mais juste du temps necessaire pour casser la cle. L'attaque de Fluhrer,
          Mantin et Shamir n'est pas une attaque en force brute.

          Il se trouve que plus on augmente la taille de la cle, et plus on dispose d'IV faibles. De fait, en quelque sorte, plus on augmente la taille de la cle, plus on a de matos pour la casser. De fait, le temps mis pour casser la cle n'augmente pas lineairement avec la taille de l'espace de cles.
    • [^] # Re: A propos du WEP

      Posté par  . Évalué à 2.

      Une suggestion est (évidemment) d'encapsuler le traffic dans de l'IPsec, mais cela ne fait que régler le probleme de la confidentialité et pas de la non répudiation ou de l'authentification (il me semble).

      Bah a moins que tout le monde n'utilise le meme identifiant et la meme preshared-key, la phase1 d'IPSec me parait régler le problème d'authentification de facon tout à fait satisfaisante !!

      Un couple identifiant/PSK par utilisateur, voire une PKI si cela se justifie, c'est très largement suffisant !!!!!!!
    • [^] # Re: A propos du WEP

      Posté par  (site Web personnel) . Évalué à 6.

      >Une suggestion est (évidemment) d'encapsuler le traffic dans de l'IPsec, mais cela ne fait que régler le probleme de la confidentialité et pas de la non répudiation ou de l'authentification (il me semble).

      IPSec gère l'authentification, mais ça dépend ce que tu comptes authentifier :

      http://www.securiteinfo.com/crypto/IPSec.shtml(...)
      «Rappelons tout de même qu'IPSec est un protocole de niveau 3 et qu'il ne fournit donc qu'une authentification de niveau égal, c'est-à-dire une authentification des machines mettant en oeuvre le protocole plutôt que des personnes utilisant réellement la machine.»
      • [^] # Re: A propos du WEP

        Posté par  . Évalué à 1.

        En fait, je pensais à restreindre l'accès au réseau wireless via une authentification. Je pense que comme IPsec est plutôt positionné dans les couches hautes du système, il ne doit pas pouvoir restreindre l'accès du réseau wireless...

        Mais, je peux me tromper.
        • [^] # Re: A propos du WEP

          Posté par  . Évalué à 5.

          sous linux, tu peux assez facilement:
          1/ utiliser iptables pour filtrer les cartes wifi sur l'adresse MAC (c'est pas du tout fiable mais c'est gratuit ... iptables)
          2/ utiliser freeswan (ou le support IPSEC inclu au noyau 2.5) pour authentifier et encrypter les communications IP.
          3/ de nouveau utiliser iptables pour n'accepter via eth0 que le traffic esp/udp 500 qui est necessaire pour freeswan.

          cela authentifie les machines (et non pas les personnes), et assure un niveau de chiffrement assez elevé. Pour le type qui commence son attaque depuis la rue ca met le ticket d'entree sur le réseau un poil haut tout de meme.

          NB: évidement ces restrictions sont a faire sur l'access-point (sous linux) mais AUSSI SUR CHAQUE CLIENT (sinon depuis la rue on peut attaquer un client et se servir de son tunnel IPSEC pour entrer ... )
        • [^] # Re: A propos du WEP

          Posté par  . Évalué à 3.

          "les hautes couches" ????

          Bah, le niveau 3, j'appelle pas encore ca "haut".....

          A priori, il suffit, sur la borne centrale, de n'autoriser que le traffic IPSec, et ca restreint très bien l'accès à ceux qui peuvent négocier un tunnel IPSec, donc à ceux qui peuvent s'authentifier....
          • [^] # Re: A propos du WEP

            Posté par  . Évalué à 2.

            Ok, merci à tous les deux pour vos réponses.

            PS: Je voulais dire que IPsec est dans une couche plus _élevée_ que le driver des cartes wireless (mais je me suis mal exprimé, donc mea culpa, mea maxima culpa). :-)
  • # IPsec ? Pas seulement !

    Posté par  . Évalué à 6.

    Je tiens juste à préciser qu'IPsec n'est pas la seule solution pour chiffrer les données sur le lien radio, et je ne veux pas parler de stunnel ou ssh. En effet, j'utilise OpenVPN sur mon réseau sans fil et ça marche vraiment très bien. Les paquets sont chiffrés et authentifiés (certificat sur chaque machine) en utilisant la lib openssl (qu'il faut mettre à jour...)

    Inconvénient : OpenVPN n'est qu'à l'état d'ébauche sous Windows, et expérimental sur freeBSD et netBSD.
    • [^] # Re: IPsec ? Pas seulement !

      Posté par  . Évalué à 4.

      Dans les trucs marrant sous Linux avec Netfilter, et franchement facile a mettre en oeuvre (mais pas interroperable pour un sou), on a SEPPL :

      http://www.ring2.org/seppl/(...)
      • [^] # Re: IPsec ? Pas seulement !

        Posté par  . Évalué à 3.

        Merci ! je ne connaissais pas.

        a noter par rapport a IPSEC, (et IKE ) la renégociation des clefs est ... comment dire ... beaucoup plus faible.
        les vecteurs IV sont simplement incrémentés, on connait la version "en clair" de plusieurs parties du message chiffré (en particulier un octet toujours a zéro pour faciliter le repérage des mauvaises clefs !!).

        a priori, IANAC comme il dit mais c'est beaucoup plus faible qu'une bonne implementation IPSEC+IKE avec un re-keying régulier, meme si ca profite déjà du tout nouveau algo AES.

        mais ca a l'air tellement simple a mettre en place !!
        faudra que j'essaye, en complement a WEP ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.