Le problème
le wifi ce n'est pas trop sécurisé même avec une clé wep/wpa, qu'il faut changer régulièrement, le SSID il faut essayer de ne pas le diffuser et le changer aussi. Si vous possédez plus d'un ordinateur, cela devient vraiment laborieux de changer les clés, ssid.
d'ailleurs je n'ai pas de wpa de dispo pour mes drivers libre, mais que faire ?
La solution
mettre en place coté serveur et client un tableau contenant les clés les ssid et tant qu'a faire les canaux. Puis les changer toutes les heures, et oui sous linux la commande iwconfig permet de changer toutes ces données à chaud, c'est bien linux :). ici c'est particulié car j'ai une livebox, si vous avez un AP sous linux c'est plus simple.
la sélection des paramètres ce fait en fonction de l'heure pour éviter les soucis de synchronisation (ntpdate)
Cela marche à la perfection. Possédant une live box le script coté serveur permet de modifier la config de la live box à chaud. Je modifie le canal vue qu'il y en à 13 autant en profiter.
pour les canaux et après renseignement leur utilisation sont libre (d'après ce que j'ai lu sur des commentaires sur internet)
*************************GENERATION DU TABLEAU LONG *********************
#/bin/bash
for i in `seq 0 170`
do
#selection du canal
CANALTMP=`apg -a 1 -M N -E "0" -m 1 -x 1`
CANAL=`echo $CANALTMP | cut -f1 -d" " `
#generation du SSID
SSIDTMP=`apg -a 1 -M LCN -m 30 -x 30`
SSID=`echo $SSIDTMP | cut -f1 -d" " `
#generation cle WEP
WEPTMP=`apg -a 1 -M LCN`
CLE=`/sbin/nwepgen "$WEPTMP" 13 `
WEPBRUTE=`echo $CLE | cut -f1 -d" "`
echo CLE0$i $CANAL $SSID $WEPBRUTE >> tableau.livebox
WEP=`echo $WEPBRUTE |tr -d ":" `
echo CLE0$i channel $CANAL essid \"$SSID\" key $WEP >> tableau.client
done
*****script à mettre dans cron pour changer la config client*******
#/bin/bash
SEMAINE=`date +%w`
HEURE=`date +%k`
HEURETOTAL=$((($SEMAINE*24)+$HEURE))
#selection de la ligne
LIGNE=`grep CLE0$HEURETOTAL /etc/unrepertoire/tableau.client`
SELECTION=`echo $LIGNE | cut -f2-7 -d" " `
echo $SELECTION
echo `/sbin/iwconfig ath0 mode managed $SELECTION`
#changer ath0 par votre interface
************script pour le serveur 1 (livebox)************
#/bin/bash
SEMAINE=`date +%w`
HEURE=`date +%k`
HEURETOTAL=$((($SEMAINE*24)+$HEURE))
#selection de la ligne
LIGNE=`grep CLE0$HEURETOTAL /etc/unrepertoire/tableau.livebox`
#mise en place des variable
#echo $LIGNE
CANAL=`echo $LIGNE | cut -f2 -d" " `
SSID=`echo $LIGNE | cut -f3 -d" " `
WEP=`echo $LIGNE | cut -f4 -d" " | tr ":" " " `
echo $WEP
#passage des variables au script expect ci dessous
./telnet.expect $CANAL $SSID $WEP
**************script 2 pour la livebox******************
#!/usr/bin/expect
set force_conservative 1 ;# set to 1 to force conservative mode even if
;# script wasn't run conservatively originally
if {$force_conservative} {
set send_slow {1 .1}
proc send {ignore arg} {
sleep .1
exp_send -s -- $arg
}
}
#initialisation des variables
set CANAL [lindex $argv 0]
set SSID [lindex $argv 1]
set WEP0 [lindex $argv 2]
set WEP1 [lindex $argv 3]
set WEP2 [lindex $argv 4]
set WEP3 [lindex $argv 5]
set WEP4 [lindex $argv 6]
set WEP5 [lindex $argv 7]
set WEP6 [lindex $argv 8]
set WEP7 [lindex $argv 9]
set WEP8 [lindex $argv 10]
set WEP9 [lindex $argv 11]
set WEP10 [lindex $argv 12]
set WEP11 [lindex $argv 13]
set WEP12 [lindex $argv 14]
set timeout -1
spawn telnet 192.168.1.1
match_max 100000
expect -exact "login: "
send -- "root\r"
expect -exact "Password: "
send -- "MOTDEPASSE\r"
sleep 3
send -- "wlan\r"
sleep 1
send -- "ssid -o -n $SSID\r"
sleep 1
send -- "channel $CANAL\r"
sleep 1
send -- "wepkey128_4 "
send -- "$WEP0 $WEP1 $WEP2 $WEP3 $WEP4 $WEP5 $WEP6 $WEP7 $WEP8 $WEP9 $WEP10 $WEP11 $WEP12\r"
expect "success"
#send -- "exit\r"
la connexion se coupe juste un trentaine de seconde par heure, pour ceux qui ont un environnement agressif (en appart avec plein d'etudiant autour de vous qui essaye de squatter) vous pouvez accelerez le changement. pour ceux qui aiment le sport il peuvent enlever le wep pour attirer (ouais chouette je vais pouvoir squatter), puis changer toutes les 10 minutes le canal et le SSID, gniark il y a de quoi faire :)
amusez vous bien, si il y a des volontaires pour faire de même sous windows ce serait pas mal.
# say bourrin
Posté par Erwann Robin (site web personnel) . Évalué à 7.
faut envoyer :
- ton tableau aléatoire
- ton script
- mettre tout ca en place
Comment expliquer ca a ma copine qui veut juste accéder à ses mails ?
(jt'te jure, tu pourra regarder tes mails en toute sécurité maintenant ! )
si t'es vraiment parano, ya radiusd-cistron
# wpa
Posté par M . Évalué à 9.
le wifi ce n'est pas trop sécurisé même avec une clé wep/wpa, qu'il faut changer régulièrement,
Heu le wpa avec une clef alléatoire de 63 characteres, c'est quasiment incassable ....
De plus le wpa change reculierement la clef de groupe avec le protocole 802.11x
le SSID il faut essayer de ne pas le diffuser et le changer aussi.
Ca sert a quoi de changer le ssid ?
Il suffit de recuperer l'adresse MAC de ta station (bssid IIRC) et le tour est joué...
[^] # Re: wpa
Posté par Matthieu . Évalué à 3.
Pour le moment (et encore, sait-on tout ?), mais les travaux avancent vite... En gros pour le moment, ils (ceux qui font les recherches) arrivent en quelques secondes à récupérer toutes les infos qu'ils ont besoins pour le cassage de la clé : suffit de reseter une session en cours pour récupérer les premiers échanges (en envoyant un reset sur une connexion en cours, le client déconnecté va recommencer les premiers échanges d'authentification). Une fois avec ces infos, et en utilisant une carte WIFI spécifique, ils arrivent à faire 10000tests/secondes au lieu de 13 auparavant. A noter que la carte WIFI n'est utilisée que pour les calculs, car elle embarque un processeur assez puissant. Les tests se font tranquillement chez soi, les infos récupérées auparavant suffisent. Bon ok, la carte WIFI devient brûlante, mais les travaux avancent.
(source du côté du shmooCon 2006).
[^] # Re: wpa
Posté par Maxoo . Évalué à 1.
Je me dis qu'un jour ca sera crackable.
mais ton truc ? ca serait pas crackable aussi ? genre si le mec sniff les paquets, il n'aura pas les bonnes informations tout les nouvelles heures ??
[^] # Re: wpa
Posté par Matthieu . Évalué à 4.
BIen évidemment, pour le moment je pense que la durée est plus importante, du moins je l'imagine.
Reste un problème (que je viens juste de me rendre compte) : les scripts présentés ne permettent de changer que la clé WEP, qui peut être retrouvée dans les 5 minutes. Donc cette méthode n'est pas satisfaisante, et devrait plutôt être utilisée avec WPA, voire WPA2 si vous disposez d'équipement compatible. (à moins que je n'ai mal compris les scripts et qu'effectivement la méthode utilise WPA).
Seconde erreur dans laquelle l'auteur des scripts n'est pas tombée : faire un tableau de clé pour une journée (12 clé par exemple) et les changer toutes les heures, et recommencer la journée suivante avec le même tableau. Casser une clé permettrait alors de se connecter entre 12h et 13h tous les jours par exemple.
[^] # Re: wpa
Posté par Anonyme . Évalué à 0.
[^] # Re: wpa
Posté par M . Évalué à 4.
Ca tombe bien au derniere nouvelle on en est encore au brute force avec les données recueillies lors de l'association.
Dans une clef wpa tu mets des charactères ascii affichables (environ 64 possibilités) et la clef peut faire 63 charactères.
Il y a donc 64^63 possibilités soit 615656346818663737691860001564743965704370926101022604186692084441339402679643915803347910232576806887603562348544
possibilités
Je te laisse calculer le temps qu'il faudra pour casser une clef vraiement alléatoire, mais je pense que ton voisin aura renoncer...
Oui le wpa ne sera pas toujours incassable, mais a moins d'être une entreprise avec des données ultra confidentielle, tu t'en fou.
[^] # Re: wpa
Posté par Matthieu . Évalué à 2.
Si les gens utilisent des clés de 8 caractères, cela tombe à 281474976710656, soit 892 ans (au pire). Mais bon, j'ai dis 10000, ça peut être 100000, je n'ai plus exactement le chiffre en tête (ça tomberait à 90 ans !) Toujours en faisant du brute force bête et méchant. J'imagine que le brute force se base sur le dictionnaire des noms de chiens pour accélerer le traitement.
Bref, je disais que les travaux avancent dans le domaine du cassage de clé WPA. Je peux pas me prononcer sur les résultats, je ne sais pas trop exactement où ils en sont, mais je ne saurais que recommander d'utiliser toujours la méthode la plus sécurisée.
Oui le wpa ne sera pas toujours incassable, mais a moins d'être une entreprise avec des données ultra confidentielle, tu t'en fou.
Cette phrase conforte les gens peu sensibilisé dans le domaine de la sécurité à n'en faire que le minimum (même si ce minimum ne suffit pas du tout). Vaut mieux ne pas le dire, même s'il y a du vrai. Principe de précaution.
[^] # Re: wpa
Posté par Aldoo . Évalué à 5.
Étant donné que toute clé est cassable par la force brute, tout ce qu'on peut faire, c'est estimer la longeur nécessaire de la clé pour qu'avec les moyens de ceux qui ont intérêt à la casser, la durée de vie de la sécurité obtenue dépasse la durée pendant laquelle l'information dissimulée est sensible.
Dans le cas d'un particulier, raisonnablement, personne ne va mettre de moyens énormes pour casser sa sécurité.
Cela dit, il faut effectivement que chacun ait le réflexe de se poser cette question, et l'habitude de mettre en place une certaine sécurité.
[^] # Re: wpa
Posté par Matthieu . Évalué à 5.
Donc tu avoue que la sécurité telle que tu l'as apprise dans les cours n'est pas applicable à l'utilisateur lambda à qui il vaut mieux expliquer des choses simples mais sûres : "utilises telle méthode" au lieu de "utilises telle méthode dans tel cas, telle dans tel cas...."
Donc j'en conclue qu'il vaut mieux expliquer à l'utilisateur la méthode la plus sécure et raisonnable possible.
Je me trompe ?
[^] # Re: wpa
Posté par Éric (site web personnel) . Évalué à 2.
> la plus sécure et raisonnable possible.
Oui, expliquons la manière sûre. Peu importe si au final ça veut dire que le réseau sera moins utilisable avec plein de coupures. Si ça se trouve la NSA passe dans le coin.
Il y a un moment où ta sécurité a beau être meilleure, elle n'en vaut simplement pas le coût. Ici avoir 30s de coupure toutes les heures c'est quelque chose qui va très vite agacer et faire pester n'importe qui. C'est encore pire si tu as 10 min d'install/config via une table de correspondance à passer par clé usb alors que justement le wifi est là pour ne pas avoir besoin de liaison physique et avoir un confort du "je suis connecté directement sans me rapprocher".
Je suis probablement trop négatif et certainement ironique mais tu risques effectivement de dégouter rapidement tous les pirates : pas à cause de la sécurité, mais simplement à cause de la qualité de la liaison qu'ils auront au final ;)
Je vais te donner un secret : plus tu accélères le changement de clé (et les coupures) et plus ça va être sûr. Tu peux même carrément éteindre le WIFI et là tu auras le must de la sécurité.
Est ce que tu es sûr que demander le transfert physique d'une table de clés pour installation/configuration puis une coupure régulière est "raisonnable" vis à vis des risques et des objectifs d'un réseau wifi ?
Si tu en es là coté sécurité : coupes ton wifi et tires un cable.
[^] # Re: wpa
Posté par Matthieu . Évalué à 3.
Le début de cette discution a commencé sur le WPA qui était présenté par l'auteur du journal comme non-sécure, Mat indiquant que quand même le WPA était sécure.
J'ai répondu que oui on pouvait considérer le WPA comme sécure, mais que quand même il fallait faire très attention car les travaux sur le domaine avancent.
Mat m'a répondu qu'au vu de la taille des clés, même si les travaux avancent, on était à l'abris pour quelques années. Et que si on est pas une entreprise, ce n'est pas trop grave.
J'ai répondu que d'une part il fallait prendre en compte que les gens n'utilisent pas toujours des clés de 63 caractères, mais plutôt de 8. Et également qu'il ne fallait pas penser que comme on est une entreprise, la sécurité n'est pas importante. Que c'était dangereux comme raisonnement.
Aldoo a alors répondu que la sécurité doit être proportionnelle au niveau de risque. Ce qui n'est pas forcément faux. Mais en finissant par dire que l'utilisateur aura du mal à juger cette proportionnalité.
Sur quoi j'ai répondu que le plus simple était alors d'indiquer à l'utilisateur la méthode la plus sécure pour lui (proportionnellement bien entendu, pas la peine de lui faire configurer une connexion VPN avec certificat x509).
C'est pourquoi, je ne comprends pas trop tes réponses qui portent uniquement sur la méthode de changement de clé WEP régulièrement, que je ne peux approuver que dans le cas où l'utilisateur ne peut utiliser que le WEP (anciens matériels).
# n'importe quoi!
Posté par mathieu mathieu (site web personnel) . Évalué à 10.
Un ordinateur est un outil, c'est fait pour aider, ou être plus productif! Pour la plupart des gens, le wifi permet aux gens de passage de se connecter facilement, qu'ils soient sous windows,linux/macos/JeanKevinOs!
le wpa est suffisamment robuste pour peu que la phase phrase soit bonne (pour le moment la seule technique est la force brute via john the ripper) ... pour wpa2, je n'en parle même pas!
La connection qui se coupe toutes les heures, ca doit être franchement gonflant, la loi de murphy dit que la connection se coupera juste au moment ou il ne faut surtout pas qu'elle se coupe....
Enfin bon si ca impressionne les gonzesses, tant mieux!
Et puis comme disait Desproges, "ce n'est pas parceque je suis paranoïaque, qu'ils ne sont pas tous après moi!"
[^] # Re: n'importe quoi!
Posté par Anonyme . Évalué à 2.
[^] # Re: n'importe quoi!
Posté par mathieu mathieu (site web personnel) . Évalué à 4.
[^] # Re: n'importe quoi!
Posté par Anonyme . Évalué à 3.
comme il le signal tres justement , il y a des conditions pour pouvoir choisir cette solution
[^] # Re: n'importe quoi!
Posté par Anonyme . Évalué à 1.
http://linuxfr.org/~ticoli/19827.html (au passage assez interrressant)
j'ai dû installer: guessnet, resolvconf, wpa_supplicant, ifplugd, arping, net-tools
Au passage, j'utilise un drivers ndiswrapper, j'ai pourtant une carte rt2500 (ralink),
l'installation du drivers à partir du package rt2500-source (par module-assistant) échoue sur le noyau 2.6.12-kk7 ( ca passe tout de même en bidouillant ).
Seul regret, le drivers ndiswrapper ne permet pas d'utiliser aircrack, ce qui fait le bonheur de mes voisins!
dis moi cela m'a l'air bien userfirendly toussa, en plus maintenant tu ne squatte plus chez ton voisin.
j'insiste ma methode avec tableau et changement dynamique toute les heures, c'est la plus simple a mettre en place pour garder des drivers libre, et sur ma livebox il y a des port ethernet (avec un cable) pour les invité
[^] # Re: n'importe quoi!
Posté par inico (site web personnel) . Évalué à 3.
[^] # Re: n'importe quoi!
Posté par M . Évalué à 2.
Bref c'est bien de chercher a ameliorer la secu, mais ca serait mieux de regarder ce qui existe deja avant de sortir sa solution miracle...
[^] # Re: n'importe quoi!
Posté par Anonyme . Évalué à 2.
tu n'as pas l'aire de comprendre ce qu'est une livebox, voici un extrait de mes stats dhcp pour te donner une idée de la qualité (stats du jour):
et sur la plupart des forum a propos du wep:
Si on ne peut pas utiliser un autre protocole, il faut donc penser à changer la clé WEP régulièrement
ici je la change toute les heures sur mes 3 postes. en plus du canal et du ssid
toute les solutions proposé ici COUTE DE L'ARGENT, ok personne n'est emballé par la solution proposé. Tiens j'ai trouvé une solution pour changer toute les 6 minutes, par contre la generation du tableau est un peu longue.
oui je sais que wpa existe et c'est mieux, je sais wpa2 existe et c'est mieux, oui un openvpn c'est genial, je ne vais pas faire la course à l'achat de nouveau materiel.
[^] # Re: n'importe quoi!
Posté par mathieu mathieu (site web personnel) . Évalué à 2.
wpa_supplicant, comme son nom ne l'indique pas, permet de gérer le roaming et la connection WEP!
[^] # Re: n'importe quoi!
Posté par Anonyme . Évalué à 2.
je sais maintenant pourquoi ton pseudo c'est mathieu mathieu, c'est parce qu'il faut tout te repeter 2 fois.
[^] # Re: n'importe quoi!
Posté par mathieu mathieu (site web personnel) . Évalué à 2.
Avant de te permettre de faire des blagues à 2 cents, ais au moins les idées claires!
[^] # Re: n'importe quoi!
Posté par Matthieu . Évalué à 6.
C'est exactement la phrase qui hérisse mes poils (et sûrement ceux qui sont sensibilisé à la sécurité informatique) : mettre en premier plein l'usuabilité de l'informatique, avant la sécurité. Et c'est bien uniquement dans ce domaine que cela existe: on met des serrures à nos portes, on ferme à clé nos voitures... mais pour l'informatique, nib, que dalle, on veut que ça marche, la sécurité ? les problèmes n'arrivent qu'autres, je n'ai rien d'important.
Je le répète : "LA SECURITE EST AUSSI VOIRE PLUS IMPORTANTE QUE L'USUABILITE"
L'apothéose a été atteint avec le WIFI qui devrait permettre à tout à chacun de se connecter à l'internet sans avoir même à claquer des doigts. Suffit d'allumer son ordinateur, et ça marche. Et le pire a été que les constructeurs n'ont rien fait pour améliorer la sécurité (quoi un petit peu, mais bon....).
Passez le message à vos voisins, dîtes-leur d'utiliser de préférence WPA au lieu de WEP (sur la livebox, il me semble que la méthode par défaut est WEP), apprenez-leur les contraintes de la sécurité, comme ils l'ont apprises dans d'autres domaines, sinon nous allons vers un point de non-retour !
[^] # Re: n'importe quoi!
Posté par mathieu mathieu (site web personnel) . Évalué à 2.
Sinon rien!
Si tu arrives à faire accepter cette méthode dans une entreprise, je me fais moine!
Il faut être réaliste, si le besoin est que l'on puisse donner l'accès à un consultant extérieur à son réseau d'entreprise pour qu'il puisse récupérer des docs externes, il faudrait que la méthode de connection soit standart et simple! Que ce soit sécurisé, c'est évident ...
[^] # Re: n'importe quoi!
Posté par Anonyme . Évalué à 0.
http://www.commentcamarche.net/wifi/wifitech.php3
L'étalement de spectre par saut de fréquence a originalement été conçu dans un but militaire afin d'empêcher l'écoute des transmissions radio. En effet, une station ne connaissant pas la combinaison de fréquence à utiliser ne pouvait pas écouter la communication car il lui était impossible dans le temps imparti de localiser la fréquence sur laquelle le signal était émis puis de chercher la nouvelle fréquence.
actuellement je change toute les 60 minute le canal, ssid, cle wep, je compte dans le futur changer les canaux beaucoup plus souvent,
[^] # Re: n'importe quoi!
Posté par mathieu mathieu (site web personnel) . Évalué à 1.
c'est également utilisé dans le gsm, c'est concu pour que ca ne coupe pas la communication (quel scoop) ...
Ca s'appelle faire du fonctionnel!
# openvpn ?
Posté par gege (site web personnel) . Évalué à 8.
J'ai limité le traffic wifi au seul port d'openvpn forwardé par le wrt vers mon serveur et j'ai plus besoin du WEP ou du WPA...
Vous en pensez quoi ?
[^] # Re: openvpn ?
Posté par Charles-Victor DUCOLLET . Évalué à 1.
# Vive les réseaux ouverts !
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
En fait, je crois que si les Wifi sont si peu sécurisés c'est tout simplement parce que le mal que ça peut engendrer est complètement minime par rapport à la complexité de la sécurisation.
C'est vrai quoi.. Si je bouffe 100Ko de ton quota pour aller voir mes mails, ça te pose réellement un problème ?
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Vive les réseaux ouverts !
Posté par Anonyme . Évalué à 6.
[^] # Re: Vive les réseaux ouverts !
Posté par Jak . Évalué à 4.
Le problème n'est pas que les réseaux soient ouverts, d'ailleurs (voir le projet FON, par exemple, http://fon.fr ), mais que l'on puisse s'y connecter sans être identifié.
[^] # Re: Vive les réseaux ouverts !
Posté par Jak . Évalué à 2.
FON, c'est http://fr.fon.com
[^] # Re: Vive les réseaux ouverts !
Posté par Matthieu . Évalué à 6.
C'est clair c'est pratique. Un peu comme moi quand je me ballade en ville. J'aime bien trouver une voiture ouverte avec les clés dessus pour rentrer chez moi, au lieu de prendre le bus.
En fait, je crois que si les Wifi sont si peu sécurisés c'est tout simplement parce que le mal que ça peut engendrer est complètement minime par rapport à la complexité de la sécurisation.
Cela peut aussi indiquer que la solution n'est pas assez mature. Tu accepterais d'acheter une maison dans aucune porte n'est pourvue de serrure permettant ainsi à tout à chacun de se servir chez toi ? Moi non. Tu aurais accepté que les impôts ait mis en ligne un site permettant la déclaration en ligne sans sécurité, permettant ainsi à tout le monde de venir voir tes infos ? Moi non, et ils ne l'ont pas fait heureusement.
C'est vrai quoi.. Si je bouffe 100Ko de ton quota pour aller voir mes mails, ça te pose réellement un problème ?
Le problème n'est pas le débit que tu vas utiliser. Mais plutôt les risques juridiques que cela implique. Imagines que tu sois une personne mal-intentionnée qui ait envie de modifier son salaire dans la base de données de ta boîte, ou modifier le montant de tes impôts dans la base des impôts ! Comment je fais lorsque la police me demandera des comptes ?
-> on ne se protège pas contre les personnes bien-intentionnées, mais contre les risques encourus, même s'ils sont stastistiquement faible (le risque de te faire voler ta voiture est très faible, mais ça peut arriver).
[^] # Re: Vive les réseaux ouverts !
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 0.
J'habite Villejuif.
# telnet sur la livebox ??
Posté par Jump3R (site web personnel) . Évalué à 1.
Je vois que tu peux faire un telnet sur la livebox, moi lorsque j'essaie, il me repond : "connection refused". J'ai loupé quelque chose alors dans tes explications mais je ne trouve pas :(
[^] # Re: telnet sur la livebox ??
Posté par Anonyme . Évalué à 2.
le mots de passe par defaut: 1234
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.