Securiser la connexion wifi...

Recherche :

Dernière réponse

Sujet : Securiser la connexion wifi...

l0ky

huit a écrit :

OK je etre un BOULET de premiere

en fait ct les droits du fichier cle qui etaient pas bon, faut les mettre a 600 sinon ca marche pas si tout le monde peut le lire !!!! putain et en plus c marqué partout mais jme disait que c'etait juste une sécurité !!

[:pingouino]

huit a écrit :

bon sinon tu saurais me dire comment tenter de péter le cryptage ? (faire un test de piratage quoi) [:huit]

pas sur IPsec, désolé

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

l0ky

huit a écrit :

[:pingouino]

huit a écrit :

bon sinon tu saurais me dire comment tenter de péter le cryptage ? (faire un test de piratage quoi) [:huit]

pas sur IPsec, désolé

huit	bon sinon tu saurais me dire comment tenter de péter le cryptage ? (faire un test de piratage quoi) [:huit]

huit	OK je etre un BOULET de premiere en fait ct les droits du fichier cle qui etaient pas bon, faut les mettre a 600 sinon ca marche pas si tout le monde peut le lire !!!! putain et en plus c marqué partout mais jme disait que c'etait juste une sécurité !!

huit

idem avec ta methode,

jai tenté une autre conf et jai ca avec un tcpdump :

12:33:25.618394 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:25.619753 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:33:25.656365 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:25.692097 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:33:58.619812 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:58.622155 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:33:58.658633 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:58.694477 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:34:03.618364 arp who-has 10.0.0.1 tell 10.0.0.2
12:34:03.618429 arp reply 10.0.0.1 is-at 00:01:02:07:95:55
12:34:31.621466 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:34:31.622816 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:34:31.659901 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:34:31.695870 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:35:04.623216 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:35:04.624631 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:35:04.661569 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:35:04.697424 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident

en boucle quand je fait un ping entre les 2 sous réseaux :/

donc j'en conclu qu'il arrive pas a parler!

ma clé est toutes petite

abcdomet980

ca chnge quelque chose ?

ensuite dans le fichier de cle faut mettre

passerelle_distante clé

ou sous_réseau_distant clé

ou réseaux_distant clé

?

allez ! je cherche sur le net !!

l0ky

Essaye avec:

Sur le 10.0.0.1:

path pre_shared_key "/etc/racoon/clepartage";

remote 10.0.0.2 {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}

sainfo anonymous {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

huit

veau:/etc/racoon# setkey -DP
192.168.33.0/24[any] 192.168.34.0/24[any] any
in ipsec
esp/tunnel/10.0.0.2-10.0.0.1/require
created: Jun 8 18:54:13 2005 lastused:
lifetime: 0(s) validtime: 0(s)
spid=264 seq=4 pid=8690
refcnt=1
192.168.34.0/24[any] 192.168.33.0/24[any] any
out ipsec
esp/tunnel/10.0.0.1-10.0.0.2/require
created: Jun 8 18:54:13 2005 lastused:
lifetime: 0(s) validtime: 0(s)
spid=257 seq=3 pid=8690
refcnt=1
192.168.33.0/24[any] 192.168.34.0/24[any] any
fwd ipsec
esp/tunnel/10.0.0.2-10.0.0.1/require
created: Jun 8 18:54:13 2005 lastused:
lifetime: 0(s) validtime: 0(s)
spid=274 seq=2 pid=8690
refcnt=1

jai indiqué nulle part le mode fwd c'est normal qu'il apparaisse ?
et c'est normal qu'il fasse le fwd du réseau externe (33.0) vers le sien (34.0) ?

huit	par contre en fait c'est une maquette ou le réseau 10.0.0.0 sera internet. ca sers ptet a rien de préciser le cryptage entre le 33.0 et le 34.0 parceque le but sera de crypter tout entre 10.0.0.1 et 10.0.0.2 (qui seront des ip publiques en vrai) ?

huit	meme chose :\|

l0ky	le setkey c'est avant de lancer racoon déjà

huit

en fait je vien de voir que ca marchait pas parceque racoon etait déja lancé :D

spa grave ca marche quand meme pas

jai 2 passerelles :

192.168.33.0-----33.1==10.0.0.2---------------10.0.0.1==34.254-------192.168.34.0

je veux crypter tout le traffic entre 33.0 et 34.0
les routes sont faites
avec clé fixe ca marche niquel

avec IKE jai configuré comme ceci sur la passerelle 10.0.0.1 (pareil sur la 0.2 avec inversement des ip partout) :

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/clepartage";

listen
{
isakmp 10.0.0.1;
}

remote 10.0.0.2
{
exchange_mode main;
lifetime time 24 hour;
proposal
{
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
# De passerelle-à-passerelle
sainfo address 10.0.0.1 any address 10.0.0.2 any
{
lifetime time 1 hour;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
sainfo address 10.0.0.2 any address 1.0.0.1 any
{
lifetime time 1 hour;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

ensuite je lance :

veau:/etc/racoon# racoon -F -v -f /etc/racoon/racoon.conf
Foreground mode.
2005-06-08 18:37:27: INFO: @(#)ipsec-tools 0.5 (http://ipsec-tools.sourceforge.net)
2005-06-08 18:37:27: INFO: @(#)This product linked OpenSSL 0.9.7e 25 Oct 2004 (http://www.openssl.org/)
2005-06-08 18:37:28: INFO: 10.0.0.1[500] used as isakmp port (fd=6)
2005-06-08 18:37:28: INFO: 10.0.0.1[500] used for NAT-T

comme ca marche je vire le -F, ca le lance tout court

et ensuite je lance le setkey :

veau:~# cat /etc/racoon/setkey.conf.auto
flush;

spdflush;

spdadd 192.168.34.0/24 192.168.33.0/24 any -P out ipsec
esp/tunnel/10.0.0.1-10.0.0.2/require;

spdadd 192.168.33.0/24 192.168.34.0/24 any -P in ipsec
esp/tunnel/10.0.0.2-10.0.0.1/require;

veau:~# setkey -f /etc/racoon/setkey.conf.auto

meme manip sur les 2 paserelles avec les ip inversée partout (ca marche en clé fixe)

ben rien quoi [:huit]

l0ky	ca peut se faire [:neuf]

huit

l0ky a écrit :

non [:pingouino]
C'était moi freyr (avant que je casse mon mail/password)

et sinon ta le temps de m'aider un peu sur la conf de racoon pour IKE ? [:huit]

l0ky

huit a écrit :

up :bounce:

alors ce tuto racoon/IKE il est fait ? :o :)

non [:pingouino]
C'était moi freyr (avant que je casse mon mail/password)

huit	up :bounce: alors ce tuto racoon/IKE il est fait ? :o :)

falconn

Pour la remarque ca signifait juste que racoon peut justement générer les règles de ipsec.conf, mais je sais pas vraiment comment ca marche... (c'est l'option generate_policy on)

freyr

1. pour racoon ca doit etre faisable avec les certificats x509
mais le probleme reste dans le fichier ipsec.conf où il faut préciser avec qui ont fait de l'IPsec. En gros porc on pourrait peut etre mettre 0.0.0.0/32 mais on ferait avec tout le monde...

2. Comprend pas la remarque

A la base IPsec c'est pour faire avec des adresses "statique"... connue du moins.

falconn

freyr > une question qui me traverse l'esprit la... Dans l'implémentation actuelle de IpSec, on définit les critères de contrôles d'accès en fonction de l'adresse IP. Mais n'existe-il pas un autre moyen, en se basant par exemple sur la clé publique pk dans le cas d'un chiffrement asymétrique ? Parce que si l'un des deux ordis à une adresse ip dynamique, on l'a dans le vent...

Edit: Racoon a un mode qui permet de générer la politique d'accès ok, mais bon ca nous dit pas sur quoi il se base et quels sont les droits donnés... :??:

falconn

ah ok, j'utilise setkey pour faire la même chose :-)

freyr

Faut le créer alors:
Pour des tests j'avais fais celui la:

flush;
spdflush;
spdadd 192.168.50.11 192.168.50.1[53] any -P out ipsec ah/transport//require;
spdadd 192.168.50.1[53] 192.168.50.11 any -P in ipsec ah/transport//require;

falconn

merci freyr pour cette ptite explication :-) par contre j'utilise pas le fichier ipsec.conf, il existe meme pas sur mon disque!

freyr

si tu veux les spécifs rien de mieux que
http://www.ietf.org/rfc.html
(enfin chacun ses gout :p )

Ensuite la redondance s'explique parce que racoon est l'implémentation du protocole IKE qui a 2 phases (dans son mode classique):

Une phase qui sert à négocier les parametres pour la négociation du matériel de cryptage pour les communications.
Une phase qui négocie ces parametres.

phase 1
Le bloc remote contient les propositions que ton ordi va filer a son peer pour sécuriser dans le canal pour négocier de maniere sure les parametre de cryptage.
La tu définis par exemple le mode d'authentification (pre_shared key ou certificats)

phase 2
le bloc sainfo contient les algos à utiliser (AES, triple DES...) pour le cryptage et les algos pour l'intégrité (MD5, SHA1...) pour les communications a venir.

Une fois que ces 2 phases ont été établie avec succes tu devrais avoir un canal IPsec.

Il peut exister plusieurs blocs remote et plusieurs blocs sainfo pour les différents ordi que tu veux contacter. les blocs anonymous sont les blocs appliquer par défaut.

le fichier /etc/ipsec.conf sert a definir comment tu veux monter des politiques IPsec (mode tunnel/transport, Authentification/Cryptage) entre les protagonistes

en espérant que ca t eclaire un peu

allez dodo :sleep:

falconn

ok merci freyr! Jvais me documenter la dessus... Un tuto ca serait bien oui :) de toute maniere jvai essayer de m'y mettre et j'essaierai de donner ma contribution aussi, parce que là ya comme un grand vide sur le sujet sur internet... Tu as des sites interessant concernant les spécifications des protocoles?

Toutefois pourrais tu m'éclairer sur un certain point?
Dans le fichier de config racoon.conf il ya une section "proposal" et une section "sainfo" où on définit les algorithmes de cryptage, d'authentification... Je n'arrive pas à comprendre le pourquoi de la "redondance" de cette information (y'à un truc c'est sur :pt1cable: )

freyr

Si tu veux comprendre marche racoon et son fichier de configuration il faut que tu te documentes sur le protocole IKE (Internet Key Exchange RFC2409 il me semble).
Le fichier de config principal suit d'assez pres ce protocole. Je compte ecrire un tuto la dessus un de ces 4 mais pas avant 1 mois :'(

falconn

oui c'est vrai...

void_ppc

falconn a écrit :

le couple ipsec/racoon répond tout à fait bien à mon besoin, mais c'est plutot mal documenté. J'ai trouvé quelques infos sur lartc.org. Je comprends la configuration de ipsec mais à la configuration de racoon ca devient tres flou... Les exemples sont très mal commentés. J'aime vraiment pas appliqué les trucs bêtement sans comprendre. Pourquoi les développeurs ne font-ils pas des docs plus claires ? Parce que la, leur readme ou man ne sont carrément pas explicites...

parce qu'ils font ca sur leur temps libre, et que toute contribution est la bienvenue

falconn

le couple ipsec/racoon répond tout à fait bien à mon besoin, mais c'est plutot mal documenté. J'ai trouvé quelques infos sur lartc.org. Je comprends la configuration de ipsec mais à la configuration de racoon ca devient tres flou... Les exemples sont très mal commentés. J'aime vraiment pas appliqué les trucs bêtement sans comprendre. Pourquoi les développeurs ne font-ils pas des docs plus claires ? Parce que la, leur readme ou man ne sont carrément pas explicites...

matthias

>falconn: ok :)

falconn

matthias> merci mathhias pour ton aide, j'ai déjà mis en place cette solution, mais c'est par curiosité personnelle que je veux mettre en place une solution par IpSec!

freyr> jvé déjà me renseigner sur ipsec-tools et racoon. merci :-)

freyr

Actuellement pour utiliser IPsec sous linux il est préférable
d'utiliser le noyau 2.6. tu le compiles avec les options
o support PF_KEY
o support de AH
o support de ESP
dans les "networking options"

ensuite il faut installer les ipsec-tools
et racoon (demon négociant les parametres de sécurité)

J'avais un bon document qu un pote de l'irisa m'avait filer mais
ils l'ont enlevé de leur site. Si le retrouve je te filerai l'adresse

en attendant: http://www.netbsd.org/fr/Documentation/network/ipsec/
c'est pas linux mais ca y ressemble :)

matthias

Bonjour,

Si c'est pour un réseau perso est ce que les actions suivantes ne sont pas suffisantes :

- desactiver le SSID broadcast
- activler le filtrage d'adresse MAC
- utiliser le cryptage WEP ou WAP

c'est déja pas mal je trouve ...

falconn

Après avoir fait le tour de quelques forums, je vais m'orienter vers IpSec pour sécuriser mes communications entre mon portable et le reste du réseau. J'ai entendu parlé d'un IpSec propre au noyau 2.6, d'une version d'IpSec intitulé 'FreeS/WAN', etc...

J'ai un peu du mal à m'y retrouver. Quelqu'un pourrait-il m'éclairer sur le sujet ou m'orienter vers des sites expliquant la mise en marche sous linux?

Merci!