 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Sécurisation réseau WiFi par VPN | |
| surf_billabong | dreamer18 : A part toi personne ne se prend pour un hacker !! lol |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| surf_billabong | dreamer18 : A part toi personne ne se prend pour un hacker !! lol |
| blob |
|
| sixtiesman | ok et bien je vais me ranger à votre avis.
Je vais me contenter du vieux WPA :ange: |
| dreamer18 |
dans l'absolu oui. Dans la pratique, ça sert pas à grand chose; à part pour le Wep qui lui se casse vite et facilement, les autres protections sont autrement plus robustes donc partir dans des solutions compliquées est plus une source d'emmerdes qu'autre chose (et puis à moins d'avoir un étudiant en informatique qui veuille s'amuser dans son voisinnage, on risque pas grand chose).
|
| surf_billabong | Perso, suis d'accord avec Ltr et Diablo. A la limite pour un petit home-wifi encore un peu plus sécurisé, je ferais du MAC-filtering (limiter l'acces en fonction de la mac adresse des clients), mais plus serait abusé.
J'ai déjà vu des VPN sur wifi chez des moyens à gros comptes (env250 postes) mais à part compliquer l'admin, compliquer l'utilisation, ca ne fait pas grand chose de mieux pour la sécurité qu'un radius. A+ |
| LtR | Jamais évident de sécuriser un réseau Wifi.
En fait il faut en amont se poser les bonnes questions : - y'a t'il dans mon réseau des données sensibles. - Suis-je sujet à être attaqué étant donné l'importance des données présente dans mon réseau. - est ce que je possède un domaine ou une/des machines gérées en locale. - Est ce que je souhaite partager l'accès à tout mon réseau, à internet ou est ce que cela dépendra des visiteurs.... Ainsi, après avoir répondu à chacune de ces questions et suivant votre architecture, vous pourrez alors construire un schéma (sécurisé) adapté à votre environnement. Il faut bien comprendre que un WiFi "maison" n'a pas besoin d'être vraiment sécurisé. Pourquoi un pirate s'embeterai à passer son temps à essayer de décrypter ne serait ce qu'une clef WEP alors même qu'il existe des centaine de réseau non sécurisé. [#ff0000]Néanmoins, même si peu de monde le sais, sachez que vous êtez tous responsable de la propre sécurité de votre infrastructure chez vous et que vous êtez condamnable si un hacker pirate votre réseau et s'en sert pour pirater des entreprises ou autre.[/#ff0000] En ce qui concerne le VPN je suis vraiment d'accord avec dream. Crypter les donner qui transit entre votre pc ou autre et votre modem ou serveur n'empechera en aucun cas de pirater une clef wep ou même d'entrer dans votre réseau. Mon conseil perso : ==> pour un réseau "at home" : opter pour une borne Wifi avec WPA minimum et WPA2 . C'est suffisant d'après moi. ==> réseau d'entreprise : - borne simple sans antenne ( et oui car au moins sa ne ressemble pas à une borne et sa se vole moins ) - switch permettant de manager toutes les bornes (aucune configuration dans les borne comme sa si elles sont volé pas de pb) - mise en place serveur d'authentification (radius) pour donner les droits au utilisateurs qui se connecte. - WPA2 LtR :hello: |
| El Pollo Diablo | Cette video est bien gentille, mais ne contredit pas du tout ce que je dis : une passphrase faible pourra effectivement être cracké facilement par une attaque dictionnaire ou meme brute force (dans la video c'est un prénom, plus stupide comme mot de passe, tu meurts).
Avec une vrai passphrase forte, donc genre 20 caractères (majuscules, minuscules, chiffres, carctetes non alpha-numériques) aléatoires, la partie de la video qui dure 3 secondes pour cracker la clé pourra prendre plusieurs dizaines d'année sur une machine actuelle... |
| sixtiesman | tu as déjà vu cette vidéo Diablo ?
http://www.mirrors.wiretapped.net/ [...] k-wpa.html mais merci pour le conseil ;) |
| El Pollo Diablo | Pour parler concret, du WPA1-PSK avec une clé longue et compliqué (mini 20 caracteres) faut se lever tôt pour cracker ça.
Si ton but c'est que tu sois en sécurité, reste en la, le reste fait le juste si ça t'interesse d'un point de vue technique. |
| sixtiesman | pour parler concret :
actuellement j'ai activé WPA-Personal (mode Pre-Shared-Key) avec filtrage des adresses MAC sur mon réseau... Pense-tu qu'activer "WPA-Enterprise" (donc avec serveur 802.1x) me permettra d'arriver un à meilleur niveau de sécurisation ? (c'est ce que j'ai cru comprendre de ton dernier post) Il me semblait que c'était juste un système qui permettait de gérer plusieurs clés d'encryption (système adapté pour un réseau utilisé par plusieurs personnes, ce qui n'est pas mon cas) Pardon si je dis des bétises, je n'ai pas ton niveau dreamer ;) |
| dreamer18 | du wifi c'est une technologie de niveau 2; donc pour sécuriser une techno de niveau 2; on utilise des fonctionnalités de sécurité associées au niveau 2 et inférieurs. Donc : cryptage des trames; authentification 802.1x, diminution de la portée du signal (comment s'introduire sur un réseau si on le capte pas ?) etc...
Le reste n'est que du bricolage. parce que bon faire du VPN Overlay c'est bien joli car ses données seront cryptées, mais l'attaquant pourra quand même s'introduire sur le réseau... |
| sixtiesman |
|
| k1200 | Wifi + server Radius ;) |
| Groody | Ah, enfin des explications !
Quoi qu'il en soit, si on considère que le WiFi n'est pas un support "sûr", je ne vois aucune autre solution (pour prendre en charge tous les flux, on ne va pas s'amuser à faire de l'applicatif pour chaque soft/proto). Donc, dans son cas (puisque c'est ce qui nous intéresse sur ce topic), oui, le VPN est une très bonne chose pour lui (ça lui permet de découvrir, apprendre, sécuriser son réseau si il ne peut utiliser une solution WPA2, etc.). |
| dreamer18 | c'est une solution utilisable; mais qui est contraire à toutes les règles de design de réseau. Du VPN (ipsec, je parle pas des solutions SSL vu que c'est de l'applicatif) est vu comme une extension :
- de LAN dans le cas de VPN remote - de Wan dans le cas de VPN site à site Le second cas ne nous interesse pas ici (un pc portable qui se connecte en wifi n'est pas un site. Pour le VPN remote, on étend le lan de manière sécurisée; or du wifi est vu comme du lan; donc faire de l'extension de lan sécurisée sur un Lan n'a aucun sens (ben oui; on étend pas un réseau sur lui même; quand on veut sécuriser, on fait au plus simple sans empiler les couches). Pour plus de détail sur le design de réseau et l'intégration de la sécurité : http://www.ciscopress.com/bookstor [...] 00767&rl=1 http://www.ciscopress.com/bookstor [...] 51850&rl=1 http://www.ciscopress.com/bookstor [...] 01356&rl=1 http://www.ciscopress.com/bookstor [...] 52229&rl=1 http://www.ciscopress.com/bookstor [...] 51540&rl=1 d'ailleurs lorsqu'on veut faire transiter des données sensibles sur une infrastructure interne sûre (un LAN sur lequel on a la main); on ne fait pas du VPN mais du chiffrement SSL, donc applicatif et non réseau (SSL, avec https pour les applis basées sur du web, ou tous les modules SSL présents dans SAP; PeopleSoft et autres...) |
| Groody | Mon dieu, je n'en suis donc pas un :'(
Au lieu d'être ultra catégorique, argumente. Car c'est bien beau de répondre que "c'est hors sujet" ou bien "ceux qui disent ça ne doivent pas y connaitre grand chose en réseau", alors que c'est une solution utilisable. |
| dreamer18 | aux yeux des professionnels des réseaux serait plus exact. |
| Groody | A tes yeux uniquement. |
| dreamer18 | oui, comme l'internet, ou une extension de réseau opérée suir laquelle on a pas la main. sur un réseau local c'est juste hors sujet. |
| Groody | bof.
UN VPN peut aussi être très utile pour sécuriser les flux locaux sur des supports "non sûrs". |
| dreamer18 | ben ça n'a aucun rapport; un VPN est utilisé pour sécuriser des connnexions d'un utilisateur nomade vers son entreprise (du point à point dans l'internet grosso modo) alors que le wifi est vu comme un LAN Ethernet local; bref les contextes sont complètement différents et les problématiques de sécurité associées également. |
| sixtiesman | pourrais-tu en dire plus dreamer ? Ton point de vue m'intéresse |
| dreamer18 |
ceux qui disent ça ne doivent pas y connaitre grand chose en réseau. |
| sixtiesman | ... mais effectivement c'est pour partager ma connexion adsl et partager 3 fichiers :lol: |
| sixtiesman | lol... J'ai encore un routeur compatible WPA (1) et i parait que ca se cracke en 10 minutes... |
| El Pollo Diablo | C'est dans quel cadre ? Parce que si c'est pour partager ta connexion ADSL et 3 fichiers a la maison, ça n'a absolument pas le moindre interet de se lancer la dedans. |
| sixtiesman | Bonsoir tout le monde :hello: J'entends souvent que le MUST de la sécurisation d'un réseau local wifi passe par un VPN mais je n'ai pas trouvé de documentation (pratique) sur le sujet. Quelqu'un ici a-t-il déjà tenté l'aventure ? Des tutorials à conseiller ? Merci d'avance |
