sécuriser son wifi (répétiteur ou routeur)

[bl@tem@n]

bonjour,
aujourd'hui il est inscrit dans la loi que chacun doit être responsable de sa connexion internet et par conséquent doit mettre en œuvre tous les moyens nécessaire pour sécuriser sa connexion.
Ma question est à la fois simple et complexe:
Comment sécuriser mon réseau wifi pour le rendre inexploitable par des voisins malveillants?
Je ne veux pas activer le filtrage d'adresse MAC car trop contresignant vis à vis de mon matériel (se filtrage bloque mon archos ainsi que mon téléphone portable systématiquement même si j'ai ajouté l'adresse MAC dans la liste de matériel autorisé:livebox inventel)
Comme chacun le sait la sécurité wep ne suffisant pas (2 heures maximum pour la faire sauter , mais je ne m'entendrais pas dans les détails car c'est illégal) ,la double sécurité wep et wpa étant encore trop contraignante pour mon archos (5TIM) que puis-je faire pour sécuriser tout sa?
J'en viens à la seconde partie de mon intitulé.
Dans l'optique d'améliorer la qualité du signal wifi dans mon salon , j'envisage d'investir dans un répétiteur ou un routeur wifi.
Compte tenu de mes exigence en sécurité ainsi que de mon architecture réseau que me conseillez vous ?

ps:j'ai 2 réseaux un LAN avec partage de connexion et un wifi avec partage de données avec le serveur LAN
-----

[bl@tem@n]

je viens de me relire désolé pour les fautes d'orthographe ... ou plutôt de correcteur automatique :s

[JPL]

Ton Archos n'est pas compatible avec WPA ? Et au passage note que la restriction des adresses MAC ne protège que contre des pirates amateurs ignorant car :

1. l'adresse MAC est transmise en clair par le WIFI, donc récupérable sans problème ;
2. il est très facile d'envoyer des paquets avec une adresse MAC forgée.

PS : pour WEP, je croyais qu'il suffisait de 5 minutes.

[bl@tem@n]

Ton Archos n'est pas compatible avec WPA ? Et au passage note que la restriction des adresses MAC ne protège que contre des pirates amateurs ignorant car :

1. l'adresse MAC est transmise en clair par le WIFI, donc récupérable sans problème ;
2. il est très facile d'envoyer des paquets avec une adresse MAC forgée.

PS : pour WEP, je croyais qu'il suffisait de 5 minutes.

tu me suggère de passer en WPA? rien de mieux à me proposer?

[A voir en vidéo sur Futura]

[JPL]

Avant qu'on te casse ton WPA avec un bon mot de passe tu auras renouvelé plusieurs fois tout ton matériel.

[kryok]

Avant qu'on te casse ton WPA avec un bon mot de passe tu auras renouvelé plusieurs fois tout ton matériel.

Plutot WPA2 si l'Archos le supporte
,donc en AES , bien que la faille "hole 196" ,peu nocive cependant, ne soit toujours pas réglé et contourne l'AES ...

PS : pour WEP, je croyais qu'il suffisait de 5 minutes.

2m29 chez mon voisin
(à sa demande ,je précise ,pour lui démontrer l'inanité du cryptage WEP malgré sa clé de 15 éléments..)


@+

[bl@tem@n]

alors là j'ai un problème:
ma box ne me propose que le WPA-TKIP ...j'ai cru comprendre que niveau sécurité c'était pas top...

[JPL]

Il ne faut pas exagérer non plus. D'accord WEP c'est de la m..... mais WPA-TKIP c'est solide. Mets-tu une serrure digne des coffres de la banque de France sur le porte de ta maison ou de ton appartement ? Probablement pas, tu te contentes de moyens plus raisonnables. La parade doit rester proportionnée à la valeur de ce qu'on veut protéger.

[bl@tem@n]

ne pourrais je par exemple prendre un routeur pour sécuriser un peu plus le tout?

[kryok]

Il ne faut pas exagérer non plus. D'accord WEP c'est de la m..... mais WPA-TKIP c'est solide.

Ha bon:
http://www.veilleperso.com/cles-wifi...te-chrono-4438

Mets-tu une serrure digne des coffres de la banque de France sur le porte de ta maison ou de ton appartement ? Probablement pas, tu te contentes de moyens plus raisonnables. La parade doit rester proportionnée à la valeur de ce qu'on veut protéger.

la comparaison semble inadéquate :
De meme que les téléchargeurs de Films et autres Mp3 n'ont pas le sentiment de voler , combien de gens qui piratent le wifi du voisin iront fracturer sa serrure pour le cambrioler?
On est dans des fichiers éléctroniques ,du virtuel et non dans des biens palpables ,ceci expliquant peut etre cela meme si moralement (et légalement) cela peut etre condamné..

@+

[bl@tem@n]

j'envisage un routeur wpa 2 couplé à ma box sur laquelle je vire le wifi qui n'est plus assez sécurisé...

[invite6f0362b8]

Tu connais l'equation de drake ?

l'equation de drake te permet d'estimer le nombre de civilisations extraterrestres présentes dans notre galaxie.

Donc pour que l'on te pirate ta connection wifi il faut.

1 - Que le pirate est un ordinateur, et la possibilité de capter les ondes wifi
2 - Qu'il soit à la portée de ton reseau (ca reduit deja largement le nombre de pirates, à tes voisins)
3 - Qu'il craque ton code de securité (clé wep 128 bits - ca en fait note: vu l'estime que j 'ai pour mes voisins, il faudrait d'abord qu'ils depassent une certain QI) - déja qu'ils ont du mal à se connecter au wifi, non securisé normalement !!!

pour qu'il t'inquiete legalement
4 - il faut qu'ils telechargent illegalement ... en plus

C'est un peu comme la chauvre souris de bigard .....

[kryok]

Tu connais l'equation de drake ?

l'equation de drake te permet d'estimer le nombre de civilisations extraterrestres présentes dans notre galaxie.

Donc pour que l'on te pirate ta connection wifi il faut.

1 - Que le pirate est un ordinateur, et la possibilité de capter les ondes wifi
2 - Qu'il soit à la portée de ton reseau (ca reduit deja largement le nombre de pirates, à tes voisins)
3 - Qu'il craque ton code de securité (clé wep 128 bits - ca en fait note: vu l'estime que j 'ai pour mes voisins, il faudrait d'abord qu'ils depassent une certain QI) - déja qu'ils ont du mal à se connecter au wifi, non securisé normalement !!!

pour qu'il t'inquiete legalement
4 - il faut qu'ils telechargent illegalement ... en plus

C'est un peu comme la chauvre souris de bigard .....

Amusant .. de naiveté

1- Tu connais les portables? 90 sur 100 ont une carteWifi..

2- Sait tu que ces memes portables fonctionnent dans la rue , dans une voiture garée devant un immeuble , dans un parking en sous-sol etc..

3-As tu lu les posts plus haut ? ta clé wep resistera de1 à 5 minutes, meme pour le WPA : 1minute!>> http://www.veilleperso.com/cles-wifi...te-chrono-4438
'-
4- Télécharger et/ ou pirater tes données (plus difficile mais... )

@+

[f6bes]

Bjr à tous,
La question initiale REPOSE sur "....il est inscrit dans la loi que chacun doit être responsable de sa connexion internet et par conséquent doit mettre en œuvre tous les moyens nécessaire pour sécuriser sa connexion..."
j'ajouterais dans la LIMITE de la technologie "disponible".

Le probléme de la loi ne semble pas etre: "protégez vous" ( Cela la loi ne s'en souçi pas !!) , MAIS:
"évitez que l'on se SERVE de votre connexion pour des actions illégales".

Donc si des super "crakqueurs" cassent ton accés " protégé REGLEMENTAIRE",
il n'y a pas à se sentir "...coupable" d'avoir permis un "accés ILLEGAL" via ton matériel.

Les "objectifs" de la loi et de la "protection individuelle" ne sont pas TOTALEMENT identiques.

A+

[invite6f0362b8]

Amusant .. de naiveté

1- Tu connais les portables? 90 sur 100 ont une carteWifi..

2- Sait tu que ces memes portables fonctionnent dans la rue , dans une voiture garée devant un immeuble , dans un parking en sous-sol etc..

3-As tu lu les posts plus haut ? ta clé wep resistera de1 à 5 minutes, meme pour le WPA : 1minute!>> http://www.veilleperso.com/cles-wifi...te-chrono-4438
'-
4- Télécharger et/ ou pirater tes données (plus difficile mais... )

@+

donc je rajoute dans l'e'quation de drake pour wifi

2' - Que le pirate presumé est un portable avec carte wifi, qu'il se deplace jusqu'a chez toi, pour pirater TA connection WIFI ....c est sur Le mec , il vient POUR TOI.. c est toi qu'il envie de faire C.....

[JPL]

As tu lu les posts plus haut ? ta clé wep resistera de1 à 5 minutes, meme pour le WPA : 1minute!>> http://www.veilleperso.com/cles-wifi...te-chrono-4438

Posté en août 2009. J'avais lu le travail original dont l'origine remonte à 2006 et dont on a reparlé en 2009 car il avait été quelque peu amélioré. Il ne s'agit pas du cassage d'une clé WPA, mais d'une attaque de type "man in the middle" autrement plus complexe à mettre en œuvre, intéressante sur le plan académique mais à mon avis totalement inapplicable dans le cas d'un "pirate" classique du genre script kiddie http://fr.wikipedia.org/wiki/Script_kiddie.

Quelqu'un qui a les capacités pour mettre en œuvre cette technique ne va pas s'amuser à s'infiltrer dans le flux de données du wifi de monsieur Dupont pour faire du téléchargement du dernier Laurie (je n'ai pas le temps de retrouver l'article en question, mais de mémoire je doute même qu'on puisse s'en servir dans ce but). Par contre en effet on trouve sur le web des programmes permettant de casser les clé WEP.

[invite6f0362b8]

bonjour,
aujourd'hui il est inscrit dans la loi que chacun doit être responsable de sa connexion internet et par conséquent doit mettre en œuvre tous les moyens nécessaire pour sécuriser sa connexion.
Ma question est à la fois simple et complexe:
Comment sécuriser mon réseau wifi pour le rendre inexploitable par des voisins malveillants?
Je ne veux pas activer le filtrage d'adresse MAC car trop contresignant vis à vis de mon matériel (se filtrage bloque mon archos ainsi que mon téléphone portable systématiquement même si j'ai ajouté l'adresse MAC dans la liste de matériel autorisé:livebox inventel)
Comme chacun le sait la sécurité wep ne suffisant pas (2 heures maximum pour la faire sauter , mais je ne m'entendrais pas dans les détails car c'est illégal) ,la double sécurité wep et wpa étant encore trop contraignante pour mon archos (5TIM) que puis-je faire pour sécuriser tout sa?
J'en viens à la seconde partie de mon intitulé.
Dans l'optique d'améliorer la qualité du signal wifi dans mon salon , j'envisage d'investir dans un répétiteur ou un routeur wifi.
Compte tenu de mes exigence en sécurité ainsi que de mon architecture réseau que me conseillez vous ?

ps:j'ai 2 réseaux un LAN avec partage de connexion et un wifi avec partage de données avec le serveur LAN

Bon tu as pu le voir, est il bien utile de sécuriser un peu plus son wifi pour eviter d'etre iquiéter par la loi .. A cette question , je pense que le reponse est NON.
par contre par simple erudition, il y a des moyens simple de sécuriser son wifi:
1 - éviter de s'en servir (le desactiver en somme). C est sûr le pirate qui t'as ciblé auras beaucoup de difficulté à s'en servir.
2 - Utiliser un clé non répétitive.
3 - Utiliser un numéro d'ip de passerelle different des numero par default: type 192 168 .1.1 ou 2.1 (bon ca ne risque pas de tenir bien longtemps avec le crack qui c est infiltré
4 - filtrage des adresse MAC ou des IP

[kryok]

donc je rajoute dans l'e'quation de drake pour wifi

2' - Que le pirate presumé est un portable avec carte wifi, qu'il se deplace jusqu'a chez toi, pour pirater TA connection WIFI ....c est sur Le mec , il vient POUR TOI.. c est toi qu'il envie de faire C.....

Tout simplement qu'il cherche un reseau ouvert ou protégé pour un temps limité de quelques minutes à quelques heures afin d'effectuer un téléchargement ou une intrusion plus profonde et il passe à autre chose un autre jour ,
il se fout pas mal de toi nominalement sauf pour un crack de ton compte bancaire par ex (plus difficile qu'une simple intrusion..)

Quelqu'un qui a les capacités pour mettre en œuvre cette technique ne va pas s'amuser à s'infiltrer dans le flux de données du wifi de monsieur Dupont pour faire du téléchargement du dernier Laurie (je n'ai pas le temps de retrouver l'article en question, mais de mémoire je doute même qu'on puisse s'en servir dans ce but). Par contre en effet on trouve sur le web des programmes permettant de casser les clé WEP.

Malheureusement la vitesse de diffusion des procédés sur le net est telle que la procedure pour le WPA-PSK s'est aussi "démocratisé" ,si je puis dire, comme le crackage wep qui nécessitait il y 3 ans une palanqué de softs en tapant en console une tartine de ligne de code rebutantes :actuellement 3 clics suffisent ,la procedure est automatisé par scripts..

[JPL]

Malheureusement la vitesse de diffusion des procédés sur le net est telle que la procedure pour le WPA-PSK s'est aussi "démocratisé" ,si je puis dire

Je répète : la seule chose que je connais est l'attaque man in the middle, complexe, très difficile à mettre en œuvre et qui (de mémoire) ne permet pas de faire n'importe quoi comme si on avait cassé la clé. As-tu des éléments pour affirmer le contraire ?

[kryok]

Je répète : la seule chose que je connais est l'attaque man in the middle, complexe, très difficile à mettre en œuvre et qui (de mémoire) ne permet pas de faire n'importe quoi comme si on avait cassé la clé. As-tu des éléments pour affirmer le contraire ?

Un simple Live CD /Clé USB B*t***k V4 contient tout ce qu'il faut pour répondre à ta question (logiciels, tables dictionnaires ,pour un "hand shake" etc..) nous parlons du WPA-PSK: pas en AES ..

[kryok]

NB:
un passphrase complexe et long WPA ,pour l'instant parait difficile à cracker , mais la plupart des gens n'en mette pas souvent semble - t il..

[JPL]

nous parlons du WPA-PSK

Non : tu veux parler de WPA-PSK TKIP je pense. Parce que WPA et WPA2 ne sont accessibles à l'utilisateur de base qu'en mode PSK, les modes sécurisés en milieu professionnel nécessitant un serveur Radius.

[kryok]

Non : tu veux parler de WPA-PSK TKIP je pense. Parce que WPA et WPA2 ne sont accessibles à l'utilisateur de base qu'en mode PSK, les modes sécurisés en milieu professionnel nécessitant un serveur Radius.

Oui, TKIP bien sur .sans AES donc et pas de Radius pour le particulier hors entreprise..

[Lycaon]

bonjour,
les réponses concernant la protection wifi sont souvent trop techniques pour les utilisateurs lambdas.

si j'ai bien compris il est recommandé d'éteindre sa box en cas de non utilisation?

on parle de clé wep ou wpa.


faut-il retaper le code ,comme un mot de passe à chaque utilisation?
Si oui ,y a t-il une méthode rendre simple cette contrainte.?


Personnellement je n'ai pas de liaison wifi ,mais j'ai une fille qui habite dans un appartement et je ne sais pas comment est paramétré son ordinateur.Elle a une box alice ,un ordinateur portable et une liaison wifi.

comment vérifier sa configuration?
merci

[JPL]

Dernièrement je suis allé chez des amis pour leur donner mon avis : devaient-ils changer d'ordinateur ou non, etc. Incidemment, comme on évoquait l'éventualité d'un portable je me penche sur leur Livebox un peu ancienne (pour ma part je n'ai pas de box mais un modem routeur, donc je cherchais quels étaient ses paramétrages) et je découvre que le wifi était activé par défaut en mode WEP alors qu'ils ne l'utilisent pas. Autrement dit ils pouvaient se faire pirater "à l'insu de leur plein gré" depuis des années.

Combien d'utilisateurs sont-ils dans ce cas ? Même s'ils apprennent qu'il faut être prudent dans l'utilisation du wifi (c'est déjà un gros progrès par rapport à la méconnaissance de base) il vont se dire : pas de problème, moi je n'utilise pas le wifi.

[kryok]

Dernièrement je suis allé chez des amis pour leur donner mon avis : devaient-ils changer d'ordinateur ou non, etc. Incidemment, comme on évoquait l'éventualité d'un portable je me penche sur leur Livebox un peu ancienne (pour ma part je n'ai pas de box mais un modem routeur, donc je cherchais quels étaient ses paramétrages) et je découvre que le wifi était activé par défaut en mode WEP alors qu'ils ne l'utilisent pas. Autrement dit ils pouvaient se faire pirater "à l'insu de leur plein gré" depuis des années.

Combien d'utilisateurs sont-ils dans ce cas ? Même s'ils apprennent qu'il faut être prudent dans l'utilisation du wifi (c'est déjà un gros progrès par rapport à la méconnaissance de base) il vont se dire : pas de problème, moi je n'utilise pas le wifi.

Exactement la meme chose :le wifi de ma livebox activé par défaut, avec passe wep de 5 chiffres "12345" qui plus est..

en aidant des connaissances j'ai constaté que beaucoup ne savait meme pas
configurer leur box de manière basique , voir un lien de Korben dessus
:
http://free.korben.info/index.php/Configuration_des_Box

Autrement de manière synthétique on peut conseiller:

--cryptage WPA2 si permit par le matos (éviter le WEP)

--mot de passe robuste , à changer réguliérement,pas de mots signifiants ( =mots du dictionnaire, prénom etc),:> 15 chiffres/lettres minus-majus/+#£@ etc.. pour les flemmards:
http://www.libellules.ch/passwordgen.php

--changer aussi le mot de passe de la box: 'admin' par défaut en général..

-- changer le nom réseau type "livebox -neufwifi" en "@@)\)µ-215" par ex

--Si cela est possible associer l'adresse MAC de la carte Wifi dans la box ( facilement contournable cependant..), de meme décocher la visibilité du réseau sur le net;
--couper la box en cas d'absence : c'est évident mais on voit des box toujours actives dans un immeuble vide en aout!

@+