mise en place d'une plus grande sécurité wi-fi

[paire_saune]

bonjour,

je dois mettre en place une solution sécurité sur le wifi de mon entreprise.
Actuellement nous n'avons qu'un cryptage wep et une non diffusion du broadcast ssid malheuresement ceci n'est pas sécurisé du tout car en voulant tester ce réseau j'ai mi juste un peu plus de 3h pour casser la clé.

Je cherche donc une solution très sécuritaire tel que un serveur d'authentification etc.... qui permettrait de gérer aussi le hotspot (client qui doivent avoir accès a internet pour un jour par exemple).


J'ai deja effectué plusieurs recherche mais cela reste un peu floue pour moi.
j'aurais tendance a me pencher sur une solution eap tls ou un serveur radius (win2003) ou une solution linux ou ...
enfin je sais pas trop!
peut etre combiner radius + active directory??
pour le cryptage: wpa semble deja etre le debut!
apres pour l'authentification ou le vpn il faut que ce soit facilement configurable (pda),
sinon comme solution j'ai entendu parler de radius (serveur 2003 avec authentification mutuelle serveur client)+une base de donnée.
ou des solutions linux tels que WPA -suppliant ou HypperWRT ?


donc si vous pouviez m'apporter vos connaissances sur tel ou tel solution sécurité wifi avec le maximum d'informations dessus, ca m'aiderai fortement! :hello: (je tiens a rassemebler le plus d'infos possible afin de choisir la mieux adapté !! )

--> notre materiel wifi sont bornes cisco 1200 et des portables - PC - PDAs wifi..

merci!

[jdh]

C'est extrement intéressant et j'attends avec toi des réponses concrètes (en environnement Linux ).

Aujourd'hui, on trouve aisément sur le net une video montrant en temps réel une attaque sur un réseau Wifi protégé par WEP (avec SSID visible) (hors temps de capture de traffic, la durée de crack de la cle est ... de quelques minutes seulement).

Je pense que le basic est effectivement

- SSID non broadcasté (nom long et aléatoire)
- WAP + TKIP (clé longue et aléatoire)
- filtrage MAC
- réseau wifi distint si possible du filaire

Chaque point est contournable mais l'addition rend le crackage plus difficile.
A noter que "hot-spot" rend certaines possibilités impossibles (p.e. filtrage MAC).

[Billou02]

Cette question me branche aussi beaucoup car, comme pas mal de monde, je possede un reseau wifi et, maheureusement pour moi pas encore sur la patte bleue de mon ipcop (ca c'est un autre probleme...)
Je désire sécuriser le tout. je possede aussi un répéteur de signal (pour les zones d'ombre).
donc bien sur, le wep est facilement crackable, il me faut un truc plus solide que ca...

- SSID non broadcasté (nom long et aléatoire)
- WAP + TKIP (clé longue et aléatoire)
- filtrage MAC
- réseau wifi distint si possible du filaire

ca me parait etre une bonne solution, mais par ou commencer ???

- réseau wifi distint si possible du filaire

ca j'y ai répondu plus haut ok !

- filtrage MAC

le point d'acces le gere : ok !

- SSID non broadcasté (nom long et aléatoire)
- WPA + TKIP (clé longue et aléatoire)

mais alors la, , je vois pas !

[Gandalf]

Salut, outre les règles élémentaires de sécurité ( pas de broadcast, WPA-PSK, inscription des MAC address .... ) je préconise un point d'accès qui "emmène " tous les clients sans fils dans une zone à part sur le firewall, avec identification RAS sur un serveur RADIUS ! Ce dernier doit être dans une autre zone, et il faut autoriser les flux entre les 2 zones concernées !
Ainsi si toutes tes protections de bases tombent, l'intrus se retrouve isolé dans une zone où il n'y a rien !
C'est tout du moins comme ça que j'ai effectué quelques archoitectures Wifi, qui jusque là ont tenu le coup !

@ +

[jdh]

Tout à fait juste Gandalf ! Quand les users auront été validés par le RADIUS (dont il existe une implantation open source), il faudra qu'ils puissent bien accéder aux ressources de Orange ou Green (srv fichier !) et c'est pas toujours facile (wins par exemple).

Pour Billou, je conseille de créer des clés (SSID ou WPA) avec un début qui signifie quelque chose et 8, 10, 12, 16 caractères aléatoires attentivement notés pour les saisir sur toutes les machines.

J'ai donné une formule pour tableur dans un récent post pour générer ces caractères aléatoires.

[paire_saune]

j'ai aussi entendu parler d'une distrib linux qui serait spécialisée dans le réseau et le hot spot, si quelq'un pouvait m'éclairer ?

du genre de tete cat quelque chose.....

oui je sais c très vague

[yves_mag]

si ça peut aider:
http://yves.maguer.free.fr/WiFi/page_wifi_yves.html#Avec_le_WiFi_est_ce_que_je_serais_pirate

Du bon wifi a été exposé durant 4 heures à des milliers de pirates et a résisté.

[Gandalf]

Bonsoir Yves, ton site est toujours aussi intéressant !

J'en profite juste pour dire ( comme on a abordé RADIUS ) que l'implémentation d'un serveur RADIUS avec certificat sous Windows 2000 server est une M.E.R.D.E sans nom ! 2003 serveur fonctionne un peu mieux, sinon il existe des solutions libres mais je ne les ai pas testées .. alors si vous avez du retour n'hésitez pas ....

@ +

[micjack]

Tout a été dit, protections WPA, PKI, filtrage MAC , séparer les reseaux, Radius (autentification employé par les FAI) ..etc

Par contre, utiliser Radius sur un Win ou sur un Linux, qui reste une sécuritée de connexion certaine, ce n'est pas cela qui me derrange, mais ce qui transite par les aires (spoofing) , pas forcement une connexion direct sur le reseau (cela existe sur les reseau filaires et/ou internet)...

[barbak]

pour repondre a paire_saune au sujet d'une distrib spécialisée dans le hot-spot il y en a une du nom de "zone cd". le site officiel

je suis tombé dessus par hasard, j'ai téléchargé, mais je n'ai pas encore testé.

[micjack]

Par contre, ceux qui veulent tester la secu, il y'a un livecd ...
--> http://www.remote-exploit.org/index.php/Auditor_main

La section "Wireless" sur l' ISO regroupe entre autre,

* apmode.sh (Act as accesspoint)
* Airpwn (Client penetration)
* Hotspotter (Client penetration)
* GpsDrive
* start-gps-daemon (GPS daemon)
* stop-gps-daemon (GPS daemon)
* ASLeap (LEAP/PPTP cracker)
* Genkeys (Hash generator for ASLeap)
* Airforge
* File2air (Packet injector)
* Void11
* Void11-Hopper (Channel hopper)
* GKismet (Graphical wireless scanner)
* GPSMAP (wireless mapping)
* KLV (Kismet Log Viewer)
* Kismet (Ncurses wireless scanner)
* Wellenreiter (Graphical Wireless scanner)
* 802ether (Dumpfile format convertor)
* airodump (Traffic recorder)
* aircrack (Modern WEP cracker)
* Aireplay (Wireless packet injector)
* Wep_Crack (Wep Cracker)
* Wep_Decrypt (Decrypt dump files)
* Airsnort (GUI based WEP cracker)
* ChopChop (Active WEP attack)
* DWEPCrack (WEP cracker)
* Decrypt (Dump file decrypter)
* WEPAttack (Dictionary attack)
* WEPlab (Modern WEP cracker)
* Cowpatty (WPA PSK bruteforcer)
* changemac.sh (MAC address changer)

[Billou02]

Merci a yves_mag pour le lien très sympa !

merci a tous pour vos explications, barbak, rendez vous un dimanche pour essayer de cracker mes protections

[paire_saune]

moi pour cracker le réseau j'avais utilisé whax (successeur de whoppix qui s'appuie sur knoppix) :
voici le lien :

http://linuxfr.org/2005/07/04/19248.html

en fait il comprend beaucoup d'outils (comme Auditor_main) dont airodump (recuperer les packets d'un connexion wifi ) aireplay (pour generer plus de IVs) et aircrack ( pour trouver la clé).


-------------------------------
et voici un lien vers un script qui est bien utile pour utiliser ces programmes sans se casser la tete avec les arguments a passer derriere!

http://www.r4ndom.com/staulkor/projects ... index.html

en fait ce sont deux scripts shell : wepcap permet de recuperer les packets rapidement et wepcrack permet de casser la clé.

-------------------------------
sinon merci beaucoup pour zone cd (distrib linux qui contient un hot spot du nom de nocat! programme que je cherchais).
au point de vue de securité, on va essayer d'implenter de l'eap tls ou eap ttls mais après faut voir avec l'equipement wifi..
si il y en a qui ont d'autres solutions de sécurités qui tiennent bon jusqu'a présent, qu'ils ne se comportent pas comme des carpes!!!

---------------------------
ah voici aussi un lien vers pleins de distributions linux (en live cd je crois) sur les réseaux et sécurité wifi :

http://distrowatch.com/

[barbak]

@paire_saune:
y'a pas de quoi. content d'avoir pu t'aider un peu.

et merci a toi aussi pour les liens. ca risque de m'etre tres utile ce WE (hein Billou02 )

[vanvan]

Question réseau wifi, que ce soit wep, wpa ou wpa2 t'auras jamais une sécurité 100 %

Mais pour limiter les soucis essayes ça :

Un serveur LDAP dans lequel tu mets tes utilisateurs ( genre openldap )
Un serveur Radius pour l'authentification.
Tu relies tes bornes à un portail captif ( qui a un client radius et un DHCP ), puis tu routes le tout vers tes serveurs radius et ldap avec entre tout ça un firewall pour interdire les rebonds vers autre chose ou interdire tout autre type de traffic genre p2p.

Comme ça le gars qui chope l'un de tes channels, il devra s'authentifier et alors pas moyen de passer sans etre dans la base ldap.

Sinon si tu as du Cisco regardes du côté de WLSE et WDS c vraiment pas mal.
WLSE te centralise les infos et te permet de gérer tes bornes à distances.
et WDS remonte les infos d'un groupe de bornes et par triangulation chope le positionnement exact ( a quelques metres près ) des bornes pirates.