Securiser un reseau wireless [wifi-ipsec-ppptp-...] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 23-05-2003 à 09:20:14
C'est quasiment la config que j'utilise (1 ADSL + 1 Cable + 1 LAN + 1 WIFI) .
La connexion sur n'importe quelle machine ne pose pas de probleme, des l'instant ou le routeur est défini comme route par défaut, ça fonctionne immédiatement.
Le routeur est sous OpenBSD parce que ca me semble beaucoup plus simple à mettre en place que sous Linux.
Tu peux faire en sorte que le wifi et le lan apparaisse exactement sur le meme reseau en configurant un bridge, comme expliqué ici :
http://gcu-squad.org/?viewtip+&tip_id=88
Pour le WEP tu as juste a assigner un mot de passe, avec wiconfig. Voici la commande que j'utilise pour configurer l'interface :
wicontrol wi0 -P1 -e1 -c1 -a2 -f13 -t3 -n 'mon reseau local' -s
mamachine -p4 -F0 -k 'mot de passe' -A2
(-e1 active le WEP, -k regle le mot de passe)
J'utilise aussi authpf. Par defaut, à partir du Wifi, on ne peut se connecter qu'en SSH sur le routeur. Puis dès qu'on s'est authentifié, l'IP authentifiée à le droit d'utiliser le routeur pour se connecter à l'extérieur ou sur les autres machines. Par défaut les règles de firewall pour le wifi c'est ca :
nat on $IF_NERIM from $ADDR_WIFI to !$ADDR_WIFI -> $ADDR_NERIM
pass in quick on $IF_WIFI proto tcp from $ADDR_WIFI to $IF_WIFI port ssh keep state (max 20) label pass-in-authpf-wifi
et la règle dynamique ajoutée après authentification (dans /etc/authpf) c'est ca :
pass in quick on $IF_WIFI from $user_ip to any \
flags S/SA keep state label pass-in-wifi
pass out quick on $IF_WIFI from $ADDR_WIFI to any label pass-out-wifi
Pas d'IPsec, ça me faisait chier de le configurer. Par contre il faut relativiser la faiblesse du Wep : pour pouvoir récuperer la clef, il faut tout de meme avoir sniffé quelques millions de paquets. Sur un traffic normal il faut environ 6 mois de capture intensive. Donc si tu changes la clef régulièrement (ça peut meme s'automatiser avec un hmac), genre tous les mois, t'es peinard
Marsh Posté le 23-05-2003 à 09:44:40
Avec une clef 128 bits, 3h sont nécéssaires maintenant, mais bon vu le nb de rezo noncrytpés, les réseau cryptés n'ont pas trop a s'inquieter
Marsh Posté le 23-05-2003 à 10:25:44
Merci bcp pour cette config. Je vais essayer de mettre ca en place avec IP sec en plus. Parce que j'ai dans mon range des personnes potentiellement mal-intentionnée ...
Marsh Posté le 23-05-2003 à 10:29:18
Tu peux aussi installer un serv dhcp sur ta passerelle, attribuer les adresses ip en fonction des adresses MAC et puis n'autoriser que ces adresses mac a se connecter sur le rezo en les bloquant avec ton firewall voir "--mac-source" d'iptables
A+
Marsh Posté le 23-05-2003 à 10:30:21
Ca c deja fait aussi mais bon ... une adresse mac ca se change en 1 ligne ifconfig ...
Marsh Posté le 23-05-2003 à 10:36:43
une adresse mac en theorie c graver en dur sur la carte rezo.
donc je ne pense pas que l'on puisse la falsifié si facilement que ca. J'ai entendu dire que certains modeles de carte rezo pertmettaient de faire cela en flashant leurs rom ... a voir
A+
Marsh Posté le 23-05-2003 à 10:47:32
Ah c sur ... Regarde par exemple rien que VMWare, ou le mode bridgé de Windows, ils envoient sur le reseaux des trames qui n'ont pas la mac adresse de la carte. IMHO, les cartes ont un modes 'raw' qui te permet de forgé les trames toi même ...
Marsh Posté le 23-05-2003 à 08:54:18
Voila, en gros ma config :
Un routeur ( linuxbox ) avec 4 cartes reseaux :
- Connection internet Cable
- Connection internet ADSL
- Connection au LAN
- Connection direct a un access point.
Ce que je voudrait c que un utilisateur wireless, puisse :
- Avoir une IP du lan comme si il était dessus direct avec un cable et voir les autres PC en smb de manière transparente pour l'user.
- Avoir l'acces au net ( bon ca une fois qu'il sait parler a la passerelle c bon )
- Pouvoir se connecter avec un client linux, windows ou macosx
Maintenant faut securiser ca donc :
- Clé WEP128 bits ( ca découragera p/e qq personnes )
- Authetification par login / mot de passe
- Securisation traffic IPSec
Maintenant j'ai aucune idée de comment réaliser ca en pratique ... Des suggestions ?