03/04-2006 à 15:27
J'ai effectué une recherche pour un ami, il y a très peu encore, sur la sécurité du sans fil. Je fais un copié - coller si cela peut aider :
-------------
SECURISER SON RESEAU SANS FIL
1- Change le mot de passe du routeur
Modifiez l’identifiant et le mot de passe par défaut du compte de l’administrateur. Ainsi sur la LiveBox le mot de passe et l’identifiant sont "admin" et la gestion de la LiveBox se fait en mode web donc par wifi par l’adresse http://192.168.1.1
Si possible, empêcher l’accès à la console d’administration par Wifi.
2- Définir le nom de difusion SSID
3- Empecher la difusion du nom SSID si le modem le peut
Le SSID ou “nom du réseau” identifie le réseau, donne un nom pour le différencier des autres. Si vous ne le diffusez pas, vous serez le seul à le connaître et c’est tout de suite plus difficile de se connecter à votre réseau.
4- Activer le cryptage WPA ou WEP si wpa non disponible
Le WEP/WPA, ce sont deux possibilités d’encrypter les données qui circulent sur le réseau. Le problème du WIFI est que vous n’avez aucun contrôle de médium sur lequel circule les données contrairement aux réseaux filaires. Donc vous ne savez pas qui est à l’écoute. Encrypter les données permet d’en assurer la confidentialité. Cela se fait à l’aide de ce que l’on appelle une clef. Cette clef permet également de sécuriser l’accès au réseau car, si on ne la connait pas, impossible de communiquer, donc incapable de lire les trames et/ou d’en envoyer au bon format.
WEP est mis par défaut sur la livebox par exemple, mais ce type de cryptage consomme plus de ressources et est très facilement craquable (notamment sous linux).
WPA est plus performant et beaucoup moins facilement craquable. Pour plus de sécurité, il est conseillé de changer les codes tous les mois.
5- Filtrer les adresses MAC (voir association)
Le filtrage d’adresse MAC, sur chaque carte réseau possède un identifiant unique: l’adresse MAC (pour la connaître, sous windows : Démarrer > Exécuter > taper cmd puis dans la fenêtre ipconfig /all. Le routeur wifi permet généralement de créer une liste des adresses MAC des cartes réseau qu’on autorise à se connecter à notre réseau. C’est un filtre efficace mais qui là aussi peut être contourné mais plus difficilement. Attention, le filtrage est facilement contournable par substitution de @MAC. Au moment de l’association du client à la borne, l’en-tête de trame contenant les adresses MAC n’est pas encrypté par le WEP. Les adresses MAC autorisées sont diffusées en clair, peuvent donc être interceptées avec un sniffer WiFi puis être usurpées ensuite. Il existe même des outils permettant de déconnecter de force les postes clients. Lors de la nouvelle association de la borne, le pirate peut récupérer les @MAC via les réponses aux requêtes ARP (Address Resolution Protocol) émises
6- Desactiver le DHCP du routeur / Livebox et limiter la plage d'IP au nombre vos PC
7- Desactiver le DHCP de tout vos systèmes et rentrer des IP fixes
Le DHCP (Dynamic Host Configuration Protocole) est un mécanisme qui permet d’affecter automatiquement les valeurs nécessaire à la communication sur le réseau (adresse ip, masque de sous-réseau, passerelle, DNS). C’est pratique mais c’est aussi très pratique pour un pirate, qui n’aura pas à deviner la configuration de votre sous-réseau.
9- Desactive tout les partages administratifs de vos systems (c$ ...)
En informatique, sous Windows, les partages administratifs sont les répertoires réseau partagés par défaut à la création du système : cela concerne les versions Windows NT4, 2000, les versions professionnelles de XP (NB : pour la version de Windows XP dite édition familiale, cette fonctionnalité n'existe pas), Windows Server 2003. Il y a notamment un partage administratif pour chaque partition du disque dur (exemple : C$, D$, ...etc.). Il existe aussi d'autres partages administratifs :
pour le dossier racine système (défini par la variable d'environnement %systemroot% par exemple :
C:\WINDOWS) sous le nom de admin$,
Pour les imprimantes, sous le nom de PRINT$
Pour les fax, sous le nom de FAX$
Pour les connexions temporaires par named pipe tubes nommés), sous le nom de IPC$
Les personnes ayant le mot de passe d'un membre du groupe administrateurs auront des droits en écriture sur les partages réseau administratifs. Ces partages administratifs posent de gros problèmes de sécurité si ils sont sur un ordinateur directement connecté à internet. Pour les apprentis hacker (script kiddies), c'est l'une des premières choses qu'ils testent lorsqu'ils essaieront de trouver des PC vulnérables sur internet.L'administrateur du PC ne se rend pas compte qu'il partage toutes les partitions de son ou ses disque(s) dur(s) car la fonctionnalité voisinage réseau n'affiche pas les répertoires réseau se terminant par le caractère "$" (dollar). Rappel : le voisinage réseau correspond à Favoris réseau\Tout le réseau\Réseau Microsoft Windows). Si l'administrateur du PC supprime ces partages administratifs, il aura un message d'erreur émis de façon explicite par le système lui indiquant qu'au prochain reboot, ces partages administratifs réapparaîtront
Il est possible de désactiver les partages administratifs (C$, D$ ...) de votre ordinateur en intervenant directement dans la base de registre.
Pour cela, suivez les indications suivantes :
- Cliquez sur le bouton Démarrer et choisissez la commande Exécuter...
- Dans la fenêtre qui apparaît, tapez Regedit et validez en cliquant sur le bouton OK
- Dans la fenêtre de l'Editeur de Base de registres, ouvrez la branche
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ lanmanserver \ parameters
- Dans la partie droite de l'Editeur de Base de registre :
---> Pour les Stations de travail :
Ajoutez une nouvelle valeur de type REG_DWORD nommée AutoShareWks puis mettez "0" dans le champs Données de la Valeur
--> Pour les Serveurs :
Ajoutez une nouvelle valeur de type REG_DWORD nommée AutoShareServer puis mettez "0" dans le champs Données de la Valeur.
---> Si une de ces valeurs n'existe pas, créée-la :
Type : REG_DWORD - DWORD Value
- Affectez à cette clé la valeur 0 pour supprimer le partage administratif (Affectez la valeur 1 pour retrouver cette commande).
Fermer la fenêtre de l'Editeur de Base de registres et redémarrez Windows.
10- Utiliser un firewall... et un anti-virus a jour continuellement
Il est important de remarquer que chacun des points peut être contourné d’une façon ou d’une autre. En fait c’est la combinaison de tous ces points qui va faire de votre réseau un réseau bien sécurisé. Il ne faut pas baser la sécurité de votre réseau sur un seul de ces éléments. Le minimum à conseiller étant le WEP et un filtrage par adresse MAC.
Discussion trouvée sur forum...
Salut,
Je perds beaucoups trop de temps à vouloir trop securiser mes systèmes, de plus par la suite, je dois tout faire manuellement car je ne fais pas assez confiance aux automatisations. Pourtant c'est le but rechercher d'automatiser et de ne plus a avoir a surveiller en permanance ses systemes.
Personnellement, j'ai un modem routeur LIVEBOX et je ne peux pas cacher le nom SSID, sniff.
Je suis entrain d'installer un system LINUX red hat et aussi un mandrake de base pour utiliser les programmes de pirates et voir ce que je peus en déduire pour mieux me protéger... Il y a quelques programmes comme Netstumbler, WinAircrackPack ... fonctionnant sous Windows mais beaucoup plus sous LINUX...
Telechargeant en permanance des données sur internet, un pirate décryptera ma clé en 5 minutes ...
Mais si vous faites que lire vos mails et surfer sur le net à l'occasion, le pirate devra attendre longtemps pour la décrypter. Par contre si c'est un voisin :"rien ne pressera pour lui ". Un driver spécial ne permettant pas de surfer sur le net, mais qui lui permet de sniffer les donnees associées à un programme : en accumulant les données finalement il fait ressortir votre clé WEP ou WPA ...
C'EST POUR CELA QUE JE CONSEILLE A TOUS DE CHANGER VOTRE CLEE WEP OU WPA toutes les semaines si vous téléchargez commme moi en permanance ou tous les mois sinon ... enfin a chacun de voir.
Mais par contre, des options pour limiter la distance de diffusion .. MHZ... je c'est que c'est déjà possible, aussi sur les options des adaptateurs c'est possibles... ayant une livebox je ne peux pas fair grand chose... je peux sûrement limiter la fréquence en passant par telnet sur mon modem mais bon .... ce n'est pas suffisant à mon goût et cela m'embête de limiter mes perfs. Je cherche des programmes divers, j'en ai beaucoup pour sniffer mes données à commencer par ETHERREAL que je connais depuis toujours.
----------
![[8(]](/medias/forum/images/smileys/14.gif)
Beethoven était sourd, ça dépasse l' entendement.
