19/10-2006 à 19:06Pour le partage d'imprimante en réseau : tu n'encours rien de plus qu'en partageant des dossiers d'un PC... il serait dommage de se priver de cet avantage.
En fait, il est difficile de te conseiller en te disant qu'avec ce conseil, tu ne craindras rien : je ne me risquerais jamais à une telle imprudence (seul un PC éteint ne craint rien)
Par contre, tu peux multiplier les précautions et mesures de sécurité :
- En ayant un antivirus à jour et un pare-feu
- En mettant un adressage fixe sur tes postes et un filtrage sur IP + adresses Mac au niveau de la Freebox.
- En prenant soin de placer toutes tes sessions sur mot de passe
- En restreignant l'accès aux ressouces partagées (autorisations NTFS)
Un réseau Wi-Fi est plus délicat encore à protéger qu'un réseau filaire... ci-dessous, un copier - coller d'une recherche que j'avais faite sur le Wi-Fi :
SECURISER SON RESEAU SANS FIL
(Exemple d'une Livebox, mais le principe reste le même pour les autres types de connexions Wi-Fi)
1-
Change le mot de passe du routeur
Modifiez l'identifiant et le mot de passe par défaut du compte de l'administrateur. Ainsi sur la LiveBox le mot de passe et l'identifiant sont "admin" et la gestion de la LiveBox se fait en mode web donc par wifi par l'adresse http://192.168.1.1
Si possible, empêcher l'accès à la console d'administration par Wifi.
2-
Définir le nom de difusion SSID
3-
Empecher la difusion du nom SSID si le modem le peut
Le SSID ou "nom du réseau" identifie le réseau, donne un nom pour le différencier des autres. Si vous ne le diffusez pas, vous serez le seul à le connaître et c'est tout de suite plus difficile de se connecter à votre réseau.
4-
Activer le cryptage WPA ou WEP si wpa non disponible
Le WEP/WPA, ce sont deux possibilités d'encrypter les données qui circulent sur le réseau. Le problème du WIFI est que vous n'avez aucun contrôle de médium sur lequel circule les données contrairement aux réseaux filaires. Donc vous ne savez pas qui est à l'écoute. Encrypter les données permet d'en assurer la confidentialité. Cela se fait à l'aide de ce que l'on appelle une clef. Cette clef permet également de sécuriser l'accès au réseau car, si on ne la connait pas, impossible de communiquer, donc incapable de lire les trames et/ou d'en envoyer au bon format.
WEP est mis par défaut sur la livebox par exemple, mais ce type de cryptage consomme plus de ressources et est très facilement craquable (notamment sous linux).
WPA est plus performant et beaucoup moins facilement craquable. Pour plus de sécurité, il est conseillé de changer les codes tous les mois.
5-
Filtrer les adresses MAC (voir association)
Le filtrage d'adresse MAC, sur chaque carte réseau possède un identifiant unique: l'adresse MAC (pour la connaître, sous windows : Démarrer > Exécuter > taper cmd puis dans la fenêtre ipconfig /all. Le routeur wifi permet généralement de créer une liste des adresses MAC des cartes réseau qu'on autorise à se connecter à notre réseau. C'est un filtre efficace mais qui là aussi peut être contourné mais plus difficilement. Attention, le filtrage est facilement contournable par substitution de @MAC. Au moment de l'association du client à la borne, l'en-tête de trame contenant les adresses MAC n'est pas encrypté par le WEP. Les adresses MAC autorisées sont diffusées en clair, peuvent donc être interceptées avec un sniffer WiFi puis être usurpées ensuite. Il existe même des outils permettant de déconnecter de force les postes clients. Lors de la nouvelle association de la borne, le pirate peut récupérer les @MAC via les réponses aux requêtes ARP (Address Resolution Protocol) émises
6-
Desactiver le DHCP du routeur / Livebox et limiter la plage d'IP au nombre vos PC
7-
Desactiver le DHCP de tout vos systèmes et rentrer des IP fixes
Le DHCP (Dynamic Host Configuration Protocole) est un mécanisme qui permet d'affecter automatiquement les valeurs nécessaire à la communication sur le réseau (adresse ip, masque de sous-réseau, passerelle, DNS). C'est pratique mais c'est aussi très pratique pour un pirate, qui n'aura pas à deviner la configuration de votre sous-réseau.
9-
Desactive tout les partages administratifs de vos systems (c$ ...)
En informatique, sous Windows, les partages administratifs sont les répertoires réseau partagés par défaut à la création du système : cela concerne les versions Windows NT4, 2000, les versions professionnelles de XP (NB : pour la version de Windows XP dite édition familiale, cette fonctionnalité n'existe pas), Windows Server 2003. Il y a notamment un partage administratif pour chaque partition du disque dur (exemple : C$, D$, ...etc.). Il existe aussi d'autres partages administratifs :
a.. pour le dossier racine système (défini par la variable d'environnement %systemroot% par exemple C:\WINDOWS) sous le nom de admin$,
b.. Pour les imprimantes, sous le nom de PRINT$
c.. Pour les fax, sous le nom de FAX$
d.. Pour les connexions temporaires par named pipe tubes nommés), sous le nom de IPC$
Les personnes ayant le mot de passe d'un membre du groupe administrateurs auront des droits en écriture sur les partages réseau administratifs. Ces partages administratifs posent de gros problèmes de sécurité si ils sont sur un ordinateur directement connecté à internet. Pour les apprentis hacker (script kiddies), c'est l'une des premières choses qu'ils testent lorsqu'ils essaieront de trouver des PC vulnérables sur internet.L'administrateur du PC ne se rend pas compte qu'il partage toutes les partitions de son ou ses disque(s) dur(s) car la fonctionnalité voisinage réseau n'affiche pas les répertoires réseau se terminant par le caractère "$" (dollar). Rappel : le voisinage réseau correspond à Favoris réseau\Tout le réseau\Réseau Microsoft Windows). Si l'administrateur du PC supprime ces partages administratifs, il aura un message d'erreur émis de façon explicite par le système lui indiquant qu'au prochain reboot, ces partages administratifs réapparaîtront
Il est possible de désactiver les partages administratifs (C$, D$ ...) de votre ordinateur en intervenant directement dans la base de registre.
Pour cela, suivez les indications suivantes :
- Cliquez sur le bouton Démarrer et choisissez la commande Exécuter...
- Dans la fenêtre qui apparaît, tapez Regedit et validez en cliquant sur le bouton OK
- Dans la fenêtre de l'Editeur de Base de registres, ouvrez la branche
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ lanmanserver \ parameters
- Dans la partie droite de l'Editeur de Base de registre :
---> Pour les Stations de travail :
Ajoutez une nouvelle valeur de type REG_DWORD nommée AutoShareWks puis mettez "0" dans le champs Données de la Valeur
--> Pour les Serveurs :
Ajoutez une nouvelle valeur de type REG_DWORD nommée AutoShareServer puis mettez "0" dans le champs Données de la Valeur.
---> Si une de ces valeurs n'existe pas, créée-la :
Type : REG_DWORD - DWORD Value
- Affectez à cette clé la valeur 0 pour supprimer le partage administratif (Affectez la valeur 1 pour retrouver cette commande).
Fermer la fenêtre de l'Editeur de Base de registres et redémarrez Windows.
10-
Utiliser un firewall... et un anti-virus a jour continuellement
Il est important de remarquer que chacun des points peut être contourné d'une façon ou d'une autre. En fait c'est la combinaison de tous ces points qui va faire de votre réseau un réseau bien sécurisé. Il ne faut pas baser la sécurité de votre réseau sur un seul de ces éléments. Le minimum à conseiller étant le WEP et un filtrage par adresse MAC.
---------------------------
Remarque : mon intervention n'est pas une référence en la matière, juste quelques précautions élémentaires... quand tu imagines que les grands groupes disposant d'équipes d'informaticiens font quand même appel à des sociétés extérieures pour forcer les barrières de leur réseau d'entreprise afin de mieux se protéger ensuite... ça laisse rêveur.
----------
![[:Z]](/medias/forum/images/smileys/12.gif)
, j'ai tout de même laissé la case cochée parce que j'ai qu'une seule imprimante à la maison et je voudrais bien la partager avec le 2ème ordi! Mais pouvez vous m'en dire plus sur cette option..?
