Connexion réseau sans-fil (Wifi) : Sécurité
Page précédente :
La
Sécurité en connexion Wi-Fi :
La sécurité est un point important avec une connexion Wi-Fi :
Particulièrement en ville.
Sans protection, votre voisin peut se connecter sur votre réseau !
Le pire des cas est le "piratage" de la connexion Internet :
La connexion peut être utilisée pour propager des virus, envoyer des mails injurieux, des
spams, etc.
Hors, c'est l'abonné de la connexion Internet qui est responsable de son utilisation... donc vous
!
LiveBox, FreeBox, etc. sont protégées d'origine. Normalement, pas d'inquiétude
dans le cadre d'une utilisation normale.
Cependant, une clé de sécurité n'est pas inviolable (se renseigner plus avant sur
ce point si la sécurité du réseau est un point primordial).
Pour sécuriser son équipement, il faudra voir les points suivants :
Il existe trois possibilités pour protéger son réseau :
- utiliser une clé de cryptage,
- ne pas diffuser le SSID sur le réseau
- établir un filtrage sur les adresses MAC.
1
- Utiliser une clé de cryptage :
C'est la solution la plus commune, la plus utilisée. Présente par défaut sur la
plupart des connexions Wifi.
Il s'agit de rentrer une "clé" ou un mot de passe pour accéder au réseau
wifi.
Il existe différents niveaux de cryptage :
WEP (Wired
equivalent privacy) :
Clé sous la forme de nombres hexadécimaux (0 à 9 et A à F)
De longueur (puissance de chiffrement) différente : 64, 128 ou 256 bits.
Exemple :
03-AF-GC-2A-6F-23-4D-BB
Remarquer la limitation des caractères (0 à 9 et A à F), contrairement à un vrai mot de passe (0 à 9 et a à Z)
Le plus simple.
Souvent configuré par défaut (exemple : Livebox).
Non compatible avec la norme 802-11n
A éviter. Car n'est pas assez sécurisé.
Préférer une clé en chiffrement WPA (avec un vrai mot de passe)
Voir aussi :
http://www.macbidouille.com/news/2008-05-27/
"tout le monde ne maîtrise pas les arcanes de la sécurisation d'un réseau
wi-fi. Beaucoup, bien trop encore ne sont protégés que par une clé Wep, 64 ou 128
bits et se pensent en sécurité.
Pourtant, le Wep a vécu. Pour le prouver, nous avons mis en ligne une vidéo que nous avons
réalisé et qui montre comment on peut trouver cette clé en moins de 4 minutes.
Les limites d'une clé WEP :
http://fr.youtube.com/watch?v=DBbic9hoRrc
Sachez également que si vous utilisez une protection WPA ou WPA2 avec une passphrase trop courte, vous êtes aussi vulnérable."
WPA (Wi-Fi
Protected Access) et PSK (Pre-Shared Key) :
Clé sous la forme d'un mot de passe, librement définissable par l'utilisateur.
Utilise une authentification :
protocole PSK = Pre-Shared Key parfois appelé "WPA Personal"
algorithme de chiffrement, au choix :
- TKIP = Temporal Key Integrity Protocol
- AES = Advanced Encryption System
WPA = WPA + PSK + TKIP
WPA2 = WPA + PSK + AES
WPA2 est la solution la plus sécurisée.
D'après Jean-Claude Bellamy :
WPA2 est intégré dans XP SP3 (et donc OS suivants),
et à partir de XP SP2 avec le patch prévu dans la KB893357 mise à jour par la KB917021 http://support.microsoft.com/kb/917021/
C'est la meilleure solution actuellement.
voir :
http://fr.wikipedia.org/wiki/WPA
Ceci dit, il semble que cela soit possible quand même :
http://www.youtube.com/watch?v=yw32xeDKM_Y
Une page sur le site Microsoft :
Quelles sont les différentes méthodes de sécurité réseau sans fil ?
http://windows.microsoft.com/fr-FR/windows-vista/What-are-the-different-wireless-network-security-methods
WPA (Wi-Fi Protected Access)
Il existe deux types d'authentification WPA : WPA et WPA2.
- WPA est conçu pour fonctionner avec un serveur d'authentification 802.1X qui distribue des clés
différentes pour chaque utilisateur. On parle de WPA-Enterprise ou WPA2-Enterprise.
- Il peut également être utilisé en mode de clé prépartagée
(PSK), où un mot de passe identique est attribué à tous les utilisateurs. On parle
de WPA-Personal ou WPA2-Personal.
WEP (Wired Equivalent Privacy)
WEP est une technique de sécurité réseau plus ancienne qui prend encore aujourd'hui
en charge des périphériques antérieurs. Toutefois, son utilisation n'est plus recommandée.
Authentification 802.1X
802.1X ne fonctionne pas avec des clés WEP (Wired Equivalent Privacy) ou WPA (Wi-Fi Protected
Access)
2
- Ne pas diffuser le SSID sur le réseau :
Le SSID est le nom du réseau Wi-Fi (ex : Wanadoo_3456).
Par défaut, il est diffusé à la vue de tous.
Il vaut mieux désactiver la diffusion.
Si le SSID est diffusé sur le réseau (broadcast activé) :
- le nom du réseau Wi-Fi sera visible sur tous les ordinateurs situés dans les environs.
Exemple :
Avec une connexion Wifi, on affiche tous les réseaux dont le SSID est diffusé.
Pour le pirate, il ne reste plus qu'à trouver le mot de passe...
Si le SSID n'est pas diffusé sur le réseau (broadcast désactivé) :
- il faudra rentrer le nom du réseau pour s'y connecter.
C'est moins pratique. Car il faut connaître le SSID pour pouvoir s'y connecter. Mais c'est beaucoup plus sécurisé !
Désactiver
le SSID sur une Livebox :
Dans la Livebox :
- aller dans la section "Réseau sans fil"
- décocher "Emission SSID"
3
- Etablir un filtrage sur les adresses MAC :
L'adresse MAC n'a rien à voir avec les ordinateurs Mac(intosh).
Chaque élément de réseau (modem, routeur, switch, carte réseau, etc.) possède
une adresse MAC.
Cette adresse est unique au monde.
On peut limiter l'accès d'un réseau wifi à certaines adresses MAC uniquement, celles du (ou des) ordinateurs autorisés à utiliser le réseau wifi.
Inconvénient : peu pratique pour les connexions occasionnelles.
Il faudra :
- connaître l'adresse MAC de l'ordinateur à autoriser,
- rentrer l'adresse MAC de l'ordinateur dans le routeur (ex : Livebox) pour qu'il soit reconnu et autorisé.
Pour afficher l'adresse MAC d'un ordinateur :
- ouvrir une fenêtre "Invite de commandes",
- taper :
ipconfig /all
Pour chaque élément de réseau :
- voir :
Adresse physique........ : XX-XX-XX-XX-XX-XX
Dans la configuration du routeur Wi-Fi :
- activer le filtrage par adresse MAC
- rentrer manuellement l'adresse MAC de chaque ordinateur pour qu'il puisse se connecter au réseau
Wi-Fi.
Voir aussi :
28/09/2007 : Clubic.com - Forces et faiblesses des sécurités Wi-Fi
Exemple
de configuration : Linksys WRT54G :
La configuration se fait en 2 temps :
1 - Configuration de base du réseau :
Dans l'interface de configuration du Linksys :
- aller dans Wireless, Basic Wireless Settings
Wireless Network Mode :
- 4 choix possibles : Disabled (wifi désactivé), Mixed (activé), B-Only (uniquement
Wifi B), G-Only (uniquement Wifi G)
Si on ne dispose que de matériel en Wifi G, on peut sélectionner ce réglage
Wireless Network Name :
- c'est là que l'on nomme son réseau Wifi = SSID = le nom d'accès pour se connecter à son
réseau
Wireless Channel :
- on peut modifier le canal utilisé pour une meilleur connexion.
Wireless SSID :
- on peut choisir de désactiver la diffusion du nom du réseau. Ce dernier ne sera pas
visible sur les ondes. Il faudra rentrer, manuellement, le nom du réseau pour s'y connecter.
2 - Sécurité du réseau :
Il s'agit de choisir une clé de cryptage
Dans l'interface de configuration du Linksys :
- aller dans Wireless, Wireless Security
Security Mode :
- on a le choix entre Disabled (désactivé), WPA Personal, WPA Enterprise, WPA2 Personal,
WPA2 Enterprise, RADIUS et WEP
WPA Personal est suffisant pour une utilisation privée - WEP est à éviter.
WPA Algorithms :
- on a le choix entre TKIP et AES
WPA Shared Key :
- on peut choisir librement son mot de passe.
Voir aussi
mes pages : Voir aussi
mes pages : Voir aussi
mes pages :
