salut tout le monde
 
je voudrais savoir si vous pensez que mon réseau local wi-fi est assez (ou trop !) sécurisé
j'ai un wrt54gs avec hyperwrt thibor 19102005
 
-SSID non broadcasté
-wpa tkip à clé pré-partagé (29 caractères) avec un délai de renouvellement de 3600 s (1 heure)
-restriction d'accès aux adresses mac de mes ordis clients wi-fi
 
est ce suffisant ? trop ?
est ce que je peux enlever le wpa pour gagner en débit ?
 
merci pour vos commentaires

wpa tkip est une rustine pour combler les graves lacunes de wep. reprenons point par point :
 
-SSID non broadcasté : c'est pas grave, certains sniffeurs wifi le trouve quand même
-wpa tkip à clé pré-partagé (29 caractères) avec un délai de renouvellement de 3600 s (1 heure) : pour moi le délai de renouvellement est trop élevé le délai de renouvellement n'est configurable qu'en temps; pas au nombre de trame échangées ?
-restriction d'accès aux adresses mac de mes ordis clients wi-fi : indispensable mais aussi fondamentalement inutile; une adresse mac, ça s'usurpe

En fait, ta config est une bonne config pour ecarter une bonne partie des attaques classiques.
Déja casser un encodage WPA en moins d'une heure (depend du nombre de trame echangée dans l'haure) avec 29 carracteres (en esperant que ce soit pas un mot du dico ou un nom propre...) c'est pas bien evident (enfin de mon point de vue). Apres le filtrage IP/MAC c'est pas bien utile une ip et une mac s'usurpent et si le 'pirate?' a réussit a se procurer ta  PSK c'est plus un filtrage mac ou ip qui l'arrettera .
 
Par contre !
Quand est ce que quelqu'un se motive pour expliquer le fonctionnement d'un serveur radius ? J'ai bien envie de me lancer dans l'aventure, mais j'avoue m'y perdre un peu...

Radius se base sur le protocole EAP (et ses nombreuses variantes : LEAP; PEAP (propriétaire cisco); EAP TLS...), en gros on authentifie l'accès par un login et password utilisateur. Le client Radius est la borne, tant que le serveur Radius n'a pas authentifié l'utilisateur; ses flux restent bloqués dans la borne.
 
Un protocole basé sur Radius comme LEAP est pas trop mal; chiffrement wep avec changement de clés automatiques; authentification de l'utilisateur ET du réseau, gestion des clés en 802.1X.
 
je posterai le lien vers mes cours de sécurité dès que je les aurai retouvés

http://www.infop6.jussieu.fr/lmd/2 [...] r-2004oct/ premier liens dans les supports de cours; y a un topo sur le Wifi et Radius.

Yes, merci d'avance !
Moi je veux moi je veux !!
 
Pour l'instant je me contente d'une clef PSK en alphanumerique enorme (je ne me souviens plus de la longueur mais plus de 50 carracteres de memoire). Mais vu que j'ai un bo serv debian, mysql/php/samba, j'aimerais bien qu'il fasse aussi serveur radius .

         
dire que je pensais être relativement à l'abri...
 
-pour le renouvellement wpa il n'y a que le temps qui est configurable, je baisse à combien ?
-pour la restriction d'adresse mac, je suis d'accord que ça s'usurpe mais il faut quand même trouver une que j'ai autorisée ! si je ne me trompe pas, elles sont sur 6 octets ce qui donne 281474976710656 adresses possibles ! même pour un générateur automatique qui scanne les adresses c'est pas évident à trouver en temps limité ! ou sinon c'est qu'il m'en veut beaucoup !
 
je vais augmenter le nombre de caractères pour mon wpa (29 -> 64, c'est la limite non ?)
 
quel est le meilleur système de protection pour le wi-fi ? le serveur radius ? où trouver de l'aide parce que je ne sais pas du tout comment ça marche !
 
edit:
merci pour le lien pour le radius

pour les adresses mac, suffit de sniffer les trames pour avoir l'@ source et destination des trames
 
oui, en wifi, ce qui se fait de mieux c'est Radius (LEAP est pas mal; EAP TLS déchire, mais l'arrivée de WPA2 devrait faire grand bruit quand la norme sera implémentée dans les équipements).
 
Il y a un truc qui s'appelle Free Radius en open source, mais je l'ai jamais installé. Chez les clients, on installe l'ACS de chez Cisco.

j'ai la possibilité de faire du wpa2 depuis le routeur mais le pb c'est pour le client
je suis sous win xp sp1 et la mise à jour pour le wpa2 nécessite le sp2
j'ai déjà essayé plusieurs fois dans le passé d'installer le sp2 mais j'ai toujours eu des merdes
 
est ce que ça vaudrait le coup de passer au sp2 pour avoir le wpa2 ?

pas dans l'immédiat. wpa tkip avec un clé changée rapidement te protègera de bon nombre d'attaque et me semble suffisant, maintenant faut juste etre prévenu que wpa tkip n'est pas la panacée. C'est tout

ok, merci beaucoup pour ton aide