• # securite du WIFI

    Posté par . En réponse à la dépêche Wireless et Linux. Évalué à 10.

    Pour ceux que ca interesse, je suis en train de me pencher sur le pb. On peut scinder le pb en 2 partie : 1) authentification 2) cryptage Le cryptage est cense assurer la confidentialite des donnes. Le mecanisme de base decrit dans 802.11b est WEP. En gros, on utilise une clef symetrique qui ne change pas pendant toute la duree de l'association entre les deux extremites d'une connexion WIFI. C'est MAL (tm), et relativement facile a cracker si on se donne la peine d'ecouter suffisament longtemps le traffic. Remède envisage : cryptage au niv 2 avec rotation de clef. C'est WEP, mais on change la clef de cryptage periodiquement. cryptage au niveau 3 (IP) : c'est la solution par VPN, par ex IPSec (FreeSwan sous Linux ou Kame sous BSD like) Pour la premiere solution, il n'existe pour le moment rien de standard. Des solutions proprio existent, notamment chez Cisco (protocole LEAP, extension de la norme 802.1x) mais proprio=cher La norme en preparation s'appelle 802.11i. Parlons de l'authentification maintenant : ou comment eviter qu'un parfait inconnu utilise votre borne réseau. 802.11b : rien ou si peu (adresses MAC par ex) 802.1x : norme générale spécifiant une authentification pour utiliser un port (au niveau ethernet). En tres gros, on donne un mot de passe et un login, et si c'est reconnu (par un serveur radius typiquement) on a acces. Cette norme, prevu initialement pour du filaire, se transpose mal au sans fil, notamment parce que l'authetification est asymetrique : pas d'authentification de la borne d'acces. On est donc vulnerable a des attaques de types Man in the Middle. IPSec : pour de l'authentification au niveau IP. Proprio : LEAP sur cisco assure une authentification symetrique. Autre soluce bizaroide au niveau IP : une passerelle d'authentification En gros, on se logue en SSH/https, cela rajoute une regle au niveau d'un firewall qui autorise l'acces. Bilan : tu es riches, tu utilises un OS proprio (Windows ou Mac OS X) : prends du cisco, ca marchhe out of the box. Tu es presse, pauvre et/ou amoureux des solutions libres, et tu aimes les solutions pas out of the box du tout :IPSec, passerelle d'authentification Tu n'es pas presse : attends la norme suivante !!! Les liens divers, pour approfondir : IPSec : http://www.kame.net/ http://www.freeswan.org/tools.html 802.1x : pour implementer la chose sous Linux (client Mac OS X en preparation) http://www.missl.cs.umd.edu/wireless/eaptls/?tag=missl-802-1 Passerelle d'acces : http://www.traduc.org/docs/HOWTO/lecture/Authentication-Gateway-HOWTO.html