Question:
Existe-t-il un moyen de rendre un AP sécurisé par WEP incassable?
Snake Eyes
2015-07-05 17:43:35 UTC
view on stackexchange narkive permalink

Pendant quelques jours, j'ai senti que ma facture Internet était en plein essor. Ensuite, j'ai récemment découvert qu'un garçon près de chez moi accédait à mon routeur pour utiliser Internet. Ensuite, j'ai lu quelques articles sur la façon de casser la sécurité WEP et j'ai trouvé qu'il était beaucoup trop facile de casser WEP.

Je cherchais donc des moyens d'augmenter la sécurité d'un AP utilisant le protocole WEP. Mais je n'ai rien trouvé. Mon routeur ne prend pas en charge le WPA / WPA2. Alors, comment puis-je rendre mon routeur plus sécurisé, je veux dire incassable?

Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/30411/discussion-on-question-by-snake-eyes-is-there-a-way-to-make-a- wep-secure-ap-unc).
Huit réponses:
Vilican
2015-07-05 17:47:28 UTC
view on stackexchange narkive permalink

Il n'existe aucune méthode pour rendre WEP incassable, ou du moins sécurisé. Je suggère donc d'acheter un nouveau routeur prenant en charge le WPA2.

@Shivam désolé de vous le dire, mais c'est la bonne réponse ... Il n'est pas possible de sécuriser WEP. Je vous recommande de passer à un appareil prenant en charge un protocole sécurisé.
En effet. Quiconque peut voir un signal WEP peut le casser en quelques minutes (je le sais pour un fait, car je suis un hacker White Hat).
@danielAzuelos Aucun fabricant de PA sérieux ne penserait même à utiliser le terme «802.11i» en réponse à une question d'un consommateur. WPA2 est un terme standard et englobe plus que 802.11i (en particulier, cela signifie qu'un appareil a été testé et certifié pour implémenter les exigences 802.11i d'une manière compatible avec d'autres appareils). De plus, lorsqu'on discute des différentes générations de protocoles de sécurité, parler de WEP, 802.11i draft et 802.11i final n'est pas vraiment quelque chose que les gens font; en revanche, WEP, WPA et WPA2 sont un ensemble de termes bien parallèles.
@daniel Aussi, pour autant que je sache, WPA-AES (qui n'est pas requis sur les équipements WPA, mais qui est autorisé) est en fait raisonnablement sécurisé. Si vous avez des sources qui disent le contraire, je serais intéressé à les voir - les attaques que j'ai vues étaient toutes des attaques contre TKIP, mais ne s'appliquaient pas à WPA-AES.
@danielAzuelos Wi-Fi est un terme commercial, je devrais m'attendre à ce que les constructeurs de points d'accès sans fil parlent de 802.11a / b / g / n, qui est la norme IEEE pour la mise en réseau par radio.
→ cpast: WEP, WPA & WPA2 sont "un ensemble de termes bien parallèles" à droite: les termes commerciaux. Malheureusement, vous avez remarqué qu'ils masquent plusieurs réglages de sécurité pour un utilisateur normal et que de nombreux administrateurs réseau ne comprennent pas complètement. Et ici "multiple" n'est qu'un terme poli. Je dois dire qu'ils cachent des approches opposées en termes de sécurité.
@danielAzuelos Vous attendez-vous vraiment à ce que le demandeur, qui vient de découvrir que WEP n'est pas sécurisé et qui n'a pas de routeur prenant en charge WPA2, comprenne ce que vous avez dit? Cette réponse est formulée de manière appropriée pour le niveau de connaissance du demandeur. L'appeler "WPA2" suffit pour aider le demandeur à comprendre ce qu'il doit faire. Une réponse qui peut être comprise (même si elle est un peu incomplète) est de * loin * supérieure à une réponse remplie de tant de jargon qu'elle ne répond à rien.
Mrtn
2015-07-05 18:11:14 UTC
view on stackexchange narkive permalink

Il n'y a vraiment qu'une seule solution à votre problème. Je note cependant que la mise à niveau de votre routeur ne vous intéresse pas, je vais donc en parler un peu.

N'oubliez pas qu'en ne mettant pas à niveau votre routeur, vous ne faites que retarder l'inévitable.

Ce qui fonctionnera assez longtemps pour que vous ayez un nouveau routeur:

TIRER LA FICHE

C'est honnêtement la meilleure solution jusqu'à ce que vous obteniez un nouveau routeur.

Ou ÉTEINDRE LE WI-FI

Vous pouvez probablement le faire à partir du panneau d'administration de votre routeur, sinon, retirez les antennes du périphérique physique et passez à Ethernet -seulement. Si ce n'est pas possible, débranchez.

Ou CHANGEZ VOTRE MOT DE PASSE WEP et ACTIVER LE FILTRAGE D'ADRESSE MAC

Si votre routeur le prend en charge, vous pouvez définir un filtre d'adresse MAC sur liste blanche ou Liste noire des périphériques accédant au point d'accès. Pour ce faire, vous devrez vous connecter au panneau d'administration de votre routeur et activer le filtrage d'adresse MAC. (Consultez votre manuel pour savoir comment procéder). Le type de filtre que vous pouvez activer dépend de votre routeur. S'il s'agit d'une liste blanche, vous devrez trouver les adresses MAC de tous vos appareils et les ajouter à la liste. De cette façon, seuls les appareils ajoutés à la liste pourront se connecter à Internet.S'il s'agit d'une liste noire, vous devrez trouver l'adresse MAC de votre voisin et l'ajouter à la liste noire. De cette façon, toutes les autres adresses MAC sont autorisées à accéder, mais pas les adresses de la liste noire.

Pourquoi cela ne fonctionnera pas à long terme:

Le filtrage des adresses MAC est assez simple pour quelqu'un à qui est un peu technophile à éviter. Il existe plusieurs tutoriels sur le sujet, et c'est vraiment aussi simple que d'exécuter quelques commandes de terminal. Étant donné que votre voisin a déjà déchiffré votre clé WEP, il est fort probable qu'il ait suffisamment de compétences pour rechercher sur Google comment usurper une adresse MAC.

De cette façon, le voisin peut "faire semblant" d'être vous, en s'authentifiant avec le routeur utilisant l'adresse MAC de votre ordinateur.

La modification du mot de passe ne durera pas longtemps, à cause du fonctionnement de WEP. Un attaquant n'a besoin que d'écouter votre réseau pendant une courte période pour pouvoir extraire votre mot de passe. Vous pouvez en savoir plus sur Wikipédia.

Et enfin, depuis que vous avez été piraté, tout ce que vous avez connecté à votre point d'accès pourrait en théorie être infecté maintenant. Non seulement le pirate a-t-il pu modifier vos paramètres DNS, commencer à enregistrer l'activité du réseau, etc., mais il pourrait également être en possession de tous vos fichiers, photos, mots de passe, informations de carte de crédit, etc. Pour être honnête, tous vos fichiers les appareils (s'ils ne sont pas déjà piratés) sont en grand danger d'être piratés à tout moment.

Ce que vous avez à faire:

Procurez-vous un nouveau routeur. Sérieusement. WEP a été abandonné en 2004 et a été considéré comme non sécurisé pendant longtemps. Comme vous l'avez remarqué vous-même, il existe de nombreuses informations sur la façon de déchiffrer des clés WEP en ligne, et c'est (presque) aussi simple que d'exécuter une commande de terminal. Tout le monde peut le faire. N'oubliez pas que dans la plupart des pays, vous êtes responsable de ce qui passe par votre réseau. Ainsi, si un adversaire télécharge des torrents, de la pornographie juvénile ou des schémas de bombe, vous serez tenu responsable. La prison est-elle meilleure que de dépenser 20 $ US sur un nouveau routeur?

Les filtres d'adresse MAC sont à base d'huile de serpent et offrent la meilleure sécurité par l'obscurité. Vous le faites remarquer, mais je ne le suggérerais pas.
Cela arrêtera un attaquant occasionnel, je pense que vous ne devriez utiliser que la liste blanche. L'attaquant doit donc d'abord trouver un MAC qui est autorisé à se connecter pour l'usurper. Et cela rendrait le vrai appareil déconnecté d'Internet, donc vous sauriez
@Freedom Il n'arrêtera pas un attaquant qui sait comment cracker les mots de passe WEP, donc est effectivement inutile.
Tu ne comprends pas. L'attaquant peut déchiffrer les mots de passe, mais sa connexion sera refusée car son MAC n'est pas dans la liste autorisée. Et je doute que trouver un MAC qui sera accepté d'usurper est rapide.
@Freedom il y a de fortes chances que la personne n'ait pas besoin de trouver une adresse MAC: elle les a déjà - elle était connectée au réseau de cette personne et pouvait trouver de nombreuses adresses MAC valides pendant ce temps - et changer l'adresse MAC de tous les appareils peut pas même possible en fonction de l'appareil.
@Freedom Obtenir une adresse Mac sur liste blanche est trivial, voir: http://blog.techorganic.com/2010/12/21/bypassing-mac-filters-on-wifi-networks/ (Notez la date de l'article.)
Passer au WPA2 est la bonne réponse, comme beaucoup l'ont déjà souligné. Cependant, il y a des cas où du matériel ancien mais toujours parfaitement fonctionnel (c'est-à-dire les adaptateurs LaserJet EIO Wifi et certains scanners plus anciens) ne prend en charge que le WEP, et dans ce cas, je pense que l'utilisation du filtrage d'adresse MAC est parfaitement acceptable; cependant, je recommanderais de mettre les périphériques WEP dans une DMZ.
Le filtrage d'adresses MAC ou les SSID cachés ne feront rien parce que toute personne suffisamment avertie pour déchiffrer votre mot de passe WEP peut continuer à utiliser le wifi avec votre MAC mais plus important encore, voir tout * votre * trafic. Cela m'inquiète que cette réponse ait été acceptée car suggérer qu'il existe une alternative à la mise à niveau / au remplacement du routeur pour utiliser le WPA2 a donné à l'OP un faux sentiment de sécurité.
@vallismortis c'est très bien si cela ne vous dérange pas que quelqu'un dans le voisinage puisse lire tous vos documents. En se concentrant sur l'accès au réseau, il est facile d'oublier le potentiel d'usurpation d'identité en regardant simplement votre trafic existant.
@JamesRyan Je vais essayer de reformuler ma réponse pour mieux suggérer qu'un nouveau routeur est la seule vraie option.
Je me demande comment cette question a obtenu autant de votes. C'est un choix inefficace et dangereux.
KDEx
2015-07-05 20:35:30 UTC
view on stackexchange narkive permalink

Non. Vous ne pouvez pas rendre WEP incassable, mais vous pouvez peut-être faire certaines choses pour résoudre le problème jusqu'à que vous ayez un nouveau routeur.

Modifiez la puissance du signal. Retirez une (ou plusieurs) antennes de votre routeur (si vous avez un petit appartement). Déplacez votre routeur au centre de votre maison. Ces étapes peuvent rendre plus difficile pour un voisin d'obtenir une puissance de signal décente de son emplacement et d'abandonner.

Utilisez un portail captif. L'ajout d'une autre étape d'authentification au processus avec un mot de passe plus sécurisé peut aider. Cependant, si l'attaquant est suffisamment averti, il peut probablement contourner cela. Il existe quelques ressources pour cela.

Procurez-vous un nouveau routeur. La seule vraie solution ici est d'acheter un nouveau routeur. Non seulement votre facture Internet est élevée à cause de cela, mais l'attaquant peut voir tout ce que vous faites lorsque vous êtes sur Internet et installer des logiciels malveillants sur votre réseau. Ils ont la capacité de faire des choses vraiment désagréables. WEP ne prend que quelques secondes à quelques minutes pour se fissurer. Vous devriez juste manger le coût et passer à un nouveau routeur.

Il existe une option supplémentaire: forcer l'utilisation d'un VPN. Seulement pratique si vous en exécutez déjà un et que tous vos appareils ont bien sûr un client pour cela. Pendant un certain temps, j'ai eu mon AP entièrement ouvert mais sur une jambe séparée et j'ai configuré mon routeur pour n'autoriser que OpenVPN vers / depuis une adresse locale spécifique via cette interface, et mon ordinateur portable et mes androïdes connectés à mon LAN via OpenVPN comme ils l'ont fait quand hors site. Non j'ai un appareil Widnows Phone qui ne fonctionne plus (pas de client OpenVPN) donc j'ai changé les choses.
Portail captif disant quoi? Cher M. Hacker, partez?
kasperd
2015-07-05 21:17:21 UTC
view on stackexchange narkive permalink

WEP a des défauts de conception fondamentaux qui l'empêchent d'être sécurisé. Cela signifie que pour obtenir un réseau sécurisé, vous devez soit remplacer WEP par quelque chose de sécurisé (WPA2) ou appliquer la sécurité à un niveau supérieur dans la pile de protocoles.

Sécurité à un niveau supérieur dans la pile de protocoles. signifie que vous n'autorisez pas votre AP à accéder à Internet. Au lieu de cela, vous autorisez votre point d'accès à se connecter à un serveur sur votre réseau local et à utiliser un protocole sécurisé entre les clients WiFi et ce serveur. Ce protocole sécurisé pourrait être un protocole VPN ou SSH avec redirection de port (le proxy socks intégré fonctionne très bien).

De ces deux approches, la mise à niveau vers WPA2 est clairement la plus simple à implémenter. WPA2 n'est pas parfait non plus, mais vous pouvez obtenir une sécurité décente si vous utilisez un SSID unique et un mot de passe fort.

La configuration de la sécurité au niveau OSI 7 coûtera sans doute plus cher que l'achat d'un routeur compatible WPA2.
@Aron: D'un autre côté, se connecter à Internet via une liaison sans fil, même 100% incassable, ne protégerait les informations que jusqu'au moment où elles sont transmises au FAI. L'utilisation de la sécurité au niveau du socket peut protéger les informations jusqu'à la destination.
@Aron Je ne sais même pas si les protocoles OSI peuvent fonctionner via WiFi. J'utilise uniquement IP.
OSI niveau 7 inclut Http. TCP / IP est le niveau OSI 4. Le Wi-Fi est le niveau OSI 1.
@Aron Non, ce ne sont pas des [protocoles OSI] (https://en.wikipedia.org/wiki/OSI_protocols). Outre que votre numérotation n'a pas de sens car HTTP fonctionne directement sur TCP, il n'y a pas de couche entre eux. De plus, il n'y a pas de couche appelée TCP / IP car TCP et IP sont deux couches distinctes.
@kasperd Je n'ai jamais utilisé le terme protocole OSI. Je faisais référence au modèle OSI. WPA fonctionnerait sur la liaison de données (OSI niveau 2). Un portail captif serait / proxy / vpn serait au niveau de l'application (ou niveau OSI 7), auquel les routeurs (au niveau du consommateur) ne participent généralement pas.
L'IP @Aron ne suit pas le modèle OSI.
@kasperd soupire. Le modèle OSI n'est pas quelque chose que vous suivez. C'est une belle façon de décrire les différentes piles de technologies généralement utilisées dans une liaison / réseau de données. Dans ce cas, nous aurions Ether / WiFi / IP / TCP / HTTP.
@Aron OSI est un ensemble réel de protocoles qui n'a jamais été largement utilisé. Ce n'est pas une manière agréable de décrire les protocoles IP car les couches de protocole IP et OSI sont trop différentes. Ils n'ont même pas le même nombre de couches. Les couches de la pile IP ont des noms et non des numéros, ce qui est beaucoup plus logique lorsque certaines des couches sont facultatives et que certaines des couches peuvent être utilisées plus d'une fois dans la pile.
@kasperd Recherchez le MODÈLE OSI et non les protocoles.
@Aron Alors? Quelqu'un a intégré les noms de protocoles IP dans un modèle décrivant une suite de protocoles entièrement différente. Il ne s'agit pas d'une description précise du fonctionnement des protocoles IP. En utilisant les ** noms **, vous pouvez décrire ce qui se passe réellement, ce qui pourrait très bien être HTTP sur TCP sur IP sur IPsec sur UDP sur IP sur PPP sur Ethernet. Si vous décrivez cela avec la numérotation OSI, quoi? La couche 7 sur la couche 4 sur la couche 3 sur la couche 6 sur la couche 4 sur la couche 3 sur la couche 2 sur la couche 2?
@kasperd que quelqu'un était ISO
@kasperd Même si je vois votre point (que la pile de protocoles que nous utilisons est mieux décrite avec le modèle TCP / IP) et que je suis d'accord avec lui, je ressens le besoin de vous informer que le modèle OSI a * également * nommé des couches.
Adam Davis
2015-07-07 23:51:17 UTC
view on stackexchange narkive permalink

Si vous pouvez automatiser le changement du mot de passe WEP sur votre réseau et le faire avec un nouveau mot de passe toutes les 5 minutes, votre réseau sera assez bien protégé contre les attaquants occasionnels. Cependant, il ne sera pas incassable.

Si vous changez le mot de passe de votre réseau toutes les 3 secondes, cependant, il sera incassable, car les crackers les plus rapides nécessitent encore plusieurs milliers de paquets de collecte de données, puis plusieurs secondes sur un processeur moderne pour extraire la clé des données.

Vous pouvez rendre votre réseau WEP incassable.

Est-ce plus facile que de passer au WPA? Probablement pas. En fait, la plupart des raisons de rester avec WEP (comme la prise en charge de périphériques plus anciens) empêchent également les changements fréquents de mot de passe. Si c'est la raison de rester avec WEP, alors vous devriez reconsidérer la configuration de votre réseau - mais c'est une question différente.

Voici quelques-unes des dernières données sur la vitesse de craquage WEP: http://www.techworld.com/news/security/researchers-crack-wep-wifi-security-in-record-time-8456/ il entre également dans quelques solutions ce qui rend le WEP plus difficile à craquer, mais en fin de compte, il faut migrer à partir de WEP plutôt que d'ajouter des pansements.
L'attaque PTW ne nécessite que des milliers à des dizaines de milliers de paquets, à l'exception de la "clé dure" occasionnelle qui nécessite des centaines de milliers.
pri
2015-07-05 17:48:28 UTC
view on stackexchange narkive permalink

Tout d'abord, rien n'est incassable. Vous pouvez certainement rendre vos mots de passe plus difficiles à déchiffrer, utiliser de meilleurs algorithmes, mais rien ne serait incassable.
Vous pouvez mettre à niveau votre routeur qui prend en charge WPA / WPA2.
Si le micrologiciel de votre routeur prend en charge, vous pouvez également suivre le MAC-ID utilisé par le garçon et l'ajouter à la liste noire. Mais encore une fois, il est facile de changer le MAC-ID d'un périphérique, vous voudrez peut-être garder un œil sur les MAC-ID utilisés.
Mieux encore, vous pouvez noter les MAC-ID de vos appareils et l'ajouter à votre liste blanche, de sorte que seuls ces MAC-ID soient autorisés sur votre routeur.
Essayez également de vérifier les mises à jour du micrologiciel du routeur.

J'ai lu quelque part que l'adresse MAC peut être modifiée facilement, alors à quoi sert la liste noire?
Cela peut ralentir l'enfant (en moyenne 30 secondes :)
Je sais, et je l'ai mentionné dans ma réponse. Cela fournira simplement une couche de sécurité supplémentaire. Quoi qu'il en soit, édité ma réponse, jetez un œil.
Je m'attendais à ce que cette réponse "fasse une liste blanche", mais comme mentionné précédemment, il est très facile d'usurper l'adresse MAC!
Si vous êtes si préoccupé, vous devrez vous procurer un nouveau routeur prenant en charge WPA / WPA2 et n'oubliez pas de définir un mot de passe long, de préférence sans inclure les mots du dictionnaire. Toutes les «règles de mot de passe» s'appliquent également ici. :)
Je m'attendais à une méthode moins chère. L'achat d'un routeur est le dernier recours.
Vérifiez les mises à jour du micrologiciel du routeur.
"Dans votre cas, vous pouvez essayer de définir un mot de passe plus long, de sorte qu'il devienne plus difficile à déchiffrer." Cela n'aidera pas - les attaques sont si faciles que même un mot de passe de pleine puissance (104 bits) peut être craqué en quelques minutes.
Les failles du WEP signifient que la longueur du mot de passe n'est pas pertinente.
Une belle liste de ce qu'il ne faut pas faire. Le filtrage MAC est facilement usurpé et n'offre aucune sécurité efficace. Il n'y a pas d'augmentation de la longueur du mot de passe. WEP utilise des mots de passe de longueur fixe de 5 ou 13 caractères. Le problème est que WEP est fondamentalement cassé. Même avec une clé totalement aléatoire de 13 caractères (128 bits), elle peut être forcée brutalement en moins de 2 minutes par un script kiddie utilisant aircrack-ng. WEP ne peut pas être sécurisé. Parfois, la bonne réponse est simplement "vous devez acheter un routeur sécurisé".
Konrad Gajewski
2015-07-05 20:15:06 UTC
view on stackexchange narkive permalink

À condition que vous souhaitiez vous en tenir au routeur dont vous disposez, vous pouvez:

  1. Comme il faut du temps pour casser le WEP car il faut collecter suffisamment de paquets IV, il est logique de changer le mot de passe sur une base régulière. Vous pouvez également automatiser le processus.
  2. Optez pour le filtrage MAC. Cela rendra les choses un peu plus compliquées pour l'attaquant.
  3. Optez pour la clé WEP la plus longue possible (64 bits, c'est bien trop peu).
  4. Configurez PPPoE et activez la connexion à Internet via cette méthode uniquement. Cela résoudrait le problème, mais je doute que vous ayez les moyens nécessaires pour le mettre en œuvre. Là encore, je me trompe peut-être.
  5. C'est un peu fou, mais on pourrait commencer à envoyer de faux IV pour brouiller le logiciel de craquage utilisé par l'attaquant. Je ne sais pas comment faire, donc ce n'est qu'une idée.

De plus: WPA n'est vraiment implémenté que sur du matériel ancien - peut-être qu'une mise à jour du micrologiciel est disponible pour activer WPA-TKIP?

Serait-il possible de changer le mot de passe toutes les deux secondes? Distribution du nouveau mot de passe via TLS via le point d'accès wifi WEP aux machines autorisées à l'avoir. Peut-être aussi faire pivoter les adresses MAC et la liste blanche MAC. L'administration devient un fardeau, votre machine légitime nécessite un logiciel spécial pour se connecter via le point d'accès, et le débit et la latence du point d'accès peuvent également être affectés négativement.
@Kasper, ce changement de mot de passe automatique n'est-il pas déjà appelé "WPA-TKIP"?
@grawity Yup. Mais c'est aussi considéré comme peu sûr. WEP est tellement peu sûr qu'il est risible, vous pourriez aussi bien utiliser une machine Enigma.
La question est d’améliorer le WEP. TOUT LE MONDE sait que WPA est meilleur.@KaspervandenBerg chaque changement nécessiterait une association, donc ce n'est pas pratique.
Anthony B. Earles
2015-07-06 16:07:58 UTC
view on stackexchange narkive permalink

Limitez simplement l'accès de l'adresse MAC au routeur, puis masquez le SSID du réseau afin qu'un attaquant occasionnel ne sache pas qu'il est là en premier lieu.

Et, évidemment, dès que vous pouvez, remplacez votre routeur.

Contre un attaquant ayant la capacité de casser le WEP, ni le filtrage MAC ni le masquage SSID n'offrent de protection.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...