Question:
Comment sécuriser un réseau WiFi?
Jonas
2010-11-24 03:45:14 UTC
view on stackexchange narkive permalink

Que dois-je faire pour sécuriser un réseau WiFi? Existe-t-il des bonnes pratiques?

On m'a recommandé d'utiliser le cryptage WPA2 sur le routeur, est-ce suffisant? Que puis-je faire pour améliorer encore plus la sécurité? Est-il recommandé d'autoriser uniquement des adresses MAC spécifiques, ou n'est-ce pas nécessaire?

J'ai entendu dire que si quelqu'un d'autre installait un réseau WiFi avec le même SSID et une force de signal plus forte, mon ordinateur se connectera à ce réseau au lieu du mien. Que puis-je faire pour m'en protéger?

Sept réponses:
#1
+17
Mark Davidson
2010-11-24 05:46:39 UTC
view on stackexchange narkive permalink
  • Je suppose que lorsque vous dites WPA2, vous voulez dire WPA2-Personal. Il est assez bon dans la plupart des cas pour le moment tant qu'il est combiné avec un très bon mot de passe. https://www.grc.com/passwords.htm est un bon générateur pour eux.
  • Désactivez le Wi-Fi Protected Setup (WPS). Sinon, un attaquant n'a besoin que de casser un code PIN à 8 chiffres - et c'est parfaitement faisable.
  • Cachez votre SSID. Cela n'arrêtera pas un attaquant déterminé mais arrêtera certains des script kiddie comme des attaquants.
  • Autoriser uniquement des adresses MAC spécifiques peut être une bonne étape pour gérer l'accès des utilisateurs. Mais encore une fois, cela ne ralentira pas vraiment un attaquant déterminé, car il peut de toute façon voir quelles adresses MAC sont actuellement connectées au sans fil en texte brut.
  • Si possible, une bonne tactique pour réduire le risque d'attaque de votre WiFi est de bien positionner votre point d'accès sans fil afin que la quantité minimale de signal soit diffusée à l'extérieur de votre bâtiment. De cette façon, l'attaquant doit être plus proche pour lancer l'attaque à moins qu'il n'ait des antennes sans fil améliorées pour saisir à des kilomètres de distance.

Oui, les gens peuvent diffuser un signal plus fort pour essayer de vous connecter à eux au lieu de votre point d'accès souhaité en utilisant des outils comme Karma. Je ne connais pas de moyen spécifique de se protéger contre cela, sauf de ne pas autoriser d'associations automatiques à la place chaque fois que vous souhaitez vous connecter au sans fil, vous devez le faire manuellement et vérifier que vous vous connectez au bon point d'accès.

Cloaking SSID et le filtrage MAC sont la sécurité par l'obscurité. Ils sont à la limite inutiles. Quiconque sait ce qu'est Kismet les a déjà vaincus.
Je suis tout à fait d'accord avec toi Marcin. C'est pourquoi j'ai dit que Script Kiddie dissuasion uniquement pour le SSID et l'adresse MAC n'est bon que pour le contrôle de l'utilisateur.
Windows 7 et d'autres découvrent déjà nativement des routeurs qui sont «masqués» de sorte que cette partie est pire qu'inutile car elle donne un faux sentiment de sécurité là où il n'en existe pas. Pas même contre les script kiddies. +1 pour les autres éléments.
Le fait de masquer votre SSID peut en fait mettre vos appareils clients dans une position de sécurité plus faible, car ils seront constamment à la recherche (et à la publicité de ce type) de votre AP, même lorsqu'ils ne sont pas à proximité.
Pourrait également ajouter un serveur RADIUS ou un autre service similaire pour l'authentification.
#2
+11
sdanelson
2010-11-24 09:44:06 UTC
view on stackexchange narkive permalink

Cela dépend du réseau / de l'environnement. Pour les réseaux sans fil SOHO, le WPA 2 Personal avec une phrase de passe forte utilisée pour le PSK devrait être suffisant.

Pour les réseaux d'entreprise ou les réseaux qui traitent des informations sensibles, les contrôles suivants doivent être utilisés:

  • WPA 2 Enterprise lié à IEEE 802.1X / EAP
  • Réseau sans fil séparé du réseau interne
  • Surveillance WIPS et journal en place pour détecter / empêcher les attaques locales
  • Les clients sans fil qui ont besoin d'un accès interne doivent se connecter via VPN
  • Limiter la couverture à ce qui est absolument nécessaire grâce à des contrôles physiques et / ou à la manipulation de la force du signal
#3
+10
Rory Alsop
2010-12-21 00:44:39 UTC
view on stackexchange narkive permalink

Je suis d'accord avec tous les points mentionnés jusqu'à présent, et comme Mark Davidson et sdanelson ont tous deux mentionné la couverture radio, je voulais juste m'étendre légèrement sur ce point car il y a quelques domaines:

Force du signal - généralement, vous souhaitez utiliser la force de signal minimale possible dans une zone particulière, de sorte qu'un attaquant en dehors de votre côté ne peut pas y accéder, mais cela peut vous laisser ouvert à un Evil Twin attaque si un point d'accès malveillant copie votre SSID et utilise une puissance de signal beaucoup plus élevée.

Une solution consiste à penser à vos chemins de propagation - localiser vos points d'accès à l'extérieur de votre site avec des antennes configurées pour être directionnelles dans votre site vous aidera beaucoup car vous pouvez augmenter la force du signal du point d'accès (donc paraître plus fort pour les clients) sans propager votre signal si loin du côté.

A solution plus simple, mais plus efficace que j'ai vue (ce qui peut être exagéré pour vous - je l'ai vue utilisée dans un es très sensible tablishment) est des murs et un plafond revêtus de métal avec un filet dans les fenêtres - une étude de site sans fil de ce site a détecté aucune fuite RF!

La sécurité par l'obscurité - dans ce cas, cacher le SSID balises - vous donne un faux sentiment de sécurité. Votre point d'accès diffusera toujours le SSID, mais pas dans les trames de balise. De nombreux utilisateurs ordinaires pourront toujours se connecter, car les pilotes de nombreuses plates-formes identifieront toujours le SSID, et tous les attaquants pourront vous trouver comme ils le feraient normalement - essayez l'un des outils du Russix LiveCD et ils fonctionneront très bien avec la diffusion SSID désactivée.

Je ne suis généralement pas d'accord avec l'utilisation de la force du signal comme mécanisme de sécurité. À moins que votre réseau ne soit conservé dans un bâtiment / une pièce blindée, la capacité d'un attaquant à entendre votre réseau est hors de votre contrôle. De plus, cette approche a les inconvénients d'avoir un impact potentiel sur la convivialité de votre réseau et / ou d'ajouter plus de complexité à ses exigences de conception.
#4
+4
NotMe
2010-12-21 22:00:29 UTC
view on stackexchange narkive permalink

Juste pour ajouter ceci ici.

Le meilleur modèle de sécurité "sans fil" consiste à remplacer ces routeurs sans fil par un câblage CAT-5 standard.

Le meilleur élément suivant est de s'assurer que tout le trafic entre les machines est sécurisé à l'aide de kerberos en plus du cryptage fourni par le routeur sans fil. Cela peut être fait avec les paramètres de stratégie de groupe sur les domaines Windows.

Quoi que vous fassiez, ne faites pas confiance de manière native à une machine capable de s'authentifier auprès de votre routeur.

Wired est le nouveau sans fil; o) Mais je suis d'accord avec votre deuxième suggestion: traiter le segment du réseau comme non fiable, avec des fils ou sans fil.
#5
+3
Brian Winning Jr.
2012-05-03 19:00:42 UTC
view on stackexchange narkive permalink

En supposant qu'il s'agit d'un routeur sans fil pour une maison ou une petite entreprise, je devrais recommander ce qui suit:

  • En règle générale, modifiez tout ce qui est par défaut sur le routeur comprenant, mais sans s'y limiter, le SSID et l'interface Web.

  • Vous devez utiliser WPA2 avec un cryptage AES uniquement et une clé forte avec un mot de passe alphanumérique contenant plus de 8 caractères. Vous n'avez pas besoin d'un mot de passe de 63 caractères pour sécuriser votre réseau domestique.

  • Utilisez le filtrage Mac sans fil pour autoriser uniquement les appareils sans fil autorisés à se connecter au réseau. Ces informations sont appelées adresse physique ou adresse MAC et peuvent être trouvées sur une machine Windows en tapant ipconfig / all à partir de l'invite de commande.

  • Si votre routeur sans fil prend en charge si vous devez limiter votre portée dans les limites de votre propriété pour réduire la zone dans laquelle un pirate peut se positionner.

  • Enfin, cacher le SSID ne fera rien. la manière de protéger votre réseau et le rendra en fait plus vulnérable aux attaques. De plus, quiconque est capable de déchiffrer un mot de passe WPA2 fort ne sera pas dissuadé par un SSID caché. Pour en savoir plus, consultez l'article suivant: http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-secure /

#6
+2
pboin
2010-11-24 21:40:13 UTC
view on stackexchange narkive permalink

Une bonne défense est stratifiée, il n'y aura donc pas un seul guide pour les gouverner toutes. Pour le sans fil en particulier, vous voudrez peut-être consulter les guides de mise en œuvre de DISA. Vous voudrez inclure d'autres technologies pour l'authentification enpoint, etc., mais c'est un bon début.

http://iase.disa.mil/stigs/content_pages/wireless_security.html

Ou, vous pouvez simplement lancer un drop et éliminer beaucoup de ces problèmes.

#7
  0
iwaseatenbyagrue
2017-02-28 06:03:58 UTC
view on stackexchange narkive permalink

Si vous êtes prêt à exécuter votre propre logiciel AP (ce qui signifie probablement hostapd), vous pouvez configurer l'EAP basé sur un mot de passe.

Vous pouvez alors avoir un mot de passe par MAC que vous connaissez, et un mot de passe par défaut que vous changez fréquemment autrement. Personnellement, je pense que c'est une alternative raisonnable au filtrage MAC, mais vous pouvez implémenter les deux.

Ce n'est pas aussi fort qu'une approche correctement stratifiée, mais pour SOHO et les personnes légèrement concernées, raisonnable (j'ai utilisé un Pi3 pour cela).

Je recommanderais certainement de rendre un VPN obligatoire pour tout ce qui est important (c'est-à-dire autre chose que la navigation sur des sites Web publics) si cela pose un problème.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...