> Le WEP, c'est toujours mieux que pas de cryptage du tout. Si vous disposez d'un routeur le permettant, vous avez la possibilité de le rendre un peu plus efficient de manière relativement simple.


> le WPA, c'est mieux : si votre matériel le propose : utilisez le, et en prenant soint de choisir des clefs complexes que l'on ne trouve généralement pas dans un dictionnaire (chiffres + lettres + caractères spéciaux). Si votre matériel et vos connaissances le permettent et que le réseau à protéger en vaut la peine, n'hésitez pas à utiliser une athentification lourde avec un certificat.


> Configurez votre réseau en IP fixe et non en DHCP, interdisez tout autre IP qui ne correspond pas à une machine de votre réseau.

> Utilisez le filtrage d'adresse mac : Cette option permmettra l'identification d'un matériel spécifique. cette protection est certes complètement bidon tant il est simple de falsifier une adresse mac, mais ceci aura quand même la vertu d'arrêter quelques apprentis sorciers. Toutefois pour rendre ceci plus efficace vous pouvez fixer les macs en dur en interdisant toute redirection arp. C'est pas très compliqué et c'est toujours ça. Voir les manpage arp (en français).

Si vous n'avez pas la chance de disposer d'un matériel à la fois compatible Linux et incluant le WPA, il vous faudra quelque peu ruser :


"Vivons heureux,vivons cachés", c'est un peu comme celà que nous pourrions résumer la solution que nous allons vous exposer ici.

Un wardriver cherchera à localiser votre point d'accès, c'est ici la première étape. Pour masquer votre point d'accès ou votre routeur, vous avez 4 solutions


1) Eteindre votre routeur


2) Désactiver le broadcast de votre SSID (la diffusion de votre nom de réseau sans fil).


3) Transformer votre appartement en cage de faradai.


4) Le dissimuler en émulant une multitude de routeurs et de points d'accès :
FakeAP : émule des milliers de d'access point pour dissimuler le transit de vos informations. FakeAP est donc une nouvelle génération de honeypot, adaptée au wireless, qui, si elle offre une excellente protection contre les wardrivers du dimanche, n'arrêtera pas un utilisateur plus expérimenté et manifestant un réel intérêt pour vos données : il est toujours possible en analysant les trames avec mac de destination et d'origine de déduire où se trouve le vrai réseau.

Plus sérieusement voici un exemple de configuration domestique que vous pouvez aisément reproduire :


broadcast SSID : désactivé : si on ne connait pas le nom du réseau ... on ne le voit pas, et on ne s'y connecte pas. Attention cependant car un bon sniffer commer kismet ne se laissera pas prendre et saura tout de même voir votre réseau.
clef wpa avec des caractères spéciaux, des majuscules, des minuscules . Exemple d'une bonne clef : vhUTYvuç75)#v1( - Exemple de mauvaise clef : wifimaison

crypto : wpa2 / tkip : choisir un interval bas de renouvellement des clefs ( toutes les 3 minutes par exemple)

administration necessitant un accès local via https
administration à distance désactivée
le bouton reset est comdamné, un accès physique au routeur ne permettra pas sa réinitialisation
le firmware a jour pour erradiquer les trous de sécurité connus directement liés au ligiciel qui équipe votre matériel.

protection anti buffer-overflow activée
Attention : même en observant ces règles de bon usage, ne pensez pas que votre réseau est invulnérable, invulnérable n'est pas wi-fi

Ouvrir le lien




Le 31 janvier 2008 à 12:18 par CoeurTendre - 1 votes

tu tente de le craquer avec ceci pour verifier si ton wifi est bien proteger : Ouvrir le lien


Le 2 février 2008 à 01:00 par Darky - 2 votes