Bonjour,
Tout est dans le sujet !
[PROBLEME] Comment sécuriser son Wi-Fi ?
-
LaDidi21 - Modérateur
- Messages : 13063
- Enregistré le : il y a 15 ans
@draquar:
Salut,
:| C'est plus que léger comme descriptif de demande !
Dans quel cadre ? Privé, professionnel ?
@+
Salut,
:| C'est plus que léger comme descriptif de demande !
Dans quel cadre ? Privé, professionnel ?
@+
-> Décryptage des liens du forum : extension "ThiWeb Crypt / Decrypt"™ ou Thiweb Live <-
-
Auteur du sujetUtilisateur supprimé 12858
on va dire dans un cadre privé.
Mais ma demande va plutôt dans les différentes manières de protéger son wifi, leurs efficacités, leurs inconvénients...
et puis aussi pour lancer un débat sur le sujet
Mais ma demande va plutôt dans les différentes manières de protéger son wifi, leurs efficacités, leurs inconvénients...
et puis aussi pour lancer un débat sur le sujet
-
LaDidi21
- Modérateur
- Messages : 13063
- Enregistré le : il y a 15 ans
@draquar:
- WPA2 + CCMP
Ne pas diffuser le SSID
Limiter la puissance du WiFi au strict minimum
Changer souvent la clé : évident... mais qui le fait ?
Avoir 1 WiFi invité et 1 WiFi privée
802.1X + serveur RADIUS :d
...
- filtrer par @MAC,
- limiter le nombre d'@IP délivré par ton DHCP ... voir virer le DHCP
-> Décryptage des liens du forum : extension "ThiWeb Crypt / Decrypt"™ ou Thiweb Live <-
-
ThiWeb - Administrateur
- Messages : 9785
- Enregistré le : il y a 15 ans
- Localisation : On earth
- Contact :
Comme toujours, je rejoins LaDidi pour les paramétrages de psychopathes.
Mais pour rester un peu plus grand public, je dirais qu'une simple clé WPA2 AES suffit.
Concernant le CCMP, tout le monde n'a pas cette option à disposition.
L'absence de SSID c'est bien, mais c'est chiant... Enfin, pas tant que ça après tout...
Changer souvent la clé... Mouai bof... Pourquoi faire sachant que le WPA2 est incassable.
Il faudrait des centaines d'années pour en péter une par brute-force alors ozef.
Concernant le Wi-Fi invité en privé, ça dépend de la structure, et là encore ce n'est pas toujours dispo...
Pour ma part, j'ai un double Wi-Fi portant le même nom.
- Un en 2,4 GHz dont le SSID est caché
- Un en 5,0 GHz dont le SSID est affiché.
Ainsi, lorsque j'affiche ma liste de réseaux, si je vois mon SSID, c'est que ma carte est compatible 5,0 GHz et je me connecte normalement à mon Wi-Fi.
Dans le cas contraire, c'est que ma carte n'est compatible que en 2,4 GHz et je rentre manuellement mon SSID qui a pour ordre de ne pas s'afficher.
Bref, c'est pas spécialement un conseil de sécurité, c'est juste plus propre et plus clair quand on s'intéresse au sujet.
Concernant un serveur Radius, là on rentre dans des hautes sphères de sécurité qui ne sont pas accessibles à l'utilisateur final.
Mais c'est effectivement le plus sécurisé qu'il soit
Enfin, les trucs inutiles à désactiver :
- Le filtrage MAC qui se fait péter en deux secondes
- Le WPS qui est bourré de failles
Mes paramétrages Wi-Fi :
ThiWeb
Mais pour rester un peu plus grand public, je dirais qu'une simple clé WPA2 AES suffit.
Concernant le CCMP, tout le monde n'a pas cette option à disposition.
L'absence de SSID c'est bien, mais c'est chiant... Enfin, pas tant que ça après tout...
Changer souvent la clé... Mouai bof... Pourquoi faire sachant que le WPA2 est incassable.
Il faudrait des centaines d'années pour en péter une par brute-force alors ozef.
Concernant le Wi-Fi invité en privé, ça dépend de la structure, et là encore ce n'est pas toujours dispo...
Pour ma part, j'ai un double Wi-Fi portant le même nom.
- Un en 2,4 GHz dont le SSID est caché
- Un en 5,0 GHz dont le SSID est affiché.
Ainsi, lorsque j'affiche ma liste de réseaux, si je vois mon SSID, c'est que ma carte est compatible 5,0 GHz et je me connecte normalement à mon Wi-Fi.
Dans le cas contraire, c'est que ma carte n'est compatible que en 2,4 GHz et je rentre manuellement mon SSID qui a pour ordre de ne pas s'afficher.
Bref, c'est pas spécialement un conseil de sécurité, c'est juste plus propre et plus clair quand on s'intéresse au sujet.
Concernant un serveur Radius, là on rentre dans des hautes sphères de sécurité qui ne sont pas accessibles à l'utilisateur final.
Mais c'est effectivement le plus sécurisé qu'il soit
Enfin, les trucs inutiles à désactiver :
- Le filtrage MAC qui se fait péter en deux secondes
- Le WPS qui est bourré de failles
Mes paramétrages Wi-Fi :
ThiWeb
-
Auteur du sujetUtilisateur supprimé 12858
Interessant tout ça !
Grosse surprise pour moi d'apprendre que le filtrage MAC n'est pas fiable, j'allais m'y mettre.... :( enfin vous ne semblez pas d'accord la dessus...
Je vais essayer de m'inspirer de vos remarques. La freebox doit certainement me donner la possibilité de faire ces réglages.
merci
Grosse surprise pour moi d'apprendre que le filtrage MAC n'est pas fiable, j'allais m'y mettre.... :( enfin vous ne semblez pas d'accord la dessus...
Je vais essayer de m'inspirer de vos remarques. La freebox doit certainement me donner la possibilité de faire ces réglages.
merci
-
ThiWeb
- Administrateur
- Messages : 9785
- Enregistré le : il y a 15 ans
- Localisation : On earth
- Contact :
LaDidi a commis une erreur sur le filtrage MAC, il le confirmera certainement sur son prochain post.
Enfin pour préciser, le filtrage MAC est aisément contournable en clonant l'adresse d'un routeur par exemple et en l'assignant à sa propre carte réseau/Wi-Fi.
Toutes ces manipulations, ne sont de toutes façons accessibles qu'à des personnes ayant certaines compétences ou beaucoup de temps à perdre.
Encore une fois, le WPA2 est incassable, donc la question ne se pose plus.
Pour casser des connexions Wi-Fi aujourd'hui, on ne cherche pas à trouver la clé car c'est impossible.
On cherche les failles ailleurs comme sur le firmwares des routeurs et/ou sur les protocoles WPS qui eux sont faillibles.
Bref, garder son firmware à jour et désactiver le WPS, voilà tout.
Le filtrage MAC, ça ne sert à rien sauf à se prendre la tête.
Le WPA2 est infiniment plus fort que ce petit filtrage trop facilement contournable.
ThiWeb
Enfin pour préciser, le filtrage MAC est aisément contournable en clonant l'adresse d'un routeur par exemple et en l'assignant à sa propre carte réseau/Wi-Fi.
Toutes ces manipulations, ne sont de toutes façons accessibles qu'à des personnes ayant certaines compétences ou beaucoup de temps à perdre.
Encore une fois, le WPA2 est incassable, donc la question ne se pose plus.
Pour casser des connexions Wi-Fi aujourd'hui, on ne cherche pas à trouver la clé car c'est impossible.
On cherche les failles ailleurs comme sur le firmwares des routeurs et/ou sur les protocoles WPS qui eux sont faillibles.
Bref, garder son firmware à jour et désactiver le WPS, voilà tout.
Le filtrage MAC, ça ne sert à rien sauf à se prendre la tête.
Le WPA2 est infiniment plus fort que ce petit filtrage trop facilement contournable.
ThiWeb
-
LaDidi21
- Modérateur
- Messages : 13063
- Enregistré le : il y a 15 ans
@ThiWeb:
Erreur, non.
Quand on veut sécuriser, on peut rendre plus difficile l'accès par de multiples moyens, le filtrage par @MAC en est un même si c'est bien évidemment contournable... comme le reste.
Cela reste utile car cela permet de connaître son réseau.
De plus, le péquin moyen ne sait pas changer son @MAC ni même qu'il est possible de la changer.
Concernant le changement de clé, je ne suis pas d'accord avec toi.
Le WPA2/CCMP est dit incassable (rien ne garantit qu'il le soit vraiment) mais une faille de sécurité existe depuis 2010.
Pour la périodicité de changement, quand je dis souvent, tout dépend de l'utilisation : ce peut être 2 fois / an
C'est la même démarche que le code du digicode d'entrée d'un bâtiment. S'il n'est jamais changé, tout le quartier finît par le connaître...
Erreur, non.
Quand on veut sécuriser, on peut rendre plus difficile l'accès par de multiples moyens, le filtrage par @MAC en est un même si c'est bien évidemment contournable... comme le reste.
Cela reste utile car cela permet de connaître son réseau.
De plus, le péquin moyen ne sait pas changer son @MAC ni même qu'il est possible de la changer.
Concernant le changement de clé, je ne suis pas d'accord avec toi.
Le WPA2/CCMP est dit incassable (rien ne garantit qu'il le soit vraiment) mais une faille de sécurité existe depuis 2010.
Pour la périodicité de changement, quand je dis souvent, tout dépend de l'utilisation : ce peut être 2 fois / an
C'est la même démarche que le code du digicode d'entrée d'un bâtiment. S'il n'est jamais changé, tout le quartier finît par le connaître...
-> Décryptage des liens du forum : extension "ThiWeb Crypt / Decrypt"™ ou Thiweb Live <-
Qui est en ligne
Utilisateurs parcourant ce forum : Lip et 3 invités