Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 04-02-2010 14:35:24

percherie
Nouveau membre
Inscription : 04-02-2010
Messages : 7

Par où commencer?

Bonjour à tous,

Depuis deux ans je m'intéresse de loin aux méthode de sécurité concernant le WEP et WPA mais d'ici à 2 ans (montage de dossier très long) je compte ouvrir un service de WiFi avec accès internet payant sur ma ville. Il y a de très forte chance que des personnes chercheront à cracker les protections et à défaut de connaître un spécialiste de la sécurité pouvant me faire ça bénévolement le temps de la mise en place technique je souhaite en apprendre un peut plus sur le sujet. Aucun système est infaillible mais si celui que je compte mettre en place saute en peut de temps ça ne servira à rien de proposer un service payant.

Je souhaite donc savoir par où commencer. D'après mes recherches il me faut une antenne WiFi et j'utilise Ubuntu depuis 3 ans. Je pensait commander la AWUS050nh comme indiqué sur le site mais est ce que Ubuntu est suffisant pour l'utilisation ou pas?
Est ce qu'il me faudra des outils spécifique? Je compte faire mes premiers test sur ma box passée en WEP pour l'occasion, d'après ce que j'ai compris le WPA est robuste, reste à savoir si les dictionnaires sont TROP efficace ou pas.

Sinon si il y a une personne habitant le sud de la France, connaissant bien la théorie WiFi (portée, puissance, ...), la sécurité et étant libre, je préfèrerai m'adresser à lui dans le cadre de mon projet au lieu de faire son boulo à l'aveugle.

Il nous manque un technicien, étudiant ou stagiaire réseau pour le projet.

Dernière modification par percherie (04-02-2010 14:36:09)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 04-02-2010 17:13:30

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Par où commencer?

Salut à toi et bienvenue sur le forum ! smile

Pour ton projet, qui dépasse de loin le cadre du réseau domestique, les 2 concepts à connaître (et creuser) sont RADIUS et PORTAIL CAPTIF. Je suis loin d'être un spécialiste dans le domaine, mais voilà un résumé :

- Pour la sécurité, dans le cadre d'un réseau de grande (ou moyenne) envergure, tu ne peux pas (ou ne devrait pas) te reposer sur le classique WPA-PSK (avec la même clé pour tout le monde). Trop sensible. Il faut que tu mettes en place une authentification dite "forte", à travers le protocole 802.1X. En gros, tu devras mettre en place un serveur d'authentification de type Radius (c'est le cas le + courant), qui sert de base de donnée des utilisateurs (nom d'utilisateur et d'un mot de passe).
L'avantage est que l'authentification par 802.1X n'est pas sensible aux attaques par dictionnaire, et je pense d'ailleurs qu'il n'existe pas encore d'attaque efficace contre ce système (qu'on me corrige si je me trompe).

- ensuite, tu peux utiliser ce qu'on appelle un portail captif, qui sert aussi à contrôler l'accès au réseau. En gros, la première fois que l'utilisateur se connecte au réseau, il est redirigé vers une page que tu as choisie, par exemple où il doit entrer son login, ou cliquer sur "j'accepte les conditions générales d'utilisation", ou... C'est ce portail qui sert d'interface avec le serveur Radius, et qui permettra l'accès au réseau.

Un bon lien pour comprendre : ChilliSpot [Nantes-Wireless]

Note également que tu peux utiliser le 802.1X sans portail captif, dans ce cas l'utilisateur doit entrer son login et son mot de passe au moment où il se connecte au réseau (PEAP, une variante du protocole EAP dont le 802.1X se sert pour l'authentification).
Ces 2 programmes peuvent être installés sur une machine dédiée, tu trouveras pas mal de tutoriels sur le net pour configurer une petite distribution Debian qui servira à ca. Pour tes tests, tu peux aussi le faire via un routeur WRT54G flashé, qui propose les programmes nécessaires.
C'est assez technique et plutôt lourd, mais la sécurité est à ce prix, et je pense que dans le cadre de ton projet tu ne peux pas te contenter d'un travail d'amateur wink

Ensuite, tu dis "ne pas savoir par où commencer"... Commencer à quoi ? A tester la sécurité d'un réseau ? Si tu te bases sur le 802.1X tu es tranquille de ce côté-là, tu peux faire des tests si ca t'amuse mais tu n'arriveras à mon avis à rien avec ce que tu trouveras sur ce forum, ce n'est pas du tout le même système (ici on parle du WPA-PSK, aussi connu sous le nom "WPA personal"). Si tu veux quand même tester le mode PSK, oui la première chose à faire c'est de t'acheter une bonne carte, personnellement je recommande plutôt la AWUS036H que la 50NH, elle est mieux reconnue, et c'est une valeur sûre. Ensuite, Ubuntu devrait faire l'affaire pour tes tests smile

Et pour ce qui est des experts, tu peux toujours voir du côté de l'association "Toulouse sans fil", ca dépend de ce que tu appelles "sud de la France" wink Tu as aussi le même sur Marseille : Association Aix Marseille Wireless. Attention, je ne dis pas qu'ils seront prêts à participer à ton projet (eux c'est plutôt l'inverse, ils font dans le réseau "citoyen" donc ouvert), mais peut-être qu'ils accepteront de t'aider sur le plan technique/radio

Bonne chance ! smile

Hors Ligne

#3 04-02-2010 18:39:09

percherie
Nouveau membre
Inscription : 04-02-2010
Messages : 7

Re : Par où commencer?

Merci pour toutes ces précieuse informations, je m'était arrêté sur le principe d'un portail captif sans connaitre le principe de radius. C'est exactement ce que je recherche à faire.

Le prochain gros soucis est l'arrivée de Hadopi. Que ce passera t'il le jour où les utilisateurs commenceront à utiliser le Pear To Pear? Pour l'instant aucun décret sur le fonctionnement n'est publié et la cnil attend tout ça. L'idée actuelle est de ne pas bloquer les ports et protocole mais de définir des prioritées. Par exemple la navigation, email, discutions et autre auront la priorité de débit par rapport à emule et transmission, je n'ai pas encore cherché de solution permettant ça mais je suis sur que c'est facilement trouvable.

Sinon il y a la solution restrictive de bloquer les ports peut utilisé et de les ouvrir au cas par cas mais ça me semble plus complexe et on risque de bloquer certaines utilisations légitime. Pour l'instant c'est en cours de choix.

Hors Ligne

#4 04-02-2010 18:55:24

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Par où commencer?

Juste une précision, c'est bien "peer" (pair en français) et pas "pear" (poire) wink Bien que dans certains cas, certains pairs sont aussi de bonnes poires, mais c'est un autre débat lol Si le jeu de mot était volontaire, c'est joliment trouvé !

Bon, pour ton problème, la fermeture des ports est une fausse solution... La plupart des clients P2P sont maintenant capables de trouver tous seuls un port ouvert si le leur est fermé, donc tu risques de devoir fermer la majorité des ports, en empêchant du même coup les utilisations légitimes, comme tu le fais remarquer. Bof hmm

Par contre, effectivement, tu peux faire de la QoS (Quality of Service) pour forcer le P2P en priorité basse. Evidemment, il faudra que tu travailles avec un filtrage de type l7, qui va aller voir "au creux" des données pour déterminer de quel type elles sont, plutôt que de filtrer en fonction des ports (pour la même raison que cité plus haut). Problème : quand le protocole crypte ses données (et ca va se généraliser avec Hadopi) le filtrage en couche 7 ne peut pas voir de quel type sont les paquets. Il faudra être astucieux avec la QoS, donc, mais ce n'est pas le problème prioritaire. Quoi qu'il en soit, c'est un filtrage facile à mettre en place sur les passerelles du réseau (tutos Debian, tout ca...) ; "l7 qos" ou même "qos" tout court te donnera de bons résultats sur Google smile
Ce que tu peux (et devrais) faire, par contre, c'est de maintenir un "journal" des connexions (log), pour pouvoir prouver quel utilisateur a visité quel site à quel moment. Ca devra faire partie des conditions d'utilisation du réseau, et si tu reçois une gentille lettre du ministère de la Culture, tu peux leur filer le fameux log pour qu'ils s'amusent à trouver le coupable. Vu que chaque utilisateur a son propre login, ca sera facile de retomber sur la personne en question smile
Par contre, légalement tu ferais bien de te renseigner pour savoir si, vis-à-vis d'Hadopi notamment, tu as un statut de FAI ou pas, et si tu as des responsabilités/obligations légales à ce propos. Un avocat te répondra sans doute mieux que moi à toutes ces questions wink

Si tu veux faire des tests, la solution que je te donnais plus haut reste valable : un routeur WRT54G (facile à trouver d'occase) flashé avec DD-WRT permet de tout combiner facilement :
- Radius & Portail captif (pas sûr sur le radius soit embarqué sur le routeur, mais pas difficile à mettre sur une machine externe)
- filtrage l7 & Qos
- logs complets, que tu peux faire enregistrer sur un serveur externe (mémoire limitée sur le WRT54G)
- WDS (Wireless Distribution System) si tu veux faire un réseau maillé

Bien sur tu n'es pas obligé de garder ces WRT pour le projet final, mais pour les tests préliminaires c'est une bonne base wink

Hors Ligne

#5 09-02-2010 18:15:11

percherie
Nouveau membre
Inscription : 04-02-2010
Messages : 7

Re : Par où commencer?

Merci pour ton aide, ça me permet de savoir où je vais mettre les pieds où du moins tu me le confirme correctement.

Pour les test, je vais suivre ton conseil en partant sur un routeur WRT54G, idéalement je me demandait si il existait un moyen de placer toute les solutions sur un même appareil du type routeur ou de dimension approchante pour éviter l'emploi d'un pc, ce serait le choix idéal pour la mise en application.

Hors Ligne

#6 09-02-2010 20:01:28

Raphu
Membre Indétronable
Lieu : localhost
Inscription : 09-06-2009
Messages : 192

Re : Par où commencer?

antares145 a écrit :

Trop sensible. Il faut que tu mettes en place une authentification dite "forte", à travers le protocole 802.1X. En gros, tu devras mettre en place un serveur d'authentification de type Radius (c'est le cas le + courant), qui sert de base de donnée des utilisateurs (nom d'utilisateur et d'un mot de passe).
L'avantage est que l'authentification par 802.1X n'est pas sensible aux attaques par dictionnaire, et je pense d'ailleurs qu'il n'existe pas encore d'attaque efficace contre ce système (qu'on me corrige si je me trompe).

Qu'on m'arrête tout de suite si je raconte une bêtise, mais ce genre de systèmes n'est pas en général sensible aux MITM + sniffing avec sslstrip?

Hors Ligne

#7 09-02-2010 20:47:28

Dack
Membre Irremplaçable
Inscription : 07-04-2009
Messages : 1 257

Re : Par où commencer?

Si tu parles de Radius, à partir du moment que tu n'es pas connecté au routeur tu ne peux voir aucune donnée je pense

Hors Ligne

#8 09-02-2010 21:11:03

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Par où commencer?

Raphu a écrit :

Qu'on m'arrête tout de suite si je raconte une bêtise, mais ce genre de systèmes n'est pas en général sensible aux MITM + sniffing avec sslstrip?

Je peux me tromper, mais je ne pense pas que ce système soit sensible au attaques de type MITM. Ou en tout cas très difficilement, après une recherche (802.1X + MITM) il y a quelques articles universitaires sur le sujet, mais pas encore d'outil concret pour le mettre en place (et en tout cas pas dans BT).

On en a un peu parlé sur ce sujet : Attaquer en jouant les intermédiaires (MITM). Comme dit M1ck3y :

M1ck3y a écrit :

tu dois etre capable de communiquer avec l'AP et la station "victime", tout en les empechant de communiquer entre elles, et c'est là qu'est le principal challenge technique.

Pour ce qui est de SSLStrip, il est prévu pour le HTTP je pense (faudrait vérifier), donc je doute qu'il soit utilisable dans le cas d'une authentification WPA via EAPOL hmm

@percherie : qu'est-ce que tu appelles "toutes les solutions" ? A priori, en dehors du serveur RADIUS, tout peut être embarqué sur un WRT54G (ou une Fon, ou tout autre dispositif compatible avec DD-WRT --> Liste). Et le serveur Radius tu n'en as besoin que d'un seul pour tout le réseau, donc tu peux le planquer dans un coin au "central". Éventuellement, tu te serviras de la même machine pour centraliser les logs (serveur syslog), mais ca c'est un détail.
Par contre, je ne sais pas si tu pourras distribuer le WiFi à grande échelle avec seulement des WRT, la puissance de ces petites bêtes-là est quand même limitée hmm Faut voir exactement quelle structure tu envisages

Hors Ligne

#9 09-02-2010 21:33:16

percherie
Nouveau membre
Inscription : 04-02-2010
Messages : 7

Re : Par où commencer?

Tu viens de répondre à une des questions que je me posait, il est donc possible de centraliser radius et les log sur un "serveur" commun à tous les points WiFi, je pensait que ce serait plus complexe comme organisation physique. D'après ce que j'arrive à comprendre, le reste peut être placer dans tout dispositif compatible avec DD-WRT.

Pour la structure envisagée, pour l'instant l'idée serait celui d'un réseau WiFi où chaque point d'accès est ouvert au nom de la personne qui possède le local (commerce, administration, entreprise, ...), on lui rembourse son abonnement qui reste à son nom lui laissant l'utilisation pour son compte du téléphone, tv et autres services déjà ouvert.
Cela permet de monter plus rapidement le réseau (pas de délais d'ouverture de ligne) et de tester le temps que ça ce lance avant de passer à des solutions plus avancée.
Pour résumé, chaque routeur sera monté après différente box (free, orange, sfr ...) à différente vitesse et remplacera le WiFi proposé par les box. Il y a de forte chance qu'il existera des trous dans le maillage. L'idée est de fournir notre réseau sur tout commerce partenaire (café, bar, médecin, commerces, université, cité U).

Hors Ligne

#10 09-02-2010 21:58:11

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Par où commencer?

Oui, le serveur radius c'est une seule et unique machine qui centralise la base de données de tes utilisateurs. Donc si toutes tes stations (WRT ou autres) sont configurées pour utiliser le même serveur Radius, les clients pourront se connecter partout avec le même login/mot de passe, puisque c'est la même database smile Après, tu peux aussi travailler avec plusieurs Radius, mais y a certainement pas besoin d'en mettre 1 dans chaque commerce !
Par contre, ca risque d'être un peu lent pour l'authentification (puisque le programme doit aller consulter ton serveur via Internet, c'est plus lent qu'un réseau local), ca c'est les tests qui te le confirmeront hmm

Autre problème : tu utilises la ligne Internet du commerçant ; en soi ce n'est pas grave (comme tu dis, tu gagnes les délais de raccordement), mais il peut y a voir des dérives. Je ne pense pas seulement à Hadopi (les logs règleront ce problème), mais plutôt au fait que chez Orange, par exemple, ils utilisent l'IP de la machine pour identifier leurs utilisateurs. Donc un client qui a une Livebox accède à son courrier (et autres) en allant simplement sur le site orange.fr, sans avoir besoin de donner son mot de passe (Orange "sait" qui il est grâce à l'IP). Problème : si les clients de ton WiFi ont la même IP que le commerçant propriétaire d'une Livebox, par exemple, alors tous les clients ont accès à la boite mail/portail/... du commerçant en question, sans mot de passe ! Je ne suis pas sûr que ledit commerçant apprécie smile Une solution possible, c'est de bloquer l'accès à certains sites (dont Orange.fr) directement sur le routeur (fonction existante dans DD-WRT)

Hors Ligne

#11 09-02-2010 22:34:14

percherie
Nouveau membre
Inscription : 04-02-2010
Messages : 7

Re : Par où commencer?

Oups, tu a parfaitement raison et ça m'était complètement sortit de la tête. En effet la solution idéal est de fixer des règles en fonction de l'abonnement du commerçant pour éviter ce risque qui est plus gênant que la majorité des fraudes.

Je vais tester ça quand je repasserait sur Nimes, sur un Mac Do avant que la solution "Météore" ne soit mise en place c'était une livebox Orange qui était présente. Il ce peut que le Mac Do possède toujours sont abonnement orange. Je vais faire quelques test pour voir ce qui à été mis en place. Si le site n'est pas bloqué et que l'authentification n'est plus automatique, "Météore" à du trouver une solution moins radicale que le blocage.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
Par ou commencer? par Max747
18 1485 10-06-2011 09:50:30 par antares145
Une Aide pour COmmencer par dahrosse
2 1255 22-06-2010 20:11:56 par antares145
18 1892 22-04-2010 22:14:47 par shurikeN

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.028 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]