faille de sécu sur hotspot wifi..contournez les pieges!

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Le Bistrot
Author Message
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Tue Jun 02, 2009 23:29    Post subject: faille de sécu sur hotspot wifi..contournez les pieges! Reply with quote
Bon meme si le titre peux paraitre ravageur, je n'attaque ici personne(enfin pas directement...voudrais pas foutre le ranking d'une arnaque en l'air! Wink ). l'idée est d'amenner un niveau de sécu un peu plus élevé sur les réseaux wifi hotspot type chillispot(Attention c'est pas chillispot qui est visé ni Coova...rien a redire sur ces produits ! Le personnes visé ne sont pas ces gens qui font un excellent travail mais les rigolos qui pourissent l'image de ces services par leur bétise et leur incapacité! )

Donc l'idée malheureusement répendue par certain confrères au niveau du réseau wifi véhiculant un systeme hotspot, consite a se dire on sépare le wifi de l'ethernet. Je vais démontrer ici que c'est une grosse erreur et que sur un hotspot de ce type on contourne cette erreur d'apréciation au niveau de la sécurité trés simplement!

L'idée de départ n'est pas complétement érroné puisque le principe véhiculé est l'extension du réseau via un systeme backbone gravitant par l'ethernet(si c'est bien fait ca marche très bien...seulement c'est souvent fait a la petite semaine).

Un des problème dégagé implique l'utilisation de systeme tete beche, souvent oublié pour une raison économique. Donc beaucoup utiliserons le mode répéteur (qui pourrait etre une excellente solution si l'utilisation est bien défini et limité au capacité matériel). Donc voici l'idée galvodée:

un ssid pour le hotspot et un ssid pour le backbone dans une seule machine.
Techniquement on joue sur la séparation du wifi et de l'ethernet ce qui donne grosso modo... je me connecte en wifi j'ai droit au hotspot, je me connecte en ethernet je le contourne(et a partir du moment ou l'on contourne pourquoi serrions nous les seuls!!!!).

Certain on meme l'idée sogrenue de rajouter un ssid pour le backbone crypté wpa ou wep au pire. Ce ssid servant a raccordé hors hotspot un répéteur.

Petite aparte: un répéteur divise déjà sa bande passante par deux puisqu'il a deux ssid( un client et un ap) si l'on lui rajoute un ssid on peu imaginer facilement que la bande passante est divisée par 3 soit 54mbps/3 quand on est a proximitée donc 18mbps(9 down + 9 up) par interface virtuelle! Avec une tete beche on a au pire 27mps(avec deux ssid sur l'ap) au mieux 54 mbps(1 ssid sur l'ap) mais on doit rajouter un routeur sur le noeud(le routeur client du noeud en amont)...pensez y! Au niveau de la qualité du service ...y a pas photo!

Donc l'idée de séparé le wifi de l'ethernet est une betise (selon moi), car il est très simple de contourner le hotspot du systeme. Voici comment...par l'exemple:

vous avez a votre disposition un pc portable et un de nos excellent WRT54G. Vous etes a proximité de ce genre de réseau hotspot wifi (non je dirais pas qui c'est, il se reconnaitra).
Vous vous installez dans un coin, vous prennez votre routeur fraichement flaché avec dd-wrt, ou openwrt ou tout autre firmware alternatif supportant le mode client bridge. Vous désactivé le firewall et vous rechercher le ssid du fameux hotspot, une fois trouvé vous configuré ce routeur en mode "client bridge" sur le fameux ssid...peux importe l'adresse ip du routeur. Vous branchez votre pc portable en ethernet sur votre routeur client réseau et comme par miracle au bout de quelques secondes vous obtenez une adresse ip non pas dans la classe chillispot mais dans la classe ip du routeur ap lui meme, obtenant ainsi une connexion wifi totalement libre!

Pourquoi? S'implement parcequ'un routeur en mode client bridge n'est pas considéré comme un client wifi mais ethernet, interface non sécurisée par le hotspot comme précédement sité!

Vous allez me traité de salop, parce que j'ai vendu la meche si vous voulez. Seulement je considère qu'il y a déjà fort a faire dans notre confrérie avec l'inquisition des ondes hertziennes pour que des rigolo se faisant passer pour des pro fassent du bricolage a forte valeur ajoutée
.
Quand on a un systeme hotspot chillispot il est étayé par une sécurité radius, qui est un must actuellement en matière de sécu(ca ne durera probablement pas je vous le concede). Il est possible d'utilisé macauth pour authentifié des noeuds backbones ou client privilégié sans créer de faille de sécu ni prendre un risque démesuré sur la sécurité du réseau lui meme, permttant ainsi au noeud de se connecter sans appel a la page uam, il y a aussi d'autre manière que le macauth parfois décrié qui permette d'étendre le réseau sans créer de faille(je vais pas tout vous dire non plus ! lol). Donc réfléchissez bien si vous déployez ou etes sur le point de déployer un réseau wifi hotspot... Le petit avantage de pouvoir se connecter vite fait en outrepassant la sécurité du hotspot vaut elle le coup??? et si un soit disant spécialiste vous propose une telle abération, vous serrez maintenant que c'est en fait un charlot!

1ere regle en matière de backbone....on ne facilite pas la vie a ceux qui tente une intrusion, donc pas de serveur dhcp.
2eme regle sur une backbone, c'est un réseau dissocié! Pas véhiculé en virtuel!
3eme regle, backbone, signifie colone vertébrale, une colone vertébrale n'est jamais considéré comme amoindrie (du genre 54Mbps/3) elle supporte tout le réseau de par le fait!

Donc nous avons un outil formidable avec dd-wrt, ce serrait idiot de ne pas l'utiliser a fond, et dans la mesure ou on ne sait pas comment faire, on demande a un spécialiste....c'est pas agréable parce que le vrai spécialiste réseau ne vas pas vous faire de passe droit confortable quand il s'agit d'un réseau entier!

Conclusion: choisissez bien l'interface sur laquelle agit votre hotspot. l'idéale étant biensur....vous l'aurez compris le Lan et Wlan (Lan dans dd-wrt)

Voilà, après mon "Da Vinci code", je vous sort mon "Anges et Démons". Ceux qui on lut le premier tome(avant sa disparition des rayons) comprendront ou je veux en venir les autres...;non! (envoyez moi un pm si ca vous semble trop flou)

J'espère seulement ne pas voir réaparaitre ce démon qui s'amuse a me harcelé par mail ou sur e-bay parce que j'ai ouvert les yeux a quelques inconcients lui ayant un peu trop fait confiance!

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
Sponsor
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Sat Sep 19, 2009 2:40    Post subject: Reply with quote
Ceci n'est pas une faille de sécurité, mais une information de type légal pour la France.

Tous réseaux wifi Public est asujeti a l'obtention d'une licence d'opérateur aupres de l'Arcep.

Un hotspot est un réseau Public si c'est un réseau ouvert(pas de cryptage).

Si il dépasse les limites de propriété du Owner, il faut aussi une licence Opérateur. Comme Il est trés difficile de contenir les ondes dans les limites de propriété, il vaut mieux etre en regle...Surtout avec la Chariat des radio sensible.

Donc assurez vous, si cous n'avez pas vous meme de licence Opérateur que l'entreprise qui vous fourni le service hotspot l'a.

A tous les utilisateurs des hotspots FreeWifi, Fon ou de leurs déclinaison (ex: 9 Wifi,)...Soyez rassurés Ils ont cette licence.

Si vous utilisez un systeme Wifigator, vous devez acquérir cette licence Arcep. En effet Wifigator ne vous dédoine pas de ce coté.

Avec la chasse au sorcières Anti Wifi et autres il n'est pas bon de jouer dans l'illégalité. Un simple référé pourrait faire éteindre toutes vos bornes si elles sont captées en dehors de votre limite de propriété.

Si vous etes un particulier utilisant ce systeme pour mettre des Hotspots dans votre Quartier,sachez que c'est completement illégal en France. Vous avez le droit de mettre un hotspot si il n'est accessible que chez vous (en gros)

Un particulier n'est pas autorisé a vendre ce type de services(A la limite vous pouvez obtenir une licence Arcep en montant une association loi de 1901, mais, bye bye les bénéfices).

Pour les autres prestataires de Hotspot Vous pouvez vérifier si ils ont une licence sur le site de l'Arcep. Attention j'entend par prestataire celui qui vous vends le systeme Hotspot Borne WIFI compris. Hotspotsystem, Worldspot, ne sont pas a classifier comme tel puisqu'il ne vendent que le service d'authentification sur leurs serveurs, et pour cela pas besoin de licence. La licence n'as lieu d'etre qu'a l'émission d'ondes wifi. En gros avec Wifigator vous n'avez pas le droit de déployer de réseau via le firmware généré par le systeme sans licence...Vous n'avez droit qu'au serveur lui-meme et ses services. dés que vous utiliser une borne Wifigator(attention au P.I.R.E qui est par défaut trop élevé pour la France) vous devez avoir cette licence ou le Owner doit l'avoir.

Si vous etes une entreprise (Hotel, Camping, SSII) vous pouvez obtenir une licence Arcep sur simple demande par courrier(Un taxe peut vous etre réclamée en fin d'exercice fonction du CA dégagé).

Vous pouvez aussi et c'est le plus simple pour etre tranquile, fonctionner avec la licence Arcep de votre prestataire, Il vous demandera juste de lui permettre de répondre a ces obligations d'opérateur, a savoir le Syslogage de votre réseau, la mise en conformité de vos bornes WIFI (100mW PIRE en 802.11bg, 1 W en 802.11a) et en contrepartie vous dédoinera de tous l'aspect légal...Le prix de ce service peut varier, ou etre déjà inclus dans la prestation.

A bon entendeur....

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
webidy
DD-WRT Novice


Joined: 01 May 2009
Posts: 1

PostPosted: Sat Oct 31, 2009 8:57    Post subject: Reply with quote
donc en gros si je comprend bien,
sur un wrt54g vaut mieu avoir un seul SSID pour les clients et le contact entre AP et tout mettre sous gestion chillispot.

sinon apres ton MP sur les nouveaux logs depuis adopi je pense que je vais migrer mon serveur sur des disques de 3000 teraoctets histoire d'avoir de la place pour garder les infos clients héhéhé
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Sat Oct 31, 2009 12:52    Post subject: Reply with quote
Il est claire que pour un réseau wifi de qualité il convient de ne pas surchargé les noeuds d'autant plus si c'est pour amenné des failles de sécu.

Le systeme radius est amplement suffisant pour sécurisé tout ton réseau.

Pour les logs, a toi de voir, mais la débauche de ressources de stockages ne fait pas tout! et des teraoctets pour sysloguer un réseau de 9 personnes connectés en permanences (200 connexions jours=> 9 clients par heures) c'est un peu démesuré, et les logs ne doivent pas rester sur le serveur, en cas de crach, plus de log. Regardes ce que préconise les assureurs en terme de sauvegarde. Moi perso je grave des DVD rw, et je les efface 2 ans apres.

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Le Bistrot All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum