Re: RE : [Ran] sécurité

Didier Lebrun dl at vaour.net
Mer 30 Mar 20:24:43 CEST 2005


At 14:45 30/03/2005 +0200, you wrote:
>wifi Quercy - Sylvain a écrit :
>>J'ai tapé trop vite tout à l'heure...
>>une circulation codée des données dans le réseau, c'est le protocole PPTP,
>>et pas PPPOE qui n'est qu'un accès par identifiant et mot de passe (comme
>>l'ADSL par exple)
>C'est ton freebsd qui fait serveur pptp?

FreeBSD fait ça (avec MPD), et Linux aussi (avec PopTop). Par contre, il y 
a un petit problème avec les clients WinXP uniquement en cas de perte de 
paquets (débit médiocre). Ca fonctionne bien avec les autres versions de 
Windows et la plupart des OS. Comme tous les cryptages, ça bouffe un peu de 
BP, mais on peut y remédier en mettant une carte crypto hardware (type HiFn 
ou équivalent) qui décharge le processeur du boulot de cryptage/décryptage. 
Les avantages d'utiliser des tunnels PPTP au lieu de WEP ou WPA sont:
1 - peut être utilisé de manière optionnelle, quand un client souhaite 
garantir la confidentialité de ses échanges, au lieu de faire subir les 
inconvénients du cryptage à tous les flux, dont la plupart concerne des 
documents publics (web, etc...)
2 - plus sûr que WEP, qui peut aisément être cracké moyennant le logiciel 
adéquat
3 - évite des tas de complications liées aux configs WEP ou WPA des AP et 
des clients et aux incompatibilités éventuelles


>>pour les MAC, il y a une fonction qui permet d'accepter ou de rejetter la
>>connexion en fonction de l'adresse mac de l'AP ou du client Wifi.
>Oui mais si le client a les moyend de changer son adresse MAC (tres 
>facile) pour
>la faire correspondre a une adresse rentree en dur dans une base de donnee ca
>court-circuite cette protection, non?

Le filtrage MAC est en effet peu fiable puisqu'il suffit de savoir sniffer 
et spoofer des adresses MAC. Ca fait cependant l'affaire tant qu'il n'y a 
pas de hacker compétent et mal-intentionné dans les parages. Au pire, si 
quelqu'un usurpe l'adresse MAC d'un usager, ça lui permet de disposer d'une 
connexion gratuite le temps que quelqu'un s'en aperçoive, ce qui n'est pas 
dramatique. Avec un bon traffic shaping, l'incidence reste minime et ça ne 
vaut pas la peine de compliquer les choses pour éviter cela.

Sur VaourNet, on utilise le filtrage MAC + PPTP optionnel. Les usagers ont 
unanimement préféré cette solution, qui leur procure le confort d'une 
connexion directe sans avoir à lancer une procédure de connexion, fût-elle 
simple, et sans avoir à la configurer. En cas d'abus, il suffirait que 
j'active la ligne rendant obligatoire la connexion PPTP ou PPPoE dans le 
fichier /etc/rc.conf de la passerelle. J'ai configuré un serveur PPPoE dans 
cette éventualité, pour fournir une alternative avec authentification 
cryptée (MSChapV2), mais sans cryptage des flux eux-mêmes.

a+


--
Didier Lebrun
Le bourg - 81140 - Vaour (France)
tél: 05.63.53.73.41 (AM et soirée)
mailto:dl at vaour.net (MIME, ISO latin 1)
http://didier.quartier-rural.org/





More information about the Ran mailing list