Bonsoir tout le monde    
 
 
J'entends souvent que le MUST de la sécurisation d'un réseau local wifi passe par un VPN mais je n'ai pas trouvé de documentation (pratique) sur le sujet. Quelqu'un ici a-t-il déjà tenté l'aventure ? Des tutorials à conseiller ?
 
 
Merci d'avance

C'est dans quel cadre ? Parce que si c'est pour partager ta connexion ADSL et 3 fichiers a la maison, ça n'a absolument pas le moindre interet de se lancer la dedans.

lol... J'ai encore un routeur compatible WPA (1) et i parait que ca se cracke en 10 minutes...

... mais effectivement c'est pour partager ma connexion adsl et partager 3 fichiers

ceux qui disent ça ne doivent pas y connaitre grand chose en réseau.

pourrais-tu en dire plus dreamer ? Ton point de vue m'intéresse

ben ça n'a aucun rapport; un VPN est utilisé pour sécuriser des connnexions d'un utilisateur nomade vers son entreprise (du point à point dans l'internet grosso modo) alors que le wifi est vu comme un LAN Ethernet local; bref les contextes sont complètement différents et les problématiques de sécurité associées également.

bof.
UN VPN peut aussi être très utile pour sécuriser les flux locaux sur des supports "non sûrs".

oui, comme l'internet, ou une extension de réseau opérée suir laquelle on a pas la main. sur un réseau local c'est juste hors sujet.

A tes yeux uniquement.

aux yeux des professionnels des réseaux serait plus exact.

Mon dieu, je n'en suis donc pas un
 
 
Au lieu d'être ultra catégorique, argumente. Car c'est bien beau de répondre que "c'est hors sujet" ou bien "ceux qui disent ça ne doivent pas y connaitre grand chose en réseau", alors que c'est une solution utilisable.

c'est une solution utilisable; mais qui est contraire à toutes les règles de design de réseau. Du VPN (ipsec, je parle pas des solutions SSL vu que c'est de l'applicatif) est vu comme une extension :
 
- de LAN dans le cas de VPN remote
- de Wan dans le cas de VPN site à site
 
Le second cas ne nous interesse pas ici (un pc portable qui se connecte en wifi n'est pas un site.
 
Pour le VPN remote, on étend le lan de manière sécurisée; or du wifi est vu comme du lan; donc faire de l'extension de lan sécurisée sur un Lan n'a aucun sens (ben oui; on étend pas un réseau sur lui même; quand on veut sécuriser, on fait au plus simple sans empiler les couches).
 
Pour plus de détail sur le design de réseau et l'intégration de la sécurité :
 
http://www.ciscopress.com/bookstor [...] 00767&rl=1
http://www.ciscopress.com/bookstor [...] 51850&rl=1
http://www.ciscopress.com/bookstor [...] 01356&rl=1
http://www.ciscopress.com/bookstor [...] 52229&rl=1
http://www.ciscopress.com/bookstor [...] 51540&rl=1
 
d'ailleurs lorsqu'on veut faire transiter des données sensibles sur une infrastructure interne sûre (un LAN sur lequel on a la main); on ne fait pas du VPN mais du chiffrement SSL, donc applicatif et non réseau (SSL, avec https pour les applis basées sur du web, ou tous les modules SSL présents dans SAP; PeopleSoft et autres...)

Ah, enfin des explications !
 
Quoi qu'il en soit, si on considère que le WiFi n'est pas un support "sûr", je ne vois aucune autre solution (pour prendre en charge tous les flux, on ne  va pas s'amuser à faire de l'applicatif pour chaque soft/proto).
Donc, dans son cas  (puisque c'est ce qui nous intéresse sur ce topic), oui, le VPN est une très bonne chose pour lui (ça lui permet de découvrir, apprendre, sécuriser son réseau si il ne peut utiliser une solution WPA2, etc.).

Wifi + server Radius

Mon dieu je dois lire tout ca pour faire mon VPN ???    
 

ok merci pour cet éclaircissement    
 

je ne m'y connais pas des masses mais es-tu sur que celà résout le problème ??

du wifi c'est une technologie de niveau 2; donc pour sécuriser une techno de niveau 2; on utilise des fonctionnalités de sécurité associées au niveau 2 et inférieurs. Donc : cryptage des trames; authentification 802.1x, diminution de la portée du signal (comment s'introduire sur un réseau si on le capte pas ?) etc...
 
Le reste n'est que du bricolage.
 
parce que bon faire du VPN Overlay c'est bien joli car ses données seront cryptées, mais l'attaquant pourra quand même s'introduire sur le réseau...

pour parler concret :
 
actuellement j'ai activé WPA-Personal (mode Pre-Shared-Key) avec filtrage des adresses MAC sur mon réseau...
 
Pense-tu qu'activer "WPA-Enterprise" (donc avec serveur 802.1x) me permettra d'arriver un à meilleur niveau de sécurisation ? (c'est ce que j'ai cru comprendre de ton dernier post)
 
Il me semblait que c'était juste un système qui permettait de gérer plusieurs clés d'encryption (système adapté pour un réseau utilisé par plusieurs personnes, ce qui n'est pas mon cas)
 
 
Pardon si je dis des bétises, je n'ai pas ton niveau dreamer

Pour parler concret, du WPA1-PSK avec une clé longue et compliqué (mini 20 caracteres) faut se lever tôt pour cracker ça.
Si ton but c'est que tu sois en sécurité, reste en la, le reste fait le juste si ça t'interesse d'un point de vue technique.

tu as déjà vu cette vidéo Diablo ?
 
http://www.mirrors.wiretapped.net/ [...] k-wpa.html
 
 
mais merci pour le conseil

Cette video est bien gentille, mais ne contredit pas du tout ce que je dis : une passphrase faible pourra effectivement être cracké facilement par une attaque dictionnaire ou meme brute force (dans la video c'est un prénom, plus stupide comme mot de passe, tu meurts).
Avec une vrai passphrase forte, donc genre 20 caractères (majuscules, minuscules, chiffres, carctetes non alpha-numériques) aléatoires, la partie de la video qui dure 3 secondes pour cracker la clé pourra prendre plusieurs dizaines d'année sur une machine actuelle...

Jamais évident de sécuriser un réseau Wifi.
En fait il faut en amont se poser les bonnes questions :
- y'a t'il dans mon réseau des données sensibles.
- Suis-je sujet à être attaqué étant donné l'importance des données présente dans mon réseau.
- est ce que je possède un domaine ou une/des machines gérées en locale.
- Est ce que je souhaite partager l'accès à tout mon réseau, à internet ou est ce que cela dépendra des visiteurs....
 
Ainsi, après avoir répondu à chacune de ces questions et suivant votre architecture, vous pourrez alors construire un schéma (sécurisé) adapté à votre environnement.
 
Il faut bien comprendre que un WiFi "maison" n'a pas besoin d'être vraiment sécurisé. Pourquoi un pirate s'embeterai à passer son temps à essayer de décrypter ne serait ce qu'une clef WEP alors même qu'il existe des centaine de réseau non sécurisé.
[#ff0000]Néanmoins, même si peu de monde le sais, sachez que vous êtez tous responsable de la propre sécurité de votre infrastructure chez vous et que vous êtez condamnable si un hacker pirate votre réseau et s'en sert pour pirater des entreprises ou autre.[/#ff0000]
 
En ce qui concerne le VPN je suis vraiment d'accord avec dream. Crypter les donner qui transit entre votre pc ou autre et votre modem ou serveur n'empechera en aucun cas de pirater une clef wep ou même d'entrer dans votre réseau.
 
Mon conseil perso :
 
==> pour un réseau "at home" :
 
opter pour une borne Wifi avec WPA minimum et WPA2 .
C'est suffisant d'après moi.
 
==> réseau d'entreprise :
 
- borne simple sans antenne ( et oui car au moins sa ne ressemble pas à une borne et sa se vole moins )
- switch permettant de manager toutes les bornes (aucune configuration dans les borne comme sa si elles sont volé pas de pb)
- mise en place serveur d'authentification (radius) pour donner les droits au utilisateurs qui se connecte.
- WPA2
 
LtR  

Perso, suis d'accord avec Ltr et Diablo. A la limite pour un petit home-wifi encore un peu plus sécurisé, je ferais du MAC-filtering (limiter l'acces en fonction de la mac adresse des clients), mais plus serait abusé.
 
J'ai déjà vu des VPN sur wifi chez des moyens à gros comptes (env250 postes) mais à part compliquer l'admin, compliquer l'utilisation, ca ne fait pas grand chose de mieux pour la sécurité qu'un radius.
 
A+

dans l'absolu oui. Dans la pratique, ça sert pas à grand chose; à part pour le Wep qui lui se casse vite et facilement, les autres protections sont autrement plus robustes donc partir dans des solutions compliquées est plus une source d'emmerdes qu'autre chose (et puis à moins d'avoir un étudiant en informatique qui veuille s'amuser dans son voisinnage, on risque pas grand chose).
 
Pour les entreprises on se pose encore moins de questions; le wifi est dans un vlan dédié; vlan qui est filtré sur les switchs qui assurent le routage (en plus du 802.1x).
 
Dans l'absolu, le filtrage des Mac adresses ne sert à rien (elles passent en clair, il suffit de sniffer le trafic pour voir celles qui sont autorisées); dans la pratique cette seule restriction te protegera des intrusions (pas de confidentialité, attention) puisque parmi les grandes gueules qui se prennent pour des hackers; la plupart ne doivent pas savoir comment changer la mac address de leur carte
 
La meilleure sécurité reste encore la limitation du signal, comment attaquer un réseau qu'on ne capte pas ? personnellement, je n'active le wifi que lorsque je m'en sers chez moi; sinon la borne est éteinte

ok et bien je vais me ranger à votre avis.
 
Je vais me contenter du vieux WPA  

 
Non.
Je te paye des cerises si on peut cracker un reseau Wifi sécurisé en WPA avec une cle de minimum 30 à 60 caractères.
C'est le cryptage Wep qui est facilement crackable.

dreamer18 :  A part toi personne ne se prend pour un hacker !! lol