Bonjour,
hier soir, j'ai découvert une nouvelle machine appelé ANONYMOUS sur mon réseau.  
En cherchant un petit peut j'ai trouvé un lecteur média au nom de Pauline.
 
La faille vient de ma configuration wifi, clé WEP sans contrôle des adresses MAC ... Oui, je sais c'est stupide! mais malheureusement ma vielle bécane ne supporte pas les clés WPA. (Note : je n'ai que ma box du FAI pour partager le réseau.)
 
Dans un 1er temps j'ai configuré une passerelle sur mon serveur perso afin d'en savoir un peut plus.
Qui est réellement cette intrus ?
Que fait-il sur mon réseau ?
Et finalement restreindre l'accès a mes machines de confiances.
 
Technique :
Sur mon serveur perso j'ai configuré un DHCP, un DNS et une passerelle (iptables). (Note : configuration IPV4)
 
La nouvelle configuration passe bien sur mes machines personnelle.
La configuration transmise par le DHCP n'a pas mis longtemps à être appliqué.
Tout le trafique des mes machines passe par cette passerelle.
 
Problème : La machine anonymous n'a toujours pas changé de configuration IP (malgré ses requêtes DHCP visible sur le réseau).  
 
J'ai observé minutieusement sont trafic avec Wireshark en mode promiscuous et en dehors de certains protocoles réseau "standard" cette machines ne fait pas grand chose.
 
J'ai de très bonnes connaissances en réseaux mais Là je sèche.
 
précisions :  
J'ai déjà vérifié mes adresses MAC et IP de l'ensemble de mes machines.
Pour le respect de sa vie privé et de la mienne (surtout de la mienne en fait) je ne donnerais pas les cap de Wireshark.

Bonjour
 
Regarde (ICI).

Salut,
 
Il faut mettre en place un filtre par adresses MAC...

Ca s'usurpe une @mac...
 

Redémarrer l'AP?
 
Bon, sinon, si tu veux jouer tu peux essayer d'intercepter les sessions web de l'intrus.
Avec de la chance, tu pourrais avoir accès à FB ou une messagerie quelconque. A partir de là, s'autoenvoyer un message expliquant la présence non désirée sur le réseau Wifi    
 
Avec le petit coup de flip associé (han on m'a hacké mon PC   ), ça devrait marcher  

Oui mais pas par n'importe qui...
Il peut faire aussi du "ARP binding" si le routeur le permet...

Mouais, le delta de connaissance entre "cracker une clé WEP" et "spoofer une @mac" n'est pas très élevé; mais c'est vrai que c'est plus pour du ponctuel (genre utiliser les logins par défaut de la box pour autoriser sa propre @mac   )

Dans l'ordre :  
- Je connais déjà le groupe anonymous et les connaissant je peux affirmé que mon intrus n'en fait pas parti. Probablement une personne qui a trouvé un logiciel sur internet et qui a trouvé une manière original de nommé son ordinateur.
 
- Le filtrage d'adresse MAC n'est pas disponible sur mon AP (freebox v4). ou sinon je suis aveugle.
 
- C'est bon, le baux DHCP n'avait pas encore expiré. De plus mon filtre de capture Wireshark était mal écrit. Ma passerelle fonctionne. (notes : les mots de passe facebook même en HTTP (!=https) ne passent pas en clair, seul le haché circule. En revanche pour les messageries ...)  

 
- En effet le niveau n'est pas très élevé, il suffit de savoir lire un tuto. Un script kiddies de 10 ans en est capable.

Sans aller jusqu'à récupérer le MDP, tu peux utiliser les sessions déjà ouvertes

 
Je suis curieux ... dis moi plus. (note : Si c'est le vol de cookies je connais déjà le principe).  
En plus, même dans mon cas d'intrusion, je suis pas sûr d’être dans mon droit.

Il y a un outil tout prêt : Firesheep, une extension Firefox
(http://codebutler.github.com/firesheep/)
 
Par contre, au niveau légal, le vol de session s'apparente à un vol d'identité j'imagine.
 
J'imagine mal aussi le petit malin venir porter plainte au vu de la situation...

Peut être que ce petit malin (ou petite maline) tombera sur cette discussion et se reconnaitra.
 
thx, par curiosité je vais éplucher la doc de firesheep pour voir où est "l'astuce".

Ayant testé Firesheep, le résultat est plutôt aléatoire. D'autant plus que si l'on passe par un switch, il devient inefficace. Et de nos jours... les switch sont monnaie courante. Le mieux est d'appliquer une attaque Man In The Middle (il y a des logiciels, comme "Cain", particulièrement redoutable).

Le problème de "cain" est qu il est uniquement disponible sous windows (lib: winpcap) et la derniere version officiel ( sans malware ) est buggée. De plus, personnellement je n'appel pas ca une attaque du type Man in the middle. Cependant je reconnais son effet redoutable sur le réseau.
 
notes : firesheep utilise bien la technique du vol de cookies. Il a une interface graphique très accessible aux novices (kiddies malheureusement). https de bout en bout est INDISPENSABLE pour s'en protéger. (voire https://www.eff.org/https-everywhere/faq )
 
oui, les switch ont des caches arp permettant le routage des paquets. (switch=commutateur  != hub=concentrateur.) les switch économisent la bande passante et ne transmettent pas tous les paquets sur le réseau; contrairement aux HUB. Cain comme firesheep, meme combat les deux sont basé sur (winpcap ou libpcap... identique)

Au fait, tu n'avais pas dit quel était ton objectif. Voulais tu:
- Simplement filtrer l'accès non autorisé avec iptables
- Empêcher d'accéder au réseau WiFi?

Ouais mais je profite des commentaires, je m’instruis.
 
P.S.: Mon réseau wifi reste toujours accessible à mon intrus. Mais je penses pas qu'on puisse empecher le crackage des clés WEP. Je vais peut être m'acheter un AP sur lequel j'aurais un meilleur contrôle des paramètres.

Pour l'instant, tu ne peux que empêcher/restreindre l'utilisation de l'accès internet; voire isoler complètement la station non désirée si tu peux la mettre dans un sous réseau distinct. (méthode soft)
Tu peux aussi faire peur à l'intrus et ainsi éviter que la station se reconnecte sur le réseau WiFi (méthode hard)
 
La méthode hard n'est pas vraiment nécessaire car avec la méthode soft, la personne ne va plus se connecter -à force- si on ne peut rien faire sur ce réseau WiFi.
 
 
Par contre, le déchiffrage de ce qui circule sur ton réseau restera accessible par n'importe quelle station à distance tant que la clé WEP est connue (et connaissable).

Je crois que je vais utiliser la "méthode Hard". il y a une nouvelle adresse mac sur le réseau. En vu du constructeur, je pence à un iphone.
 
J'ai un problème avec firesheep, il ne marche même pas en local. j'ai une erreur "backend exited with error 1" mais le développeur a l'air de dire que ce n'est pas important. Firefox 3.6.23, winpcap dernière version en date et facebook en http...

A vrai dire, je n'ai jamais utilisé firesheep. J'aurais eu l'occasion de tester au travail car un hub connecte 4 postes dans mon bureau mais par souci d'éthique j'ai préféré éviter.
 
Pour "faire peur", si tu arrives à récupérer une @mail en sniffant le réseau ça devrait être suffisant, non?
Sinon, forcer un peu plus avec des outils comme Cain...?

j'ai des bugs sur cain et sur firesheep (pourtant winpcap fonctionne bien ). J'ai plus qu'à éplucher les .cap à la main.  
 
Mais je crois que sans faire exprès j'ai appliqué la méthode 'soft'. En redémarrage le serveur j'ai oublié de forward les paquets  
echo 1 > /proc/sys/net/ipv4/ip_forward
Du coup mon intrus est resté bloqué à ma passerelle sans compter le nombre de fois où le serveur est resté éteint... Boulet

en cherchant un peut je m’aperçois que j'ai beaucoup de problèmes sur mes capture wireshark. Le mode promiscuous ne fonctionne pas comme il devrait :
 
Sur le wifi toutes les trames ne sont pas capturées.  
Sur ma Passerelle je ne vois pas passer le retour des trames alors qu'il y a bien des réponses serveurs.  
 
le problème devient très préoccupant, mes intrus commencent à télécharger des torrents.

Tu n'as pas réussi à les forcer par DHCP a passer par une passerelle bidon et donc ne plus avoir accès au net?

Les configurations DHCP et passerelle fonctionnent (testé sur une de mes machines). Je pourrais les bloquer mais j'aimerais vraiment savoir à qui j'ai affaire (problème de voisinage). Je suis malheureusement bridé aux clé wep et la blague ne m'amuse plus. Changer la clé ne me satisfait pas et j'aimerais les dissuader définitivement.
 
J'ai rétreint les ports à 80 pour limiter leurs actions et tôt ou tard je verrais bien passer des infos permettant de les identifiés (j'ai deja identifié une personne sur deux intrus grace à son l'ID facebook).  
 
Pour cela encore faut-il capter l'ensemble des communications.  
 
Toutefois, j'ai bien suivi vos conseilles et je vous suis reconnaissant de l'aide que vous m'apporté.

Pour les dissuader, sinon il est possible de mettre en place un portail captif qui mettrait un avertissement du genre "blabla piratage blabla intrusion réseau blabla j'ai vos identités (merci fb) blabla arretez ça de suite blabla porter plainte"
 
Par contre, le réseau WiFi restera toujours "faible", pour peu les intrus aient de bonnes connaissances info ils pourraient se prendre au jeu et vouloir te nuire.
 
Bref, amha le plus simple c'est de restreindre leur accès internet, il devraient comprendre assez rapidement qu'il n'y a pas grand chose à tirer de ce réseau et passer à autre chose (un autre voisin )
 
 
Pour les soucis de capture wireshark, ce n'est qu'à moitié étonnant : certaines cartes Wifi ne supportent que très mal le mode promiscious.
La capture est faite sur linux ou Windows? La carte wifi est-elle récente?

j'ai deja envisagé l'idée du portail captif. J'en ai discuté avec un admin réseau et il n'était pas capable de me dire par quel moyen technique il est possible d'imposer une page dans le navigateur client.
 
Sur mes machines je suis sous linux (debian ubuntu). Pour le wifi, une alfa network (acheté il y a 2 ans) qui est normalement compatible avec tout les modes. Pour la passerelle c'est la carte réseau fourni par virtualbox. Rien de particulier en soit.
 
Mes captures wireshark sont anormalement pauvre en données. Pas plus d'une dizaine de requêtes GET par après-midi. Peut etre qu'il ne font pas grand chose finalement (si des centaines de trams UDP sur des ports torrent).
 

Un portail captif est chiant à mettre en oeuvre (enfin surtout considérant le but ici) mais des solutions libres/gratuites existent:
- http://netreg.sourceforge.net/
- http://www.chillispot.info/
 
Pour le faible trafic, peut être qu'ils ne se servent pas beaucoup de la connexion?

bonjour à vous  !
 
Je  ne sais  pas si c'est toujours d'actualité , mais  je  vous fait part de  mon opignion :  
 
Je précise  je  n'ai pas tout  lu vos commentaire  mais  seulement le problème de ISAAC76
 
première chose  à savoir    c'est que  la WIFI  est  sorti en 2000 dont  c'est récent et  la sécurité  dans ce domaine  n'est pas  très  au point ce qui permet   au pirate de réussire leurs exploits grace  à la wifi ( blootouth, 3G , iphone , ..) .
 
premiere chose  , ton FAI  te  fourni par default  une  BOX  avec  une config   ON VA DIRE NORMAL  en sécurité  mais   pour  un pirate ca reste facil alors  si votre box  est sécurisé   avec un chiffrage WEP , WPA  oublié cela car  c'est facil  à forcer   dont  moi meme  en etant dans la sécurité informatique ( niveau intermédiaire ) je pirate sans probleme  les clé WEP et WPA ensuite facil de remonté jusqu'au serveur alors  pour cela  je conseil d'acheter  un routeur WIFI qui fasse  le chiffrement WPA2"AES"  , de plus  si il peux faire ipv6, nat, dmz,jumbo frame,VPN,proxy,etc ) et limite plus important c'est si le firmware peut être changé sera idéal  
 
 
ensuite  lorseque  le routeur  est installer  et paramétrer ,  installer  un PC  serveur  ou meme  un poste sous  debian ou ubuntu et parametrer le  IPTABLE de facon tres restrictive ( fail2ban, etc ... ) .
 
deja si IPTABLE   et que  le routeur est bien configuré  c'est deja  pas mal en réseau et  pour  verifier   vous  telecharger  nmap sur  un pc portable et  vous  tester  une attaque  d'intrusion  et  grace a ca  vous  verrez  vos faille et  vous  pourrez par conséquent trouvez des moyen pour  résoudre ces probleme  mais  je vous dit  deja  pour  réussir a craker  un WPA2 faut deja  y passer  un peu de temps mais cest  possible  
 
Cordialement,
Cyrus