Conseil d'achat pour point d'accès WiFi dans LAN Ethernet [résolu] - WiFi et CPL - Réseaux grand public / SoHo
Marsh Posté le 22-11-2008 à 19:24:09
A ce stade, j'ai réduit la sélection à quatre modèles :
http://minilien.fr/a0j4ah
Lequel parmi eux ? Et en connaissez-vous d'autres, meilleurs ?
**
EDIT : et aussi les trois premiers sur http://minilien.fr/a0j4ak
Marsh Posté le 22-11-2008 à 19:53:08
Bonjour eremax,
Beaucoup de points d'accès sont vendus avec des fonctions de routeur.
Citation : en terme de vitesse |
Orientes toi vers les points d'accès MIMO (802.11n), mais il faut que les interfaces wifi des portables soient MIMO aussi pour que ce soit utile.
Citation : et sécurité |
La meilleur sécurité que tu puisses avoir c'est un filtrage d'adresses MAC.
Personnellement j'utilise un Buffalo WHR-HP-G54 avec firmware DD-WRT. Jamais eu de soucis depuis bientôt un an.
Fais un tour ici
a+
Marsh Posté le 22-11-2008 à 20:17:46
Bon, merci de ton intervention, Arcan_. Je vais aller voir le lien que tu me donnes.
Sinon, de mon côté, j'avais continué de réduire avec ces critères :
- au moins 54Mbps (norme "g" donc),
- WPA (mais j'ai lu qu'on commençait à le cracker ; sachant que sur mon Home LAN, j'ai pas mal de choses pro. confidentielles) et/ou WPA2,
- donné comme PA simple.
Donc, j'arrive à ces 5 modèles + le tien (dans le désordre), donc :
1 - D-Link DAP-1160
2 - Trendnet TEW-637AP
3 - Asus WL-320gE
4 - Linksys WAP54G :
5 - TP-Link TL-WA601G :
6 - Buffalo WHR-HP-G54 (le seul qui fasse routeur si j'ai bien lu)
Bon, faut que décortique tout ça... Peut-être voir sur les manuels constructeurs ceux qui, comme tu me le conseilles, filtres par adresses IP ou MAC : ça me parait bien ça, oui
Aussi, je peux peut-être y aller par élimination : alors, est-ce que quelqu'un a eu des soucis avec l'un de ces modèles ? Est-ce que quelqu'un voit un truc rédibitoire dans les fiches techniques ?
Marsh Posté le 22-11-2008 à 20:41:47
Bon, je viens d'aller voir les deux portables : tous deux acceptent le WPA2/PSK avec cryptage AES ou TKIP.
J'élimine donc ce qui ne prend pas en charge le WPA2 (dites-moi si je me trompe, hein) : le D-Link DAP-1160, le Linksys WAP54G et le Buffalo WHR-HP-G54.
Si ce n'est que les deux derniers sont en WPA, mais acceptent le filtrage par adresses MAC (enfin, pour le Buffalo, selon ce que m'a dit arcan_) : de fait, je ne sais pas si je les élimine direct!
Reste donc :
- Trendnet TEW-637AP
- Asus WL-320gE
- TP-Link TL-WA601G
- Linksys WAP54G
- Buffalo WHR-HP-G54
Marsh Posté le 22-11-2008 à 20:50:16
Questions en vrac :
- Je vois deux antennes sur le Linksys : est-ce que ça a une influence sur la distance ?
- La fiche du Trendnet indique "802.11n (Draft)", est-ce que cela veut dire que la norme n'étant pas tout à fait encore figée, ce matériel aura besoin d'un update firmware plus tard si j'utilise la norme "n" (ce qui ne sera pas le cas avec mes deux portables qui acceptent le b et g ; pas le superG non plus, donc, si j'ai bien compris) ?
- Qu'apporte le flashage d'un firmware dd-wrt ? Et, quels sont les modèles qui le permettent (parmi la sélection) ?
**
EDIT : bon, j'ai compris que le dd-wrt (entre autres) augmentait la puissance. J'ai aussi trouvé la liste des modèles compatibles ici : http://www.dd-wrt.com/dd-wrtv2/dow [...] upport.txt
Marsh Posté le 22-11-2008 à 21:34:10
Bon, réorientation après réflexion sur tout ça :
- pour le débit : pas vraiment besoin du "n" pour l'instant car mes PC portables ne l'acceptent pas.
- pour la sécurité, je tiens à avoir le meilleur : WPA2, donc !
- pour ce qui est de la puissance : sachant que ça doit couvrir sous-sol et 2 étages avec des planchers sur poutres metalliques, ainsi que le bout du jardin à travers plusieurs mur et au moins un plancher... ça compte. Donc, pouvoir accéder aux firmwares open-source tel le dd-wrt (ou autre, s'il y a) me semble important.
- les fonctions : comme dit au début, je préfèrerais un engin sans routeur (j'ai toujours préféré les matériels qui font une seule chose bien), sauf s'il n'y a vraiment rien qui réponde aux autres critères en point d'accès seul.
Donc, sachant tout ceci et en regardant la liste des marques compatibles au dd-wrt (qui ne semble pas à jour d'après http://www.dd-wrt.com/wiki/index.p [...] _Docu_(FR) ), qu'y-a-il chez Linksys, Allnet, Buffalo, Belkin, Asus, Motorola, Siemens, Ravo et Askey ?
Ensuite, dans ces modèles compatibles dd-wrt, quels sont ceux en PA simple, 802.11g et WPA2 ?
A priori, évidemment, dans ma précédente liste, les modèles en dehors des marques citée pour le dd-wrt (sauf s'ils sont compatibles dd-wrt sans que ce soit dit) sautent et d'autres ne répondant pas aux trois autres critères ci-dessus (les Trendnet et TP-Link ne sont pas dans la liste dd-wrt compatibles, le Buffalo de arcan_ fait aussi routeur, mais, surtout, ne semble pas supporter le WPA2).
Reste donc de cette liste :
- Asus WL-320gE
- Linksys WAP54G
************
EDIT : trouvé la liste officielle des matériels supportant le firmware dd-wrt : http://www.dd-wrt.com/wiki/index.p [...] Devices... La liste de marque s'allonge donc grandement, puisque ça prend 300 modèles wifi si j'ai bien compris. De fait, la marque Trendnet revient dans la liste et je vais voir pour les trois autres critères sur, donc :
- Asus WL-320gE
- Linksys WAP54G
- Trendnet TEW-637AP
Marsh Posté le 22-11-2008 à 21:54:31
- Asus WL-320gE : pas dans la liste compatible dd-wrt
- Linksys WAP54G : compatible dd-wrt ed. "micro" uniquement
- Trendnet TEW-637AP : pas dans la liste compatible dd-wrt
Resterait donc que ce Linksys, mais il ne supporte pas le WPA2 (WPA uniquement)... J'ai donc une liste vide Non, en fait, c'est pas drôle !
Bon, je résume (mais si, c'est possible) :
Je cherche un point d'accès Wi-Fi qui :
- soit compatible au firmware dd-wrt (http://www.dd-wrt.com/wiki/index.php/Supported_Devices)
- marche au moins en 802.11g
- supporte la sécurité WPA2
- fasse de préférence point d'accès seul (sans routeur)
Si c'est possible, Monsieur Catburry
Marsh Posté le 22-11-2008 à 22:18:12
Je viens d'engager un sujet sur le forum francophone du firmware dd-wrt : http://www.dd-wrt.com/phpBB2/viewtopic.php?p=232071 (avec renvoi ici pour le début)
Marsh Posté le 22-11-2008 à 22:22:57
Citation : - pour ce qui est de la puissance : sachant que ça doit couvrir sous-sol et 2 étages avec des planchers sur poutres metalliques, ainsi que le bout du jardin à travers plusieurs mur et au moins un plancher... ça compte. Donc, pouvoir accéder aux firmwares open-source tel le dd-wrt (ou autre, s'il y a) me semble important. |
dd-wrt n'améliore en rien la puissance d'émission du point d'accès. Ces firmwares sont open source, plus souvent mise à jour, proposent plus d'options, sont plus légers.
Si tu veux une meilleur puissance d'émission (et par conséquent une plus longue portée) il faut changer l'antenne.
Citation : - fasse de préférence point d'accès seul (sans routeur) |
Il est possible de désactiver les fonction de routage et autres.
Citation : - pour la sécurité, je tiens à avoir le meilleur : WPA2, donc ! |
La meilleur sécurité ? Ne met pas de point d'accès
Ce n'est pas nécessaire de mettre une grosse sécurité si tu filtre les adresses MAC.
Citation : - La fiche du Trendnet indique "802.11n (Draft)", est-ce que cela veut dire que la norme n'étant pas tout à fait encore figée, ce matériel aura besoin d'un update firmware plus tard si j'utilise la norme "n" (ce qui ne sera pas le cas avec mes deux portables qui acceptent le b et g ; pas le superG non plus, donc, si j'ai bien compris) ? |
Le 802.11n n'est pas vraiment finit. MIMO est une version plus ou moins établie d'une future norme dont l'élaboration n'est, semble t-il, pas encore terminée.
Une mise à jour du firmware ne changera rien à mon avis.
Marsh Posté le 22-11-2008 à 23:55:03
Merci de ta présence suivie sur ce fil, Arcan_.
Pour ce qui est de l'impact du dd-wrt sur la puissance, ce qui m'a laissé penser qu'il y en avait un est ce que je lis ici : http://www.dd-wrt.com/wiki/index.p [...] _Docu_(FR) au paragraphe "Liste complète des fonctionnalités" : "Amplification du signal (max 251 mW - Attention 100mW max sont autorisés en France)"
Pour ce qui est du 802.11n, oui, d'ac., je prend s'il y a mais n'en fait pas un critère : je vise le 802.11g qui correspond au Wi-Fi de mes portables.
Pour la sécurité, oui, je pense que ce filtrage par adresse est bien, mais est-ce suffisamment souple ? J'ai par exemple souvenir des galères avant que j'ai une vraie machine de routage (avec Smoothwall Express inside), quand je n'avais qu'un routeur figé avec table de redirection de port limitée à 15 entrées... Est-ce que le filtrage par adresse permet d'indiquer des plages, par exemple ?
Poiur le côté "sans routeur" : bah, je n'en ferai pas un point bloquant, juste une préférence... J'attend tout de même de voir les réponses sur le forum du dd-wrt et je reviendrai aussi revoir ma copie pour les modèles cités dans le présent fil : ça a tellement bougé que j'ai peut-être éliminé un peu vite ))
Affaire à suivre... Et merci encore ;o)
Marsh Posté le 23-11-2008 à 00:07:07
Citation : Amplification du signal (max 251 mW - Attention 100mW max sont autorisés en France) |
Tu "overclock" (en quelques sortes) le point d'accès. Ce n'est pas forcément la meilleur chose à faire.
Citation : Pour la sécurité, oui, je pense que ce filtrage par adresse est bien, mais est-ce suffisamment souple ? J'ai par exemple souvenir des galères avant que j'ai une vraie machine de routage (avec Smoothwall Express inside), quand je n'avais qu'un routeur figé avec table de redirection de port limitée à 15 entrées... Est-ce que le filtrage par adresse permet d'indiquer des plages, par exemple ? |
Pourquoi filtrer tout une plage ?
Au lieu de bloquer toutes les adresses, autorises en 2 ^^
Marsh Posté le 23-11-2008 à 01:42:57
salut,
je voudrais ajouter ma pierre à ton sujet, car je vois quelque chose qui n'est pas tout à fait vrai...
Citation : Ce n'est pas nécessaire de mettre une grosse sécurité si tu filtre les adresses MAC. |
Il faut savoir qu'il y a des logiciels qui trainent qui peuvent permettre de changer une adresse MAC d'un PC.
Il suffit alors de capter les trame Wifi qui passent sur le réseau, et de relever une MAC qui est autorisée.
Ensuite changer son adresse par celle relevée, et voila, le filtrage par MAC est cassé.
=> Donc le filtrage par adresse MAC est bien, mais pas suffisant pour sécuriser un réseau wifi seul. Surtout si des données sensibles doivent passer dessus.
Marsh Posté le 23-11-2008 à 03:03:27
RAAAH, je fais devenir fouuuu !!!
Par pitié, arrêtez vos délires avec vos filtrages par adresses MAC !!!!!!!!
Vous êtes tous des malaaaaaaaaaaaaaaaaaaaades !!!!!!!!!!!!!!!
Si t'as aucune sécu a part un filtrage MAC, je fais ceci:
J'écoute le trafic qulques instants avec:
airodump-ng [nom-de-l'interface-de-carte-wifi] |
Ce qui m'aura donné ton tom de réseau (ESSID), l'adresse MAC du point d'accès, et le canal sur lequel il émet. Puis:
airodump-ng --channel [ton-munéro-de-canal] --bssid [l'adresse-mac-du-point-d'accès] [nom-de-l'interface-de-carte-wifi] |
Ca me donne l'adresse MAC d'une station authentifiée sur ta borne, dés le tout premier paquet qu'elle aura le malheur d'émettre. J'ai plus qu'à prendre l'adresse MAC de cette station avec:
aireplay-ng -1 0 -e [le-nom-du-réseau] -a [adresse-mac-de-l'ap] -h [l'adresse-mac-que-je-veux-avoir] |
Et là, game over pour le filtrage par adresse MAC.
Pour mettre cela en oeuvre, il me faut un live-CD de Linux, un PC de préférence portable et une carte réseau à 20 euros.
Encore plus fort: si t'as pas chiffré par excès de confiance dans ton filtrage par adresse MAC (dont je me permets de rigoler, excuse-moi), bin chouette, je peux écouter tes conversations MSN, lire tes .doc qui transitent, tes films de boules privés... Voire, si tu utilises Yahoo sans faire gaffe à cliquer sur "connexion SSL" lors de l'accès à ton Webmail, a tous tes mails ! A ton mot de passe d'HFR (bin oui, pas de SSL non plus !). Et pour ça, même pas besoin de manipuler, j'ai juste besoin de passer ma carte en mode monitor, un coup d'Ethereal la dedans, et hop, vive les longues soirées à rigoler !!
Alors, je le répète: le filtrage MAC, c'est complètement inutile, surtout si utilisé seul ! Le masquage de SSID, c'est pareil, ça sert à rien, on peut le retrouver doigts dans le nez avec un ou deux ptits paquets ARP, trop faciiiile. La VRAIE sécurité, la dure, la solide, c'est un WPA ou mieux, WPA2-AES avec une clé aléatoire (important!) du maximum de caractères permis par la norme: 63. (si tant est qu'on reste sur du pre-shared key, ce qui correspond à la plupart des cas: en effet, très peu de particuliers ont l'utilité et les compétences pour un serveur RADIUS personnel).
Une clé USB avec un fichier texte de la clé, c'est pas le bout du monde à faire, quand même: un coup de copier/coller, roulez, c'est rock solid.
Marsh Posté le 23-11-2008 à 03:11:05
Bref, je ne saurais trop conseiller le WAP54G de Linksys, qui prends en charge le WPA2, le filtrage MAC, toutes les options classiques d'un point d'accès qui se respecte. La qualité Cisco Systems en plus.
Si tu doutes sur la prise en charge de WPA2-AES et WPA2-CCMP par un WAP54G, je peux fournir des screenshots de l'interface d'administration sur demande. C'est un firmware d'origine, non modifié. Je n'ai jamais flashé la bête. Date d'achat: Avril 2007.
N'hésites pas une seconde, ce matos-là c'est du sans surprise. C'est pas forcément le moins cher, mais on est plus sur de l'entrée de gamme. Le matériel d'Auchan fait coucouche panier au niveau stabilité, qualité du firmware, assemblage...
Consomme peu (j'ai un pote qui l'a mis sur sa terrasse en caisson étanche, avec un panneau solaire, pour distribuer le Net à tout le quartier, avec deux antennes omni de 7 dB de gain).
D'autre part, c'est le seul point d'accès que j'ai vu assurer 30 MB/s REELS avec un chiffrement sur une clé WPA2-AES de 63 caractères.
Marsh Posté le 23-11-2008 à 12:01:38
Je n'ai jamais dit qu'il n'y avait besoin d'aucune sécurité avec un filtrage MAC.
Juste que c'était pas vraiment nécessaire de chercher à tout prix un WPA2 de la mort qui tue la vie et qui va réduire les perfs alors que tu peux combiner deux trucs qui demandent rien et qui fournissent quelque chose de presque similaire.
Citation : La VRAIE sécurité, la dure, la solide, c'est un WPA ou mieux, WPA2-AES |
Désolé, la meilleur sécurité c'est de ne pas avoir de wifi, pas internet, pas de réseau, que ton matériel ne soit pas connecté au secteur, et que le tout soit sous 15m de béton.
La sécurité parfaite n'existe pas.
Marsh Posté le 23-11-2008 à 13:38:40
Bon, je vois qu'il y a de l'ambiance ici : ça fait plaisir
J'ai lu attentivement vos points de vue à tous les trois : merci, vraiment, pas d'insultes, un vrai débat, j'aime ça.
Alors, de mon côté, il faut que je vous dise plusieurs choses :
1) Je ne connaissais absolument rien au Wi-Fi hier matin... De fait, je viens de faire une sorte de stage accéléré entre ce topic et les différents surfs entre hier et aujourd'hui.
2) Quoiqu'étant une bille en Wi-Fi (et pas spécialisé en réseaux), je suis tout de même développeur traitement de métier et, "by design", sensible au niveau de détail des arguments de chacun... J'ai ainsi pu vérifier ce matin à droite à gauche que les outils de hack/crack (selon) ne manquaient pas : Backtrack, Airodump, Aireplay, Aircrack*, Wifiway, Troppix... n'en jetez plus, la cour est pleine...
3) Quoique s'agissant d'un réseau privé (mon "LAN Maison" ), il n'en contient pas moins de vingt ans de travail sur différents sujets, dont code sources de logiciels propriétaires commercialisés... De fait, je ne peux absolument pas me permettre d'avoir une sécurité qui va me rendre parano, à me demander s'il n'y a pas un mec dans sa voiture dans la rue avec un laptop sur les genoux, si l'un de mes voisins n'est pas un geek ou si l'agent du gaz qui vient relever le compteur n'est pas en repérage de config... Enfin, vous voyez, quoi ;o)
De fait, je ne vais pas tergiverser : je veux tout : du WPA2, du SSID secret et du filtrage MAC. Plus à en discuter, c'est décidé !
La recherche devient donc :
Un point d'accès Wi-Fi qui
- marche au moins en 802.11g
- supporte absolument WPA2 et filtrage MAC
- fasse de préférence point d'accès seul (sans routeur)
- accepte le flashage du dd-wrt le cas échéant
Et, bien sûr, le prix du ciment+sable+gravier pour 15m de béton sous 4m2 ;-/
Eh bien, ça avance...
PS : une question de débutant Wi-Fi me vient subitement : bon, j'ai bien compris qu'en WPA2 (mais ça doit être pareil pour WPA tout court d'ailleurs), il existait une voie utilisant un serveur tiers que l'on appelle RADIUS et d'autres, sans ce serveur. Aussi, si je vais dans la config réseau sans fil de l'un de mes portables, je vois deux modes d'authentification WPA2 : WPA2 tout court et WPA2-PSK, et deux algorithmes de cryptage : AES et TKIP. Ce qui me donne quatre combinaisons possibles :
- WPA2/AES
- WPA2/TKIP
- WPA2-PSK/AES
- WPA2-PSK/TKIP
Quelles sont les différences entre ces différentes solutions ? Où se place la notion de serveur RADIUS là-dedans ? Avez-vous un lien qui me résume tout ça ?
Merci les gars
****************
EDIT : tom1985, c'est effectivement bizarre que le Linksys WAP54G prenne en charge le WPA2, alors que la doc constructeur ne l'indique pas : http://www.mhzshop.com/pdf/fr/Linksyswap54g.pdf ; comment expliques-tu ça, dis ?
Marsh Posté le 23-11-2008 à 14:33:09
Je tente d'en savoir plus sur ce Linksys WAP54G qui me semble parfait s'il prend le WPA2 et vois qu'effectivement, à peu près partout, chacun indique le WPA2, mais quasiment jamais la fiche technique. Quelques exemples :
- http://www.ldlc.com/critiques/PB00 [...] bps-a.html où l'on voit des commentaires faisant mention du WPA2, alors que la fiche technique LDLC n'en parle pas.
- http://forum.generation-nt.com/res [...] p2-165633/ où l'on voit une sorte d'ambiguité de quelqu'un qui voit du WPA2 d'une station et pas d'une autre.
- http://www.linksys.com/servlet/Sat [...] 3303676N03 qui liste les PA de Linksys dont accès aux docs techniques du WAP54G.
Mais peut-être que, tout simplement, la prise en charge du WPA2 dépend de la version du LinkSys WAP54G et son firmware : http://www.linksys.com/servlet/Sat [...] e=download . Quelle est ta version exacte, sur l'étiquette au dos, tom1985 ?
Marsh Posté le 23-11-2008 à 16:36:51
Bon, je viens de faire une session de chat avec le support technique Linksys et, pour l'instant, je ne réussis pas à savoir clairement si le Linksys WAP54G supporte le WPA2. Je leur ai demandé de m'envoyer la réponse par mail, car je doispartir à un rendez-vous et ne peux donc poursuivre le chat... Voici copie du dialogue que j'ai eu avec Maurice chez eux :
Maurice: -
Maurice: Thank You for Contacting Linksys Live Chat Support. My name is Maurice, How may I help you today?
Eric : Hello Maurice. I would like to know if the WAP54G supports the WPA2 security ? This question because the technical doc says no, and some people say yes
Maurice: Sure.
Maurice: Before we begin, I need to ask a few questions that will help me assist you better.
Eric : So, why this doesn't appear in the data sheet about this model ? Should I take care about the model version (from 1.0 to 3.0 from what I've seen on your site) ? OK for your questions too, of course...
Maurice: May I know which country are you based in?
Eric : France
Maurice: Can you please confirm the serial number of your Linksys product?
Eric : I don't have any at this time, but want to know if I can buy one, knowing I absolutely wantan acces point which supports the WPA2 security level.
Communication with the RightNow Live service has been lost. Please wait while attempts are made to restore the connection.
Disconnection in 240 seconds.
Connection resumed.
Maurice: Are you there?
Eric : Well, diosconnected : now, I'm here. Did you received my last answer ?
Maurice: Yes.
Maurice: WAP54G does not support WPA.
Eric : Oops, so neither WPA nor WPA2 ?
Eric : So, why http://www.mhzshop.com/pdf/fr/Linksyswap54g.pdf tal about, at least, WPA ? And why someone here, called tom1958, told me about WPA2 support : http://forum.hardware.fr/hfr/resea [...] tm#t391365
Maurice: Can you please give few minutes while I go through my resources?
Eric : OK, thanks a lot
Maurice: Thank you for your time and patience!
Eric :
Eric : I just need to go away in 7 minutes
Maurice: The WAP54G works with WPa i am sorry.
Eric : Oh ! So, WPA only or WPA2 as stated the man (tom1985) who told me this in the forum I indicated you.
Eric : Maurice, I should go away now, so, could you please tell me this by email ? And, if the WAP54G doesn't support WPA2, tell me another access point model (without router) at 802.11g and which accepts this WPA2 security ?
Maurice: Sure.
Communication with the RightNow Live service has been lost. Please wait while attempts are made to restore the connection.
Disconnection in 240 seconds.
Connection resumed.
Maurice: Be sure to visit our Knowledge Base located at http://www.linksys.com/kb. The site contains troubleshooting tips, how-to instructions, as well as solutions to common issues relating to all Linksys products.
Maurice: Thank you for giving us an opportunity to serve you through Live Chat Support. For your records, a transcript of this chat session will be e-mailed to you. Feel free to contact us if you require further assistance. Thank you for choosing Linksys and have a great day!
Eric : OK, thanks... Awaiting your email. Bye and have a good day
Marsh Posté le 23-11-2008 à 20:38:35
Sur le fil que je tiens en // sur le forum du dd-wrt France (lien donné plus haut), lexstyui me dit que le WPA/TKIP et WPA2/TKIP ont tous les deux été crackés... De fait, il reste AES uniquement (pour être sûr) : qu'implique l'usage de AES vis-à-vis de TKIP ? Est-ce juste un choix ou une mise en oeuvre plus complexe ?
Marsh Posté le 23-11-2008 à 21:14:03
La différence entre TKIP et AES tien dans l'algorythme utilisé pour le cryptage des données :
TKIP : http://fr.wikipedia.org/wiki/TKIP
AES : http://fr.wikipedia.org/wiki/Stand [...] vanc%C3%A9
Marsh Posté le 23-11-2008 à 23:06:08
Compris, mac77 : de toute façon, j'ai lu quelque part que le TKIP (en WPA comme en WPA2) était déjà cracké... S'il n'y a pas de difficulté de miseen oeuvre, j'irai donc vers l'AES.
Sinon, des news de mes recherches diverses et variées concernant le WPA2 ou pas sur Linksys WAP54G : et bien, apparemment, ça dépend de la version : il faut donc bien faire attention à l'achat.
On voit par exemple ici : http://dyonisii.blogspot.com/2005/ [...] sb54g.html un type qui à acheté un WAP54G avec firmware 2.07 sans WPA2, puis à mis à jour vers le 3.03, ce qui lui a donné le WPA2
Je vais donc acheté un WAP54G en demandant au préalable au magasin qu'il me confirme qu'il est bien dans une version avec WPA2 ; ceci m'évitera de flasher tout de suite un firmware Linksys ou dd-wrt micro.
Merci à tous pour vos avis et infos éclairés.
****************
EDIT : et juste pour la route, encore un site qui corroborre mes conclusions : le Linksys WAP54G est souvent livré sans prise en charge du WPA2 et nécessite une mise à jour firmware pour l'obtenir. Ici, un gars qui dit carrément que d'origine, sorti de la boîte, il n'y a aucune sécurité de configurable (et son témoignage est de septembre 2008), je cite :
"nicolasetmarjo a écrit le 22 sept. 2008 sur http://www.idealo.fr/avis/286909/linksys-wap54g.html
Les plus de point d'accès ? Une bonen portée, l'interface de paramétrage web bien pensée, le cable réseau contenu dans la boite. Les moins ? Le paramétrage n'est pas simple (upgrade du firmware obligatoire, pas de sécurité par défaut), pas de serveur DHCP et une doc très mauvaise. Bref, un matériel long a vraiment faire fonctionner mais ensuite, plus de soucis. Je reste quand même persuadé que Cisco aurait pu faire mieux."
****************
EDIT n°2 : encore vu d'autres endroits où il est dit qu'il suffit de flasher avec le dernier firmware pour avoir le WPA2, j'ai donc zappé l'appel au magasin et viens de commander chez Amazon : 47.56 € et port gratuit
Marsh Posté le 24-11-2008 à 02:26:03
Voici la boîte de l'un de mes WAP54G: recto (image cliquable):
Verso (image cliquable):
Un petit zoom sur le texte de la boîte présentée ci-dessus:
Et pour finir, un screenshot de d'une des pages de configuration du point d'accès (image cliquable):
Firmware d'origine en sortie de carton; appareil acheté en Avril 2007.
Marsh Posté le 24-11-2008 à 02:52:35
eremax a écrit : Compris, mac77 : de toute façon, j'ai lu quelque part que le TKIP (en WPA comme en WPA2) était déjà cracké... S'il n'y a pas de difficulté de mise en oeuvre, j'irai donc vers l'AES |
Non, il ne sont pas crackés. Enfin, pas le protocole en lui-même.
Il est facilement "crackable" si l'utilisateur à mis une phrase de passe simple (une suite de mots qui ont un sens). La oui, avec aircrack, tu peux faire du brute-force et trouver la clé.
WEP est cracké depuis fort longtemps par contre. Avec le même live CD et la même carte réseau que ci-dessus, il faut un quart d'heure maximum (avec un peu de trafic réseau quand même) pour retrouver la clé, indépendamment de sa complexité.
Néamoins, je t'encourage à opter pour AES, qui est clairement d'un tout autre niveau de sécurité...
Le filtrage MAC, pourquoi pas, ca peut dissuader les incompétents.
Par contre, le masquage du SSID, c'est pas une si bonne idée: ça n'apporte strictement R-I-E-N niveau sécu, et ça complexifie la config du réseau côté postes clients.
Je change la clé de mon point d'accès tous les mois (je suis un peu parano). La précédente clé était:
VaI(9;|XyVc.b]@Aa=6)<rEI8\n lu-wEs-)]I6Utq[x7!<Ihc=u@@~C\TEv59s
Je te conseille de t'en inspirer. Pour ne pas galérer à la retaper sur tes postes reliés en wifi, tu enregistres la clé de réseau sur un support amovible, tel qu'une clé USB et tu passes sur les postes avec. Un coup de copier/coller et basta.
eremax a écrit : |
Je n'ai pas de lien, mais pour expliquer simplement, un RADIUS est un serveur d'authentification qui distribue les clés de chiffrement. Les postes ne les détiennent pas "en dur". C'est utile en entreprise ou sur les déseaux de plus d'une vingtaine de postes. Pour un particulier, c'est franchement pas utile. En plus c'est une vraie usine à gaz à mettre en place...
eremax a écrit : tom1985, c'est effectivement bizarre que le Linksys WAP54G prenne en charge le WPA2, alors que la doc constructeur ne l'indique pas : http://www.mhzshop.com/pdf/fr/Linksyswap54g.pdf ; comment expliques-tu ça, dis ? |
Je ne l'explique pas, si ce n'est par un manque de rigueur des e-commerçants qui ne tiennent pas leurs fiches produits à jour...
Arcan_- a écrit : Je n'ai jamais dit qu'il n'y avait besoin d'aucune sécurité avec un filtrage MAC. |
Je suis désolé, je ne peux pas te laisser dire cela.
Entre 3 commandes linux et un investissement de départ de moins de 20 euros (1 carte réseau wifi compatible + 1 CD vierge) et moins de 5 minutes de temps d'éxécution, d'une part, et des centaines de milliers d'heures machine, des KWh d'énergie consommées par millions, un investissement matériel hors de propos, et des années de patience (WPA2 AES + "vraie" clé), d'autre part, je ne dirai pas que c'est "presque similaire".
Marsh Posté le 24-11-2008 à 12:05:58
Dac, j'ai tout bien noté tes conseils avisés, Tom. Juste une chose qui confirme ce que j'ai vu ailleurs et qui explique pourquoi tu as eu, toi, la chance d'avoir un WAP54G directement avec WPA2 dispo juste après déballage : je vois sur ta capture écran de l'administration de l'engin que ton firmware est en 3.05... Il semblerait donc qu'il y ait eu un max de gens livrés avec du 2.x (qui lui, semble-t-il ne permettait pas le WPA2).
J'espère donc recevoir un WAP54G v3 ;o)
Ah tiens, une petite dernière question : et le choix du canal, de changer de canal pour ne pas rester sur celui par défaut, je veux dire : est-ce une bonne idée selon toi (dans le sens d'un détail de sécurité de plus) ?
Marsh Posté le 24-11-2008 à 13:45:52
Le changement de canal, c'est pour pouvoir éviter que tout le monde se retrouve sur le même canal. On peut le changer pour des questions de performances; cela n'a rien à voir avec la sécurité.
Le mieux étant de se mettre sur un canal ou il n'y a personne ou au pire, pas grand-monde.
Le logiciel Netstumbler (http://www.netstumbler.com/downloads/)permet de savoir facilement les canaux utilisés par les bornes alentours (ne prête pas attention à la colonne "sécurity" du logiciel, il indique WEP si le réseau est sécurisé, même si c'est du WPA ou autre, il indique WEP quand même. S'il indique OPN, le réseau n'est pas sécurisé).
Marsh Posté le 24-11-2008 à 14:01:55
Hum, je comprends mieux : j'imaginais plus la notion de canaux comme celle de ports (et quoique ce soit scannable exhaustivement aussi hihi).
Bref, j'attends la bête
Marsh Posté le 24-11-2008 à 14:10:43
Si tu as des galères pour le mettre en place, n'hésites pas à le faire savoir ici.
NB: Mon engin en firmware 3.05, je l'ai acheté il y a un an et demi... Au jour d'aujourd'hui, il faudrait vraiment ne pas avoir de bol pour pas avoir un 3.05 ou plus...
Marsh Posté le 26-11-2008 à 20:11:00
OK, reçu et installé. Tout fonctionne impec, le WPA2 est bien là (livré avec firmware 3.05).
Le seul problème est le fameux LogViewver qui permettrait de recevoir l'historique des connexions vers une station du réseau : apparement, ça ne marche pas ou il y a un truc qui m'a échappé
J'ai essayé avec le logviewer 1.14 dispo sur ftp.linksys.com et je ne vois rien arrivé du point d'accès, alors que c'est visible via le bouton "View Log" dans l'interface web d'administration du WAP54G lui-même.
Si quelqu'un sait comment faire marcher ce "remote logviewer" ?
Marsh Posté le 28-11-2008 à 01:55:16
Je ne me suis jamais servi de cette fonction.
Marsh Posté le 28-11-2008 à 20:41:27
Rhaaa, merci quand même. J'ai ouvert un nouveau topic, au cas où quelqu'un saurait...
http://forum.hardware.fr/hfr/resea [...] 3549_1.htm
Marsh Posté le 22-11-2008 à 14:13:17
Bonjour,
J'ai un LAN familial avec un switch à partir duquel je voudrais insérer un point d'accès Wi-FI. Cette borne servira à ce que 2 portables puissent accéder aux autres PC et à Internet.
Plutôt qu"un grand discours, voici un schéma de l'ensemble :
Alors, quel est le meilleur point d'accès Wi-FI en terme de vitesse (au moins 54Mbps) et sécurité (au moins WPA ; et WPA2, peut-être) ?
Par exemple, quel choix sur cette page (chez Rue-Hardware) : http://minilien.fr/a0j47l
Tout ceci sachant que (si je ne me trompe pas) je choisis un point d'accès et non un pont Ethernet pour ne pas être limité à une liaison "ad hoc", mais que je n'ai besoin ni de serveur DHCP (tout est en IP fixes) ni de hub/switch supplémentaire ou de fonction de router.
Par contre, j'oubliais un point capital aussi : la fiabilité, stabilité... car, les matériels aléatoires, ça suffit : j'ai souvenir d'un modem ADSL bien pourri qui déconnectait tout le temps, avant de trouver que c'était ça (maintenant, j'ai un speedtouch qui fonctionne impec)
Si vous pouviez me donner vos avis éclairés ou me dire si j'oublie un détail important (pas l'habitude du Wi-Fi pour l'instant ), que j'achète directement le bon matos (sans revenir dessus dans 6 mois), ce serait sympa
Message édité par eremax le 23-11-2008 à 23:35:31