Quelle est la méthode de sécurité la plus pratique pour un réseau sans fil domestique?

Citons Ars Technica :

La sécurité du réseau sans fil (802.11a / b / g / n) est tout simplement hors de portée de la plupart des organisations. … Étant donné que WEP (64 et 128 bits), WPA1 / 2 (PSK) et LEAP sont facilement crackables à l'aide d'outils gratuits ….

Alors, quelle est la méthodologie de sécurité la plus pratique pour un réseau domestique sans fil aujourd'hui? Dans ce cas, la pratique est définie comme abordable en termes de coût et d'infrastructure: je préférerais disposer d'un seul appareil de réseau et d'une seule connexion réseau sans fil par ordinateur (par exemple, je ne veux pas que les utilisateurs aient besoin d'utiliser un dongle supplémentaire ).

    WiFi at home can be simple and secure. 

    La solution que je recommande

    • WPA2 avec cryptage AES
    • À la maison (ou pour un petit bureau), utilisez une clé pré-partagée (PSK). Il s'agit d'une architecture personnelle WPA (par opposition à une architecture WPA Enterprise).
    • Utilisez une phrase de passe longue et ne l'écrivez pas, rappelez-vous (je vois des mots de passe sur des autocollants partout, cela me rend fou). Vous pouvez composer n'importe quel mot de passe WPA comme ceci, par exemple: " Je veux compter 87 $ de pommes de terre pour toujours deux fois ". Il est plus difficile de deviner quand il n'a pas vraiment de sens … et c'est vraiment plus facile de se souvenir de cette façon! Si vous pensez qu'il faut trop de temps pour le taper, il suffit de l'enregistrer, vous êtes à la maison.

    Remarque : vous avez besoin d'une phrase de passe longue car WPA / PSK et WPA2 / PSK sont vulnérables aux attaques de dictionnaire hors ligne. Les pirates peuvent renifler une tentative de connexion réussie et essayer des millions de mots de passe hors ligne jusqu'à ce qu'ils trouvent celui qui correspond.

    Et bien sûr, toutes les autres recommandations habituelles viennent à l'esprit:

    • Installer un antivirus et le tenir à jour
    • Activez votre pare-feu
    • Changez le mot de passe de votre routeur
    • Désactivez l'accès à son interface d'administration via le Web, sauf si vous en avez vraiment besoin
    • N'activez pas sa fonctionnalité DMZ
    • Ne donnez pas votre adresse personnelle sur Facebook ou n'importe où sur le Web
    • Ne pas discuter avec les psychopathes

    Devriez-vous éviter WPA / TKIP?

    Oui et non. Une faille dans WPA et WPA2 avec cryptage TKIP a récemment été découverte par des chercheurs. Les gens ont affirmé que WPA / TKIP était brisé. Ce n'est pas encore … Pour l'instant, le défaut ne permet qu'aux pirates pirates (très motivés) de déchiffrer de petits paquets de temps en temps. Cela ne leur permettrait pas de faire beaucoup de mal. Donc, si vos équipements WiFi ne prennent en charge que WPA / TKIP, ne paniquez pas. WPA / TKIP est battu mais pas cassé. Allez-y et mettez à niveau vos équipements sur WPA2 / AES Personnel lorsque vous avez de l'argent à dépenser. Ne vous précipitez pas.

    Solutions que je ne recommande pas

    Ces «solutions» rendront votre vie plus compliquée, sans vous donner aucune sorte de sécurité réelle:

    • Cryptage WEP: il a été brisé depuis des années.
    • Filtrage MAC: compliqué à gérer, trivial à spoof
    • Pas de diffusion SSID: trivial pour détecter un SSID "caché". Ne garde que les voisins et les amis. WPA2 / AES les garderait de toute façon, sauf si vous le vouliez.

    Solutions pour une organisation moyenne ou large

    Ce n'est qu'un bonus gratuit, vous voudrez peut-être le sauter (la question concernait uniquement la sécurité à domicile). 😉

    • Utilisez WPA2 / AES Enterprise (nécessite un serveur RADIUS pour l'authentification, l'autorisation et la comptabilité) avec PEAP / Ms-CHAP-v2 ou TTLS / PAP.
      • Sinon, si vous disposez d'une solution VPN existante, il est plus simple de l'utiliser au lieu de déployer une solution WPA2 / AES Enterprise. Laissez votre réseau Wi-Fi ouvert, mais connectez vos points d'accès à un VLAN distinct, configurez vos points d'accès pour interdire tout trafic direct entre les utilisateurs et configurez votre pare-feu réseau pour autoriser le trafic uniquement vers et depuis votre serveur VPN.
    • Interdire les mots de passe faibles tels que «1234», «qwerty» ou les mots de dictionnaire.
    • Les méthodes d'authentification PEAP / Ms-CHAP-v2 et TTLS / PAP ne sont PAS vulnérables aux attaques de dictionnaire hors ligne, donc vous ne devriez PAS essayer d'utiliser des mots de passe ultra-compliqués (tels que "L9fl! 1 ~ SjQQ $ AjN"): il est ennuyeux et comptable -productif. Les utilisateurs les oublieront ou, encore une fois, ils les noteront sur des autocollants.
    • Au lieu de cela, les utilisateurs devraient être autorisés à avoir des mots de passe "raisonnables" (8 caractères, en évitant des choses comme "1234"). Les mots de passe devraient être assez simples pour se souvenir, mais assez compliqués afin que vous ne puissiez pas les deviner avec quelques milliers d'essais.
    • Assurez-vous que votre serveur d'authentification est configuré pour détecter les attaques de force brutale
    • Surveillez votre réseau pour l'intrusion et détectez les AP parasculaires.

    Je recommanderais WPA2 (cryptage AES). Je l'utilise (WPA2-PSK) à la maison sans problème, et je recommande à tous mes amis (et à tous ceux qui le demandent). Il n'est pas trop difficile de configurer avec un routeur approprié, et certainement bat tout autre chose – en gardant à l'esprit que les adresses MAC peuvent être falsifiées, et WEP peut être fissuré (WPA aussi).

    Je pense qu'Ars exagère la vulnérabilité de WPA PSK. Tant que vous avez une bonne clé, WPA PSK devrait être bon pour un usage personnel. (Ce n'est pas bon pour les entreprises parce que tout le monde a la même clé.)

    La question était la suivante:

    Quelle est la méthode de sécurité la plus pratique

    Cela implique diverses choses: d'abord, nous avons effectivement la sécurité et, d'autre part, qu'il n'est pas trop coûteux d'installer ou de supporter.

    Ainsi, par ordre décroissant de pratique (le plus pratique d'abord) et en supposant que vous voulez réellement être sécurisé:

    1. Modifiez le mot de passe par défaut et, si possible, le nom d'utilisateur pour vous connecter à votre routeur (mais écrivez les deux lorsque vous le faites).
    2. (Ou peut-être 1) Utilisez WPA-PSK – à la meilleure qualité compatible avec votre kit (si certains de vos éléments ne supporte que WEP le remplacer ou utiliser une méthode alternative pour le mettre en réseau). Utilisez une phrase passive longue – ne doit pas être aléatoire, un bon ensemble de mots à l'aide de cas mélangés et une certaine ponctuation fera à peu près aussi bien et sera plus facile à retenir et à entrer dans des dispositifs différents. Si vous autorisez l'accès aux visiteurs / invités (c'est là où cela se présente), faites-le écris ou imprimé sur quelque chose qu'ils peuvent copier, mais ne le laissez pas dans un site simple.
    3. Ne diffusez pas le SSID, vous rend plus difficile à trouver bon pour les personnes que vous souhaitez garder à l'écart, moins bien pour les invités / visiteurs, etc., car vous devez sauter à plus de cercles pour vous connecter en premier lieu.
    4. Limiter les adresses mac – à ce stade, ajouter un nouvel appareil à votre réseau sans fil commence à devenir une corvée car il faut que vous ayez à faire des modifications de configuration sur le routeur pour ajouter le périphérique afin que nous commencions à être moins pratiques bien que plus garantir.

    À ce stade, je pense que nous sommes à peu près à la limite de ce qu'on pourrait faire en termes de réseaux sans fil et à domicile, même si je suis heureux d'être corrigé.

    Les considérations au-delà de cela sont les classiques pour n'importe quel réseau, c'est-à-dire que les autres périphériques de votre réseau devraient être garantis quel que soit le degré approprié – si vous ne souhaitez pas que d'autres personnes qui se trouvent sur votre réseau puissent détruire vos fichiers, alors vous Devrait protéger les comptes / serveurs / dossiers / etc contenant ces fichiers.

    Comme l'a indiqué Neuf, c'est une énoncé brutal qui dit que WPA PSK a été «piraté» à un degré réel. Dans tous les schémas que vous proposez, c'est un critère ouvert qui fait l'objet d'un examen de la mise en œuvre, votre objectif général est qu'il n'y ait pas de techniques découvertes qui peuvent faire mieux que la recherche de force brute par rapport aux qualifications sélectionnées du site. Autrement dit, il ne devrait pas y avoir de raccourcis réels pour déterminer les clés secrètes.

    Dans le cas de WPA PSK, il n'y a pas de raccourci pour battre la force brute. Les seules techniques publiées jusqu'ici ont été démontrées des techniques pour découvrir des phrases passées mal choisies (c.-à-d. Facilement imaginées) via une analyse du trafic sans fil capturé.

    À mon avis, ce n'est pas un exploit de quelque importance que ce soit. C'est une propriété importante à comprendre, mais conduit à la conclusion de quelque chose que nous connaissions déjà: la sécurité ne peut être que la phrase de passe choisie.

    En ce qui concerne la question initiale aux recommandations pour la sécurité pratique dans un environnement familial, vous avez effectivement une excellente sécurité si vous faites ce qui suit:

    1) Sélectionnez une phrase longue durée (plus de 10 caractères) qui contient des chiffres, des signes de ponctuation et / ou mixes. Idéalement, certains "mots" dans la phrase sont choisis comme des mots non-sens "baby talk" qui ne sont pas trouvés dans un dictionnaire et plus ils sont longs. Cette règle n'est pas différente des recommandations de la sélection d'un mot de passe sécurisé utilisé pour tout autre type d'accréditation d'accès.

    2) Utilisez un SSID non par défaut qui n'est probablement pas utilisé par d'autres. Il s'agit de contrecarrer les attaques de dictionnaires contre les SSID communs. Cela ne devrait pas être important si vous utilisez une bonne phrase, mais c'est une bonne mesure supplémentaire

    L'épuisement des diffusions SSID et / ou des bascules basées sur l'adresse MAC est une perte de temps. Les MAC sont facilement falsifiés et la découverte du SSID réel est banale même si les émissions sont désactivées.

    Conclusion: WPA PSK est très sécurisé si une phrase de passe bien choisie est utilisée.

    J'ai vu des démonstrations de WEP être "piraté" dans bien moins d'une minute. Les adresses MAC peuvent aussi être falsifiées assez facilement. À moins qu'il y ait une bonne raison d'aller avec WEP (c'est-à-dire que mes 2 routeurs ne supportent que le pont sans fil avec la sécurité WEP), passez avec une certaine forme de WPA.

    Le filtrage sur l'adresse MAC n'ajoute rien à la sécurité, il est facile de les renifler et de les falsifier sur votre machine à craquage.

    Si vous avez quelque chose que vous VRAIEMENT ne voulez pas que les gens le sachent, gardez-le hors réseau ou chiffré avec quelque chose comme Trucrypt .

    La dernière fois que j'ai pensé à cela, la seule chose «sûre» que je pouvais proposer était wepor wpa (se rendre compte que les deux peuvent être fissurés), le filtrage de mac (se rendent compte que ceux-ci peuvent être falsifiés) et des tunnels ipsec (sécurisé avec un décent Clé!) Entre les clients sans fil et un concentrateur ou serveur filaire.

    Mais pour l'usage domestique, je dirais que le filtrage d'adresse MAC avec wep / wpa devrait être assez bon. Ou laissez-le ouvert, qui s'en soucie?

    Je ne réponds que pour ajouter deux éléments supplémentaires:

    1. Si vous travaillez à domicile ou que vous traitez des données de travail à domicile, vous devez le traiter comme un réseau de travail et le protéger en tant que tel. (Voir la note ci-dessus concernant ipsec)
    2. Ce n'est pas une question de programmation, et je ne suis pas sûr que ce soit même une question sysadmin, donc je ne suis pas sûr de l'appartenance à stackoverflow.

    N'hésitez pas à voter en haut ou en bas même si vous n'êtes pas d'accord ou en désaccord avec 1 ou 2 … 🙂

    La désactivation de DCHP sur le routeur fonctionne très bien, elle déplace la voix moyenne à partir de l'utilisation de votre réseau sans fil. Vous devez simplement définir une adresse IP statique sur chaque ordinateur que vous utilisez, et vous avez terminé. C'est bon si vous avez des invités sur une base régulière, mais ne voulez pas pêcher une clé WPA / WEP. Cependant, ce n'est pas une solution parfaite, et pour obtenir la meilleure sécurité, vous devez utiliser WPA2. WEP a été connu pour avoir des vulnérabilités qui peuvent être exploitées avec un sniffer de paquets.

    WPA2 avec une longue clé cryptographiquement aléatoire. Utilisez un générateur de mot de passe pour générer un mot de passe aléatoire de 63 caractères (le maximum autorisé).

    Exception: si vous souhaitez utiliser une Nintendo DS en ligne, vous devez utiliser WEP 128 bits. Ne faites pas confiance au réseau sans fil si vous le faites.

    Je pense qu'un moyen sécurisé pour le routeur sans fil régulier est d'avoir une liste d'adresses MAC autorisées et de refuser l'accès au reste. En plus, vous pouvez utiliser un WPA2.

    Ne placez jamais un cadenas de $ 1000 sur un vélo de 20 $.

    Si votre réseau domestique, c'est-à-dire non seulement les hôtes individuels, mais aussi l'infrastructure de réseau, est si précieux que la force de WPA2 / PSK n'est pas une assurance suffisante contre les attaquants que vous attendez réellement, alors vous devez exécuter CAT- 5 câbles autour de votre maison au lieu des points d'accès Wi-Fi. Vous devriez également envisager des mises à niveau de vos systèmes de sécurité physique … la maison d'un homme est son château, comme on dit. N'oubliez pas de vous assurer que les générateurs ont des réservoirs de carburant avec une capacité suffisante, les réservoirs d'eau douce sont suffisamment grands pour toute la famille. Dans un siège, l'eau fraîche est habituellement la ressource qui court.