Citons Ars Technica :
La sécurité du réseau sans fil (802.11a / b / g / n) est tout simplement hors de portée de la plupart des organisations. … Étant donné que WEP (64 et 128 bits), WPA1 / 2 (PSK) et LEAP sont facilement crackables à l'aide d'outils gratuits ….
Alors, quelle est la méthodologie de sécurité la plus pratique pour un réseau domestique sans fil aujourd'hui? Dans ce cas, la pratique est définie comme abordable en termes de coût et d'infrastructure: je préférerais disposer d'un seul appareil de réseau et d'une seule connexion réseau sans fil par ordinateur (par exemple, je ne veux pas que les utilisateurs aient besoin d'utiliser un dongle supplémentaire ).
WiFi at home can be simple and secure.
La solution que je recommande
Remarque : vous avez besoin d'une phrase de passe longue car WPA / PSK et WPA2 / PSK sont vulnérables aux attaques de dictionnaire hors ligne. Les pirates peuvent renifler une tentative de connexion réussie et essayer des millions de mots de passe hors ligne jusqu'à ce qu'ils trouvent celui qui correspond.
Et bien sûr, toutes les autres recommandations habituelles viennent à l'esprit:
Devriez-vous éviter WPA / TKIP?
Oui et non. Une faille dans WPA et WPA2 avec cryptage TKIP a récemment été découverte par des chercheurs. Les gens ont affirmé que WPA / TKIP était brisé. Ce n'est pas encore … Pour l'instant, le défaut ne permet qu'aux pirates pirates (très motivés) de déchiffrer de petits paquets de temps en temps. Cela ne leur permettrait pas de faire beaucoup de mal. Donc, si vos équipements WiFi ne prennent en charge que WPA / TKIP, ne paniquez pas. WPA / TKIP est battu mais pas cassé. Allez-y et mettez à niveau vos équipements sur WPA2 / AES Personnel lorsque vous avez de l'argent à dépenser. Ne vous précipitez pas.
Solutions que je ne recommande pas
Ces «solutions» rendront votre vie plus compliquée, sans vous donner aucune sorte de sécurité réelle:
Solutions pour une organisation moyenne ou large
Ce n'est qu'un bonus gratuit, vous voudrez peut-être le sauter (la question concernait uniquement la sécurité à domicile). 😉
Je recommanderais WPA2 (cryptage AES). Je l'utilise (WPA2-PSK) à la maison sans problème, et je recommande à tous mes amis (et à tous ceux qui le demandent). Il n'est pas trop difficile de configurer avec un routeur approprié, et certainement bat tout autre chose – en gardant à l'esprit que les adresses MAC peuvent être falsifiées, et WEP peut être fissuré (WPA aussi).
Je pense qu'Ars exagère la vulnérabilité de WPA PSK. Tant que vous avez une bonne clé, WPA PSK devrait être bon pour un usage personnel. (Ce n'est pas bon pour les entreprises parce que tout le monde a la même clé.)
La question était la suivante:
Quelle est la méthode de sécurité la plus pratique
Cela implique diverses choses: d'abord, nous avons effectivement la sécurité et, d'autre part, qu'il n'est pas trop coûteux d'installer ou de supporter.
Ainsi, par ordre décroissant de pratique (le plus pratique d'abord) et en supposant que vous voulez réellement être sécurisé:
À ce stade, je pense que nous sommes à peu près à la limite de ce qu'on pourrait faire en termes de réseaux sans fil et à domicile, même si je suis heureux d'être corrigé.
Les considérations au-delà de cela sont les classiques pour n'importe quel réseau, c'est-à-dire que les autres périphériques de votre réseau devraient être garantis quel que soit le degré approprié – si vous ne souhaitez pas que d'autres personnes qui se trouvent sur votre réseau puissent détruire vos fichiers, alors vous Devrait protéger les comptes / serveurs / dossiers / etc contenant ces fichiers.
Comme l'a indiqué Neuf, c'est une énoncé brutal qui dit que WPA PSK a été «piraté» à un degré réel. Dans tous les schémas que vous proposez, c'est un critère ouvert qui fait l'objet d'un examen de la mise en œuvre, votre objectif général est qu'il n'y ait pas de techniques découvertes qui peuvent faire mieux que la recherche de force brute par rapport aux qualifications sélectionnées du site. Autrement dit, il ne devrait pas y avoir de raccourcis réels pour déterminer les clés secrètes.
Dans le cas de WPA PSK, il n'y a pas de raccourci pour battre la force brute. Les seules techniques publiées jusqu'ici ont été démontrées des techniques pour découvrir des phrases passées mal choisies (c.-à-d. Facilement imaginées) via une analyse du trafic sans fil capturé.
À mon avis, ce n'est pas un exploit de quelque importance que ce soit. C'est une propriété importante à comprendre, mais conduit à la conclusion de quelque chose que nous connaissions déjà: la sécurité ne peut être que la phrase de passe choisie.
En ce qui concerne la question initiale aux recommandations pour la sécurité pratique dans un environnement familial, vous avez effectivement une excellente sécurité si vous faites ce qui suit:
1) Sélectionnez une phrase longue durée (plus de 10 caractères) qui contient des chiffres, des signes de ponctuation et / ou mixes. Idéalement, certains "mots" dans la phrase sont choisis comme des mots non-sens "baby talk" qui ne sont pas trouvés dans un dictionnaire et plus ils sont longs. Cette règle n'est pas différente des recommandations de la sélection d'un mot de passe sécurisé utilisé pour tout autre type d'accréditation d'accès.
2) Utilisez un SSID non par défaut qui n'est probablement pas utilisé par d'autres. Il s'agit de contrecarrer les attaques de dictionnaires contre les SSID communs. Cela ne devrait pas être important si vous utilisez une bonne phrase, mais c'est une bonne mesure supplémentaire
L'épuisement des diffusions SSID et / ou des bascules basées sur l'adresse MAC est une perte de temps. Les MAC sont facilement falsifiés et la découverte du SSID réel est banale même si les émissions sont désactivées.
Conclusion: WPA PSK est très sécurisé si une phrase de passe bien choisie est utilisée.
J'ai vu des démonstrations de WEP être "piraté" dans bien moins d'une minute. Les adresses MAC peuvent aussi être falsifiées assez facilement. À moins qu'il y ait une bonne raison d'aller avec WEP (c'est-à-dire que mes 2 routeurs ne supportent que le pont sans fil avec la sécurité WEP), passez avec une certaine forme de WPA.
Le filtrage sur l'adresse MAC n'ajoute rien à la sécurité, il est facile de les renifler et de les falsifier sur votre machine à craquage.
Si vous avez quelque chose que vous VRAIEMENT ne voulez pas que les gens le sachent, gardez-le hors réseau ou chiffré avec quelque chose comme Trucrypt .
La dernière fois que j'ai pensé à cela, la seule chose «sûre» que je pouvais proposer était wepor wpa (se rendre compte que les deux peuvent être fissurés), le filtrage de mac (se rendent compte que ceux-ci peuvent être falsifiés) et des tunnels ipsec (sécurisé avec un décent Clé!) Entre les clients sans fil et un concentrateur ou serveur filaire.
Mais pour l'usage domestique, je dirais que le filtrage d'adresse MAC avec wep / wpa devrait être assez bon. Ou laissez-le ouvert, qui s'en soucie?
Je ne réponds que pour ajouter deux éléments supplémentaires:
N'hésitez pas à voter en haut ou en bas même si vous n'êtes pas d'accord ou en désaccord avec 1 ou 2 … 🙂
La désactivation de DCHP sur le routeur fonctionne très bien, elle déplace la voix moyenne à partir de l'utilisation de votre réseau sans fil. Vous devez simplement définir une adresse IP statique sur chaque ordinateur que vous utilisez, et vous avez terminé. C'est bon si vous avez des invités sur une base régulière, mais ne voulez pas pêcher une clé WPA / WEP. Cependant, ce n'est pas une solution parfaite, et pour obtenir la meilleure sécurité, vous devez utiliser WPA2. WEP a été connu pour avoir des vulnérabilités qui peuvent être exploitées avec un sniffer de paquets.
WPA2 avec une longue clé cryptographiquement aléatoire. Utilisez un générateur de mot de passe pour générer un mot de passe aléatoire de 63 caractères (le maximum autorisé).
Exception: si vous souhaitez utiliser une Nintendo DS en ligne, vous devez utiliser WEP 128 bits. Ne faites pas confiance au réseau sans fil si vous le faites.
Je pense qu'un moyen sécurisé pour le routeur sans fil régulier est d'avoir une liste d'adresses MAC autorisées et de refuser l'accès au reste. En plus, vous pouvez utiliser un WPA2.
Ne placez jamais un cadenas de $ 1000 sur un vélo de 20 $.
Si votre réseau domestique, c'est-à-dire non seulement les hôtes individuels, mais aussi l'infrastructure de réseau, est si précieux que la force de WPA2 / PSK n'est pas une assurance suffisante contre les attaquants que vous attendez réellement, alors vous devez exécuter CAT- 5 câbles autour de votre maison au lieu des points d'accès Wi-Fi. Vous devriez également envisager des mises à niveau de vos systèmes de sécurité physique … la maison d'un homme est son château, comme on dit. N'oubliez pas de vous assurer que les générateurs ont des réservoirs de carburant avec une capacité suffisante, les réservoirs d'eau douce sont suffisamment grands pour toute la famille. Dans un siège, l'eau fraîche est habituellement la ressource qui court.