• Papypred
  • Le patriarche de la 7ième
  • Offline
  • De : Andrub - Kor-Azor
  • Enregistré : 22-10-2005
  • Posts info : 348

Sujet : Sécurité WiFi

J'ai du WiFi depuis longtemps. Dans le passé il fallait investir dans une solution hardware et bien configurer son O.S. Peu de monde l'utilisait, risque et pollution étaient quasi inexistant. Aujourd'hui tout a changé, Le WiFi est intégré dans le hardware, distribué et paramétré directement par les FAI (les box), utilisé par tout le monde même si un simple RJ45 suffit, et XP SP2 / VISTA le gère par défaut. Ce qui fait que l'on baigne dans un maëlstrom d'ondes, de réseaux et ... d'utilisateurs.

Je remets régulièrement à jour ce post. Ce n'est pas une documentation d'installation / utilisation du WiFi, c'est simplement un pense bête des principaux paramètres à vérifier avant d'appeler votre hotline à 0.30 cm d'euro la mn. Organisé en quatre thème :
- sécurité
- réception radio
- bande passante
- stabilité
C'est un récapitulatif de ce que j'ai eu l'occasion (malheureusement) de tester suite à de nombreux pb. Tout ce qui suit a été testé sous Windows XP PRO SP2.

Préambule mais il est peut être déjà trop tard, évitez les cartes mères avec WiFi intégré.


SECURITE
On ne parle que de la sécutité minimale, celle qui a un effet direct sur la qualité de la bande passante et la stabilité du réseau, rien à voir avec une sécurité anti-hacker. Ce qui suit ce comprends une fois votre réseau WiFi opérationnel. Reste que ce paramétrage de base est obligatoire.

SSID masqué (paramétrage sur le point d'accès)
Obligatoire : masquer le SSID évite que d'autres Windows que le vôtre voit votre point d'accès et essaye tout seul de s'y connecter. Pas d'illusion, un utilisateur verra votre réseau avec un utilitaires comme Network Stumbler
(éteignez votre point d'accès, démarrez votre PC, lancer Netstumbler et scannez)

Empêcher l'ajout de nouvelle connexion (paramétrage sur le point d'accès)
Obligatoire : SSID masqué ou non masqué, cette option interdit l'accès à tout nouveau PC.

Filtrage des mac adress (paramétrage sur le point d'accès)
Obligatoire : n'autoriser que les adresses mac de ses postes de travail. Rechercher l'adresse mac de la carte wifi du PC.
Démarrer > Exécuter > cmd > et dans la fenêtre D.O.S qui s'ouvre, saisir ipconfig /all et relever lAdresse physique de la carte rreseau Wireless.
Renseignez cette adresse dans votre point d'accès puis valider l'option accès adresse mac uniquement.

Mettre un clef fermant l'accès à votre réseau (paramétrage sur le point d'accès et sur votre carte WiFi)
Obligatoire : une clef WPA ou mieux WPA2.
Si vous avez le choix entre plusieurs cryptages (TKIP ou AES), choisissez AES. Si toutefois vous rencontrez des problèmes de compatibilité, revenez à TKIP qui est le standard de la première version de WPA.
Une clef WEP se crack en 10mn avec un simple freeware, une clef WPA longue avec combinaison de majuscules, minusules, chiffres et caractères spéciaux cela prend quelques années. Et ne pas faire une clef WPA "toto" !
WEP = Wired Equivalent Privacy
WEP 64 bits utilise une clé de chiffrement (par flot RC4) avec clé de 40 bits, le WEP 128 bits une clé de 104 bits.
WPA = Wi-Fi Protected Access, utilise une clé de chiffrement (par flot RC4) avec clé de 128 bits
WPA2 utilise une clé de chiffrement AES.

Cryptage (paramétrage sur le point d'accès)
Facultatif : grâce au nouveau hardware (point d'accès et PC) le cryptage des données qui transite ne plombe plus la bande passante. Le point d'accès crypte en hardware et les PC sont équipés de CPU dual ou quad Core, de vrai multitâche qui assume la tâche sans dégrader les performances.

Insistons, les quatre premiers points sont obligatoire si on ne veut pas se faire polluer son réseau (ne travaillant pas pour la Défense Nationale, je n'utilise pas le cryptage de données). Tout ceci est contournable par les petits génies de l'informatique. L'adresse MAC est diffusée en clair au moment de l'association du poste client au point d'accès (requête ARP). Il est possible de l'intercepter à ce moment précis. Pour ce faire, le néfaste utilise des outils (on ne mettra pas cette info ici) permettant de déconnecter le poste client ce qui oblige une nouvelle association au point d'accès. L'intru la récupère à l'aide d'un sniffer WiFi pour l'imiter ensuite.

Je demarre mon point d'accès et mon PC, la liaison WiFi ne se fait pas !
Inutile de se reconnecter en RJ45 et changer les options de sécurité du point d'accès

Utiliser windows pour configurer mon réseau sans fil
Quand on plug une carte WiFi, le système vous demande d'insérer le CD de pilote. Vous vous retrouvez donc avec deux gestionnaire, celui de Windows et celui du fabricant de la carte. Il est préférable de laissez Windows configurer le réseau sans fil.
Démarrer > Panneau de configuration > Connexions réseau, trouvez la connexion de votre carte sans fil > faites clic-droit, propriétés, et dans l'onglet "configuration réseau sans fil", valider "Utiliser Windows pour configurer mon réseau sans fil"

ps : si vous perdez l'onget configuration réseau sans fil,
Démarrer > Exécuter > à l'invite de commande saisir services.msc ou bien %SystemRoot%\system32\services.msc /s
Regardez la ligne "configuration automatique sans fil" > clic droit>  propriété elle doit être sur manuel ou automatic
Redémarrez pour valider

Réparer une connexion réseau
Windows XP propose une option permettant de réparer une connexion réseau.
Démarrer > Panneau de configuration > Connexions réseau, trouvez la connexion de votre carte sans fil > faites clic-droit sur la connexion réseau souhaitée et de choisir l'option réparer.

Il est possible de lancer cette même commande à l'aide de l'outil Netsh avec la ligne de commande suivante :
netsh int ip reset c:\connexion-reseau.log
(c:\connexion-reseau.log représente l'adresse du fichier dans lequel le journal de la réparation sera consigné)
netsh int ip ...permet la remise à zéro de la couche TCP / IP.

Sous Windows XP service pack 2, on peut également ajouter :
netsh winsock reset catalog
Elle permet la remise à zéro du socket qui gère la couche TCP/IP. Cette commande peut être utilisée pour résoudre un problème lié au réseau (problème de navigation, problème d'adressage IP, etc...)


RECEPTION RADIO
On aurait pu commencer par cette rubrique, faire un test avant d'acheter un système WiFi c'est toujours mieux.

Positions des antennes (point d'accès et carte WiFi)
Pont d'accès : Une antenne Wifi ne doit pas être située à moins de 30 cm d'un mur à cause des réflexions qui perturbent le signal. Du fait de leur polarisation, il ne faut pas que les antennes soient perpendiculaires entre-elles. Dans le cas particulier des points d'accès à deux antennes, il est préférable de mettre ces deux antennes à angle droit pour bénéficier d'une double polarisation.
PC : le boitier métallique du PC pertube. Imaginez votre antenne coincée entre le mur et le boitier, vous perdez l'équivalent de 10 à 20 mètres de portée. Le mieux est un câble court reliant la carte à une antenne pouvant se poser sur socle que l'on positionne sur le PC ou sur le bureau.

Elément perturbants
On est dans le domaine de la radio => autre source d'émission radio, métal et humidtiité et vont perturber le signal
Faut éviter de "traverser" une cuisine. Attention aux appareils qui émettent des micro-ondes (four m/o 2450 MHz, Wifi 2400 MHz), ne jamais mettre son socle de téléphone DECT à côté de son point d'accès (distance d'1 mètre mimimum, dans ce cas prendre un prolongateur RJ11 pour le téléphone mais surtout pas pour le modem). Dans une environnement humide, plusieurs couches de papier peint sur un mur de plâtre sont l'équivalent d'un mur en béton. Prendre une antenne orientable (ou avec câble et support) pour éviter les pertubations du boitier métallique du PC.

Force du signal
Le signal Wifi doit être au moins "Bon". En dessous, le signal est tellement fragile c'est à dire sensible aux parasites, que les coupures de liaisons peuvent survenir ce qui demande souvent de réinitialiser la liaison.

L'amplification (point d'accès et carte WiFi)
Une solution en cas de grande distance mais attention, il faut que l'environnement radio soit propre sinon cela ne sert à rien.
On peut changer les antennes du point d'accès et de la carte du poste de travail pour un gain de puissance si nécessaire (en général +/- 7dB voir le catalogue constructeur). Changer le firmware du point d'accès le permet aussi mais attention aux repects des normes.

C'est avec l'utilitaire Network Stumbler que vous testerez la qualité de votre signal.

Dernière fois dit par Papypred (03-04-2008 16:18:07)

http://7iemecie.free.fr/images/signatures/sig_papystro.jpg

Papypred Website

2 réponse par Arland

  • Enregistré : 29-10-2004
  • Posts info : 416

Re : Sécurité WiFi

Merci pour ces infos Papy. smile

Spécialiste gros calibres.
http://7iemecie.free.fr/images/signatures/sig_arland.jpg

3 réponse par Papypred

  • Papypred
  • Le patriarche de la 7ième
  • Offline
  • De : Andrub - Kor-Azor
  • Enregistré : 22-10-2005
  • Posts info : 348

Re : Sécurité WiFi

suite ...

BANDE PASSANTE
Le premier des disfonctionnement le plus répandu : on a son réseau WiFi sécurisé avec une excellente qualité radio et le débit s'effondre à 900 Ko !

La connectique (carte WiFi)
L'élément le plus fragile c'est l'antenne qui se visse sur la carte WiFi à l'arrière de votre boitier. Dès que l'antenne est connectée le signal radio émet/recoit sans problème, par contre la moindre défaillance et c'est le protocole UDP qui s'effondre. Il faut bien visser trèèèèès légérement et s'assurer que l'antenne n'est pas en porte à faux (vaut mieux qu'elle soit en positon verticale). C'est aussi pourquoi un câble court reliant la carte à une antenne pouvant se poser sur socle est préférable.
Vérifier la qualité du flux avec un test de bande passante

Le chevauchement des canaux (carte WiFi et point d'accès)
France : 13 canaux disponibles
http://www.icriq.com/fr/productique_tfp/Figure6_sans_fil.jpg
chevauchement des canaux -  source : Cisco Forum Network 2006
Les sytèmes WiFi sont livrés avec le canal 1, 6 ou 11 par défaut. Il ne faut jamais être sur le même canal qu'un réseau qui chevauche le vôtre. Si nécessaire se déplacer en évitant tout chevauchement. C'est avec l'utilitaire Network Stumbler que vous détecterz les canaux des réseaux qui chevauchent le vôtre et vous changerez ce paramètre dans votre point d'accès.

Dépasser le débit 3M/bits
Par défaut Windows XP SP2 ne permet pas un flux internet supérieur à 3M/bits. Si vous réinstallez tout à la main, n'oubliez pas le correctif
Téléchargement
direct
Il agrandi la fenêtre TCP-IP de Windows en écrivant dans le registre:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpWindowSize: 0x0000FFFF

Vérifiez le % de la bande passante
(uniquement sous XP et manipulation a effectuer en tant qu'administrateur)
Windows Xp peut se réserver 20% de votre bande passante mais vous disposez en fait de 100% de celle ci. Cela a très peu d'incidence mais vérifiez néanmoins qu'il n'y a pas un mauvais paramétrage.

Démarrer > Executer> à l'invite de commande saisir gpedit.msc
. une fenêtre s'ouvre "stratégie de groupe"
. partie de droite double cliquez sur "Configuration ordinateur"
. doublecliquez sur "Modèles d'administration"
. sur la partie droite cliquez sur "Réseau"
. double cliquez sur "planificateur de paquets QOS"
. dans la fenêtre "propriétés de limiter la bande passante réservable" les options "non configuré" et "désactivé" donne la valeur par défaut (20%)
. si vous voulez vous prendre les 100%, dans la fenêtre "propriétés de limiter la bande passante réservable" validez l'option "Activé" en donnant la valeur 0. Personnellement, je n'ai jamais vu la différence.


LA STABILITE
La déconnexion aléatoire avec reconnexion immédiate : le deuxième des principaux disfonctionnement, celui qui fait s'arracher les cheveux de la tête ! Anodin en consultation web, cela empêche les longs téléchargements et le jeu en réseau.

Gestion d'économie d'énergie
Dans Windows 98/2000/XP, l'économie d'énergie peut créer des coupures de liaisons Wifi.
Dans "Propriétés de la carte réseau"
Désactiver : Autoriser windows à désactiver ce périphérique

Sécurité
Dans Windows 2000/XP, l'analyse de sécurité peut empêcher la liaison.
Dans "Propriétés de Connexions réseau sans fil"
Désactiver : Authentification IEEE 802.1X sur ce réseau

Timeout
Dans Windows NT/2000/XP, les sessions réseaux inactives sont déconnectées au bout d'un certain temps.
Dans la base de registre, dans la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer
Ajouter ou modifier le mot clé : Autodisconnect (DWORD) avec pour valeur ffffffff (Hexadécimal) ou 4294967295 (Décimal), cette valeur est un temps en minutes qui invalide la fonction.

Carte mixte
Les anciennes cartes n'étaient que 802.11g débit théorique 54 Mbit/s, les nouvelles permettent une interopérabilité avec les réseaux sans fil B 802.11b à 11 Mbit/s pour les points hot spot par exemple (même celle PCI destinée au PC bureautique) . La publicité les appelle intelligentes, mon oeil ! Quand on est chez soi, il faut s'en tenir au 802.11g only. Cela se fait à deux endroits :
- dans les paramètres de la carte, il faut dévalider "802.11/mixt " pour prendre "802.11g only"
> Démarrer, connexion, afficher toutes les connexions
> clic droit sur Propriétés sur la connexion réseau sans fil > rechercher le paramètre "Authentification" puis sélectionnez 802.11g only ou bien dévalidez Autoriser le contrôle d'accès reseau utilisant la norme 80.2.11b ou 802.11/mixt.
- dans les paramètres du point d'accès (c'est d'ailleurs souvent le 802.11g only par défaut)

Obligatoire. Supprimer les autres réseaux vu par votre PC
> Panneau de configuration
> connexions réseau, bouton de droite Propriétés de connexion réseau sans il
> dans la fenêtre Proritété de Connexion réseau sans fil, onglet Configuraton réseau sans fil
> cliquez sur Afficher les réseaux sans fils pour observer les réseaux au voisinnage de votre PC
Supprimez systématiquement les autres réseaux.

Si cela ne suffit pas : Service Windows Zero Configuration ou WZCSVC
Dans Windows XP, le WZCSVC (Windows Zero Configuration SerViCe) est un processus qui recherche le meilleur point d'accès toutes les minutes et qui peut poser des problèmes dans certains cas.

A) Actication / désactication du servuice
Pour l'arrêter ou redémarrer
> Démarrer, Exécuter
> à l’invite saisir services.msc
> dans la fenêtre Services, rechercher Windows Zero Configuration

B) plus rapide, se faire deux petits fichiers batch
> Démarrer, programme, accessoire, bloc notes
Pour l'arrêter (après qu'une liaison soit correctement établie), il suffit de créer et d'exécuter un fichier wzcstop.bat contenant :
@echo off
net stop WZCSVC
pause
@echo on

Pour le démarrer (pour rechercher un nouveau point d'accès), il suffit de créer et d'exécuter un fichier wzcstart.bat contenant :
@echo off
net start WZCSVC
pause
@echo on

test de maintien d'activité
Dans certains cas mal cernés, il est possible de fiabiliser une liaison Wifi en imposant une activité constante entre les matériels (test en boucle). Il suffit, sur la machine distante, de faire exécuter la commande :
ping -t 192.168.1.1
avec l'adresse IP du routeur.

Dernière fois dit par Papypred (03-04-2008 16:22:13)

http://7iemecie.free.fr/images/signatures/sig_papystro.jpg

Papypred Website

4 réponse par Cirle

  • Cirle
  • CO du Squad "La 7ième Cie"
  • Offline
  • De : St-Quentin-en-Yveline France
  • Enregistré : 28-05-2004
  • Posts info : 1,128

Re : Sécurité WiFi

Joli poste, merci à toi Papy.

Cirlé - chroniqueur officiel de la 7ième, de tous les potins de WWIIonline
http://7iemecie.free.fr/images/signatures/sig_cirle.jpg

Cirle Website