Sujet : Sécurité WiFi
J'ai du WiFi depuis longtemps. Dans le passé il fallait investir dans une solution hardware et bien configurer son O.S. Peu de monde l'utilisait, risque et pollution étaient quasi inexistant. Aujourd'hui tout a changé, Le WiFi est intégré dans le hardware, distribué et paramétré directement par les FAI (les box), utilisé par tout le monde même si un simple RJ45 suffit, et XP SP2 / VISTA le gère par défaut. Ce qui fait que l'on baigne dans un maëlstrom d'ondes, de réseaux et ... d'utilisateurs.
Je remets régulièrement à jour ce post. Ce n'est pas une documentation d'installation / utilisation du WiFi, c'est simplement un pense bête des principaux paramètres à vérifier avant d'appeler votre hotline à 0.30 cm d'euro la mn. Organisé en quatre thème :
- sécurité
- réception radio
- bande passante
- stabilité
C'est un récapitulatif de ce que j'ai eu l'occasion (malheureusement) de tester suite à de nombreux pb. Tout ce qui suit a été testé sous Windows XP PRO SP2.
Préambule mais il est peut être déjà trop tard, évitez les cartes mères avec WiFi intégré.
SECURITE
On ne parle que de la sécutité minimale, celle qui a un effet direct sur la qualité de la bande passante et la stabilité du réseau, rien à voir avec une sécurité anti-hacker. Ce qui suit ce comprends une fois votre réseau WiFi opérationnel. Reste que ce paramétrage de base est obligatoire.
SSID masqué (paramétrage sur le point d'accès)
Obligatoire : masquer le SSID évite que d'autres Windows que le vôtre voit votre point d'accès et essaye tout seul de s'y connecter. Pas d'illusion, un utilisateur verra votre réseau avec un utilitaires comme Network Stumbler
(éteignez votre point d'accès, démarrez votre PC, lancer Netstumbler et scannez)
Empêcher l'ajout de nouvelle connexion (paramétrage sur le point d'accès)
Obligatoire : SSID masqué ou non masqué, cette option interdit l'accès à tout nouveau PC.
Filtrage des mac adress (paramétrage sur le point d'accès)
Obligatoire : n'autoriser que les adresses mac de ses postes de travail. Rechercher l'adresse mac de la carte wifi du PC.
Démarrer > Exécuter > cmd > et dans la fenêtre D.O.S qui s'ouvre, saisir ipconfig /all et relever lAdresse physique de la carte rreseau Wireless.
Renseignez cette adresse dans votre point d'accès puis valider l'option accès adresse mac uniquement.
Mettre un clef fermant l'accès à votre réseau (paramétrage sur le point d'accès et sur votre carte WiFi)
Obligatoire : une clef WPA ou mieux WPA2.
Si vous avez le choix entre plusieurs cryptages (TKIP ou AES), choisissez AES. Si toutefois vous rencontrez des problèmes de compatibilité, revenez à TKIP qui est le standard de la première version de WPA.
Une clef WEP se crack en 10mn avec un simple freeware, une clef WPA longue avec combinaison de majuscules, minusules, chiffres et caractères spéciaux cela prend quelques années. Et ne pas faire une clef WPA "toto" !
WEP = Wired Equivalent Privacy
WEP 64 bits utilise une clé de chiffrement (par flot RC4) avec clé de 40 bits, le WEP 128 bits une clé de 104 bits.
WPA = Wi-Fi Protected Access, utilise une clé de chiffrement (par flot RC4) avec clé de 128 bits
WPA2 utilise une clé de chiffrement AES.
Cryptage (paramétrage sur le point d'accès)
Facultatif : grâce au nouveau hardware (point d'accès et PC) le cryptage des données qui transite ne plombe plus la bande passante. Le point d'accès crypte en hardware et les PC sont équipés de CPU dual ou quad Core, de vrai multitâche qui assume la tâche sans dégrader les performances.
Insistons, les quatre premiers points sont obligatoire si on ne veut pas se faire polluer son réseau (ne travaillant pas pour la Défense Nationale, je n'utilise pas le cryptage de données). Tout ceci est contournable par les petits génies de l'informatique. L'adresse MAC est diffusée en clair au moment de l'association du poste client au point d'accès (requête ARP). Il est possible de l'intercepter à ce moment précis. Pour ce faire, le néfaste utilise des outils (on ne mettra pas cette info ici) permettant de déconnecter le poste client ce qui oblige une nouvelle association au point d'accès. L'intru la récupère à l'aide d'un sniffer WiFi pour l'imiter ensuite.
Je demarre mon point d'accès et mon PC, la liaison WiFi ne se fait pas !
Inutile de se reconnecter en RJ45 et changer les options de sécurité du point d'accès
Utiliser windows pour configurer mon réseau sans fil
Quand on plug une carte WiFi, le système vous demande d'insérer le CD de pilote. Vous vous retrouvez donc avec deux gestionnaire, celui de Windows et celui du fabricant de la carte. Il est préférable de laissez Windows configurer le réseau sans fil.
Démarrer > Panneau de configuration > Connexions réseau, trouvez la connexion de votre carte sans fil > faites clic-droit, propriétés, et dans l'onglet "configuration réseau sans fil", valider "Utiliser Windows pour configurer mon réseau sans fil"
ps : si vous perdez l'onget configuration réseau sans fil,
Démarrer > Exécuter > à l'invite de commande saisir services.msc ou bien %SystemRoot%\system32\services.msc /s
Regardez la ligne "configuration automatique sans fil" > clic droit> propriété elle doit être sur manuel ou automatic
Redémarrez pour valider
Réparer une connexion réseau
Windows XP propose une option permettant de réparer une connexion réseau.
Démarrer > Panneau de configuration > Connexions réseau, trouvez la connexion de votre carte sans fil > faites clic-droit sur la connexion réseau souhaitée et de choisir l'option réparer.
Il est possible de lancer cette même commande à l'aide de l'outil Netsh avec la ligne de commande suivante :
netsh int ip reset c:\connexion-reseau.log
(c:\connexion-reseau.log représente l'adresse du fichier dans lequel le journal de la réparation sera consigné)
netsh int ip ...permet la remise à zéro de la couche TCP / IP.
Sous Windows XP service pack 2, on peut également ajouter :
netsh winsock reset catalog
Elle permet la remise à zéro du socket qui gère la couche TCP/IP. Cette commande peut être utilisée pour résoudre un problème lié au réseau (problème de navigation, problème d'adressage IP, etc...)
RECEPTION RADIO
On aurait pu commencer par cette rubrique, faire un test avant d'acheter un système WiFi c'est toujours mieux.
Positions des antennes (point d'accès et carte WiFi)
Pont d'accès : Une antenne Wifi ne doit pas être située à moins de 30 cm d'un mur à cause des réflexions qui perturbent le signal. Du fait de leur polarisation, il ne faut pas que les antennes soient perpendiculaires entre-elles. Dans le cas particulier des points d'accès à deux antennes, il est préférable de mettre ces deux antennes à angle droit pour bénéficier d'une double polarisation.
PC : le boitier métallique du PC pertube. Imaginez votre antenne coincée entre le mur et le boitier, vous perdez l'équivalent de 10 à 20 mètres de portée. Le mieux est un câble court reliant la carte à une antenne pouvant se poser sur socle que l'on positionne sur le PC ou sur le bureau.
Elément perturbants
On est dans le domaine de la radio => autre source d'émission radio, métal et humidtiité et vont perturber le signal
Faut éviter de "traverser" une cuisine. Attention aux appareils qui émettent des micro-ondes (four m/o 2450 MHz, Wifi 2400 MHz), ne jamais mettre son socle de téléphone DECT à côté de son point d'accès (distance d'1 mètre mimimum, dans ce cas prendre un prolongateur RJ11 pour le téléphone mais surtout pas pour le modem). Dans une environnement humide, plusieurs couches de papier peint sur un mur de plâtre sont l'équivalent d'un mur en béton. Prendre une antenne orientable (ou avec câble et support) pour éviter les pertubations du boitier métallique du PC.
Force du signal
Le signal Wifi doit être au moins "Bon". En dessous, le signal est tellement fragile c'est à dire sensible aux parasites, que les coupures de liaisons peuvent survenir ce qui demande souvent de réinitialiser la liaison.
L'amplification (point d'accès et carte WiFi)
Une solution en cas de grande distance mais attention, il faut que l'environnement radio soit propre sinon cela ne sert à rien.
On peut changer les antennes du point d'accès et de la carte du poste de travail pour un gain de puissance si nécessaire (en général +/- 7dB voir le catalogue constructeur). Changer le firmware du point d'accès le permet aussi mais attention aux repects des normes.
C'est avec l'utilitaire Network Stumbler que vous testerez la qualité de votre signal.
Dernière fois dit par Papypred (03-04-2008 16:18:07)