Sécuriser un reseau wifi (squatteur..)

Sécuriser un reseau wifi (squatteur..) - WiFi et CPL - Réseaux grand public / SoHo

Marsh Posté le 15-02-2010 à 20:00:57    

Bonjour
 
Il y a apparemment un petit malin qui s'amuse à venir squatter mon réseau wifi (que j'active que de temps en temps)
 
Et pourtant je pensais avoir configuré le réseau de sorte à ce que soit assez compliqué pour se connecter, voici mes paramètres :
- Clef WPA2-PSK (d'une trentaine de caractères)
- Diffusion du SSID désactivé
- Liste d'adresse MAC autorisés (AllowList)
- DHCP désactivé
- Adresse du routeur personnalisé  
 
Mais j'avais laissé le mot de passe par défaut pour l'accès à la page d'administration du routeur (Netgear), ce que je viens de corriger (le mec avait réussi à accéder à cette page et ajouter son adresse mac dans la liste)
 
Que faire d'autre pour éviter qu'il ne revienne? (en sachant que j'active le wifi que de temps en temps)
Et si jamais ça se produit, que pourrais-je faire pour lui couper l'envie de revenir?  :whistle: (par mp au pire)
 

Reply

Marsh Posté le 15-02-2010 à 20:00:57   

Reply

Marsh Posté le 15-02-2010 à 20:49:22    

- Clef WPA2-PSK (d'une trentaine de caractères)  
- Diffusion du SSID désactivé  
- Liste d'adresse MAC autorisés (AllowList)  
- DHCP désactivé  
- Adresse du routeur personnalisé  
 
mot de passe pour le profil administrateur à changer et ne pas laisser le mot de passe par défaut.
 
Tu as presque tout bon.
 
Change le nom SSID de ton réseau sans-fil.
 
Avec tout ça, tu seras tranquille :)


---------------
Configurations type du moment : https://forum.hardware.fr/hfr/Hardw [...] 1331_1.htm  https://www.jouannetphotographe.com
Reply

Marsh Posté le 17-02-2010 à 08:16:03    

Merci pour ta réponse  :jap:  
 
En effet je pensais avoir fait ce qu'il fallait pour sécuriser le réseau.

Reply

Marsh Posté le 19-02-2010 à 22:22:26    

Comment on peut avoir accès à la page d'administration si on n'est pas connecté au routeur avant? Moi je le fais par bluetooth sur certaines livebox mais bon...

Reply

Marsh Posté le 19-02-2010 à 22:44:46    

du bluetooth sur les livebox????
 
il faut utiliser un câble réseau.


---------------
Configurations type du moment : https://forum.hardware.fr/hfr/Hardw [...] 1331_1.htm  https://www.jouannetphotographe.com
Reply

Marsh Posté le 19-02-2010 à 22:48:19    

slr56 a écrit :

du bluetooth sur les livebox????
 
il faut utiliser un câble réseau.


 
 
Ouaipe, pas sur la dernière génération mais celle d'avant il me semble, je l'ai fait deux fois...
 
Et je doute que l'intrus ait eu accès à la prise ethernet de sa box  :D

Reply

Marsh Posté le 20-02-2010 à 18:04:46    


Tout simplement en passant par internet  :)  
 
Même si ton wifi est plutôt bien sécurisé, si tu laisse le login/pass d'origine du routeur et qu'il est accessible depuis internet c'est comme si tu mettais des barreaux aux fenêtres de ta maison et que tu laisse la porte d'entrée ouverte ...

Reply

Marsh Posté le 20-02-2010 à 18:07:38    

Mais justement, comment le gars peut avoir accès à ta box en passant par internet si il n'est pas connecté à la box du fait qu'il n'a pas la clef WPA?!

Reply

Marsh Posté le 20-02-2010 à 18:11:46    


http://www.microsoft.com/library/media/1033/windowsxp/images/using/networking/setup/68573-router-diagram.gif
 
[Edit] Il lui suffit d'avoir ton IP (l'adresse WAN du routeur) et un accès internet (sans s'occuper de ton wifi pour le moment, ce type à surement une box chez lui ...)
        Il rentre ton adresse IP dans son navigateur et il se retrouve sur la page principale de configuration de ton routeur (celle que tu as en tapant "http://192.168.1.1" dans la plupart des cas)
[/Edit]
 
PS: Fait un essai c'est le mieux ;)


Message édité par jim21 le 20-02-2010 à 18:19:02
Reply

Marsh Posté le 20-02-2010 à 18:18:03    

Mais ce que je demande c'est comment il peut se connecter au routeur sans avoir la clef WPA!!!

Reply

Marsh Posté le 20-02-2010 à 18:18:03   

Reply

Marsh Posté le 20-02-2010 à 18:24:26    

Il se peut même que ce type soit à des 100aines de km de chez toi, qu'il ne capte pas le moindre réseau wifi et qu'il arrive tout de même à modifier ta clé WPA, ton cryptage, voire pire ton login/pass ....
Dans ce cas tu n'aurais même plus accès à la page de configuration de ton propre routeur.
 
PS: Ton routeur dois surement logger les connections internet. Si ce scénario est avéré tu peux éventuellement récupérer son adresse IP ...


Message édité par jim21 le 20-02-2010 à 18:26:29

---------------
"Créez votre propre réseau social, passez au wifi"
Reply

Marsh Posté le 20-02-2010 à 18:30:40    

Via l'adresse IP on pourrait avoir accès au routeur? Ce genre de faille existe encore?

Reply

Marsh Posté le 20-02-2010 à 18:39:13    


lol c'est pas une faille c'est une fonctionnalité essentielle !
Elle est utilisée par la majorité des entreprises qui gèrent un parc de PC à distance, ou comme moi dans le cadre d'une PME pour démarrer/éteindre/contrôler des PC à distance tout ceci grâce à un accès SECURISE au routeur.
 :jap:

Reply

Marsh Posté le 21-02-2010 à 02:35:52    

Faudra m'expliquer quels modèles de routeurs ont le remote administration activé par défaut sur le port WAN.
 
Ca me paraît aussi tiré par les cheveux de retrouver l'adresse WAN d'un routeur aussi facilement.

Reply

Marsh Posté le 21-02-2010 à 11:23:12    

bonjour,
 
j'ai un netgear wndr3700 et à la sortie de boite, rien n'est accessible par defaut....
peut etre as tu paramétré un port pour avoir acces à distance au parametrage de ton routeur?
 
ce qui fait que n'importe qui (qui a le login/MDP mais tu semble dire que ceux ci n'ont été modifiés que récemment) peut taper ton IP publique (dispo sur les sites style monip.org) et ajoute à ça le :numéro_du_port_remote et BAM il se retrouve sur ton routeur....
 
mais ça me parait compliqué....il faut que:
1) tu entré un port de remote access
2) que la personne de dehor ai ton IP publique
 
perso j'utilise pour le taf des softs styl ethereal qui sniff les paquets qui se baladent... mais je ne suis pas sure que quelqu'un de l'exterieur puisse avoir acces aux données de l'intérieur....

Reply

Marsh Posté le 21-02-2010 à 12:06:12    

ccp6128 a écrit :

Ca me paraît aussi tiré par les cheveux de retrouver l'adresse WAN d'un routeur aussi facilement.


Adresse IP fixe. Il suffit que tu aies réussi une seule fois à te connecter au réseau wifi pour avoir l'adresse publique du routeur.
Les 3/4 des FAI en france utilisent une adresse IP fixe.


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 21-02-2010 à 12:42:26    

pour virer l'option d'administration distante sur les anciennes Sagem (désactivé par défaut) il suffit d'aller :
- depuis la page sur "Configuration avancée" (en haut à droite)
- puis sur "Pare-feu">"Politique" (de droite ou de gauche chez Orange :D )
- aller sur l'onglet "Administration distante"
- et tout décocher
 
ensuite en haut on va dans le menu "Réseau">"UpNP" et on décoche "Permettre aux autres utilisateurs du réseau de contrôler les fonctions du réseau Livebox" :D  
si tu n'utilises pas un service comme DynDNS, pense à regarder aussi dans le menu "Réseau">"DynDNS" s'il n'est pas actif...
 
pour finir, dans le menu "Pare-feu", on regarde qu'il y a seulement l'utilisateur "administrator". ne pas le supprimer par contre ! :lol:  
 
et si tu as une machine qui traîne, avec 2 cartes réseau, un petit ubuntu (serveur), et eBox avec l'option IDS (pour avoir un front-end pour Snort... c'est pas très propre mais bon :p )
 
@o'gure : les IP fixe ça n'existe que pour les abonnés câbles et fibre, ainsi qu'en grande métropole (Paris, Lyon, communauté de Lille même pas sûr :/). dès que tu t'éloignes un peu, pour peu que tu débranches 1h ta box tu auras une autre IP publique :D


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 21-02-2010 à 12:42:29    

ccp6128 a écrit :

Faudra m'expliquer quels modèles de routeurs ont le remote administration activé par défaut sur le port WAN.
 
Ca me paraît aussi tiré par les cheveux de retrouver l'adresse WAN d'un routeur aussi facilement.


 
Tout dépend de son installation. Si son routeur est derrière un modem adsl en mode bridge par exemple, l'adresse WAN du routeur est son adresse IP publique. Dans ce cas c'est celle qu'il laisse partout quand il navigue sur internet, envoie/répond à des mail, est envoyée par un malware qui infecte son PC .....ect.
Si il est derrière une "box" (qui est un modem/routeur) c'est déjà beaucoup plus tendu c'est sur.
 
Oui la majorité des routeurs (si c'est pas tous) ont la fonction d'accès distant désactivé par défaut. Mais c'est très facilement activé par erreur (ou pas).
 
 
@rodrigo trouver le port est un jeu d'enfant > Nmap (Zenmap GUI pour windows) est un scanner de port furtif qui fait ça et bien plus encore.
Certaines personnes regorgent d'idées pour trouver les adresses IP des honnêtes gens.
Ethereal (Wireshark) / Ethercap ... ne permettent pas de traverser un routeur. Il sont utilisables sur un réseau local uniquement.
 
[EDIT]@bardiel : Faux je suis chez Free ADSL en dégroupage partiel en pleine campagne et j'ai une adresse IP fixe comme tous les abonnés dégroupés chez Free. [/EDIT]
 
 
Après c'est vrai que je suis parti là dessus depuis le départ mais il y a d'autres possibilités au niveau du wifi pour pénétrer le réseau local de cette personne. Du moment ou il y a du wifi il y a un risque de toute façon. Après son réseau local c'est pas la banque de france je pense.

Message cité 1 fois
Message édité par jim21 le 21-02-2010 à 12:44:51
Reply

Marsh Posté le 21-02-2010 à 14:13:00    

chez Free c'est peut-être le cas, chez Orange je peux t'assurer que non, à moins que tu ne considères que les 3/4 des "internautes" français sont chez Free ? :D  
ou alors Free à encore de la marge ou est passé en IPv6 sur la majorité de son réseau ? :sol:  
 

jim21 a écrit :

Après c'est vrai que je suis parti là dessus depuis le départ mais il y a d'autres possibilités au niveau du wifi pour pénétrer le réseau local de cette personne. Du moment ou il y a du wifi il y a un risque de toute façon. Après son réseau local c'est pas la banque de france je pense.


banque de France ou particulier, entre la LOPPSI et Hadopi y'a de quoi plonger pour pas grand chose de nos jours :pfff: (il serait temps que les FAI se mettent d'ailleurs dessus, car par défaut aucune des box livrées - représentant 80% des clients particuliers au moins, entre les options téléphones et TV propriétaires - n'est "hadopi compatible" )


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 21-02-2010 à 14:34:28    

bardiel a écrit :

chez Free c'est peut-être le cas, chez Orange je peux t'assurer que non, à moins que tu ne considères que les 3/4 des "internautes" français sont chez Free ? :D
ou alors Free à encore de la marge ou est passé en IPv6 sur la majorité de son réseau ? :sol:

 



Je parlais des FAI... étant chez orange je sais très bien que je n'ai pas d'adresse IP fixe (malheureusement :/).
Free, Darty et autres utilisent un pseudo-adressage fixe (comprendre que tant que tu ne déménages pas, elle n'est pas modifiée).


Message édité par o'gure le 21-02-2010 à 14:34:38

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 21-02-2010 à 15:43:43    

bardiel a écrit :

chez Free c'est peut-être le cas, chez Orange je peux t'assurer que non, à moins que tu ne considères que les 3/4 des "internautes" français sont chez Free ? :D  


 
Bientôt  :sol:
(Non je plaisante bien sûr ils se valent tous plus ou moins)
 
Au niveau du wifi de toute façon WPA ou pas il y aura toujours un risque (aussi infime soit-il) pour qu'une personne s'introduise dans le réseau local.
Mais le plus grand risque reste quand même l'erreur humaine.
 
L'attaque par rogue AP* "tendance" en ce moment permet de jouer simplement sur l'innocence de la victime. Vous croyez être connecté à votre propre réseau wifi "Livebox-B06..." en WPA alors qu'en réalité une personne à crasher votre point d'accès (par injection d'un grand nombre de paquets de données), a crée son propre faux point d'accès "Livebox-B06..." sans cryptage et vous vous retrouvez en réalité connecté à un réseau fantôme monté de toute pièce pour collecter des données.
Il faut savoir que sous Linux se genre de chose est réalisable avec un minimum de connaissances et d'essais et les tutos pullulent sur net !
 
(rogue AP*: "Le but est de créer un faux point d'accès Wifi et d'usurper l'identité d'un routeur. Pour cela, le routeur sera crashé afin que les clients associés au point d'accès initial se connectent au faux point d'accès mise en place. L' accès à internet est renvoyé au client par le biais du faux point d'accès afin qu'ils ne s'aperçoive de rien" )

Reply

Marsh Posté le 22-02-2010 à 12:53:46    

en farfouillant dans mes favoris ( :D ) j'ai retrouvé ce petit article en anglish pour "bien agencé" son réseau WiFi. bon en pratique c'est plus orienté entreprise :o  
 
tant qu'à Free, ils ont tout compris, y compris... Hadopi :D


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed