Sécurité maximum sur son réseau WIFI

Posté le Jeudi, 24 novembre, 2011 · 2 commentaires 

Lorsque l’on souhaite avoir un peu de sécurité pour son réseau Wifi, le premier conseil sur lequel on tombe est de ne pas utiliser de clef WEP, le soucis c’est que l’on trouve rarement d’autres suggestions intéressantes. Comment peut on aller plus loins dans la sécurité sans trop empiéter sur la facilité d’utilisation ?
Voici une liste de recommandations détaillées que vous pouvez intègrer à votre réseaux pour le sécurisé au maximum et ainsi dormir sur vos deux orreilles. :)

Premier choix, celui le chiffrement

Évidement, pour le choix du protocole de sécurité, le plus sur est d’utiliser WPA2, la seule raison pour laquelle vous voudriez choisir du WEP serait pour rester compatible avec certains appareils (Nintendo DS entre autre).

La difference entre le WPA entreprise et WPA personal est que le premier a besoin d’un serveur d’authentification et que le second utilise une clef partagée. Le WPA entreprise apporte un léger plus (authentification, autorisation, tracabilité) mais la mise en place d’un serveur radius dans un milieu personnel est beaucoup trop lourde pour une utilisation personnelle, aussi avancé soit-elle.
Le WPA Personal, utilise pour sa part une clef partagé. Il s’agit simplement du mot de passe d’accès au réseau qui est connus par le point d’accès et la machine cliente.

Enfin arrive le choix du qui, lui, est souvent plus énigmatique. Pourtant le choix est plutôt évident lorsque l’on commence à savoir de quoi l’on parle. AES est le chiffrement natif de WPA2, qui est plus rapide puisque géré matériellement, TKIP est celui de la premiere version de WPA, qui pour rappel, n’est qu’une mise à jour en urgence du WEP connu pour ses grosses failles de sécurité.
Encore une fois, à part pour d’obscures raisons de retrocompatibilité vous n’avez aucune raison d’utiliser TKIP, d’autant plus que des failles plus ou moins sérieuses ont étés découvertes dans l’algorythme.

Pour plus de sécurité

En partant sur ces bonnes bases, nous pouvons maintenant ajouter une couche supplementaire de sécurité, le filtrage par adresses MAC.
Il s’agit de configurer votre routeur de façon à ce que seulement certains appareils enregistrés au préalable puissent accèder à votre réseau. Cette mesure n’est pas suffisante par elle-même puisqu’il est plutôt facile de changer son adresse MAC mais pour cela, il faut savoir en quoi la changer. Il est aussi possible d’intercepter  à distance les addresses MAC des machines connectées au routeur mais lorsque ce n’est pas le cas, cela est très improbable.

La configuration de ce paramètre est assez rapide et n’est nécéssaire qu’une seule fois pour chaque appareil.
Cependant un problème ce pose lorsque des invités veulent utiliser votre réseau, vous serez obligé de mettre à jour votre configuration pour qu’ils puissent se connecter. Le même soucis arrive si vous changez très régulièrement d’appareils (laptop, tablette, smartphone…).

Un peu plus loin

Un autre aspect souvent négligé est celui de l’interface de configuration de votre point d’accès. En effet, la plupart des identifiants sont laissés par défaut ce qui n’est évidemment pas recommandé.
En prenant en compte le fait que ces mots de passe sont facilement bruteforcables car sur un réseau local, il  pourrais être préferable de choisir un mot de passe long et complexe (plus de 10 caractères). Néanmoins, l’accès à cette interface étant occasionnel, il est préférable d’y rentrer un mot de passe dont vous serez sur de vous souvenir, sous peine de devoir remettre à zéro votre routeur pour un simple changement/mise à jour de paramètres.

L’accès à l’interface est une chose, sa configuration en est une autre. Dans le même style que le filtrage par adresse MAC, la mise en place d’IP fixe ajoute encore un peu sécurité à votre réseau. Cela consiste à spécifier une adresse ip fixe à chacun de vos appareils au lieu de laisser le serveur DHCP les assigné dynamiquement. Cela implique qu’une machine non correctement configurée ne pourra pas utiliser le réseau. Autre avantage non négligeable, cela empêche en partie les attaques de type man in the middle par ARP spoofing (voir cet article).

Du coté physique

Une mesure intéressante est aussi de réduire la portée de votre réseau wifi, cela est possible en réduisant la puissance d’émission de votre routeur. La portée théorique du wifi est de 100m sans obstacles (murs, personnes, interférences …). Si vous avez un petit appartement ou que votre utilisation du wifi est limite à une certaine zone, cela réduira la surface d’attaque extérieure sans gênner votre utilisation.

D’autre part, vous pouvez également désactiver les ports ethernet inutilisés de votre routeur si vous manquez de confiance dans les personnes avec qui vous vivez :) .


Dans la catégorie Secu · Tags , , , , , , , , , , ,



Comments

2 Responses to “Sécurité maximum sur son réseau WIFI”
  1. thelan dit :
    22 janvier 2012 à 20 h 46 min

    On parle de sécurité, et ça ne parle même pas de 802.1x dommage :)

  2. Thomas dit :
    22 janvier 2012 à 21 h 56 min

    Le but de l’article était d’apporter des solutions simple grand public pour sécurisé son réseau. Mais j’en parle quand même un peu:
    « Le WPA entreprise apporte un léger plus (authentification, autorisation, tracabilité) mais la mise en place d’un serveur radius dans un milieu personnel est beaucoup trop lourde pour une utilisation personnelle, aussi avancé soit-elle. »

Qu'en pensez vous ?

Je me ferais un plaisir de répondre à vos questions et comentaires !
Et si vous voulez afficher une image avec votre comentaire, créez un gravatar!