| Auteur |
Message |
chrisis
Forumeur occasionnel
Messages: 15
|
 Posté le:
Mer 21 Mai 2008 - 08:24 |
  |
Bonjour à tous.
Je passe le 23 juin et je n'ai pas encore préparer toutes mes epti. Je bosse depuis 1 an et demi dans un lycée (600 machines, 10 serveurs) et je vais profiter de cela pour tirer les activités de mon boulot.
J'ai deja en tête tout ce que je vais faire, j'aimerai avoir votre avis si cela n'est pas trop "léger".
- Serveur DHCP, DNS, AD sur 2003 serveur
- ADELE2K3 (création de compte et dossier virtuel) et GPO
- Serveur Antivirus Kaspersky
- Serveur @ssr (passage attestation securité routiere)
- Configuration d'un routeur wifi, avec gestion de la sécurité (cacher ssid, filtre adresse mac et clé wpa2)
Toutes ces activités seront mis en exemple avec un client bien sur, et ce en Windows XP.
Merci d'avoir lu ceci et de me répondre. |
|
|
  |
|
N'oubliez pas de vous inscrire à la communauté pour participer. Si vous êtes déjà membre, connectez-vous pour faire disparaître ce bandeau publicitaire. |
doctor madness
Forumeur occasionnel
Messages: 27
|
| Posté le:
Mer 21 Mai 2008 - 13:24 |
|
Je ne me permettrai pas de juger tes PTI, n'ayant pas passé l'épreuve.
Mais juste une petite remarque bete de sécurité sur du WiFi. Filtrer des adresses MAC dans un contexte de réseau crypté ne sert a rien, vu que si kk1 casse ton cryptage, il peut voir en clair les adresses MAC qui se connectent sur l'AP. Et cela a un cout de maintenant non justifié.
Voila, c'était mon presque-troll du jour |
|
|
|
|
chrisis
Forumeur occasionnel
Messages: 15
|
| Posté le:
Mer 21 Mai 2008 - 13:33 |
|
Casser mon cryptage, tu parle de la clé wpa ?
Ca se craque par brute force, et je vois pas ou tu peux voir mon filtre d'adresse MAC.
Et même en faisant une attaque par injection de paquet sur une clé wep, tu n'as pas acces au regle de filtrage. (cf cdlive de backtrack2).
Ceci dit, il y a peut etre d'autres méthodes... ceci dit, à propos de cette activité, je me demande si elle est assez conséquente pour etre présenté à un jury (car bon faire les 3 regles y en a pour 5 minutes apres faut brader...) |
|
|
|
|
doctor madness
Forumeur occasionnel
Messages: 27
|
| Posté le:
Mer 21 Mai 2008 - 15:47 |
|
je ne parlais juste que de la pertinence d'effectuer un filtrage sur les adresses MAC sur un wifi sécurisé par WPA. puisque soit ton WPA n'est pas compromis, auquel cas le filtrage MAC n'est pas nécessaire (le filtrage WPA se suffit a lui meme) , soit ton WPA est compromis, et dans ce cas, les adresses MAC sont lisibles en clair, et le filtrage par adresse MAC n'a pas de pertinence.
voila tout  ca n'est point un jugement sur la PTI, mais sur la combinaison de ces 2 sécurités qui m'étonne toujours (+ le cout de maintenance pour gérer le parc des adresses MAC autorisées) |
|
|
|
|
chrisis
Forumeur occasionnel
Messages: 15
|
| Posté le:
Jeu 22 Mai 2008 - 12:10 |
|
Bon bah alors ca serai filtrage adresse mac + une simple clé wep, c'est mieux ?  |
|
|
|
|
jimmy-ar
Accro à Web-IG
 
Sexe: 
Messages: 142
|
| Posté le:
Jeu 22 Mai 2008 - 18:39 |
|
le mieux c'est avec du SSL |
_________________
Term BTS IG Melun 77 IDF |
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
| Posté le:
Jeu 22 Mai 2008 - 19:26 |
|
| jimmy-ar a écrit: |
| le mieux c'est avec du SSL |
? |
_________________
Zonag |
|
|
|
MadWarrior
Accro à Web-IG
Sexe:
Messages: 161
Localisation: Noisy le Grand
|
| Posté le:
Jeu 22 Mai 2008 - 19:28 |
|
Yep peux tu expliquer le fond de ta pensée stp |
_________________
fire Demmmm Bill G. U dunnoh 
Linux Fi life!!!!!!!!!!!!!! |
|
 |
|
jimmy-ar
Accro à Web-IG
Sexe:
Messages: 142
|
| Posté le:
Jeu 22 Mai 2008 - 23:41 |
|
Ba,
Tu peux faire du wi-fi avec du SSL je crois que c du WPA-PSK ou je sais plus..
Mais tu peux mettre avec des certificats, autorité de certification |
_________________
Term BTS IG Melun 77 IDF |
|
|
|
chrisis
Forumeur occasionnel
Messages: 15
|
| Posté le:
Lun 26 Mai 2008 - 09:57 |
|
Hummm du SSL lié au wifi... j'ai vraiment des carrences moi :p
Sinon je n'ai pas vu avec l'interface de navigation que l'on pouvais lié des certificats.
Mis ça à part, vous pensez que mes PTI sont trop légères ou ça peut aller ? |
|
|
|
|
doctor madness
Forumeur occasionnel
Messages: 27
|
| Posté le:
Mar 27 Mai 2008 - 16:38 |
|
pour tes PTI ca me semble bien, je n'ai peut etre pas bien détaillé ma pensée concernant l'emploi du cryptage et d'un filtrage par adresse MAC sur un réseau WiFi.
Considérons le cas suivant :
Un réseau WiFi, crypté (par du WEP, du WPA ou autre), et dont l'accès est limité via une ACL d'adresses MAC.
Considérons un attaquant, un bandit, bref, un pirate assoiffé de sang, et de ressources informatiques. Il va devoir venir à bout des 2 sécurités mises en place.
Pour attaquer une sécurité WEP, ou WPA, il va devoir écouter l'activité réseau, et donc devra posséder les connaissances et les outils nécessaires. Si il vient à bout du cryptage employé (en utilisant les failles inhérentes au WEP ou par brute force sur le WPA), il pourra avoir accès au trafic réseau en clair. Hors les trames envoyées sur un réseau contiennent les adresses MAC des équipements. Il sera donc en mesure de récupérer les adresses MAC autorisées, et il pourra ainsi utiliser les valeurs obtenues pour avoir un accès au réseau.
A aucun moment le filtrage par adresse MAC ne lui aura poser problème, tout au plus cela aura retardé l'intrusion de quelques minutes. Par contre l'administrateur réseau aura eu à prendre en charge la maintenance de l'ACL, ainsi que la diffusion des informations relatives au cryptage (clé partagée, informations voire administration d'un serveur RADIUS et autre...)
Tout cela signifie, pour moi, que le filtrage par adresse MAC ne peut empêcher a un quelconque moment un éventuel assaillant de se connecter à un réseau WiFi crypté.
Ca peut etre une barrière (tres facilement contournable) dans un réseau en clair, mais dans un contexte de cryptage, je ne lui vois que des inconvénients. La sélection des utilisateurs autorisés se faisant par la distribution des informations nécessaires (clé partagée, identifiants RADIUS...)
Et pour finir mon trollage intensif, je n'en pense pas beaucoup moins du fait de "cacher" un SSID, qui n'est pas non plus une procédure de sécurité à proprement parler, car cela ne correspond pas aux standards du IEEE802.11, meme si la plupart des matériels et pilote le gèrent sans sourciller. Une station se connectant à un BSS émet un requête en clair, qui contient le SSID. Il est donc facile pour quelqu'un de récupérer cette valeur.
Dans les 2 cas, de petits éléments de sécurité valent mieux que rien, mais s'y fier est dangereux.
Voila ma pensée |
Dernière édition par doctor madness le Jeu 10 Juil 2008 - 09:30; édité 1 fois |
|
|
|
koj
Forumeur occasionnel
Sexe:
Messages: 21
|
| Posté le:
Mar 27 Mai 2008 - 21:23 |
|
| jimmy-ar a écrit: |
Ba,
Tu peux faire du wi-fi avec du SSL je crois que c du WPA-PSK ou je sais plus..
|
je pense que tu veut parler du radius ? |
|
|
|
|
jimmy-ar
Accro à Web-IG
Sexe:
Messages: 142
|
| Posté le:
Mer 28 Mai 2008 - 23:03 |
|
Radius Oui Mais sache qu'on peut facilement changer l'@ MAC.. Donc SSL pour crypté le tout |
_________________
Term BTS IG Melun 77 IDF |
|
|
|
chrisis
Forumeur occasionnel
Messages: 15
|
| Posté le:
Mar 03 Juin 2008 - 12:11 |
|
Etant donné que je n'y connais rien en serveur RADIUS, je me demande si c'est une bonne idée de présenter cette activité ! |
|
|
|
|
phenix
Forumeur occasionnel
Messages: 40
|
| Posté le:
Mar 03 Juin 2008 - 13:33 |
|
Je ne suis pas sur: Radius est un sujet intéressant, donc tu a un risque non négligeable de tomber dessus.
La personne que je connais qui a présenté raduis a eu beaucoup de questions théoriques. |
|
|
|
|
chrisis
Forumeur occasionnel
Messages: 15
|
| Posté le:
Mar 03 Juin 2008 - 13:36 |
|
Je prefererai tomber sur le serveur @SSR, c'est pour faire passer les test de sécurité routiere, obligatoire pour passer le permis voiture.
Apache, saisie d'une base de donnée, déploiement sur client, cryptage des copie... ca semble bien plus interessant à mon gout, et je maitrise bien le sujet ^^ |
|
|
|
|
|
|
