Eviter le vol de cookie via wifi

[-Sorrow-]

Bonjour à tous, y'a peu je me suis fait hack complétement (msn, gmail, steam, ebay, facebook, paypal ect...).

Portant niveau sécurité je suis au point, du moins je le pense.

- J'ai NOD32 version professionnelle avec les derniéres mises à jour virales.

- Je n'ai rien télécharger de bizard, je vais que sur des sites sûrs.

- Je n'ai jamais donné mon mot de passe à qui que ce soit.

Cependant, mon voisin est un hacker, il a monté sa propre petite entreprise apparmement. Il a vers les 25 ans, c'est un geek donc sa m'étonnerait pas de lui.

Notre routeur est une freebox HD v5, le wifi est sécurisé en WEP (oui je sais, le WPA c'est bien mais les pc de mes soeurs ont quelques problémes avec ).

Alors pour le problème de hack, j'ai pensé a ce gars-là, qu'il se soit introduit dans notre réseau wifi (sa doit etre un jeu d'enfant pour lui), et qu'il ai ensuite dérobé mes cookies.

Comment faire pour éviter ce genre de choses ? Comment puis-je savoir lorsque quelqu'un s'introduit sur notre réseau ? Auto-scan network OK, mais il ne fonctionne pas sous Sev7en 64bits.

Vous avez quelques réponses svp ? Merci énormément

[RaphAstronome]

Utilise WPA2-AES ou un câble réseau à mon avis il y a pas d'autres solutions valable. Tant pis pour ceux qui peuvent pas ils devrait s'acheter une carte réseau.

La passphrase doit également être aléatoire, très longue et n'ayant rien a voir avec ta clé WEP actuelle.

[-Sorrow-]

Merci mon chéri, c'est ce que je comptais faire.

Y'a donc aucun moyen de savoir si quelqu'un introduit notre réseau ?

[Bashy]

En surveillant les IP qui transitent sur le réseau si, mais ce n'est que de la détection, ça n'agit pas.

Un moyen (peu) dissuasif reste la désactivation de serveur DHCP, attribution des paramètres IP en dur sur chaque PC, utiliser une plage d'IP locales "fantaisies" (exemple : 172.22.67.0 à 172.22.67.255) mais bon il y a toujours moyen de s'introduire :).

Le seul bon moyen de se prémunir contre les vols de cookie et autres choses de ce type est de disposer d'un serveur VPN dans le réseau qui lui est connecté en filaire, et lors de ta connexion wifi tu te ouvres automatiquement une connexion via ce VPN (pour rappel, dans les réseaux WiFi type mcdo, starbucks, et autres, on peut très aisément vous voler ces informations, faites donc très attention, là le seul moyen est de disposer d'un VPN distant ou un tunnel SSH).

[-Sorrow-]

Oula sa devient compliqué tout ça.

Si je fais accepter la connexion qu'a certaine adresse MAC, sa pourrait peut-être etre mieux :(

[Bashy]

On peut s'attribuer n'importe quelle adresse MAC en une ligne sous linux :)

[-Sorrow-]

Chaud il aura encore accés a la connection alors :-(

[Mephisto]

tu peux toujours te mettre en ssid masque

ca resoudra pas tout, mais si ca se resume a du squatte, il ira voire ailleurs

- supprime tes cookies, et reconnecte-toi sur tes sites, qu'ils t'en attribuent de nouveaux

- change tes mots de passes

- utilise un mot de passe par service (si ton voisin a ete si productif, je presume que tu utilisais au moins un mot de passe pour plusieurs sites)

mais oui, pour securiser ton wifi, le wpa, c'est le minimum syndicale

tu peux utiliser ton propre serveur dhcp, pour logger les attributions d'IP (en particulier les addresses mac, si tu te lance dans le filtrage mac) et connaitre quelques details sur les attaques

regarder du cote des utilitaires de monitoring reseau (mais ca te demandera probablement un minimum de pratique avant d'avoir quelque chose de fonctionnel)

eventuellement, une fois l'attaquant identifie, tu pourrais declancher un script pour faire sauter la connexion (synflood, ... ou plus creatif)

ou, deja dit, supprimer dhcp, et changer de plage IP

par contre, le routeur freebox force l'utilisation du '192.168.',donc, met-toi en 192.168.243.xxx (loin du 0, pas trop pres du 255, pas de '42', c'est 'mieux', ca decourrage les scann manuels (ping/telnet/...), mais de toute facon, un coup de nmap et c'est fini)

l'ideal serait d'utiliser un autre routeur (les switch/routeurs que tu trouvera dans tout commerce, ou une machine dedie), pour definir toi-meme ton reseau, sans dhcp, sur une plage IP improbable

pour fouttre un peu plus le bordel dans ton changement de reseau, je te propose egalement de reduire le nombre d'ip attribuables - et de ne pas utiliser le premier sous-reseau disponible (si tu utilise le premier, peu importe d'avoir reduit le masque, l'attaquant ira probablement chercher a se mettre sur une des premieres IP disponible, et peu importe le changement de masque, il aura tout de meme acces au reseau, au moins en partie)

donc, par exemple, pour n'utiliser que 6 IP, tu vas prendre un masque de 255.255.255.248, et par exemple, utiliser un reseau en 192.168.243.216, avec comme plage ip 192.168.243.217-222 et comme broadcast:192.168.243.223

et, si tu n'as besoin que de 2 IP, tu vas choisir un masque de 255.255.255.252, un reseau possible serait en 192.168.243.220, avec tes deux IP: .221 et .222, et ton broadcast: .223

(remarque : tu peux aussi faire ca en DHCP)

l'ideal serait que tu ais autant de peripheriques reseau que d'IP, pour, soit en regardant les logs, soit avec les alertes windows, savoir quand une personne utilise l'IP d'un de tes postes

[uzak]

Ou alors tu vas chez lui pour lui casser la gueule (bon faut être sur que c'est lui aussi :) )

[-Sorrow-]

Merci beaucoup pour toutes ces informations Mephisto ! Même si je n'ai pas comprit l'intégralité ^^ Avec toutes ces IP, broadcast ect... xd

J'ai l'impression que les options de la freebox sont plutot limité a ce que je peut voir car le broadcast par exemple j'ai pas (a moins que sa porte un autre nom). Pareil pour le masque, je peux rien faire quasiment :(

uzak, oui, si je suis sur que c'est lui t'inquiéte pas j'irai le voir et sa ira plutot mal pour lui.

[Mephisto]

meme si ce n'est pas indique, c'est suppose

on ne definit pas un broadcast, il est calcule en fonction d'une addresse du reseau, et de ton masque

dans une addresse IP, on distigue l'hostid et le netid grace au masque

par exemple:

pour le reseau 10.0.0.0/16 (ou 10.0.0.0 / 255.255.0.0), dont une IP serait 10.0.21.42

255.255.0.0 se traduit par 11111111 11111111 00000000 0000000

10.0.21.42 se traduit par 00000110 00000000 00010101 10101010

ton netid est la partie dont les bits correspondant du masque sont a 1, donc, 00000110 00000000 00000000 00000000, donc 10.0.0.0

ton hostid est la partie dont les bits ....... sont a 0, donc, (00000000 00000000) 00010101 10101010, donc (0.0.)21.42

et le broadcast, c'est la derniere addresse admise dans ton reseau, donc 00000110 00000000 11111111 11111111, donc 10.0.255.255

adapte au reseau de 2 addresses que je t'ai propose, ca donne :

masque: 255.255.255.252, soit 11111111 11111111 11111111 11111100

la partie commune (netid) est donc compose des 30 premiers bits des addresse du reseau.

reseau : 192.168.243.220, soit (11000000 10101000 11110011 110111)00 (bits du hostID a 0 -> addresse de reseau)

les IP: .221 et .222, soit (11000000 10101000 11110011 110111)01 et (11000000 10101000 11110011 110111)10

le broadcast: .223, soit (11000000 10101000 11110011 110111)11 (bits du hostID a 1 -> addresse de broadcast)

mais il me semblait qu'on pouvait changer le masque (apres, ca fait un moment que je suis plus alle sur l'interface freebox, desole si ce n'est pas le cas)

c'est peut-etre l'occasion d'utiliser un autre routeur (dans ton installation, t'aurais pas un NAS, un autre point d'access, ... ? ou une vieille machine qui te sert a rien ?)

en attendant, rien ne vaut le WPA :)

explique nous le(s) probleme(s) que tu rencontre avec les autres postes, ca pourrait etre plus simple de creuser dans cette direction ^^

[-Sorrow-]

Ce condensé d'information que tu me donnes là !

En faite le problème c'est que sur l'interface freebox, je reconnais rien de ce que tu me dis, a part pour le WPA...

Pour que tu vois mieux le truc, je te screen mon interface freebox.

Un screen pour la configuration du wifi (simpliste) : http://hapoelshack.com/img/maxi/freebox2.png

Un screen pour la configuration du routeur : http://hapoelshack.com/img/maxi/freebox1.png

Voilà, je voudrais bien que tu me dises ce que je dois mettre ^^ J'ai vu pour les adresses MAC mais je sais pas quoi mettre devant (sorte d'adresse IP là )

Merci beaucoup de ton aide

[Higapeon]

Au delà de ça, le wifi n'est que la porte d'entrée du réseau. Avoir une enceinte bétonnée et une porte grande ouverte derrière, c'est pas forcément bien.

Il faut penser a coller un mot de passe correct (pas 12345 ou prénomdatedenaissance) sur toutes les sessions (dont l'admin désactivé sous Seven).

A moins de faire comme dit Meph & de mettre un masque super élevé pour limiter le nombre d'hôtes au maximum, il n'y a pas beaucoup de solutions disponibles pour sécuriser un accès Wifi (Le WPA c'est bien, mais avec un peu de patience, ça se casse encore plus facilement que le WEP, le pass transitant joyeusement dans les trames. Ca prend juste plus de temps).

A ce jour, l'un des meilleurs moyens de sécuriser des accès, c'est avec du matériel pro & des certificats, mais là, on passe dans un autre registre de dépenses. (Il existe des techniques encore plus barbares hein)

Au fait, évite d'aller lui péter la figure, s'il porte plainte, 0 preuves comme quoi il est un méchant pirate = /

As tu pensé au possible "Mon mot de passe sur mes comptes est toujours le même, a savoir le nom de mon chien + mon année de naissance" ? Le plus souvent, c'est ça ...

Hors sujet : Maintenant Mef, ya des matos réseaux qui supportent le "/31". L'ID de réseau & le BCast sont oubliés, et les 2 points prennent les 2 seules IP dispo !

[-Sorrow-]

Bah à l'époque mon mot de passe était le même pour tout mes comptes effectivement. Mais il était quand même compliqué.

Maintenant il est extremement compliqué, je pense pas qu'un bruteforce puisse le craquer. Et puis c'est chiant de mettre un mdp différent pour chaque compte quoi ^^

Et on a pas forcément les moyens de s'acheter des produits haut de gamme :/ Surtout pour du wifi quoi...

Donc y'a rien au final que je puisse changer avec mon interface, a part le WPA ? A la limite les adresses MAC quoi mais bon...

[Mephisto]

que le mot de passe soit un truc de brute ou non, s'il transite en clair ou si ton attaquant connait un moyen de decoder l'algorythme utilise par l'un de tes services, c'est fini

deja, s'il comprend le /30, ce sera un grand pas dans le domaine, on repassera pour le /31

et pour le cassage d'un WPA, en fonction du traffic, et eventuellement avec le bon dongle

mais de la a dire que c'est 'plus facile' ; t'as pas zieute les sources ^^

mais effectivement, maintenant que je revois l'interface, t'as pas grand chose que tu puisse faire a part le WPA

d'ailleurs, il n'y a pas de filtrage MAC non plus :\ (l'attribution d'une addresse permanante, c'est plus esthetique, mais pas du filtrage)

peut-etre aurais-tu moins de problemes en essayant comme ils le proposent (tester TKIP ou AES/CCMP) ?

(desole, j'insiste : en quoi consiste le probleme avec les postes WIFI en WPA ? )

[-Sorrow-]

Bah enfaite j'ai mis le WPA TKIP + AES, su rmon PC sa marché nickel, mais par contre su rle PC de ma soeur (qui a une clé wifi plus vieille) n'arrive pas a faire marché la clé.

A chaque fois sa se connecte puis sa se déconnecte toute les 2sec (2sec réelles). Ou alors sa marche pas et on arrive pas à se connecter sur son PC car l'interface graphique de sa clé wifi demande d'autre renseignements que moi je n'ai pas :

Protocol - TLS, PEAP ou TTLS

La passphrase (donc la key WPA je pense)

Et le certificat, je sais pas ce que c'est...

Voilà je n'arrive pas à configurer correctement son truc, elle est sur WinXP.

Merci mille fois à toi, t'as l'air calé

[Mephisto]

tu n'as que ces trois protocol en WPA ?

ils sont tous bases sur EAP (Extensible Auhentication Protocol), "surcouche" (framework) sur WPA, necessitant un certificat et un serveur d'authentification

la freebox (et j'imagine, une grand majorite/la totallite des box) ne gere pas ca...

comment fais-tu (quelle conf) pour avoir une connexion qui saute au bout de deux seconde ?

si c'est en essayant avec l'un de ces trois, ca semble normal.

on a bientot fait le tour des options (ne necessitant pas l'achat de materiel)

apres, a defaut d'acheter un vrai AP (ce qui ne resoudra pas forcement ton probleme), previens ta petite famille que tu vas devoir passer en WPA (Hadopi, tout ca...), et que s'ils veulent garder internet, il va falloir investir dans un dongle wifi

mais j'aurais tendance a dire : le cable, niveau secu, on a toujours rien trouve de mieux ^^

[-Sorrow-]

Je me rappel plus trop de la configuration quand la connexion saute toute els 2sec, de toute façon c'était pas vraiment intéressant car le temps de se reconnecter, sa met 5min...

Aprés c'est sur que le cable ce serait trés bien mais on est sur deux étages différents, alors faudrait troué le sol pour faire passer le cable ect... xd

Qu'est-ce un dongle wifi ? Sa coute chér, c'est dur a maitriser ?

[Mephisto]

une cle wifi

comme celle que tu as deja, mais supportant le WPA TKIP (elles le font toute maintenant)

j'ai tente le lien sur le comparateur de prix pcinpact, mais ca a l'air de foirer en ce moment

bref, tu dois avoir des premiers prix aux alentours de 10e

[theocrite]

Notre routeur est une freebox HD v5, le wifi est sécurisé en WEP

Le WEP ça ne sécurise rien du tout.

[-Sorrow-]

Oui je le savais ça ^^

Mephisto -> D'accord merci, et en aucun cas XP risque de bloquer le TKIP + AES ? Car sous seven c'est extremement simple je dois juste rentré la clé et c'est bon, mais sur XP j'ai pas trouvé un truc simple sans certificat et tout le tralala

[-Sorrow-]

Ceci serait bien pour mon type de réseau? Le boitier apporte quoi de plus par rapport à mon modem actuel (freebox v5) ?

http://www.materiel.net/ctl/Routeurs_hautd...Fi_USB_2_0.html

ou juste la clé http://www.materiel.net/ctl/Solutions_WiFi..._2_0_Wi_Fi.html

Et aufaite, j'ai oublier de préciser, mais la clé USB wifi de ma soeur est exactement le même modéle que moi. Sauf qu'elle est sur XP et moi sur Seven. Et je n'ai pas eu a installer quoique ce soit pour la mienne, Seven a installé tout seul le driver et j'ai pu me connecter en allant dans "Connexion sans fil"... Alors qu'avec ma soeur faut passé par son interface en mousse

[stuart]

justepourinfo, faitpascompliqué, si t'es ewep,tul'as dans l'os... quoi que tu fasses. cachélereseau ne sert absolumentarien, réduire le nombre d'ip dispo ou les mettre en fixe car suffit pourton voisin de creerune rogue AP pour récuprer a nouveau ton pass... tout ça ça ne sert a rien. franchement investi dns des dongle usb pour passer ton wifi en WPA2.

Après tu peux le laisser se connecter a ton wifi et faire lecoup del'arroseur arrosé si tu vois ce que je veux dire...

[Mephisto]

vous avez la meme cle ?!

et toi, tu n'avais pas de problemes pour te connecter au wifi quand tu testais en WPA2 ?

S'il n'y a pas moyen de se connecter a un WPA2 sur le laptop de ta soeur, il faudra lui prendre une cle.

Mais reverifie, si tu peux te connecter avec la meme cle, on s'est plante quelque part.

au sujet de l'AP, c'est un "luxe", a moins que tu sois soucieux de ton reseau, suffisemment pour vouloir le faire ressembler a quelque chose

a toi de voire, mais le modele correspond a ce que tu cherches, a utiliser en simple AP, en serveur dhcp, voire en routeur

d'ailleurs, la cle hercules fait partie des series qu'on prettait aux intervenants sur un parc ou j'ai bosse, c'est egalement ce que tu cherches

[digital-jedi]

Ce condensé d'information que tu me donnes là !

En faite le problème c'est que sur l'interface freebox, je reconnais rien de ce que tu me dis, a part pour le WPA...

Pour que tu vois mieux le truc, je te screen mon interface freebox.

Un screen pour la configuration du wifi (simpliste) : http://hapoelshack.com/img/maxi/freebox2.png

Un screen pour la configuration du routeur : http://hapoelshack.com/img/maxi/freebox1.png

Voilà, je voudrais bien que tu me dises ce que je dois mettre ^^ J'ai vu pour les adresses MAC mais je sais pas quoi mettre devant (sorte d'adresse IP là )

Merci beaucoup de ton aide

Le baux DHCP permanent, ce n'est pas le filtrage par adresse MAC justement ? Parce que tu rentres l'adresse MAC de chaque PC qui doit se connecter sur le réseau et tu lui associes une IP fixe.

Et tu limites le nombre d'IPs autorisés et attribués par la box (Début DHCP Fin DHCP).

Après, le hacker pourra toujours usurper une adresse MAC. Ce que c'est moche cette option sous Linux, je ne vois pas l'intérêt de créer cette fonction sur Linux à part pour hacker...

Pour les cadors , faudrait pas virer l'option "réponse au ping" aussi ?

Et sinon, rachète une clé USB/carte PCI wifi à ta soeur pour son PC, qui accepte le WPA.

Et passe le réseau en WPA. Faut pas le SP3 de XP pour gérer correctement le WPA ?

Le meilleur moyen de ne pas se faire piquer ses mots de passe, c'est encore de ne pas les enregistrer sur le navigateur en cookie et éventuellement de les mettre dans un fichier txt.

Le meilleur moyen de ne pas se faire pirater sa box en wifi, c'est encore de ne pas activer le wifi, et d'acheter des câbles Ethernet de 5 / 10 / 20 mètres. Et de le faire passer dans des baguettes.