Quand Mme Michu ne sécurise pas son wifi, c'est un PEBKAC, quand un SI sécurise son réseau c'est un PEBKAC aussi.
Décidément, ça devient de plus en plus compliquer de ne pas être un PEBKAC.

Masquage du SSID en sécurité c'est toi le Pebkac

Edit: juste inscrit premier Pebkac déjà dans le rouge. Belle performance

Aucune sécurité n'est suffisante en wifi (broadcast de tous les points de ton réseau) donc le service tech a raison d'en mettre le plus possible

C'est qui déjà qui se plaignait que les pebkacs devenaient insipides et pas assez technique ? Il est servi ;)

Je ne vote jamais d'habitude, mais là, franchement, CTLP... Aucune mesure de sécurité n'est superflue. Le choix est judicieux et adapté à l'utilisation normale.
La seule chose qui peut manquer ce serait une contingence lors de phases de test avec des appareils supplémentaires...

Quand on s'y connait en sécurité, on adapte la sécurité à l'environnement dans lequel on travail.

Quelqu'un peut m'expliquer la première phrase : Intégration dans un landscape de lecteurs de code-barres Windows Mobile 6.5

Un lecteur de code barre, c'est une douchette tout ce qu'il y a de plus basique. Que vient faire Windows Mobile 6.5 ici ? Les recherches google m'envoient vers softronic, je pense pas trouver de réponses là-bas.

justement je pense que tu ne maitrise absolument pas donc laisse faire les pros :)

Il y avait ça dans ma boite des douchettes bluetooth relièes à un PDA sur Windows Mobil et un soft qui permettait de faire la liaison PDA-->ERP

Entre ça et le PEBKAC du dessus, je sais plus quoi penser : faut tout laisser ouvert en permanence, ou cramer au lance-flamme quiconque possède un appareil électronique, juste au cas ou ?

Quand on s'y connait en sécurité, on blinde le système pour pas qu'on passe à travers plutôt que de faire ça à l'arrache en espérant tomber que sur des Mme Michu ou des scripts kiddies.

Tu as par exemple ça : http://www.expansys.fr/motorola-symbol-mc9090-g-handheld-computer-eu-r[...]

Pour moi, c'est l'inverse absolu du PEBKAC... les mecs ont quasiment mis tout ce qu'il etait possible en securité et ca marche bien visiblement.
Ils auraient pu pousser le vice jusqu'a coller du 802.1X :)

Contre des Mme Michu, il n'y a même pas besoin de masquer le nom du réseau.

Justement ça ne fonctionne pas bien : la config est trop compliquée à gérer pour eux, ils s'emmêlent les pinceaux et c'est extrêmement lourd pour les prestataires et utilisateurs.

J'en vois beaucoup qui parlent de sécurité en disant : faut tout verrouiller et mettre le max sur du wifi. Non, encore une fois, on blinde la sécurité d'un réseau quand les données qui y transitent sont critiques où quand il accède à des systèmes critiques. Hors ici ce n'est pas le cas car les systèmes de sécurité sont placés derrière la strate wifi. Et les données critiques encore plus loin.

Il faut adapter les paramètres de son landscape à l'utilisation qu'on en fait.

Imaginez si dans les fast food il y avait des réseaux configurés de la même manière ? qui dit réseau WIFI ne dit pas forcément "sécurité maximum"

Contre des Mme Michu on peux même laisser trainer des câbles Ethernet branché.
Seule, elle sait juste lancer le solitaire

Vu ce qu'on peut récupérer en se connectant à un WiFi public (infos personnelles à foison) un peu plus de sécurité ne ferait pas de mal dans les fastfoods.

Alors ça c'est certain. En revanche, je doute que ce soit dans le cahier des charges...

Et l'escalade de privilège jusqu'au données sensible tu connais?
Tu es sur un réseau pro et non sur ton Wifi perso, il y a une petite différence entre protéger des infos confidentielles et tes films de fesses vacances.

"J'ai pas de lingots d'or chez moi, je ne ferme pas la porte"

A-xis tu habite ou? Surtout si tu possède une TV 107cm et un PC avec core I9 et 4 carte mère.

Quand on s'y connait en sécurité, on ne considère pas le masquage de l'ESSID comme une mesure de sécurité.

Les mesures dont tu parles ici sont au contraire très bien, si un maillon lâche il y en a d'autre pour empêcher le drame (par exemple si demain une nouvelle attaque sur WPA2-PSK est publiée)

Il est du devoir de ton entreprise de protéger son réseau.

Chez nous au ministère chez Orange nous utilisons le pare feu Open office pour sécuriser nôtre réseau câblé en Wifi.
De plus si de vilain pirates téléchargent les chez d'œuvre du cinéma français comme camping, bienvenu chez les chtis ou les dernières chansons de Sexion d'assault mon chère amis Pascal N ne pourra pas se faire des millions et votre accès risque d'être coupé.

OK, le PEBKAC n'est pas dans la note, c'est que les admins n'arrivent pas a gerer le bouzin. La, PEBKAC a eux (et pas a l'installateur) et PEBKAC a qui a oublie de prevoir la formation qui va bien.

On l'a déjà dit : Filtrage MAC -> pebkac. Tu rajoutes pas de DHCP et t'en as un deuxième ;)

Ca ne fait que chier ceux qui doivent s'en servir pas les méchants pirates.

Oui ils devraient même enfermer toutes les bornes wifi dans un coffre fort. Cela fera aussi office de cage de Faraday.

On ne sait jamais une attaque physique est si vite arrivé ;)

Voir même les petites douchettes que tu utilises avec ta carte de fidélité en magasin. Celle avec laquelle tu scannes tes achats et tu n'as plus qu'à payer à la fin. Sans faire de queue.

Ben si t'accueilles du public avec des smartphones. Il vaut mieux masquer le SSID. Sinon tu vas saturer ton canal avec plein de gens essayant de se connecter. Bon normalement en voyant le WPA2 ils devraient éviter. Mais bon.

Etant habitué au archaïques douchettes en RS232, j'avais pas pensé à des modèles largement plus évolués.

Mais es-tu dans un bunker avec des miradors pour autant ?

@Quelqu'un : je pense que c'est un pro pour avoir accès à cela... Pro != compétent. Mais bon sans être méchant as-tu les compétences requises pour dire que ce système est bien ou pas bien fait ?

Là le problème c'est qu'il est quasiment ingérable. Et pour finir si t'as passé le WPA2-PSK toutes les autres "sécu" (4 point en dessous) sautent avec une bête écoute.

En gros ajouter des petits cadenas de valisette sur une porte blindée n'a jamais ajouté de sécurité....

@but2ene pas de problème et je suis loin d'avoir la science infuse et la maitrise de tous les domaines dans ce cas il faudrait rajouter un radius pour être vraiment au top non ?
Le truc qui m'a fait le plus tilter c'est considérer la non diffusion du SSID comme sécurité.

Corrige moi si je dis n'importe quoi.

Par exemple des appareils pour inventaire. Le code-barres n'est qu'un «petit» composant du terminal bien plus sophistiqué.

TV 107cm? FAKE!

@but2ene : Je ne vois pas ce que ça a d'ingérable. Y'a rien de compliqué dans le setup décrit ici.

Mais c'est surtout que si c'est bien fait ça va faire des alertes (au niveau du réseau) et quelqu'un se rendra compte qu'il y a un problème. Ça empêche les attaques "automatiques".

Mais bon perso j'ai surtout voté CTLP parce que l'auteur considère "un masquage du SSID du Wi-Fi" comme une mesure de sécurité. S'il avait juste parlé du WPA2 c'était bon.

i9 ? Peuh, je suis a l'i42 moi ...

Ben essaye d'avoir plus de 8 scanettes. Ben tu dois tout reconfigurer à cause de taille du réseau IP utilisé. Joie bonheur.

Y'a tout de même une justification possible à l'absence de DHCP: ça fait un vecteur d'attaque en moins. Un attaquant pourrait essayer de mettre son propre serveur DHCP sur le réseau, pour se mettre en position pour un MITM entre les lecteurs et la vraie passerelle.

Il y a certaines configurations, en wifi, où ça marche alors que l'ARP spoofing ne marche pas.

Pas d'excuse en revanche pour le filtrage MAC et le masquage de ssid.

Ben c'est juste de dire que l'auteur n'a pas les compétences. Je trouve cela assez prétentieux.
Il dit juste qu'il mettrait en oeuvre deux méthodes : WPA2 et le masquage SSID. Il n'a pas dit que le masquage était la sécurité absolue.
Je trouve que s'acharner dessus parce qu'il c'est mal exprimé ou que vous n'avez pas compris.

Tu veux authentifier l'utilisateur de la scannette via un radius avec aussi WPA-EAP. Je trouve que ce n'est pas une mauvaise idée. Mais il faut que la scannette la supporte et que ça ne fasse pas trop perdre de temps à l'utilisateur. Login pass sur un écran tactile ...

En ce qui me concerne, je n'ai pas non plus la science infuse. Je ne me proclamerais pas expert en sécurité. Je me suis intéressé à la sécurité durant mon cursus. J'ai quelques connaissances dans ce domaine. Une fois le WPA2 cassé sur ce type d'installation. Je pense ne pas avoir trop de soucis pour faire du Man in the middle et de l'usurpation d'identité. Un pirate chevronné n'en fera qu'une bouchée.

Je suis du même avis que l'auteur, ces "sécurités" supplémentaires en font chier que ceux qui développent le système, mais n'apportent rien.

C'est vraiment mettre des cadenas de valisettes sur une porte blindée. Ça va faire chier que le gars qui doit la franchir avec toutes les clefs.

Ben c'est à dire que si j'ai la clef wpa2. Ce qui serait nécessaire pour une attaque en arp ou dhcp.

Je peux aussi me faire passer pour le diffuseur du ssid avec une autre adresse mac (le wifi supporte le roaming). Il suffit de répondre plus rapidement. S'il ne me choisit pas, ce qui serait étonnant vu que j'aurais un signal plus fort, j'envoie une déconnexion en me faisant passer pour la borne et je recommence.
Enfin, je rediffuse vers le vrai et je suis entre les deux.
Cela peut-être sur un canal différent ou j'utilise une autre mac/ip (vu que j'ai tout sniffé) pour communiquer avec la vrai.

Voilà une autre attaque mitm.
DHCP ou pas ça ne change pas grand-chose.

ps : en fait j'oubliais vu les énormités que les experts en sécurité d'HADOPI ont sorties pour leur programme-espion tu peux sans problème y aller et te faire appeler expert. Quelles que soient tes connaissances en sécurité. XD

Mais on ne sait pas, peut-être que les clients ont aussi une liste blanche de MAC pour les AP.

En supposant qu'on a la clef WPA, ou qu'on a accès au réseau filaire, ça demande quand même considérablement moins de ressources et de compétences de lancer un serveur DHCP, que ton scénario qui nécessite de maintenir avec le vrai AP une association séparée pour chaque client à cause du filtrage MAC/IP.

"Mais on ne sait pas, peut-être que les clients ont aussi une liste blanche de MAC pour les AP."
On peut aussi faire une liste blanche des serveurs DHCP répondant, tu peux même faire du filtrage mac si ça t'amuse. Aussi déclencher une alarme quand on a deux réponses d'une requête.


Enfin lancer hostapd demande beaucoup de compétence en effet... taper les lettres dans le bon ordre ;)

" que ton scénario qui nécessite de maintenir avec le vrai AP une association séparée pour chaque client à cause du filtrage MAC/IP." Ben dans ton scénario aussi il faudra une ip par scannette... Si t'as le droit au nat moi aussi. Ca ne change rien. Mais il faut quand même se connecter au serveur pour faire du mitm sinon tu n'es pas au milieu.