Freebox V5 ADSL

  • Status Nouveau
  • Percent Complete
    0%
  • Task Type Évolution
  • Category Routeur
  • Assigned To No-one
  • Operating System Tous
  • Severity Low
  • Priority Very Low
  • Reported Version 1.0.0
  • Due in Version Undecided
  • Due Date Undecided
  • Votes
  • Private
Attached to Project: Freebox V5 ADSL
Opened by remm - 04/06/2006

FS#67 - Restriction de MAC adresses

Restriction de MAC adresses (en wifi en particulier).

SD commented on 05.06.2006 21:17

Je ne comprends pas : pour moi, il suffit de spécifier les adresses MAC dans la configuration routeur !
- donner une plage DHCP (début-fin) suffisemment restrictive pour englober toutes ses machines
- pour chaque adresse DHCP, lui affecter une adresse MAC fixe (rubrique “Baux DHCP permanents”)

Certain voit la restriction d’adresse MAC (n’autoriser que les adresses MAC listées donc), ce n’est pas vraiment le cas en réalité.

Manque un morceau :
Certain voit la restriction d’adresse MAC (n’autoriser que les adresses MAC listées donc) comme une sécurité, ce n’est pas vraiment le cas en réalité.

Admin

Absolument, cela apporte certes une “double” securité, mais ca rajoute encore un peu de travail pour chaque paquet recu par la freebox, pour une fonctionnalité qu’on a déja en mettant une bonne clé WPA.

remm commented on 10.06.2006 05:58

Ca ne me dérange pas si tu fermes ce bug ;)

jab commented on 15.06.2006 04:01

si on lit bien, les baux permanents par mac address ne certifient pas que seules ces MAC pourront se connecter. c’est juste une allocation/reservation d’ip. C’est trompeur. et je crois bien avoir reussi à me connecter avec une carte dont la MAC n’avait pas été renseignée. DHCP freebox pourtant éteint et IP fixée par moi sur le pc se connectant. donc, Qui pourrait confirmer que cette config online est bien une MAC adress restriction? mon routeur NETGEAR MR314 etait plus clair a ce sujet.
Pour les paranos, il est vrai que l’usurpation de MAC (Mac spoofing) n’est pas bien compliqué et que ce ne serait donc pas la panacée. a noter que le WPA PSK (private shared key, je crois. shared en tout cas surement) meme a 64 bits n’est pas bien sur non plus et peut se cracker en 10 minutes ou 24h. donc question sécurité, je ne vois qu’une seule réelle solution à ce jour: le fil, sans wifi. quelqu’un sait il alors si on peut activer le wifi uniquement pour la freebox HD et l’interdire ou la limiter pour l’accès d’un autre PC ?

Admin

jab:

Il n’y a rien de trompeur, le public averti qui sait ce qu’est une adresse mac et comment la relever doit réaliser que “baux DHCP permanent” n’est pas du tout la meme chose que “restriction d’adresse mac”.

Concernant la Freebox HD vous pouvez tout a fait desactiver le wifi coté Freebox ADSL, cela desactive juste le wifi utilisable par l’abonné, mais pas celui de la Freebox HD.

Sinon pour le WPA, vous racontez n’importe quoi.


jab commented on 15.06.2006 15:31

oui, pardon. effectivement, pour le wpa, en théorie et en pratique vous avez raison. Sauf si la phrase mot de passe qui génère la clé est un mot du dictionnaire. il est alors peu difficile de trouver la clé quelque soit sa longueur. non? mais on peut générer des clés introuvables sur plein de sites comme là par exemple: http://www.kurtm.net/wpa-pskgen/

pour la confusion ip-mac, vous avez encore raison. pour un distrait même averti, j’ai tout de meme fait la confusion.

pour la desactivation du wifi, merci, bonne nouvelle. c’est plutot dans l’autre sens que je l’aurai aussi souhaité si jamais la gestion par la frbxadsl de 2 wifi simultanés la plombait un peu. puisque j’utiliserai dabantage le wifi pc-frbx que celui frbxadsl-frbxhdtv. Mais peut-être dis-je encore n’importe quoi? toute correction me sera utile. le stress supplémentaire sur la frbxadsl est-il négligeable ? merci.

enfin, le wifi de la frbwadsl sur mes 2 cartes wifi intel2200 ou Asustek usb ne tient toujours pas plus de 30 secondes sans que j’ai encore trouvé la raison....

matp commented on 23.07.2006 10:09

+1
même si le spoofing d’adresse mac est possible, c’est plus facile à detecter (vu que tu as la même adresse, il va y avoir un léger conflit ...)
il suffirait d’avoir une option
[ ] restreindre les connexions aux adresses MAC renseignées
donc ca va dans le bon sens de la sécu (et c’est pas un control sur l’adresse mac qui va tuer la freebox !)

Gore- commented on 03.08.2006 10:32

Tout a fait pour cette option :)

Ca permetrait de s’approcher de ce que proposent tous les routeurs “standards”

+1 !!!!!!!!!!!!!

tout comme l’affichage de l’heure sur le boitier HD (en passant qui n’est toujours pas fait et est réclamé depuis juin 2006..)

j’ajoute mon soutien pour cette évolution... (qui est simple à mettre en oeuvre puisque la freebox est en linux)

en effet, je continue à utiliser mon point d’accès wifi de linksys (WAP54G) derriere ma freebox v5 (routeur)...
car j’ai la restriction des MAC adresses...

Admin

Bonjour,

Pour répondre a matp, c’est exactement ce genre de controle qui peut tuer la freebox, car cela implique une action pour chaque paquet traversant la freebox. Alors certes ca ne va pas la tuer, mais certains se plaignent déja que c’est trop long de transferer un divx vers la freebox HD, donc ajouter ce type de fonction ne fera qu’empirer la chose.

Je reste persuadé que c’est inutile. Tous les derniers périphériques Wifi supportent le WPA, et aucune faille n’existe actuellement sur ce mode de protection.

la lenteur du transfert FTP est dû au fait que la connexion est en 10mbps entre les 2 boitiers.

ce n’est pas la restriction d’adresses MAC qui va ralentir la freebox.

quand on sait pas on dit rien !

Parker_ : il est clair que Maxime est au courant de rien ... ! mouarf ...

ger commented on 20.12.2006 13:44

Bonjour,

Personnellement tous les routeurs que j’ai eu proposaient le filtrage de l’adresse MAC comme le LinkSys de Parker_. C’est une sécurité supplémentaire par exemple pour les personnes qui sont obligées d’utiliser le WEP (périphériques Wifi n’ayant pas la possibilité d’utiliser WPA : vielles consoles, vieux PDAs, Nabaztag v1, etc.).
Le filtrage (comparaison de 6 octets versus une liste de quelques ) est très peu gourmand ; à comparer au NAT par exemple.

J’pense que peut fermer cette tâche.

matp commented on 05.01.2007 09:59

Je ne vois pas pourquoi la tache serait fermée.
La demande d’évolution n’a pas été prise en compte pour le moment par free.
Je reste persuadé que c’est utile.
D’un point de vue sécu, il vaut mieux avoir plusieurs niveaux de protection.
Concernant la réponse de Maxime sur la charge, je reste dubitatif.
La freebox gérant déjà les paquets, elle doit donc déjà gérer une table arp.
Quand une nouvelle machine se connecte, elle ajoute donc une entrée dans sa table arp.
Il me semble donc qu’effectuer un controle à ce moment là ne devrait pas couter trop cher en terme de performance.

certes c’est vrai que c’est pas forcément une sécurité totale...
mais ca permet d’avoir une barrière en plus...

bon ok, je devine que Free ne voit pas trop cette fonctionnalité d’un bon oeil (surtout pour leur freephone...)
mais ca éviterait à des geeks (informaticiens chevronnés) de claquer de la monnaie dans un point d’accès non-mimo pour avoir cette fonctionnalité ;-)

matp commented on 05.01.2007 15:01

la fonction ne vas pas s’appliquer au réseau freephonie (qui est séparé de ton réseau perso) mais à ton propre réseau, que cela soit en wifi ou bien tout simplement en ethernet.
si pour des raisons d’accès physique à l’adsl ou fo, il est facile de se brancher sur ta freebox, d’obtenir une ip et de surfer à ton insu, c’est pas forcément top (vu qu’à la fin, c’est le possesseur de la freebox qui est responsable vu que c’est l’ip de ta freebox qui est vu sur Internet.)
C’est donc quand même préférable d’avoir une fonction pour répertorier la liste des adresses mac autorisées à se connecter sur la freebox (oui, on peut la spoofer mais c’est une démarche carrément plus aggressive que de venir simplement se connecter)

Je ne vois pas pourquoi la tache serait fermée.
Parce que Free ne veut pas le faire ? ;)

Perso, j’ai encore mes 2 PC en WIFI 11b, donc je n’ai droit qu’au cryptage WEP, que je cracke en 10 minutes !!! Par contre avec la restriction des adresses MAC, c’est plus difficile, il faut bidouiller sur les adresses MAC. Mais il y a rapidement un conflit quand on trouve une MAC valide !
Conclusion j’utilise toujours mon routeur Lynksys 11b qui lui permet de filtrer les adresses MAC. Dommage, car j’ai un portable avec du WIFI 54g, mais qui fonctionne donc an 11b !

+1

Oui, le filtrage MAC n’est pas sûr à 100%.
Non, tout le monde ne peut pas utiliser du WPA... Le WEP est encore très utilisé : Nabaztag, PDA, Nintendo DS...
Le filtrage MAC est un rempart supplémentaire à l’intrusion. Ca n’arrêtera pas les hackers pro, mais ca arrêtera les hackers du dimanche !
C’est un peu comme en voiture : “pourquoi mettre ma ceinture, j’ai un airbag super efficace...” Ca risque faire baisser le débit ? Moi, je suis pas à quelques ko/s... La sécurité a un prix, je suis prêt à le payer. Mettre un avertissement “Peut réduire le débit” en fasse de l’option, et le tour est joué. Les personnes l’activeront en connaissance de cause.
En attendant, cher Mr free, mon réseau est en WIFI/WEP, sans filtrage... C’est dommage, avec les récentes évolutions de sécurité de votre réseau (filtrage SMTP, etc...)

+1
j’avais cette option dans mon routeur linksys wrt54g qui vien de lacher et je trouvais ca trés pratique.

“Mais il y a rapidement un conflit quand on trouve une MAC valide !”

Il y a un “conflit” et alors, en quoi est-ce un problème pour un attaquant? Au pire, il suffit :
- soit d’attendre qu’un des appareils Wifi s’arrête pour utiliser son adresse (vous n’arrêtez jamais vos PC?)
- soit de le DoSer bien comme il faut, le temps qu’il s’en remette on peut en faire des choses...
Mais en fait je ne vois pas en quoi le “conflit” serait un problème.

“Le WEP est encore très utilisé : Nabaztag, PDA, Nintendo DS...” “La sécurité a un prix, je suis prêt à le payer.”

Précisément, la sécurité a un prix : c’est d’utiliser un protocole sûr, WPA-CCMP, donc :
- remplacer les équipements qui ne l’implémentent par d’autres qui l’implémentent, ou bien
- de les mettre sur un réseau privé, sans aucune connexion directe à Internet, avec seulement quelques services dument filtrés, via un AP configuré sur mesure, ou bien
- de renoncer tout simplement au Wifi
et tu n’es *pas* prêt à le payer, alors tu demandes que Free mette en place un gadget passablement inutile pour te donner l’impression que tu “sécurises”, sans te préoccuper de tous les Freenautes qui verront cette fonction et se diront que Free ne peut pas avoir mis en place un gadget inutile et grotesque, et se croiront protégés, sans l’être réellement, alors qu’ils auraient pu l’être s’il avaient choisis WPA-CCMP avec PSK choisie aléatoirement.

Le WEP était conçu pour isoler un réseau Wifi comme un réseau filaire (conçu par des gens qui avaient autant de chance d’arriver à isoler un réseau Wifi que moi de faire une opération à cœur ouvert, mais passons). La base de cette construction est un *secret*, la PSK. Cette construction c’est effondrée lamentablement. Mais ce n’est pas parce que ce qui était censé sécuriser le Wifi *grâce à une clef secrète* est cassé qu’il faut se rabattre sur une “protection” basée sur quelque chose qui n’a jamais été prévu pour rester secret, et qui est transmit en clair dans chaque paquet (l’adresse MAC destination d’un paquet).

“Les personnes l’activeront en connaissance de cause.”

Justement, non. Les personnes qui l’activeront n’auront pour la plupart aucune idée de la difficulté (très proche de 0) de “voler” l’adresse MAC d’un périphérique.

Le problème, c’est que l’efficacité d’une solution de “sécurité” est jugé comme des gens qui n’ont jamais pénétré un réseau, n’ont aucune idée de comment ça peut être fait, et prennent leurs informations dans des revues informatiques (qui leurs racontent que le filtrage MAC et le WEP sont efficaces, je l’ai lu!), et des sites sensationnalistes (qui leurs racontent que tout est percé/troué/pénétrable, donc peu importe ce qu’ils configurent sur leur AP). Jamais ils ne vont demander à des experts en sécurité, qui tous vont leur dire que le “filtrage d’adresse MAC” c’est de la gnognote.

“j’avais cette option dans mon routeur linksys wrt54g qui vien de lacher et je trouvais ca trés pratique.”

Pratique pour se rassurer à peu de frais?

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing