Freebox V5 ADSL

Je ne comprends pas : pour moi, il suffit de spécifier les adresses MAC dans la configuration routeur !
- donner une plage DHCP (début-fin) suffisemment restrictive pour englober toutes ses machines
- pour chaque adresse DHCP, lui affecter une adresse MAC fixe (rubrique “Baux DHCP permanents”)

Certain voit la restriction d’adresse MAC (n’autoriser que les adresses MAC listées donc), ce n’est pas vraiment le cas en réalité.

Manque un morceau :
Certain voit la restriction d’adresse MAC (n’autoriser que les adresses MAC listées donc) comme une sécurité, ce n’est pas vraiment le cas en réalité.

Ca ne me dérange pas si tu fermes ce bug ;)

si on lit bien, les baux permanents par mac address ne certifient pas que seules ces MAC pourront se connecter. c’est juste une allocation/reservation d’ip. C’est trompeur. et je crois bien avoir reussi à me connecter avec une carte dont la MAC n’avait pas été renseignée. DHCP freebox pourtant éteint et IP fixée par moi sur le pc se connectant. donc, Qui pourrait confirmer que cette config online est bien une MAC adress restriction? mon routeur NETGEAR MR314 etait plus clair a ce sujet.
Pour les paranos, il est vrai que l’usurpation de MAC (Mac spoofing) n’est pas bien compliqué et que ce ne serait donc pas la panacée. a noter que le WPA PSK (private shared key, je crois. shared en tout cas surement) meme a 64 bits n’est pas bien sur non plus et peut se cracker en 10 minutes ou 24h. donc question sécurité, je ne vois qu’une seule réelle solution à ce jour: le fil, sans wifi. quelqu’un sait il alors si on peut activer le wifi uniquement pour la freebox HD et l’interdire ou la limiter pour l’accès d’un autre PC ?

oui, pardon. effectivement, pour le wpa, en théorie et en pratique vous avez raison. Sauf si la phrase mot de passe qui génère la clé est un mot du dictionnaire. il est alors peu difficile de trouver la clé quelque soit sa longueur. non? mais on peut générer des clés introuvables sur plein de sites comme là par exemple: http://www.kurtm.net/wpa-pskgen/

pour la confusion ip-mac, vous avez encore raison. pour un distrait même averti, j’ai tout de meme fait la confusion.

pour la desactivation du wifi, merci, bonne nouvelle. c’est plutot dans l’autre sens que je l’aurai aussi souhaité si jamais la gestion par la frbxadsl de 2 wifi simultanés la plombait un peu. puisque j’utiliserai dabantage le wifi pc-frbx que celui frbxadsl-frbxhdtv. Mais peut-être dis-je encore n’importe quoi? toute correction me sera utile. le stress supplémentaire sur la frbxadsl est-il négligeable ? merci.

enfin, le wifi de la frbwadsl sur mes 2 cartes wifi intel2200 ou Asustek usb ne tient toujours pas plus de 30 secondes sans que j’ai encore trouvé la raison....

+1
même si le spoofing d’adresse mac est possible, c’est plus facile à detecter (vu que tu as la même adresse, il va y avoir un léger conflit ...)
il suffirait d’avoir une option
[ ] restreindre les connexions aux adresses MAC renseignées
donc ca va dans le bon sens de la sécu (et c’est pas un control sur l’adresse mac qui va tuer la freebox !)

Tout a fait pour cette option :)

Ca permetrait de s’approcher de ce que proposent tous les routeurs “standards”

+1 !!!!!!!!!!!!!

tout comme l’affichage de l’heure sur le boitier HD (en passant qui n’est toujours pas fait et est réclamé depuis juin 2006..)

j’ajoute mon soutien pour cette évolution... (qui est simple à mettre en oeuvre puisque la freebox est en linux)

en effet, je continue à utiliser mon point d’accès wifi de linksys (WAP54G) derriere ma freebox v5 (routeur)...
car j’ai la restriction des MAC adresses...

la lenteur du transfert FTP est dû au fait que la connexion est en 10mbps entre les 2 boitiers.

ce n’est pas la restriction d’adresses MAC qui va ralentir la freebox.

quand on sait pas on dit rien !

Parker_ : il est clair que Maxime est au courant de rien ... ! mouarf ...

Bonjour,

Personnellement tous les routeurs que j’ai eu proposaient le filtrage de l’adresse MAC comme le LinkSys de Parker_. C’est une sécurité supplémentaire par exemple pour les personnes qui sont obligées d’utiliser le WEP (périphériques Wifi n’ayant pas la possibilité d’utiliser WPA : vielles consoles, vieux PDAs, Nabaztag v1, etc.).
Le filtrage (comparaison de 6 octets versus une liste de quelques ) est très peu gourmand ; à comparer au NAT par exemple.

J’pense que peut fermer cette tâche.

Je ne vois pas pourquoi la tache serait fermée.
La demande d’évolution n’a pas été prise en compte pour le moment par free.
Je reste persuadé que c’est utile.
D’un point de vue sécu, il vaut mieux avoir plusieurs niveaux de protection.
Concernant la réponse de Maxime sur la charge, je reste dubitatif.
La freebox gérant déjà les paquets, elle doit donc déjà gérer une table arp.
Quand une nouvelle machine se connecte, elle ajoute donc une entrée dans sa table arp.
Il me semble donc qu’effectuer un controle à ce moment là ne devrait pas couter trop cher en terme de performance.

certes c’est vrai que c’est pas forcément une sécurité totale...
mais ca permet d’avoir une barrière en plus...

bon ok, je devine que Free ne voit pas trop cette fonctionnalité d’un bon oeil (surtout pour leur freephone...)
mais ca éviterait à des geeks (informaticiens chevronnés) de claquer de la monnaie dans un point d’accès non-mimo pour avoir cette fonctionnalité

la fonction ne vas pas s’appliquer au réseau freephonie (qui est séparé de ton réseau perso) mais à ton propre réseau, que cela soit en wifi ou bien tout simplement en ethernet.
si pour des raisons d’accès physique à l’adsl ou fo, il est facile de se brancher sur ta freebox, d’obtenir une ip et de surfer à ton insu, c’est pas forcément top (vu qu’à la fin, c’est le possesseur de la freebox qui est responsable vu que c’est l’ip de ta freebox qui est vu sur Internet.)
C’est donc quand même préférable d’avoir une fonction pour répertorier la liste des adresses mac autorisées à se connecter sur la freebox (oui, on peut la spoofer mais c’est une démarche carrément plus aggressive que de venir simplement se connecter)

Je ne vois pas pourquoi la tache serait fermée.
Parce que Free ne veut pas le faire ? ;)

Perso, j’ai encore mes 2 PC en WIFI 11b, donc je n’ai droit qu’au cryptage WEP, que je cracke en 10 minutes !!! Par contre avec la restriction des adresses MAC, c’est plus difficile, il faut bidouiller sur les adresses MAC. Mais il y a rapidement un conflit quand on trouve une MAC valide !
Conclusion j’utilise toujours mon routeur Lynksys 11b qui lui permet de filtrer les adresses MAC. Dommage, car j’ai un portable avec du WIFI 54g, mais qui fonctionne donc an 11b !

+1

Oui, le filtrage MAC n’est pas sûr à 100%.
Non, tout le monde ne peut pas utiliser du WPA... Le WEP est encore très utilisé : Nabaztag, PDA, Nintendo DS...
Le filtrage MAC est un rempart supplémentaire à l’intrusion. Ca n’arrêtera pas les hackers pro, mais ca arrêtera les hackers du dimanche !
C’est un peu comme en voiture : “pourquoi mettre ma ceinture, j’ai un airbag super efficace...” Ca risque faire baisser le débit ? Moi, je suis pas à quelques ko/s... La sécurité a un prix, je suis prêt à le payer. Mettre un avertissement “Peut réduire le débit” en fasse de l’option, et le tour est joué. Les personnes l’activeront en connaissance de cause.
En attendant, cher Mr free, mon réseau est en WIFI/WEP, sans filtrage... C’est dommage, avec les récentes évolutions de sécurité de votre réseau (filtrage SMTP, etc...)

+1
j’avais cette option dans mon routeur linksys wrt54g qui vien de lacher et je trouvais ca trés pratique.

“Mais il y a rapidement un conflit quand on trouve une MAC valide !”

Il y a un “conflit” et alors, en quoi est-ce un problème pour un attaquant? Au pire, il suffit :
- soit d’attendre qu’un des appareils Wifi s’arrête pour utiliser son adresse (vous n’arrêtez jamais vos PC?)
- soit de le DoSer bien comme il faut, le temps qu’il s’en remette on peut en faire des choses...
Mais en fait je ne vois pas en quoi le “conflit” serait un problème.

“Le WEP est encore très utilisé : Nabaztag, PDA, Nintendo DS...” “La sécurité a un prix, je suis prêt à le payer.”

Précisément, la sécurité a un prix : c’est d’utiliser un protocole sûr, WPA-CCMP, donc :
- remplacer les équipements qui ne l’implémentent par d’autres qui l’implémentent, ou bien
- de les mettre sur un réseau privé, sans aucune connexion directe à Internet, avec seulement quelques services dument filtrés, via un AP configuré sur mesure, ou bien
- de renoncer tout simplement au Wifi
et tu n’es *pas* prêt à le payer, alors tu demandes que Free mette en place un gadget passablement inutile pour te donner l’impression que tu “sécurises”, sans te préoccuper de tous les Freenautes qui verront cette fonction et se diront que Free ne peut pas avoir mis en place un gadget inutile et grotesque, et se croiront protégés, sans l’être réellement, alors qu’ils auraient pu l’être s’il avaient choisis WPA-CCMP avec PSK choisie aléatoirement.

Le WEP était conçu pour isoler un réseau Wifi comme un réseau filaire (conçu par des gens qui avaient autant de chance d’arriver à isoler un réseau Wifi que moi de faire une opération à cœur ouvert, mais passons). La base de cette construction est un *secret*, la PSK. Cette construction c’est effondrée lamentablement. Mais ce n’est pas parce que ce qui était censé sécuriser le Wifi *grâce à une clef secrète* est cassé qu’il faut se rabattre sur une “protection” basée sur quelque chose qui n’a jamais été prévu pour rester secret, et qui est transmit en clair dans chaque paquet (l’adresse MAC destination d’un paquet).

“Les personnes l’activeront en connaissance de cause.”

Justement, non. Les personnes qui l’activeront n’auront pour la plupart aucune idée de la difficulté (très proche de 0) de “voler” l’adresse MAC d’un périphérique.

Le problème, c’est que l’efficacité d’une solution de “sécurité” est jugé comme des gens qui n’ont jamais pénétré un réseau, n’ont aucune idée de comment ça peut être fait, et prennent leurs informations dans des revues informatiques (qui leurs racontent que le filtrage MAC et le WEP sont efficaces, je l’ai lu!), et des sites sensationnalistes (qui leurs racontent que tout est percé/troué/pénétrable, donc peu importe ce qu’ils configurent sur leur AP). Jamais ils ne vont demander à des experts en sécurité, qui tous vont leur dire que le “filtrage d’adresse MAC” c’est de la gnognote.

“j’avais cette option dans mon routeur linksys wrt54g qui vien de lacher et je trouvais ca trés pratique.”

Pratique pour se rassurer à peu de frais?