HotSpot wifi maison

deus ex machina · Le 14/03/2008, à 14:46

Coucou tout le monde !

je vous avez deja pas passionné avec un probleme a la con il y'a quelque temps...
http://forum.ubuntu-fr.org/viewtopic.php?id=168114
Un projet impossible de partage de connexions 56k par un reseau ad-hoc.

Mais j'ai pas fini ! l'an prochain on a plus de moyens, on nous fournit une connexions 10M
et je ne m'arrete pas la, dans ma grande generosité je voulais en faire partager les alentours ...
Je pensais transformer une vieille machine en hotspot wifi avec une cle wifi usb MSI US54G ( elle a l'air tres bien suporté )
Mais je n'ai trouvé pour l'instant que des hotspot avec des routeurs wifi genre linksys ...

En partant du principe que c'est possible, quelqu'un a une piste ?
sinon si c'est pas possible, comment le rendre possible ?

yurek · Le 14/03/2008, à 15:33

possible chillispot fonctionne très bien sur un ordi et gère les connexions d'un routeur wifi mais sur une clé il te faudra le configurer en mode AP (je sais plus le nom, honte a moi).
Mais qui dit hotspot dit base de donnée, et radius.

Après pour qu'il tienne la chage c'est une autre histoire.

Le mieux c'est le metre en sans hotspot directement ouvert a tous.

deus ex machina · Le 14/03/2008, à 19:19

merci de l'info, je ferais tourné ca sur un PC dedié sans GUI avec quelque serveurs genre FTP,IRC,DHCP etc ... le but premier etait de faire une sorte de livebox de luxe.

la machine en elle même c'est un P3 a 350MHz avec 256 de ram
et je pense pas recevoir plus d'une dizaine de connexions simultané.

tu pense que la machine tient la route ?

Je chercherais du coté de radius.

yurek · Le 14/03/2008, à 22:42

évidement, la version serveur d'ubuntu utilise 64mo de ram avec ton proc aucun probleme. Mais tu l'a dis toi meme "dans ma grande generosité je voulais en faire partager les alentours ..." donc laisse en ouvert ! Je vois pas pourquoi tu t'embete a installer des serveurs, mais bon a toi de voir. Sache que cette solution tu pourra controler ceux qui entre dans le réseaux en créant des comptes, mais bon faut crypter tout ca si tu veux pas etre responsable des utilisations malsaine comme le vol des données (si tu ne crypte rien ou si tu utilsie du wep). Renseigne toit bien avant. Tu peux meme t'amuser a faire une recherche du coté du droit pour établir une charte d'utilisation...

Dernière modification par yurek (Le 14/03/2008, à 22:45)

dvau26 · Le 17/03/2008, à 19:58

Coucou, je suis nouveau

Mais je pense que d'une ton pc tiendra la route sans tro de soucis juste prévoir si tu configure aussi un pare-feu un HDD assez pour les logs.
De plus, je ne sais pas trop si chillispot+radius+firewalleyes fonctionne sous ubuntu mais tu peux toujours essayer.
je suis en mandriva 2007 plus chilli+radius+firewalleyes pas de soucis authentification en https avec certifs sa marche du tonnerre.
J'ai juste un doute sur le faite qu'on puisse ou non passer outre chillispot?
Si quelqu'un peut m'orienter sur cette question car a première vue j'ai un gas qui passe comme une fleures sans logs...

yurek · Le 17/03/2008, à 22:48

je ne sais pas trop si chillispot+radius+firewalleyes fonctionne sous ubuntu

quel question ca marche comme sous tous les systeme linux !

Si quelqu'un peut m'orienter sur cette question car a première vue j'ai un gas qui passe comme une fleures sans logs...

A la base si tu utilise radius tu as des logs c'est pas pour rien que ca s'appelle Remote Acces Dial In User Service ou AAA authentication Authorization Accounting . accounting étant les logs (pas vraiment mais bon )

dvau26 · Le 18/03/2008, à 00:59

J'ai du mal m'exprimer il ne se log pas sur mon chillispot il passe sans authentification donc si pas d'authentification pas de log avec account juste des trame sans "personne" derrière. Le lien adresse ip -- nom de personne (account) n'existe pas. j'ai une adresse ip mais pas de nom de personne derrière aprés c'est sur d'un certain point de vue il é logger plus ou moins mais bon y a pas d'authentification. Je ne sais pas trop comment il fait alors que je n'ai que 2 port ouvert coté client... ssh et http et rien d'autre...

yurek · Le 18/03/2008, à 01:39

rien a voir il a du simplement changer d'ip. Il faut que tu mette ton serveur sur un réseaux qui n'a pas accès au net. (enfin je crois).

dvau26 · Le 18/03/2008, à 19:09

Donc toutes stations qui veut aller sur internet passe par mon serveur CHILLISPOT RADIUS FIREWALLEYES donc s'il va sur internet sans se logger par chillispot je vois ces trames pas de pb mais je n'ai pas de correspondance entre l'adresse ip de sa bécane et un compte chilli ouvert.
Si l'on change d'adresse ip aprés une authentification c impossible puisse que pour valider une authentification radius prend 5 info le ttl, l'@ip, l'@MAC,le login et le mot de passe si l'un des 5 params changent sa coupe ilico la connexion.
J'ai l'exemple avec un pc ou le cable est fourreux le ttl change et d'un coup plus de connexion obliger de lancer un "arpscan eth1" pour qu'il reprenne en compte ma station avec son nouveau ttl.

yurek · Le 19/03/2008, à 01:24

hein ! c'est pas du wifi là ! mais bon... personnellement je vois pas trop l'interet, mais chaque situation est unique donc...

Normalement le ttl n'est pas pris en compte par chillispot. Apparemment le monsieur change d'IP .
Le chilli ne prend pas a ma connaissance le TTL, c'est juste que le pc perd la connexion et redemande une IP au serveur, c'est la que la connexion coupe.
Ensuite un autre probleme. vu que tu n'utilise pas de routeur wifi rien ne bloque les trames (c'est le role du routeur wifi), c'est pour ca qu'il a accès a internet :Tu doit mettre en place une regle qui n'autorise uniquement ta place d'adresse(192.168.182.0/24 ) et le monsieur sera bloqué !

dvau26 · Le 19/03/2008, à 08:24

ok merci pour ces renseignements sa va me servir.
Mon chilli.iptables est un pure concentré de truc elle est déjà pas mal blinder pour le wifi on compte installer un router WIFI sous chillispot (cf schéma) avec WPA2 en plus de chillispot.
L'authentification se fait par chillispot pour la page et la gestion https et tout le tremblement mais radius prend en compte pas mal de chose et un timing propre du pc qui permet comme une détection d'intrusion sur un switch qui bloque le port la c pareil si modif sur pc alors sa coupe la connexion vers le serveur.
Je n'ai autorisé que les adresses ip de mon réseau rien et d'autre que les trame sur mon port http et ssh plus d'autre modif du au pti pirate qui essayer de rentré sur mon serveur...
Sinon pour le wifi du peu que j'ai testé passe sans pb c'est même tranquil sans conf particulière sa marche assez bien toujours une authenf sans soucis.
J'ai essayé avec un station en partageant sa connexion WIFI et la sa marche avec un router pas de soucis particulier je pense mais je vais essayer avec un router WIFI dès reception de celui-ci.

yurek · Le 19/03/2008, à 13:25

est ce que ca a résolu ton probleme de la personne qui passe sans s'authentifier?

dvau26 · Le 19/03/2008, à 23:15

oui elle passe toujours... je sais pas pourquoi... mon iptables est quasiment infranchisable si ya pas d'authentification... a ce qu'il parait y a une faille inérente a chillispot qui permet de ce logger sans authentification mais je sais pas ou elle se trouve j'ai vérouillé pas mal de port pas mal de truc si pas d'authen j'ai juste pour les mise a jour quelque site autorisé a passer sans authen mais bon son 5 et guère plus j'ai essayer en passant par ces sites puis aprés de rebasculer ailleur non sa me plante. aprés pour ce déconnecter faut faire une url "http://192.168.182.1:XXXX/logoff" mais je sais pas si on peu passer par la j'ai pas trop tanté juste 2 fois sans succès mais peut-etre qu'avec de bon logiciel sa passe je sais pas...

yurek · Le 20/03/2008, à 00:38

Non. Actuellement le chillispot n'a pas de faille connu !
Probleme numéro un : tu ne sécurise pas en https ==> la base en sécurité
deuxiemement : Normalement une fois connecter tu un un popup qui indique le temps de connexion et un bouton qui permette de de deconnecter.
Chillispot est excellent. Il faut qui tu le couple absolument avec un portail captif (google) (chillispot n'est que le logiciel de gestion "derrière") . Comme gogologin ou meme celui fournie a la base hotspotlogin.cgi. (c'est la page sur lequel il y aura redirection)
Je te conseille vivement de lire multo documentation sur google.

Dernière modification par yurek (Le 20/03/2008, à 00:41)

dvau26 · Le 20/03/2008, à 16:21

bon alors sur mon premier message je dis que no soucis en https avec la page standard de chillispot sans modife particulière.
Je suis en https depuis le début et même en ssh v2 puisse que la version v1 a des failles mais en utilisant une attaques par man in the middle l'on peut si cela n'est pas sécurisé se faire passé pour le serveur et faire régresser mes stations en ssh v1 et en utilisé toute les failles mais pour ça normalement j'ai modifié certaine chose qui font que c pas possible je suis protéger contre l'attaques man in the middle enfin on est jamais protéger complètement...
Alors la faille doit ce trouver au niveau du radius doit y avoir quelquechose qui lui permette de passer en faisant croire qu'il est authentifié...
Mais je sais pas quoi, je vais allé voir le multo sur google merci

yurek · Le 20/03/2008, à 19:08

Les attaques man in the middle sont quand même rares mais si tu veut faire quelque chose de pointue tu peux.
Personnellement si ton https est bien implémenté dans ton réseaux ssh devient inutile (les certificats sont la pour ça. Mais bon c'est toi qui vois.

AU niveau du radius ou même de tes utilisateurs. Assure toi qu'il ne se sont pas fait passer les identifiants... C'est bête mais les utilisateur s'en foutent complètement.
Bien il te reste quelques possibilité, tu dois filtrer au maximum ton serveur radius, tu installe la dernière version de radius et de apache, tu désactive les modules inutile dans apache, tu supprime les identifiants test de radius (je pense que ca vient de la) .
Ce qui me perturbe c'est que tu ne prend pas la peine de regarder les logs de radius alors que c'est la base, le must du doute absolu que j'ai c'est que tu ne teste pas par toit meme ton réseau.

Dernière modification par yurek (Le 20/03/2008, à 19:11)

dvau26 · Le 20/03/2008, à 20:12

lol merci de penser que je ne test pas mon réseau c'est simpas mais je le prend pas mal du tout.

Je test mon réseau, j'ai regardé les logs radius aussi et j'ai toujours en encore une adresse ip qui passe je ne sais comment au travers de tout cela.
Il arrive a la page de redirection en https pas de soucis mais a partir de la il ne s'authentifie pas ya un truc "zarbe" et il passe.
Je vais encore refouillé et retourné se serveur de font en comble...
Nouvelle version de BackTrack2 on va tenter de passer trankil...
J'avais déjà essayer et trouver une faille ou je passais tranquil mais je l'ai corrigé.
merci pour tout si t'as d'autre info je suis prés a tout prendre.
Sinon pour le test wifi pour le moment j'ai pas encore les éléments mais sinon j'ai essayé rapidement sa marche bien...

yurek · Le 20/03/2008, à 20:26

tu n'aurais pas par hasard autorisé quelques IP ou sites dans UAM allowed?
Sinon tu peux remplacer hotspotlogin.cgi par une interface php , y'en a un sur le net il est bien et il marche bien peut etre que le cgi est vulnerable. Je sais pas trop.
Par curiosité si tu tape a la main la page cgi avec http ca redirige sur https?

dvau26 · Le 20/03/2008, à 20:31

oula jolie le coup du http sur le cgi mais je crois donc je retesterai, avoir essayer et sa me rediriger en https.
Oui j'ai des UAM, "www.microsoft.com, ftp.free.fr, clamav.com, ..." pour mes antivirus et les mises a jours systeme ayant des système complètement éthérogène Linux & Windows.
Mais avec c UAM j'arrive a me connecter ok mais par contre j'arrive pas a aller sur d'autre site...
Pour la page en php, je vais essayer de voir et je vais voir pour des failles cgi connu...
Merci je continue mes investigations... ;-))

yurek · Le 20/03/2008, à 20:41

Rassure toi la redirection du http sur du https est enfantile.
Normalement si tu n'a pas trop touché apache c'est que ca n'est pas mis en place.
Pour ce qui est du serveur radius, est ce que tu as supprimer les utilisateur test en local cet sur le réseau?
Si je me rappel bien il y a une option qui valide un utilisateur meme si le mot de passe ou le login est faux !! A vérifier donc.
Tu devrai relancer tous les services afin de réinitialiser les "compteurs".

dvau26 · Le 20/03/2008, à 20:49

ok je vais regarder le coup des utilisateurs locaux sans authentification mais normalement a mes souvenir je les avais viré mais une vérifie ne mange pas de pain...
Poour apache je vais regarder mais je pense pas que sa puisse venir de lui je l'ai déjà pas mal modifier.
J'ai relancer mes services y a pas trés longtemps pour regarder les "compteurs" lol je vois qu'on roule sur la mm longueur d'onde lol
Je regarderais tout cela demain ce soir repos lol
merci pour tout

yurek · Le 20/03/2008, à 21:05

petite précision: c'est le role d'apache de rediriger vers https si on fait une requete sur http.
Bonne soirée.

Dernière modification par yurek (Le 20/03/2008, à 21:05)

theoxyd · Le 20/03/2008, à 21:09

bah... pour une dizaine d'euros (voir gratuit si tu sais te débrouiller) tu achetes un routeur FON et basta
M'enfin c'est clair que c'est moins "passionnant" à mettre en place.
De plus au niveau consommation électricité tu va surement t'y retrouver.

dvau26 · Le 20/03/2008, à 22:49

Je viens de trouver un truc sur le net sur les failles cgi a première vue elles sont existantes et peuvent etre performante j'essayerai demain sur mon serveur.
Pour les failles et les tests allé sur http://rapistics.free.fr/FaillesCGI.htm
Bonne soirée

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 14/03/2008, à 14:46

HotSpot wifi maison

#2 Le 14/03/2008, à 15:33

Re : HotSpot wifi maison

#3 Le 14/03/2008, à 19:19

Re : HotSpot wifi maison

#4 Le 14/03/2008, à 22:42

Re : HotSpot wifi maison

#5 Le 17/03/2008, à 19:58

Re : HotSpot wifi maison

#6 Le 17/03/2008, à 22:48

Re : HotSpot wifi maison

#7 Le 18/03/2008, à 00:59

Re : HotSpot wifi maison

#8 Le 18/03/2008, à 01:39

Re : HotSpot wifi maison

#9 Le 18/03/2008, à 19:09

Re : HotSpot wifi maison

#10 Le 19/03/2008, à 01:24

Re : HotSpot wifi maison

#11 Le 19/03/2008, à 08:24

Re : HotSpot wifi maison

#12 Le 19/03/2008, à 13:25

Re : HotSpot wifi maison

#13 Le 19/03/2008, à 23:15

Re : HotSpot wifi maison

#14 Le 20/03/2008, à 00:38

Re : HotSpot wifi maison

#15 Le 20/03/2008, à 16:21

Re : HotSpot wifi maison

#16 Le 20/03/2008, à 19:08

Re : HotSpot wifi maison

#17 Le 20/03/2008, à 20:12

Re : HotSpot wifi maison

#18 Le 20/03/2008, à 20:26

Re : HotSpot wifi maison

#19 Le 20/03/2008, à 20:31

Re : HotSpot wifi maison

#20 Le 20/03/2008, à 20:41

Re : HotSpot wifi maison

#21 Le 20/03/2008, à 20:49

Re : HotSpot wifi maison

#22 Le 20/03/2008, à 21:05

Re : HotSpot wifi maison

#23 Le 20/03/2008, à 21:09

Re : HotSpot wifi maison

#24 Le 20/03/2008, à 22:49

Re : HotSpot wifi maison

Pied de page des forums