[isf-wifidog] Bonjour

Benoit Grégoire bock at step.polymtl.ca
Mer 2 Mar 13:58:39 EST 2005


> Une petite question: en ce qui concern le firewall, je ne comprends
> pas du tout << One rule to jump in, one to jump out rejects, one to
> jump out accepts>>. Qu'est-ce que ca veut dire ?  Je n'ai jamais
> entendu parler d'un "saute" dans un firewall. Je ne suis pas un guru
> mais je suis assez connaissant en firewalls. Il y a qq'un qui pourrait
> m'expliquer afin que ma redaction soit plus juste ?

La terminologie changes selon le système de firewall utilisé, mais en résumé 
lorsqu'un paquet IP traverse un firewall, il doit traverser plusieurs règles 
successives.  Plutôt que faire comme NoCat et ajouter toutes ses règles dans 
les tables par défaut (ce qui fout le bordela dans les firewall existant), on 
ajoute des chaînes de règles spécifique à wifidog.  Ensuite ce qui se passe 
est:

Tous les paquets traversant une interface protégée par wifidog sont redirigés 
(jump) vers le point d'entrée des règles de wifidog.  Si l'usager a accès 
le paquet continue tranquillement son chemin dans le firewall existant.  Dans 
le cas contraire, le paquet est rejeté.

Le but de l'exercice est à la fois la clarté des règles et de permettre de 
s'intégrer à des systèmes de sécurité existants. 

> en clair). Je voudrais avoir un system qui ouvre un VPN entre le
> client et le WRT54G. Je pense que OpenVPN serait bien adapte car on
> n'a pas besoin de beaucoup d'encryption, juste assez pour assurer que
> les donnees ne sont pas transmises en clair. De plus, un VPN pourrais

Pascal t'a déjà répondu à ce sujet.  Mais outre les difficulté de 
configuration, OpenVPN représente justement "beaucoup d'encryption".  Un 
WRT54G est capable de faire 3 à 5 mégabits d'OpenVPN, dans le cas d'un tunel 
unique.  Cette solution ne serait donc pas performante.

WPA par contre ne fonctionne pas avec une clef partagée comme WEP.  Il serait 
donc possible de crypter le traffic de chaque usager.

> adresse MAC. Par contre, c'est peut-etre trop difficile est dehors
> l'objectif de WifiDog.

Ce n'est pas en dehors des objectifs, mais certainement en dehors des 
priorités.  WPA est encore très mal intégré dans les drivers WiFI, et le 
support technique aux usagers deviendrait un cauchemard pour nous si c'étais 
supporté.  De plus, je ne crois pas qu'il soit possible pour un point d'accès 
d'être à la fois en mode ouvert et en WPA, mais il est très possible que je 
me trompe.

-- 
Benoit Grégoire, http://benoitg.coeus.ca/
-------------- section suivante --------------
Une pièce jointe non texte a été nettoyée...
Nom: non disponible
Type: application/pgp-signature
Taille: 189 octets
Desc: non disponible
Url: http://listes.philippeapril.com/pipermail/wifidog/attachments/20050302/8a7a0e22/attachment.pgp


Plus d'informations sur la liste de diffusion WiFiDog