Pour poursuivre cet exposé, nous allons nous appuyer sur un minimum de matériel. En principe, le choix du matériel n'a pas une importance capitale pour la mise en œuvre des concepts, encore que chaque constructeur peut ajouter ses petits « + » à la norme. Méfiez-vous de ces petits « + » qui, s'ils sont utilisés, risquent de provoquer des incompatibilités entre matériels de marques différentes.
Nous disposons d'un réseau filaire Ethernet, nous utilisons bien entendu TCP/IP, le réseau utilise la plage IP 172.16.0.0/16.
Une passerelle vers l'internet est présente (machine Linux avec IPtables), il y a sur ce réseau un serveur DHCP qui permet de configurer automatiquement les hôtes du réseau. Tout ceci fonctionne parfaitement, et nous voulons maintenant étendre ce réseau avec un accès Wi-Fi pour que les stations portables puissent accéder simplement à ce réseau.
Nous allons donc ajouter un AP (Point d'accès) qui ne sera la borne DWL-2100AP. Soyons bien clair tout de suite, il n'est absolument pas question de faire de la publicité pour cette marque, ni pour ce modèle (ni de la contre-publicité, d'ailleurs). C'est le matériel dont je dispose, voilà tout.
Il s'agit d'un « simple » point d'accès, au sens où il n'y a ni modem ni routeur intégré dans ce boitier. Il est typiquement conçu pour être connecté à un réseau filaire existant. La face arrière nous montre l'extrême simplicité de ce genre d'équipement. De gauche à droite :
Presque, il suffit de brancher pour que ça marche. Presque, parce que, comme nous allons le voir, cet AP dispose d'une adresse IP par défaut égale à 192.168.0.50.
C'est bien, mais ça ne va pas avec le plan d'adressage que nous avons dans l'exemple. Ici, le seul fait de brancher ne constitue que la première étape, mais pour l'instant, la borne demeure inutilisable.
La borne est fournie avec un utilitaire qui doit être capable de résoudre ce problème :
Une fois le problème de l'adresse IP résolu, nous pourrons nous passer de cet utilitaire, le point d'accès embarquant un mini serveur web qui nous permettra de le configurer. Est-ce un avantage ? Ce n'est pas si sûr. Par le fait, toute station connectée au réseau pourra accéder à ce serveur web.
Bien entendu, il y a tout de même une identification nécessaire. Par défaut, l'utilisateur s'appelle « admin » et le mot de passe est vide. La première chose à faire est donc de modifier tout ça :
Utilisez, si votre matériel le permet, un nom d'administrateur qui sorte un peu de l'ordinaire et surtout, mettez un mot de passe solide et même, pourquoi pas un nom d'utilisateur non trivial (on peut faire largement moins trivial que dans l'exemple), lettres majuscules et minuscules, chiffres, symboles et malgré tout, pensez que vous êtes en http et que le login sera facilement récupérable avec un sniffeur sur le réseau.
Vous me direz alors, « peut-être qu'il serait plus sûr d'exploiter l'utilitaire vu plus haut ? »
AP Manager utilise le protocole tftp il n'y a pas de nom d'utilisateur et le mot de passe circule là aussi en clair.
La troisième solution, ce serait telnet, mais là encore, les informations sur le login passent en clair…
Vous le voyez, côté réseau local, c'est déjà pas terrible du côté de la sécurité. Lorsque vous êtes sur votre réseau domestique, ça peut encore passer, mais sur un réseau d'entreprise, c'est beaucoup plus délicat.
Du côté des clients, j'ai utilisé quatre cartes Wi-Fi différentes :