Forum général.général Question générale sur la sécurité/parefeu (pour mon petit LAN)

Posté par  (site web personnel) .
Étiquettes : aucune
0
14
déc.
2004
Hello tous,

je m'y connais pas encore a fond niveau réseau, pare feu/sécurité... donc voici ma question :

chez moi j'avais trois ordis sur un switch et la connexion internet partagée par un des trois ordis qui possédait aussi un pare feu.
Il y a quelques jours j'ai reçu ma freebox, que j'ai mis en mode routeur et qui est connectée a mon switch. donc mes trois PC sur mon switch avec la freebox dessus, et les trois ordis en DHCP.

Est-ce que maintenant je suis obligé de mettre un pare feu sur chaque ordi ? est-ce que le fait que mes ordis accedent a internet via ma freebox routeur les protègent plus ou moins des attaques extérieures ?

voila, merci pour vos réponses.

Nicolas.
  • # Question générale sur la sécurité/parefeu (pour mon petit LAN)

    Posté par  . Évalué à 2.

    Est-ce que maintenant je suis obligé de mettre un pare feu sur chaque ordi ? est-ce que le fait que mes ordis accedent a internet via ma freebox routeur les protègent plus ou moins des attaques extérieures ?

    Maintenant, tous tes micros passent par la freebox, indépendament les uns des autres. Donc tout dépend de la freebox. Si elle comporte un pare-feu que tu peux contrôler, c'est lui qu'il faut régler. S'il n'y en a pas, il faut alors que chaque micros ai son propre pare-feu.
  • # NAT

    Posté par  (site web personnel) . Évalué à 3.

    La freebox ne fait pas de firewalling a ma connaissance, en revanche elle fait du NAT (redirection de port)
    De ce fait, si tu ne redirige aucun port de ta freebox vers une des machines de ton réseau, elles ne seront pas accessible (par exemple tu devra explicitement dire a ta freebox de relayer tout ce qui arrive sur le port 80 vers le pc 192.168.1.2)
    Donc ce n'est pas a proprement parlé du firewalling, mais les conséquences y ressemble pour beaucoup : Si tu redirige aucun port, c'est ta freebox qui considerera que tout ce qui arrive sur son adresse ip est pour elle, donc ne fera rien suivre
    Je connais beaucoup de personne qui mèlent les notions de NAT et de firewalling, et qui se contentent donc des regles NAT pour gérer leur réseau.
    Je pense donc au final que le NAT protège déjà pas trop mal si tu ne veux pas te prendre la tête avec du vrai firewalling, et que donc la freebox protégera un ptit peu tes ordinateurs.
    • [^] # Re: NAT

      Posté par  (site web personnel) . Évalué à 1.

      Si tu as pas besoin de connexion entrante (aucun service pour l'extérieur)
      tu met dans ton routeur comme adresse a router ce qui vient de l'extérieur une adresse qui est pas utiliser. Par exemple si 192.168.0.100 est pas utiliser tu met que tous ce qui entre sur ton routeur depuis internet vas sur cette adresse.
      L'avantage: le routeur vas pas répondre a la machine qui essaye d'entrer chez toi vus que 192.168.0.100 n'existe pas et qu'il répond pas.
  • # Freebox

    Posté par  (site web personnel) . Évalué à 3.

    Comme dit plus haut, la freebox fait de la translation d'adresse (NAT), donc tes pcs ne craignent rien pour toutes les attaques venant d'internet vers un port qui n'est pas routé explicitement par la freebox.

    Par contre, un firewall peut quand même être utile pour les connexions sortantes, comme par exemple pour empêcher un trojan d'accéder à internet.
    • [^] # Re: Freebox

      Posté par  (site web personnel) . Évalué à 1.

      Et si on pose la question différemment :

      Quelles sont les méthodes pour accéder de l'extérieur à une machine derrière un NAT ?
      (sans ouvrir une connexion ssh inverse depuis l'intérieur ou un truc du genre, bien sûr)

      Quand on est derrière le NAT, pour se connecter à l'internet il suffit d'indiquer le NAT comme passerelle pour la connexion. Si on fait la même chose dans l'autre sens : depuis l'extérieur, j'indique l'adresse externe du NAT comme passerelle, puis je demande une connexion à l'adresse locale 192.168.X.X
      Est-ce que j'ai des chances de pouvoir me connecter ?
      • [^] # ne melangeons pas tout

        Posté par  (site web personnel) . Évalué à 1.

        le NAT est une methode qui comme son nom l'indique Network Address Translation permet de transformer une IP en une autre IP. On l'utilise pour transformé une adresse d'un réseau privé, dans le cas de la freebox toutes celles qui sont en 192.168.0.X ET qui veulent aller sur internet. Le NAT n'est ni une machine, ni une boite noire....

        La passerelle ou le routeur peuvent avoir (entre autre) la fonctionnalité du NAT.

        Maintenant imaginons que quelqu'un veille acceder a notre réseau privé depuis internet. Les adresses privées telle que 192.168.0.X ne sont pas routées par les routeurs d'internet donc des que vous sortez sur internet avec cette adresse le premier routeur mettra votre paquet a la poubelle.

        Oui mais si on mets en adresse source une IP du style 192.168.0.X et en destination l'adresse de ma freebox pour faire croire que ça vient du réseau local ?
        La encore, la freebox recevra le paquet (si il a pas été supprimé par un routeur bien parametré avant...) mais comme dans sa table de correspondance elle ne verra pas de relation avec des connexions deja existantes des PC du réseau local, elle vira le paquet.

        Conclusion: (on est toujours dans la théorie)
        Pour acceder a une machine se trouvant dans un réseau local depuis internet il y a 2 solutions (aller on en mets 3)
        - le connecter sur la passerelle et faire une connexion vers le réseau local
        - que la passerelle fasse de la redirection vers un IP ou une IP+port (forward)
        - quelle est un trou de securité...

        Voila j'espere avoir été clair et pas avoir faire trop d'erreur...
    • [^] # Re: Freebox

      Posté par  . Évalué à 1.

      Effectivement ta freebox configurée en routeur NAT protège efficacement tes PC d'une attaque extérieure. Pour t'en convaincre tu peux activer le firewalling sur un de tes PC et vérifier les logs : tu ne devrais pas voir de paquets suspects, où alors c'est que la Freebox a une grosse faille de sécurité...

      Comme dit plus haut ta freebox n'empêchera pas un trojan d'accéder à internet "à l'insu de ton plein gré". Si tu n'utilises que des logiciels libres sur tes PC le risque est assez faible AMHA. Par ailleurs l'utilisation des firewalls par la plupart des gens n'apporte pas davantage de sécurité (protection contre les tentatives de connexions depuis l'extérieur surtout).
  • # Mode routeur de la freebox buggé

    Posté par  (site web personnel) . Évalué à 2.

    Loin de moi l'idée de vouloir colporter des rumeurs mais j'ai lu récemment un poste qui m'a surpis là: http://www.freenews.fr/rhal.php?itemid=852(...) Le monsieur, suite à une déconnection voit sa freebox passer du mode routeur au mode normal (bridge je crois) ce qui crains un petit peu.

    Dans le doute je vais rester encore un peu avec mon routeur...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.