Bon, j'ai pris une décision!

Dans le message :455c4b71$0$27390$ba4acef3@news.orange.fr,
G-raison <jairaison@wanadoo.fr> a pris la peine d'écrire ce qui suit :

Bonjour,

Pour une simple question de sécurité, et même si dans ce forum suite
à une discussion plus haut, vous ne faites pas de même, j'ai penser à
une
méthode :
Je déconnecte le PC de la LiveBox quand je ne me sers pas d'Internet
ou que je ne suis pas sur le PC.

C'est peut-être con, mais je trouve ça plus sécurisant, plutôt que de
rester toujours connecté à attendre qu'un pirate trouve une satanée
faille.

Qu'est-ce qu'on en pense ici?

Tu pourrais aussi éteindre ton PC !!!
;-)
"Un PC sûr est un PC éteint!" aurait dit le général cLuster ! ;-)

Je suis connecté derrière mon routeur ADSL (la LiveBox n'existait pas à
cette époque) depuis le 15 décembre 2000, et AUCUNE de mes machines ne
s'est jamais faite infecter par quoi que ce soit.
Il est TOUJOURS en service.
Qui dit routeur dit adresses privées pour les ordinateurs (donc non
atteignables de l'extérieur, sauf table NAT folklorique), et avec un bon
antivirus mis à jour régulièrement, un coupe-feu (celui du routeur en 1er, +
1 FW logiciel éventuellement), on ne risque rien.

Sur le plan professionnel je suis connecté à Internet depuis 1992, et le
seul virus que j'ai eu (mais vite viré!) a été apporté par une disquette
infectée d'un de mes stagiaires auquel j'avais prêté momentanément mon PC
(l'erreur!)

Et sur le plan personnel, connecté à Internet depuis 1995, je n'ai JAMAIS
été infecté.
Simple question élémentaire d'hygiène de vie informatique (antivirus à jour,
ne jamais cliquer comme une andouille sur une pièce-jointe, ne jamais
exécuter un programme d'origine inconnue, ...)

Donc ceux qui se goinfrent des "aliens" sont la plupart du temps des
"gorets-cosaques" ! ;-)


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Jean-Claude BELLAMY wrote:

Je suis connecté derrière mon routeur ADSL (la LiveBox n'existait pas à
cette époque) depuis le 15 décembre 2000, et AUCUNE de mes machines ne
s'est jamais faite infecter par quoi que ce soit.
Il est TOUJOURS en service.

Oui, c'est ce que tu disais plus haut.
J'en prends bonne note! :-)

Qui dit routeur dit adresses privées pour les ordinateurs (donc non
atteignables de l'extérieur, sauf table NAT folklorique), et avec un bon
antivirus mis à jour régulièrement, un coupe-feu (celui du routeur en 1er,
+ 1 FW logiciel éventuellement), on ne risque rien.

Oui, mais je verrais ça par la suite, de mes propres yeux.
(sauf si je deviens aveugle évidement :-) ...)

Sur le plan professionnel je suis connecté à Internet depuis 1992, et le
seul virus que j'ai eu (mais vite viré!) a été apporté par une disquette
infectée d'un de mes stagiaires auquel j'avais prêté momentanément mon PC
(l'erreur!)

Oui, il y a encore ça à faire gaffe, c'est vrai.

Et sur le plan personnel, connecté à Internet depuis 1995, je n'ai JAMAIS
été infecté.
Simple question élémentaire d'hygiène de vie informatique (antivirus à
jour, ne jamais cliquer comme une andouille sur une pièce-jointe, ne
jamais exécuter un programme d'origine inconnue, ...)

Ca je pense que j'ai une bonne hygiène de vie informatique.

Non, le seul truc qui me tracasse depuis ma connexion presque rapide c'est
que j'ai toujours la même adresse IP, c'est tout.
Mais si je ne fais pas trop de bétises, ça ne doit pas poser de problème.

Donc ceux qui se goinfrent des "aliens" sont la plupart du temps des
"gorets-cosaques" ! ;-)

Animaux en voie de disparition sans doute. :-)

--
@+
gr

md_news wrote:

G-raison >
Mais le fait de déconnecter le PC de la LB n'empêche pas les éventuels
pirates de s'occuper de celle-ci par Wifi... (si activé) ou côté WAN si
mal configuré. Je connais pas la LB, mais si dans un routeur tu autorise
l'admi côté WAN, c'est pas une bonne idée (heureusement c'est le plus
souvent désactivé par défaut et autorisé uniquement côté LAN)

Non, je suis branché avec la LB par un modeste câble Ethernet de couleur
blanche. :-)
Le wifi c'est pas mon truc comme dirait Majax.

Autre truc utile, si tu ne surfe pas la nuit, certains routeur ont une
fonction qui coupe la connexion dans une plage horaire à définir.

Non, pas la LB.
Je n'ai pas vu ce genre de fonction.
Dommage.

Enfin, si tu veux véritablement être en sécurité, débranche plutôt le fil
d'arrivé du téléphone sur la LB.

Ah non, mes douleurs articulaires m'interdisent ce genre de gymnastique! :-)
Faut que je me baisse pour ça.

--
@+
gr

md_news wrote:

G-raison >
Mais le fait de déconnecter le PC de la LB n'empêche pas les éventuels
pirates de s'occuper de celle-ci par Wifi... (si activé) ou côté WAN si
mal configuré. Je connais pas la LB, mais si dans un routeur tu autorise
l'admi côté WAN, c'est pas une bonne idée (heureusement c'est le plus
souvent désactivé par défaut et autorisé uniquement côté LAN)

Un routeur derrière la box, un antivirus, un fire wall,un anti
spyware et tout cela à jour. j'ai une IP fixe et depuis 3 ans
je n'ai pas eu de problème.

Un Ghost sur un disque externe et ne te poses plus de
question, vis internet et vis ta vie

Salut,

G-raison <jairaison@wanadoo.fr> a pris la peine d'écrire ce qui suit :

Je déconnecte le PC de la LiveBox quand je ne me sers pas d'Internet
ou que je ne suis pas sur le PC.

Et un jour la connexion ne marche plus parce que la fiche du câble ou
l'embase ethernet du PC est bousillée à force d'avoir été manipulée...

Qui dit routeur dit adresses privées pour les ordinateurs

Non, pas systématiquement. En plus des adresses privées, j'ai quelques
adresses publiques routées derrière ma passerelle.

(donc non atteignables de l'extérieur, sauf table NAT folklorique)

Et sauf compromission du FAI (rare, je l'accorde) ou architecture
permissive de celui-ci, cf. les FAI câble où plusieurs clients sont sur
un médium partagé.

On ne le répètera jamais assez : dans l'absolu, le NAT seul n'est pas
une protection ! Et il faut arrêter de dire que routeur = NAT. Vous
allez voir quand on basculera en IPv6 (je sais, c'est pas encore demain
la veille), il n'y aura plus de NAT et il faudra songer à s'intéresser
*sérieusement* à ce que filtrent vraiment nos routeurs.

(donc non atteignables de l'extérieur, sauf table NAT folklorique)

Et sauf compromission du FAI (rare, je l'accorde) ou architecture
permissive de celui-ci, cf. les FAI câble où plusieurs clients sont sur
un médium partagé.

Vu que je suis raccordé par le cable, ça m'intéresse.
En quoi le fait que le médium soit partagé influe-t'il sur ce qui se
passe derrière ton routeur ?

On ne le répètera jamais assez : dans l'absolu, le NAT seul n'est pas
une protection !

C'est vrai, mais passer par dessus un routeur NAT n'est quand même pas
immédiat et demande quelques efforts qui ne sont pas à la portée du
premier venu. Si en plus le routeur vérifie les adresses MAC, ça offre
quand même une bonne protection vis-à-vis des attaques habituelles.
Pour que quelqu'un arrive à forcer ce genre de protection, il faut qu'il
y mette tout de même beaucoup de bonne volonté, non ?

Et il faut arrêter de dire que routeur = NAT. Vous
allez voir quand on basculera en IPv6 (je sais, c'est pas encore demain
la veille), il n'y aura plus de NAT et il faudra songer à s'intéresser
*sérieusement* à ce que filtrent vraiment nos routeurs.

En quoi IPv6 empêche-t'il de laisser le routeur continuer à travailler
en NAT?

--
à bientot (enlever les X pour me répondre)
=================================================== les secrets de l'univers http://nrumiano.free.fr
un atlas de l'univers http://atunivers.free.fr
images du ciel http://images.ciel.free.fr
====================================================

Dans le message :ejijou$6v6$1@biggoron.nerim.net,
Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> a pris la peine d'écrire ce
qui suit :

Salut,

G-raison <jairaison@wanadoo.fr> a pris la peine d'écrire ce qui suit
:

Je déconnecte le PC de la LiveBox quand je ne me sers pas d'Internet
ou que je ne suis pas sur le PC.

Et un jour la connexion ne marche plus parce que la fiche du câble ou
l'embase ethernet du PC est bousillée à force d'avoir été manipulée...

Qui dit routeur dit adresses privées pour les ordinateurs

Non, pas systématiquement. En plus des adresses privées, j'ai quelques
adresses publiques routées derrière ma passerelle.
Oui, je sais !

Je parlais dans le cas général d'utilisateurs personnels.
(avec une xxxxBox, on ne va pas très loin question nombre de machines!)
Dans l'industrie, c'est autre chose.
A EDF tu n'imagines pas le nombre d'adresses internes non régies par la RFC
1918 que j'ai pu répertorier !
(mais avec un proxy/firewall pire que le plus féroce des cerbères !)

(donc non atteignables de l'extérieur, sauf table NAT folklorique)

Et sauf compromission du FAI (rare, je l'accorde) ou architecture
permissive de celui-ci, cf. les FAI câble où plusieurs clients sont
sur un médium partagé.

On ne le répètera jamais assez : dans l'absolu, le NAT seul n'est pas
une protection !
Mais je suis bien d'accord.

C'est une conditon nécessaire, mais non suffisante ...

Et il faut arrêter de dire que routeur = NAT.
En théorie, oui ce sont 2 concepts indépendants, mais en pratique, à l'heure

actuelle, avec l'adressage IP V4, le NAT est implicite sur un routeur, pour
ne pas dire OBLIGATOIRE (à partir du moment où il y a plus d'une machine
dans le LAN)!

Vous
allez voir quand on basculera en IPv6 (je sais, c'est pas encore
demain la veille), il n'y aura plus de NAT et il faudra songer à
s'intéresser *sérieusement* à ce que filtrent vraiment nos routeurs.

Je suis bien d'accord là aussi !
Il est évident que le jour où mon frigo ou ma voiture pourront avoir leurs
propres adresses IP connues de tout l'univers, j'aurai intérêt à protéger
leurs accès !! ;-)
Mais comme tu le fais justement remarquer, "c'est pas encore demain la
veille".
Et à quelque chose, malheur est bon, car çà permet à grand nombre d'admins
d'être encore un peu tranquilles grâce au NAT.


--
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

(donc non atteignables de l'extérieur, sauf table NAT folklorique)

Et sauf compromission du FAI (rare, je l'accorde) ou architecture
permissive de celui-ci, cf. les FAI câble où plusieurs clients sont
sur un médium partagé.

Vu que je suis raccordé par le cable, ça m'intéresse.

Déjà, j'ai bien précisé que ça ne concerne pas tous les FAI câbles.

En quoi le fait que le médium soit partagé influe-t'il sur ce qui se
passe derrière ton routeur ?

Un médium partagé, c'est exactement comme un réseau local ethernet.
Toutes les machines qui sont dessus peuvent communiquer entre elles
directement sans passer par un routeur. Si je suis sur le même médium
que la patte internet de ton routeur, je peux lui envoyer tout le trafic
que je veux avec les adresses source et destination que je veux. En
particulier, je peux lui envoyer un paquet avec comme adresse de
destination l'adresse privée d'une des machines situées derrière
celui-ci. Le reste dépend de la façon dont le routeur fonctionne. Par
exemple Linux (et donc tous les routeurs basés dessus), s'il n'est
configuré que pour du NAT et pas du filtrage, routera sans broncher le
paquet vers sa destination finale. Dire que le NAT suffit à bloquer les
paquets entrants dans tous les cas (hors redirection de port ou DMZ) est
faux.

On ne le répètera jamais assez : dans l'absolu, le NAT seul n'est pas
une protection !

C'est vrai, mais passer par dessus un routeur NAT n'est quand même pas
immédiat et demande quelques efforts qui ne sont pas à la portée du
premier venu.

Dans une situation favorable comme celle ci-dessus, c'est quasiment à la
portée du premier venu. Et de toute façon ce n'est généralement pas le
premier venu qui se met en tête de pirater ton réseau.

Si en plus le routeur vérifie les adresses MAC, ça offre
quand même une bonne protection vis-à-vis des attaques habituelles.

Quelles adresses MAC ? Il me semble qu'en général la vérification des
adresses MAC n'a lieu que côté LAN.

Pour que quelqu'un arrive à forcer ce genre de protection, il faut qu'il
y mette tout de même beaucoup de bonne volonté, non ?

En général, les pirates sont motivés, oui. :-)

Et il faut arrêter de dire que routeur = NAT. Vous allez voir quand on
basculera en IPv6 (je sais, c'est pas encore demain la veille), il n'y
aura plus de NAT et il faudra songer à s'intéresser *sérieusement* à
ce que filtrent vraiment nos routeurs.

En quoi IPv6 empêche-t'il de laisser le routeur continuer à travailler
en NAT?

Tout simplement parce qu'un des objectifs du déploiement d'IPv6 est
l'abolition du NAT et le rétablissement de la connectivité de bout en
bout. Si je prends le cas de Linux, qui supporte IPv6 depuis longtemps,
il n'est pas prévu de NAT en IPv6.

Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> a pris la peine d'écrire ce
qui suit :

Qui dit routeur dit adresses privées pour les ordinateurs

Non, pas systématiquement. En plus des adresses privées, j'ai quelques
adresses publiques routées derrière ma passerelle.

Oui, je sais !
Je parlais dans le cas général d'utilisateurs personnels.
(avec une xxxxBox, on ne va pas très loin question nombre de machines!)

Alors il faut parler de xxxxBox, pas de routeur. Ce n'est pas tout à
fait la même chose ! :-p

A EDF tu n'imagines pas le nombre d'adresses internes non régies par la RFC
1918 que j'ai pu répertorier !

Si, j'imagine bien qu'EDF, comme toutes les grosses boîtes, doit avoir
un bon gros tas d'adresses IP publiques.

(mais avec un proxy/firewall pire que le plus féroce des cerbères !)

Voilà, la sécurité est assurée par du filtrage, pas du NAT.

On ne le répètera jamais assez : dans l'absolu, le NAT seul n'est pas
une protection !

Mais je suis bien d'accord.
C'est une conditon nécessaire, mais non suffisante ...

Ça dépend de quoi on parle. Le NAT n'est ni nécessaire ni suffisant pour
la sécurité. Tu l'as montré toi-même juste au dessus. La protection
c'est avant tout le filtrage, avec ou sans NAT. Le NAT est nécessaire
uniquement pour le partage de connexion. La "protection" apportée par la
combinaison de NAT et de routage qui fait qu'on ne peut atteindre que
l'adresse publique n'est qu'un effet de bord dont on ne bénéficie pas
dans tous les cas ; cf. ma réponse à Norbert.

Et il faut arrêter de dire que routeur = NAT.

En théorie, oui ce sont 2 concepts indépendants, mais en pratique, à l'heure
actuelle, avec l'adressage IP V4, le NAT est implicite sur un routeur, pour
ne pas dire OBLIGATOIRE (à partir du moment où il y a plus d'une machine
dans le LAN)!

Uniquement à cause de la politique d'allocation des adresses IPv4. Si on
allouait à chacun plus d'adresses IP qu'il n'en a besoin (comme en
IPv6), personne ne ferait du NAT (comme en IPv6).

Vous
allez voir quand on basculera en IPv6 (je sais, c'est pas encore
demain la veille), il n'y aura plus de NAT et il faudra songer à
s'intéresser *sérieusement* à ce que filtrent vraiment nos routeurs.

Je suis bien d'accord là aussi !
Il est évident que le jour où mon frigo ou ma voiture pourront avoir leurs
propres adresses IP connues de tout l'univers, j'aurai intérêt à protéger
leurs accès !! ;-)

En fait, ce serait plus sûr de ne pas les relier du tout au réseau public.

Mais comme tu le fais justement remarquer, "c'est pas encore demain la
veille".

J'aurais dû préciser : pas demain la veille pour tout le monde. Moi,
c'est fait, j'attends les autres. :-) Et il doit bien y avoir à EDF au
moins un bout de réseau en IPv6, non ?

Et à quelque chose, malheur est bon, car çà permet à grand nombre d'admins
d'être encore un peu tranquilles grâce au NAT.

On peut le voir comme ça. Moi j'ai plutôt la conviction que la
généralisation du NAT a induit chez beaucoup de gens et particulièrement
dans le grand public de mauvais réflexes et habitudes dont il sera
difficile de se défaire, en particulier l'équation "routeur = NAT =
protection".

Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> writes:

'Lut,

On peut le voir comme ça. Moi j'ai plutôt la conviction que la
généralisation du NAT a induit chez beaucoup de gens et particulièrement
dans le grand public de mauvais réflexes et habitudes dont il sera
difficile de se défaire, en particulier l'équation "routeur = NAT > protection".

Ben, faut voir le bon coté de la chose, le nombre de machines infectées
explosera lors de la généralisation d'ipv6, ce sera tout bonnard pour
les opérateurs de botnets ;)

--

Voici mon problème, j'ai deux PCs relies par des cartes ethernet,
configures avec le protocole PPP.
-+- Romain in Guide du linuxien pervers - "Ils sont fous ces romains !" -+-