je viens de m'installer un routeur Linksys. Je sais que l'on peut fermer
certains ports pour des raisons de sécurité.
Est-ce que je devrais en fermer certain ? Si oui, lesquels ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Claude LaFrenière [climenole]
Le 4 avril 2004
Bonjour David B. :D
dans le msg<news:Yl%bc.3345$
Bonjour,
je viens de m'installer un routeur Linksys. Je sais que l'on peut fermer certains ports pour des raisons de sécurité. Est-ce que je devrais en fermer certain ? Si oui, lesquels ?
Merci David
Une connection internet partagée ou non nécessite un pare-feu pour des raisons de sécurité évidentes [si elles ne le sont pas elles le deviendont...].
1- Avez-vous un pare-feu ? 2- Quel est ce pare-feu ? 3- Si c'est un pare-feu à règles (et non d'applications {e.g.ZA}), ce qui est + que souhaitable, quelles sont les règles qui sont établies pour la partie "système" (netbios,svchost,etc.) 4- Avez-vous utilisé le mode "apprentissage" du pare-feu et quels sont les résultats dans le journal du pare-feu ? 5- Avez-vous testé votre pare-feu chez Gibson Research ou PC Flank ? et quels sont les résultats ?
Remarques sur les confusions engendrées par les analogies "port" et portes :
Une *porte* est ou exclusivement ouverte ou exclusivement fermée. Ce qui implique des entrées-sorties dans les deux sens...
Il n'en va pas de même des *ports* : Un port peut être ouvert (ou fermé) soit:
- en entrée - en sortie - en entrée et en sortie
ET
en combinaison avec les éléments précédents soit :
- autorisé (ou interdit)pour tout - autorisé (ou interdit)pour une application déterminée - autorisé (ou interdit)pour un utilisateur déterminé - autorisé (ou interdit)pour tous les utilisateurs - autorisé (ou interdit)en tout temps - autorisé (ou interdit)pour une période déterminée - autorisé (ou interdit)pour toute adresse IP - autorisé (ou interdit)pour une adresse ou une gamme d'adresses IP
Un port ouvert n'est pas moins sécuritaire qu'un port fermé à la condition qu'il le soit correctement : avec le bon protocole,dans la bonne direction, pour l'application légitime , la bonne adresse IP , etc.
L'ensemble du système doit en outre être "stealth" id est furtif. Cela signifie que votre système ne répond pas à quelque sollicitations en provenance d'un autre système si cela n'est pas prévu par les règles du pare-feu , que ce soit un signal d'"acknowledge" ou un "ping" etc.
La plupart des signaux ("illégitimes")reçus sont ,pour 99.9 % des cas, des signaux parasites provenent de systèmes sans pare-feu ou avec un pare-feu mal configuré.
Les rares tentatives d'"intrusion" sont sans danger si et seulement si
1- votre système est furtif , au quel cas l'adresse IP qui lui correspond apparaît comme inactive ( pas de réponse ... ) 2- qu'il n'y a pas sur votre système de services non-sécurisés en écoute sur un ou des ports ouverts ou s'il n'y a pas dans votre système le serveur d'un trojan... Pour savoir comment marche un trojan consultez le site de J.C.Bellamy portant sur l'étude de Back Orifice : http://www.bellamyjc.org/fr/bo.html
Après cette digression qui sera, je l'espère utile:
Tenez-nous au courant.
Amicalement.
--
[faire le suivi sur le même fil de discussion s.v.p.]
Claude LaFrenière 2004-04-05 07:33:57 HAE GMT -05:00
dans le msg<news:Yl%bc.3345$wq4.266222@news20.bellglobal.com>
Bonjour,
je viens de m'installer un routeur Linksys. Je sais que l'on peut fermer
certains ports pour des raisons de sécurité.
Est-ce que je devrais en fermer certain ? Si oui, lesquels ?
Merci
David
Une connection internet partagée ou non nécessite un pare-feu pour des raisons
de sécurité évidentes [si elles ne le sont pas elles le deviendont...].
1- Avez-vous un pare-feu ?
2- Quel est ce pare-feu ?
3- Si c'est un pare-feu à règles (et non d'applications {e.g.ZA}),
ce qui est + que souhaitable, quelles sont les règles qui sont
établies pour la partie "système" (netbios,svchost,etc.)
4- Avez-vous utilisé le mode "apprentissage" du pare-feu et quels sont
les résultats dans le journal du pare-feu ?
5- Avez-vous testé votre pare-feu chez Gibson Research ou PC Flank ?
et quels sont les résultats ?
Remarques sur les confusions engendrées par les analogies "port" et portes :
Une *porte* est ou exclusivement ouverte ou exclusivement fermée.
Ce qui implique des entrées-sorties dans les deux sens...
Il n'en va pas de même des *ports* :
Un port peut être ouvert (ou fermé) soit:
- en entrée
- en sortie
- en entrée et en sortie
ET
en combinaison avec les éléments précédents soit :
- autorisé (ou interdit)pour tout
- autorisé (ou interdit)pour une application déterminée
- autorisé (ou interdit)pour un utilisateur déterminé
- autorisé (ou interdit)pour tous les utilisateurs
- autorisé (ou interdit)en tout temps
- autorisé (ou interdit)pour une période déterminée
- autorisé (ou interdit)pour toute adresse IP
- autorisé (ou interdit)pour une adresse ou une gamme d'adresses IP
Un port ouvert n'est pas moins sécuritaire qu'un port fermé à la condition
qu'il le soit correctement : avec le bon protocole,dans la bonne direction,
pour l'application légitime , la bonne adresse IP , etc.
L'ensemble du système doit en outre être "stealth" id est furtif.
Cela signifie que votre système ne répond pas à quelque sollicitations
en provenance d'un autre système si cela n'est pas prévu par les règles
du pare-feu , que ce soit un signal d'"acknowledge" ou un "ping" etc.
La plupart des signaux ("illégitimes")reçus sont ,pour 99.9 % des cas, des
signaux parasites provenent de systèmes sans pare-feu ou avec un pare-feu
mal configuré.
Les rares tentatives d'"intrusion" sont sans danger si et seulement si
1- votre système est furtif , au quel cas l'adresse IP qui lui correspond
apparaît comme inactive ( pas de réponse ... )
2- qu'il n'y a pas sur votre système de services non-sécurisés en écoute
sur un ou des ports ouverts
ou
s'il n'y a pas dans votre système le serveur d'un trojan...
Pour savoir comment marche un trojan consultez le site de J.C.Bellamy
portant sur l'étude de Back Orifice :
http://www.bellamyjc.org/fr/bo.html
Après cette digression qui sera, je l'espère utile:
Tenez-nous au courant.
Amicalement.
--
[faire le suivi sur le même fil de discussion s.v.p.]
Claude LaFrenière 2004-04-05 07:33:57 HAE GMT -05:00
je viens de m'installer un routeur Linksys. Je sais que l'on peut fermer certains ports pour des raisons de sécurité. Est-ce que je devrais en fermer certain ? Si oui, lesquels ?
Merci David
Une connection internet partagée ou non nécessite un pare-feu pour des raisons de sécurité évidentes [si elles ne le sont pas elles le deviendont...].
1- Avez-vous un pare-feu ? 2- Quel est ce pare-feu ? 3- Si c'est un pare-feu à règles (et non d'applications {e.g.ZA}), ce qui est + que souhaitable, quelles sont les règles qui sont établies pour la partie "système" (netbios,svchost,etc.) 4- Avez-vous utilisé le mode "apprentissage" du pare-feu et quels sont les résultats dans le journal du pare-feu ? 5- Avez-vous testé votre pare-feu chez Gibson Research ou PC Flank ? et quels sont les résultats ?
Remarques sur les confusions engendrées par les analogies "port" et portes :
Une *porte* est ou exclusivement ouverte ou exclusivement fermée. Ce qui implique des entrées-sorties dans les deux sens...
Il n'en va pas de même des *ports* : Un port peut être ouvert (ou fermé) soit:
- en entrée - en sortie - en entrée et en sortie
ET
en combinaison avec les éléments précédents soit :
- autorisé (ou interdit)pour tout - autorisé (ou interdit)pour une application déterminée - autorisé (ou interdit)pour un utilisateur déterminé - autorisé (ou interdit)pour tous les utilisateurs - autorisé (ou interdit)en tout temps - autorisé (ou interdit)pour une période déterminée - autorisé (ou interdit)pour toute adresse IP - autorisé (ou interdit)pour une adresse ou une gamme d'adresses IP
Un port ouvert n'est pas moins sécuritaire qu'un port fermé à la condition qu'il le soit correctement : avec le bon protocole,dans la bonne direction, pour l'application légitime , la bonne adresse IP , etc.
L'ensemble du système doit en outre être "stealth" id est furtif. Cela signifie que votre système ne répond pas à quelque sollicitations en provenance d'un autre système si cela n'est pas prévu par les règles du pare-feu , que ce soit un signal d'"acknowledge" ou un "ping" etc.
La plupart des signaux ("illégitimes")reçus sont ,pour 99.9 % des cas, des signaux parasites provenent de systèmes sans pare-feu ou avec un pare-feu mal configuré.
Les rares tentatives d'"intrusion" sont sans danger si et seulement si
1- votre système est furtif , au quel cas l'adresse IP qui lui correspond apparaît comme inactive ( pas de réponse ... ) 2- qu'il n'y a pas sur votre système de services non-sécurisés en écoute sur un ou des ports ouverts ou s'il n'y a pas dans votre système le serveur d'un trojan... Pour savoir comment marche un trojan consultez le site de J.C.Bellamy portant sur l'étude de Back Orifice : http://www.bellamyjc.org/fr/bo.html
Après cette digression qui sera, je l'espère utile:
Tenez-nous au courant.
Amicalement.
--
[faire le suivi sur le même fil de discussion s.v.p.]
Claude LaFrenière 2004-04-05 07:33:57 HAE GMT -05:00
Si vous n'êtes pas familier avec les routeurs, vérifiez au moins ces points cruciaux :
- interdire de paramétrer le routeur depuis l'internet (en général via des accès telnet, http ou snmp). Si vous le faites, mettez un mot de passe long et compliqué (avec des caractères majuscules, minuscules, chiffres et symboles), - ne pas mettre un de vos pc dans la DMZ.
Vous obtenez ainsi un bon degré de sécurité car vous vous protégez contre toutes les initiatives externes (c-à-d venant de l'internet).
Si vous avez quelques notions réseaux, vous pouvez peaufiner en programmant le pare-feu de votre routeur pour : - bloquer le netbt (netbios dans ip) en interdisant les ports destination 135 à 139 udp et tcp dans les 2 sens, - bloquer l'ip spoofing (c-à-d une trame ip venant de l'extérieur dont le réseau ip source est votre réseau privé)
Mais ceci ne vous protége pas des éventuelles initiatives depuis votre propre réseau (virus et trojan actifs). Peaufinez alors en utilisant sur tous vos pc un pare-feu logiciel qui sera surtout chargé de contrôler les conversations sortant à votre insu. Voir le post dans ce même fil de Claude LaFrenière.
--
"David B." a écrit dans le message de news:Yl%bc.3345$
Bonjour,
je viens de m'installer un routeur Linksys. Je sais que l'on peut fermer certains ports pour des raisons de sécurité. Est-ce que je devrais en fermer certain ? Si oui, lesquels ?
Merci David
Si vous n'êtes pas familier avec les routeurs, vérifiez au moins ces points
cruciaux :
- interdire de paramétrer le routeur depuis l'internet (en général via des
accès telnet, http ou snmp). Si vous le faites, mettez un mot de passe long
et compliqué (avec des caractères majuscules, minuscules, chiffres et
symboles),
- ne pas mettre un de vos pc dans la DMZ.
Vous obtenez ainsi un bon degré de sécurité car vous vous protégez contre
toutes les initiatives externes (c-à-d venant de l'internet).
Si vous avez quelques notions réseaux, vous pouvez peaufiner en programmant
le pare-feu de votre routeur pour :
- bloquer le netbt (netbios dans ip) en interdisant les ports destination
135 à 139 udp et tcp dans les 2 sens,
- bloquer l'ip spoofing (c-à-d une trame ip venant de l'extérieur dont le
réseau ip source est votre réseau privé)
Mais ceci ne vous protége pas des éventuelles initiatives depuis votre
propre réseau (virus et trojan actifs). Peaufinez alors en utilisant sur
tous vos pc un pare-feu logiciel qui sera surtout chargé de contrôler les
conversations sortant à votre insu. Voir le post dans ce même fil de Claude
LaFrenière.
--
"David B." <davidbizierNOS-PAM@sympatico.ca> a écrit dans le message de
news:Yl%bc.3345$wq4.266222@news20.bellglobal.com...
Bonjour,
je viens de m'installer un routeur Linksys. Je sais que l'on peut fermer
certains ports pour des raisons de sécurité.
Est-ce que je devrais en fermer certain ? Si oui, lesquels ?
Si vous n'êtes pas familier avec les routeurs, vérifiez au moins ces points cruciaux :
- interdire de paramétrer le routeur depuis l'internet (en général via des accès telnet, http ou snmp). Si vous le faites, mettez un mot de passe long et compliqué (avec des caractères majuscules, minuscules, chiffres et symboles), - ne pas mettre un de vos pc dans la DMZ.
Vous obtenez ainsi un bon degré de sécurité car vous vous protégez contre toutes les initiatives externes (c-à-d venant de l'internet).
Si vous avez quelques notions réseaux, vous pouvez peaufiner en programmant le pare-feu de votre routeur pour : - bloquer le netbt (netbios dans ip) en interdisant les ports destination 135 à 139 udp et tcp dans les 2 sens, - bloquer l'ip spoofing (c-à-d une trame ip venant de l'extérieur dont le réseau ip source est votre réseau privé)
Mais ceci ne vous protége pas des éventuelles initiatives depuis votre propre réseau (virus et trojan actifs). Peaufinez alors en utilisant sur tous vos pc un pare-feu logiciel qui sera surtout chargé de contrôler les conversations sortant à votre insu. Voir le post dans ce même fil de Claude LaFrenière.
--
"David B." a écrit dans le message de news:Yl%bc.3345$
Bonjour,
je viens de m'installer un routeur Linksys. Je sais que l'on peut fermer certains ports pour des raisons de sécurité. Est-ce que je devrais en fermer certain ? Si oui, lesquels ?
Merci David
David B.
- interdire de paramétrer le routeur depuis l'internet (en général via des accès telnet, http ou snmp). Si vous le faites, mettez un mot de passe long
et compliqué (avec des caractères majuscules, minuscules, chiffres et symboles),
Comment puis-je faire une telle chose ? Je suis aller dans la page de config de mon routeur (192.168.1.1) mais je ne vois rien de cela...
Merci! David
- interdire de paramétrer le routeur depuis l'internet (en général via des
accès telnet, http ou snmp). Si vous le faites, mettez un mot de passe
long
et compliqué (avec des caractères majuscules, minuscules, chiffres et
symboles),
Comment puis-je faire une telle chose ? Je suis aller dans la page de
config
de mon routeur (192.168.1.1) mais je ne vois rien de cela...
