NAT, routeurs...

Le Mon, 23 May 2005 05:28:28 +0000, Fabien LE LEZ a écrit :

Si un LAN est connecté à Internet via un routeur, avec une connexion
NATée (une seule adresse IP publique pour tout le LAN ; toutes les
connexions sortantes sont autorisées, toutes les connexions entrantes
sont refusées car routées sur aucune machine), la protection effectuée
par le NAT est-elle suffisante contre les attaques extérieures ?

Le fait de mettre en place du NAT N vers 1 en sortie, avec un adressage
interne RFC1918 permet d'obtenir une configuration équivalente à un
filtre qui interdit les flux entrant et autorise les flux sortant.

Maintenant, la sécurité de l'ensemble dépend de l'endroit où se trouve
la machine vers laquelle sont redirigées les éventuels flux entrants. Si
elle est sur un brin ethernet dédié (vraie DMZ), c'est bon, mais si elle
se trouve avec les autres machines, on a une faille.

Un routeur-firewall-machine-à-café, ou une Linux-box avec IPcop par
exemple, apportent-ils une protection supplémentaire ?

Je pense que c'est plus souple au niveau segmentation et fonctionnalités.

Venons-en enfin au cas de la Freebox (configurée en routeur bien
sûr) : j'ai l'impression qu'elle a mauvaise presse ici, et que la
connecter directement à un LAN est une hérésie, mais n'ai jamais
vraiment compris pourquoi. Qu'en est-il ?

La Freebox est un routeur NAT qui n'offre aucun service, ni devant, ni
derrière. De ce que j'en ai vu, c'est complètement équivalent à un
routeur d'accès du marché, modulo l'accès via le réseau opérateur. En
gros, quelqu'un qui s'introduit chez Free doit avoir la possibilité de
faire pleins de trucs avec les Freebox.

Le seul truc qui me gêne avec la Freebox (comme avec la 9Box et la
Livebox d'ailleurs), c'est qu'elle ne supporte que le WEP quand elle est
utilisée en routeur/WiFi.


--
Important ça, le côté rebelle. Y'en a c'est les Hell's Angels avec des
crânes en flamme, d'autres c'est Linux avec un mignon manchot souriant.
-+- SC in Guide du Fmblien Assassin : Bien configurer son côté rebelle -+-

Fabien LE LEZ wrote:

Si un LAN est connecté à Internet via un routeur, avec une connexion
NATée (une seule adresse IP publique pour tout le LAN ; toutes les
connexions sortantes sont autorisées, toutes les connexions entrantes
sont refusées car routées sur aucune machine), la protection effectuée
par le NAT est-elle suffisante contre les attaques extérieures ?

Le NAT lui même est un mécanisme réseau (la translation d'adresse) il ne
constitue pas un mécanisme de sécurité à proprement parler mise à part
celui d'occulter un réseau.

Quand tu dis "toutes" les connexions entrantes sont refusées : je suppose
que tu veux dire toutes les demandes de connexion provenant de l'extérieur
vers ton filtre ou ton réseau ?Le filtre est il statefull ? (table à état),
dans tous les cas il y a toujours des connexions de retour (quand tu
visites un site web par exemple), tu n'es donc pas à l'abri d'un serveur
malveillant exploitant une vulnérabilité sur ton navigateur et demandant
une connexion sortante avec un shell inversé.

Un routeur-firewall-machine-à-café, ou une Linux-box avec IPcop par
exemple, apportent-ils une protection supplémentaire ?

Correctement configuré oui, cela permet de se protéger contre la propagation
rapide de différents problèmes (vers, hacks, virus, backdoors, etc...)
Exemple : pourquoi autoriser la connexion sortante vers le port 25
n'importe où sur Internet alors que tu n'utilises qu'un seul smtp ? On peut
considérer que si une telle connexion à lieu c'est qu'elle enfreint
probablement des règles établies, ou qu'il s'agit d'un vers ou d'un virus
qui cherche à poster un maximum de spam en se connectant directement sur
les domaines à spammer, etc...

Cela dit un firewall tel que tu le décris, ne te protègeras pas de problèmes
concernant la couche applicative, il faudra mettre un filtre à ce niveau là
également si tu souhaites protéger d'avantage tes stations : attention
cependant à l'exploitation du proxy ou du filtre applicatif directement
depuis le serveur consulté : il faut penser à bien tout maintenir à jour et
correctement configuré.

Venons-en enfin au cas de la Freebox (configurée en routeur bien
sûr) : j'ai l'impression qu'elle a mauvaise presse ici, et que la
connecter directement à un LAN est une hérésie, mais n'ai jamais
vraiment compris pourquoi. Qu'en est-il ?

N'ayant pas eu l'occasion d'auditer une freebox ou un réseau "protégé" par
une freebox, je laisse le soin à ceux qui l'ont fait de te répondre sur ce
point.

amicalement,

--
Christophe Casalegno | Groupe Digital Network | UIN : 153305055
http://www.digital-network.net | http://www.securite-reseaux.com
TISTC | OFREMHI | IIHEC | IICRAI | CIRET-AVT | KESAC | TIIX
Technical director | Security Intrusion techniques & infowar specialist.

Bonjour.

Bonjour,

Je m'excuse de revenir sur un sujet déjà évoqué ici, mais j'ai
l'impression de n'avoir jamais reçu de réponse franche sur le sujet.
Ou alors c'est que je n'ai rien compris, ce qui est également tout à
fait possible.

Si un LAN est connecté à Internet via un routeur, avec une connexion
NATée (une seule adresse IP publique pour tout le LAN ; toutes les
connexions sortantes sont autorisées, toutes les connexions entrantes
sont refusées car routées sur aucune machine), la protection effectuée
par le NAT est-elle suffisante contre les attaques extérieures ?

Si ça sort librement, il y a une vulnérabilité liée à tout ce qui est bavard
depuis l'intérieur :
- spywares,
- trojans et assimilés,
- publications NetBIOS et assimilés.

Un routeur-firewall-machine-à-café, ou une Linux-box avec IPcop par
exemple, apportent-ils une protection supplémentaire ?

Venons-en enfin au cas de la Freebox (configurée en routeur bien
sûr) : j'ai l'impression qu'elle a mauvaise presse ici, et que la
connecter directement à un LAN est une hérésie, mais n'ai jamais
vraiment compris pourquoi. Qu'en est-il ?

Ca revient à se demander si on peut faire confiance à 100% à une boîte
noire, qui plus est conçue pour ne perturber en rien la multitude
d'applications ludiques que des utilisateurs novices vont vouloir faire
marcher avec...

Navré, mais je crois qu'on ne peut pas avoir confiance du tout (mais tout
dépend de ce que l'on met soi-même derrière le mot sécurité).

Ce type d'engin fournit les services suivants :
- connexion DSL avec l'ISP,
- firewall matériel intégré de type "diode" (tout sort librement),
- NAT quelquefois,
- plusieurs slots permettant un fonctionnement en switch (ou en hub ?).

Je crois qu'il faut savoir diviser pour régner. Je vous donne ci-dessous ma
solution personnelle de parano moyen, qui est parfaitement réalisable avec
un petit budget.

- J'utilise la MagicBox de mon ISP
- - parce que c'est incontournable pour profiter des services associés
(téléphonie par exemple),
- - parce que ça me dégage de ses protocoles plus ou moins propriétaires,
- - parce que c'est un appareil de téléphonie agréé que je peux brancher sur
la ligne publique, et derrière je peux brancher mon aiguilleur modem-fax si
j'en ai envie,
- - parce que si je prends la foudre c'est la MagicBox qui crame et qu'ils
me la remplacent tout de suite,
- - parce que ça me permet de gardert la maîtrise de tout ce qu'il y a
derrière.

- Donc je n'utilise pas de modem DSL tiers que je devrais acheter,
configurer et tout, sans savoir dans combien de mois il sera périmé.

- Je choisis un ISP dont la MagicBox a une sortie Ethernet et pas seulement
de l'USB parce que c'est une vraie galère à configurer et que ça ne marche
pas forcément à tous les coups.

- Je place derrière la MagicBox un routeur genre Netgear RP614 acheté 30
Euros d'occasion qui prend en charge :
- - le protocole PPPoE avec la MagicBox, plus de problèmes de gestion de ça
dans le système, et exit les "connexion kits" avec "pub et redirections
parasites inside" de chaque ISP,
- - le firewall matériel de type "diode" (qui soulage pas mal ce qui va
suivre),
- - les fonctions NAT, port forwarding, et même DHCP,
- - le dispatching sur 4 slots Ethernet qui permettent de me constituer une
petite DMZ.

- Et je place derrière un PC Proxy genre DELL Optiplex "desktop" avec 2
cartes réseau, acheté 50 Euros chez ???Kaz ou sur eBay, qui apporte les
fonctions suivantes :
- - découplage de la zone NetBIOS,
- - support d'un firewall logiciel "ligth" qui complète celui du routeur,
- - fonction proxy multi-protocoles avec centralisation des paramètres de
connexion,
- - serveur de temps, serveur de FAX, bientôt de téléphonie (répondeur),
service SpamPal, etc.,
- - serveur FTP d'échange côté DMZ pour quand des copains aux machines pas
forcément nettes viennent me rendre visite : ils se connectent sur le
routeur externe,
- - "BrowseMaster" (concept NetBIOS) qui évite d'attendre jusqu'à 45mn après
un boot pour que les PC puissent se voir entre eux côté LAN. Là c'est
presque immédiat.

Et enfin côté LAN, j'ai mon propre switch 8 ports qui ne fait que ça
(également acheté en promotion sur eBay).

Voilà : c'est pas vraiment coûteux puisque presque tout est fait à base de
machines d'occasion et de logiciels freeware, et c'est vraiment pratique.

Merci d'avance pour vos éclaircissements, en espérant que le
brouillard qui enveloppe les deux neurones qui me restent veuille bien
se dissiper quelque peu...

Chez moi c'était pas du brouillard, plutôt de l'énervement à force de buter
sur des incompatibilités et des bugs identifiés mais insolubles. La solution
complète et qui marche n'existant pas ou étant hors de prix, j'ai donc
procédé par segmentation... C'est en place depuis bientôt 2 ans, avec des
améliorations au fil des opportunités, et ça marche très bien : mes
spybusters et anti-virus sont à jour et ne trouvent presque jamais rien,
sauf exceptionnellement du fait de la navigation Web, et donc j'envisage
sérieusement de configurer une autre petite machine dédiée à ça :-)

Hope It Helps,

Cordialement,

--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

Cedric Blancher wrote:

Venons-en enfin au cas de la Freebox (configurée en routeur bien
sûr) : j'ai l'impression qu'elle a mauvaise presse ici, et que la
connecter directement à un LAN est une hérésie, mais n'ai jamais
vraiment compris pourquoi. Qu'en est-il ?

La Freebox est un routeur NAT qui n'offre aucun service, ni devant, ni
derrière. De ce que j'en ai vu, c'est complètement équivalent à un
routeur d'accès du marché, modulo l'accès via le réseau opérateur. En
gros, quelqu'un qui s'introduit chez Free doit avoir la possibilité de
faire pleins de trucs avec les Freebox.

Apparemment, la freebox est moins bien qu'un routeur NAT. D'abord, elle
ne stocke que l'OS mais pas la configuration (elle est recuperee sur le
serveur au boot). L'OS est mis a jour au boot depuis les serveurs. En
cas de compromission, ca va pas etre terrible. L'interface de
configuration passe par le site de free (pas de connexion directe a la
freebox) et necessite un reboot, tant pis pour les connexions courantes ...
En plus, on ne sait pas quel ports sont laisses ouverts ou pas, si
c'est volontaire, ou un bug.... Bref, on sercurise en cachant tout.
Enfin, on ne peut ouvrir que quelques ports sans possibilite de filtrer
sur les IP sources par exemple.
A priori, on ne peut pas autoriser des plages de ports entrants comme ca
peut etre necessaires pour certains protocoles (netmeeting ...).
Bref, c'est une boite pour regarder des pages web qui a le merite de
proteger un minimum les gens sous windows. Apres, pour les autres, mieux
vaut prendre qqchose de plus souple.

On Mon, 23 May 2005 07:33:37 +0000, Cedric Blancher wrote:

Le seul truc qui me gêne avec la Freebox (comme avec la 9Box et la
Livebox d'ailleurs), c'est qu'elle ne supporte que le WEP quand elle est
utilisée en routeur/WiFi.

Alors là, je tombe sur le cul :-(
Déjà que le WEP est une simple formalité pour un adversaire entraîné ...


Nicob

Le Mon, 23 May 2005 22:33:20 +0000, Nicob a écrit :

Alors là, je tombe sur le cul :-(

Ben ouais.
Ou alors, j'ai loupé une update, dans la mesure où je ne l'utilise ni en
routeur, ni en AP (tu penses bien).

Déjà que le WEP est une simple formalité pour un adversaire
entraîné ...

Le WEP, c'est presque zéro protection. Du temps où les chipsets ne
permettaient pas l'injection de trafic, ça pouvait encore tenir, mais la
menace planait. Maintenant qu'on sait injecter, c'est une question de
minutes.

D'ailleurs, pour ceux qui se demandent pourquoi, le dernier MISC a un
article sympa là-dessus, avec la description des attaques mises au point
par Korek (désolé pour la pub).


--
Je veux créer une troupe de danse érotique! Si vous ètes près à vivre
des émotions fortes... si non, la vie continue et...
Signature: Un Gros Garcon!
-+- CL in GNU - Enlevez le «Gar» de ma signature pour me répondre -+-

Le Tue, 24 May 2005 05:11:49 +0000, Cedric Blancher a écrit :

Le WEP, c'est presque zéro protection. Du temps où les chipsets ne
permettaient pas l'injection de trafic, ça pouvait encore tenir, mais la
menace planait. Maintenant qu'on sait injecter, c'est une question de
minutes.

D'un autre côté, si c'est juste un hotspot, on s'en fout. Ça n'est
génant que pour ceux qui veulent faire un LAN sans fil. Personnellemnet
je n'ai pas confiance de toute façon, je n'aime que l'éthernet, donc le
WiFI c'est uniquement pour surfer avec le portable, sinon -> SSH.

--
Toutes les organisations ont leur règles, et les Femmes Algériennes
doivent avoir aussi leurs règles.
Aït Ahmed.

Le Tue, 24 May 2005 07:25:36 +0000, Emmanuel Florac a écrit :

D'un autre côté, si c'est juste un hotspot, on s'en fout.

Ben sur un hotspot, on ne met pas de WEP.
Je n'ai toujours pas compris d'ailleurs pourquoi ils ne passaient pas à
WPA, ça leur simplifierait tellement la vie...

Ça n'est génant que pour ceux qui veulent faire un LAN sans fil.

Ce qui représente une bonne grosse majorité des gens qui utilisent une
[FAI]Box en AP.

Personnellemnet je n'ai pas confiance de toute façon, je n'aime que
l'éthernet, donc le WiFI c'est uniquement pour surfer avec le portable,
sinon -> SSH.

Le problème, c'est que si ton navigateur est vulnérable, tu es mort
(cf. injection de trafic, airpwn, etc.). Si on n'utilise pas au minimum
WPA (et encore), on n'a pas de sécurité.


--
Les conflits non résolus se règlent devant le juge, une personne qui
n'est ni juge ni partie.
-+- B in GNU : Parti de là, tu ne peux pas juger. -+-

On Tue, 24 May 2005 05:11:49 +0000, Cedric Blancher wrote:

D'ailleurs, pour ceux qui se demandent pourquoi, le dernier MISC a un
article sympa là-dessus, avec la description des attaques mises au point
par Korek (désolé pour la pub)

Et ceux qui seront à Rennes la semaine prochaine auront peut-être
bien une démo de ma part sur le cassage de WEP avec la beta d'AirCrack
(désolé pour la pub, toussa ...)


Nicob

Le Tue, 24 May 2005 07:33:39 +0000, Cedric Blancher a écrit :

Ben sur un hotspot, on ne met pas de WEP. Je n'ai toujours pas compris
d'ailleurs pourquoi ils ne passaient pas à WPA, ça leur simplifierait
tellement la vie...

Oui, enfin je me comprends : je veux dire un point d'accès au net, avec
écrit "privé" sur la porte. Maintenant si quelqu'un se connecte en
utilisant mon WiFI, ce n'est pas non plus la fin du monde.

Ça n'est génant que pour ceux qui veulent faire un LAN sans fil.

Ce qui représente une bonne grosse majorité des gens qui utilisent une
[FAI]Box en AP.

Ça m'étonnerait. La bonne grosse majorité a un seul et unique ordi, et
le WiFI c'est pour surfer avec cet ordi quand c'est un portable.

Le problème, c'est que si ton navigateur est vulnérable, tu es mort (cf.
injection de trafic, airpwn, etc.). Si on n'utilise pas au minimum WPA (et
encore), on n'a pas de sécurité.

Je suis mort si mon navigateur est vulnérable? Mais vulnérable à quoi?

--
Toutes les organisations ont leur règles, et les Femmes Algériennes
doivent avoir aussi leurs règles.
Aït Ahmed.