Est-ce que quelqu'un pourrait me confirmer que, dans un boitier routeur
wi-fi avec firewall, le point d'acces est toujours situe cote WAN, et
pas cote LAN ?
Ou tout du moins dans le cas du Linksys WRT54G.
Est-ce que quelqu'un pourrait me confirmer que, dans un boitier routeur
wi-fi avec firewall, le point d'acces est toujours situe cote WAN, et
pas cote LAN ?
Ou tout du moins dans le cas du Linksys WRT54G.
Est-ce que quelqu'un pourrait me confirmer que, dans un boitier routeur
wi-fi avec firewall, le point d'acces est toujours situe cote WAN, et
pas cote LAN ?
Ou tout du moins dans le cas du Linksys WRT54G.
Salut,
On Sat, 23 Oct 2004 16:16:33 +0100, RKMT
wrote:Est-ce que quelqu'un pourrait me confirmer que, dans un boitier
routeur wi-fi avec firewall, le point d'acces est toujours situe cote
WAN, et pas cote LAN ?
Non, il est côté LAN, il faut bien qu'il "bénéficie" du NAT, du serveur
DHCP et autres fonctionnalités fournies par le routeur.Ou tout du moins dans le cas du Linksys WRT54G.
En tous cas pour celui-là.
Jacques.
Salut,
On Sat, 23 Oct 2004 16:16:33 +0100, RKMT
<alexroussel@internet-mail.org> wrote:
Est-ce que quelqu'un pourrait me confirmer que, dans un boitier
routeur wi-fi avec firewall, le point d'acces est toujours situe cote
WAN, et pas cote LAN ?
Non, il est côté LAN, il faut bien qu'il "bénéficie" du NAT, du serveur
DHCP et autres fonctionnalités fournies par le routeur.
Ou tout du moins dans le cas du Linksys WRT54G.
En tous cas pour celui-là.
Jacques.
Salut,
On Sat, 23 Oct 2004 16:16:33 +0100, RKMT
wrote:Est-ce que quelqu'un pourrait me confirmer que, dans un boitier
routeur wi-fi avec firewall, le point d'acces est toujours situe cote
WAN, et pas cote LAN ?
Non, il est côté LAN, il faut bien qu'il "bénéficie" du NAT, du serveur
DHCP et autres fonctionnalités fournies par le routeur.Ou tout du moins dans le cas du Linksys WRT54G.
En tous cas pour celui-là.
Jacques.
C'est bien ce que craignais. Les regles elementaires de securite
voudrait qu'on mette le point d'acces en dehors du firewall.
Du coup, je ne vois pas pourquoi les constructeurs de hardware
s'embarrassent a fournir leur router avec un firerall. Ca fait sexy sur
la boite sans doute.
C'est bien ce que craignais. Les regles elementaires de securite
voudrait qu'on mette le point d'acces en dehors du firewall.
Du coup, je ne vois pas pourquoi les constructeurs de hardware
s'embarrassent a fournir leur router avec un firerall. Ca fait sexy sur
la boite sans doute.
C'est bien ce que craignais. Les regles elementaires de securite
voudrait qu'on mette le point d'acces en dehors du firewall.
Du coup, je ne vois pas pourquoi les constructeurs de hardware
s'embarrassent a fournir leur router avec un firerall. Ca fait sexy sur
la boite sans doute.
Si le point d'accès est "ouvert", oui, c'est une bonne solution (mais
qui complique les choses pour beaucoup, puisque ça impliquerait de
mettre en place un client VPN sur les machines pour pouvoir accéder au
dit réseau). S'il est convenablement sécurisé, ce n'est pas un problème.
Firewall est probablement un bien grand mot pour une boîte qui fait du
NAT :-)
Si le point d'accès est "ouvert", oui, c'est une bonne solution (mais
qui complique les choses pour beaucoup, puisque ça impliquerait de
mettre en place un client VPN sur les machines pour pouvoir accéder au
dit réseau). S'il est convenablement sécurisé, ce n'est pas un problème.
Firewall est probablement un bien grand mot pour une boîte qui fait du
NAT :-)
Si le point d'accès est "ouvert", oui, c'est une bonne solution (mais
qui complique les choses pour beaucoup, puisque ça impliquerait de
mettre en place un client VPN sur les machines pour pouvoir accéder au
dit réseau). S'il est convenablement sécurisé, ce n'est pas un problème.
Firewall est probablement un bien grand mot pour une boîte qui fait du
NAT :-)
Si le point d'accès est "ouvert", oui, c'est une bonne solution (mais
qui complique les choses pour beaucoup, puisque ça impliquerait de
mettre en place un client VPN sur les machines pour pouvoir accéder au
dit réseau). S'il est convenablement sécurisé, ce n'est pas un
problème.
OK, on parle de risque calcule et mesure. Si par exemple, je ne me sers
de ma connexion wifi en WLAN que pendant quelques heures par semaine, ne
serait-il pas plus facile d'avoir un PA isole, style Linksys WGA54G, que
je puisse eteindre et allumer a souhait et je connecterai a un switch
ethernet en aval de mon firewall (packet filter) ?
J'ai peur qu'avec un boitier routeur wi-fi integre, le signal radio est
emis en permanence et rend le LAN vulnerable de maniere elle aussi
permanente. M'induis-je en erreur ?
Si le point d'accès est "ouvert", oui, c'est une bonne solution (mais
qui complique les choses pour beaucoup, puisque ça impliquerait de
mettre en place un client VPN sur les machines pour pouvoir accéder au
dit réseau). S'il est convenablement sécurisé, ce n'est pas un
problème.
OK, on parle de risque calcule et mesure. Si par exemple, je ne me sers
de ma connexion wifi en WLAN que pendant quelques heures par semaine, ne
serait-il pas plus facile d'avoir un PA isole, style Linksys WGA54G, que
je puisse eteindre et allumer a souhait et je connecterai a un switch
ethernet en aval de mon firewall (packet filter) ?
J'ai peur qu'avec un boitier routeur wi-fi integre, le signal radio est
emis en permanence et rend le LAN vulnerable de maniere elle aussi
permanente. M'induis-je en erreur ?
Si le point d'accès est "ouvert", oui, c'est une bonne solution (mais
qui complique les choses pour beaucoup, puisque ça impliquerait de
mettre en place un client VPN sur les machines pour pouvoir accéder au
dit réseau). S'il est convenablement sécurisé, ce n'est pas un
problème.
OK, on parle de risque calcule et mesure. Si par exemple, je ne me sers
de ma connexion wifi en WLAN que pendant quelques heures par semaine, ne
serait-il pas plus facile d'avoir un PA isole, style Linksys WGA54G, que
je puisse eteindre et allumer a souhait et je connecterai a un switch
ethernet en aval de mon firewall (packet filter) ?
J'ai peur qu'avec un boitier routeur wi-fi integre, le signal radio est
emis en permanence et rend le LAN vulnerable de maniere elle aussi
permanente. M'induis-je en erreur ?
Il est probablement plus simple d'utiliser des connexions Wi-Fi
correctement sécurisées (avec du WPA et une bonne clef, par exemple).
Sinon, il va falloir:
- quelque chose qui fait du NAT et du DHCP (pour ne présenter qu'une IP
au FAI)
- l'AP
- le firewall
- le réseau interne
Dans ce cas, autant mettre les 2 premiers dans la même boîte, et on
obtient un WRT54G. Mais il faut bien comprendre que dans ce scénario, à
moins de mettre en place un VPN, les clients de l'AP n'auront pas du
tout accès au LAN interne... Suivant les cas de figure, ça peut être
un problème ou pas.J'ai peur qu'avec un boitier routeur wi-fi integre, le signal radio
est emis en permanence et rend le LAN vulnerable de maniere elle
aussi permanente. M'induis-je en erreur ?
Je crois qu'il y a un problème de compréhension quand au "signal radio"
et aux vulnérabilités éventuelles. Le "signal radio" n'est émis que
pour transmettre des données entre l'AP et les clients (et vice-versa),
plus quelques trames (les "beacons" en particulier, qui indiquent la
présence du réseau). Il y a deux types de vulnérabilités possibles:
- que quelqu'un puisse écouter les conversations avec les machines
Wi-Fi; pour éviter ce problème, trois solutions, soit utiliser du
chiffrement au niveau 4 ou plus (SSL/TLS ou SSH), soit utiliser du
chiffrement au niveau 3 (VPN), soit du chiffrement au niveau 2 (WPA).
- que quelqu'un puisse accéder au réseau en Wi-Fi, éventuellement après
avoir écouté pour glaner les informations nécessaires; là, il faut de
l'authentification forte, qui peut être fournie en combinaison avec
SSL/TLS, ou via SSH ou un VPN ou WPA.
Bref, le problème n'existe que quand on laisse l'AP grand ouvert ou
qu'on utilise des protections peu efficaces (WEP).
Jacques.
Il est probablement plus simple d'utiliser des connexions Wi-Fi
correctement sécurisées (avec du WPA et une bonne clef, par exemple).
Sinon, il va falloir:
- quelque chose qui fait du NAT et du DHCP (pour ne présenter qu'une IP
au FAI)
- l'AP
- le firewall
- le réseau interne
Dans ce cas, autant mettre les 2 premiers dans la même boîte, et on
obtient un WRT54G. Mais il faut bien comprendre que dans ce scénario, à
moins de mettre en place un VPN, les clients de l'AP n'auront pas du
tout accès au LAN interne... Suivant les cas de figure, ça peut être
un problème ou pas.
J'ai peur qu'avec un boitier routeur wi-fi integre, le signal radio
est emis en permanence et rend le LAN vulnerable de maniere elle
aussi permanente. M'induis-je en erreur ?
Je crois qu'il y a un problème de compréhension quand au "signal radio"
et aux vulnérabilités éventuelles. Le "signal radio" n'est émis que
pour transmettre des données entre l'AP et les clients (et vice-versa),
plus quelques trames (les "beacons" en particulier, qui indiquent la
présence du réseau). Il y a deux types de vulnérabilités possibles:
- que quelqu'un puisse écouter les conversations avec les machines
Wi-Fi; pour éviter ce problème, trois solutions, soit utiliser du
chiffrement au niveau 4 ou plus (SSL/TLS ou SSH), soit utiliser du
chiffrement au niveau 3 (VPN), soit du chiffrement au niveau 2 (WPA).
- que quelqu'un puisse accéder au réseau en Wi-Fi, éventuellement après
avoir écouté pour glaner les informations nécessaires; là, il faut de
l'authentification forte, qui peut être fournie en combinaison avec
SSL/TLS, ou via SSH ou un VPN ou WPA.
Bref, le problème n'existe que quand on laisse l'AP grand ouvert ou
qu'on utilise des protections peu efficaces (WEP).
Jacques.
Il est probablement plus simple d'utiliser des connexions Wi-Fi
correctement sécurisées (avec du WPA et une bonne clef, par exemple).
Sinon, il va falloir:
- quelque chose qui fait du NAT et du DHCP (pour ne présenter qu'une IP
au FAI)
- l'AP
- le firewall
- le réseau interne
Dans ce cas, autant mettre les 2 premiers dans la même boîte, et on
obtient un WRT54G. Mais il faut bien comprendre que dans ce scénario, à
moins de mettre en place un VPN, les clients de l'AP n'auront pas du
tout accès au LAN interne... Suivant les cas de figure, ça peut être
un problème ou pas.J'ai peur qu'avec un boitier routeur wi-fi integre, le signal radio
est emis en permanence et rend le LAN vulnerable de maniere elle
aussi permanente. M'induis-je en erreur ?
Je crois qu'il y a un problème de compréhension quand au "signal radio"
et aux vulnérabilités éventuelles. Le "signal radio" n'est émis que
pour transmettre des données entre l'AP et les clients (et vice-versa),
plus quelques trames (les "beacons" en particulier, qui indiquent la
présence du réseau). Il y a deux types de vulnérabilités possibles:
- que quelqu'un puisse écouter les conversations avec les machines
Wi-Fi; pour éviter ce problème, trois solutions, soit utiliser du
chiffrement au niveau 4 ou plus (SSL/TLS ou SSH), soit utiliser du
chiffrement au niveau 3 (VPN), soit du chiffrement au niveau 2 (WPA).
- que quelqu'un puisse accéder au réseau en Wi-Fi, éventuellement après
avoir écouté pour glaner les informations nécessaires; là, il faut de
l'authentification forte, qui peut être fournie en combinaison avec
SSL/TLS, ou via SSH ou un VPN ou WPA.
Bref, le problème n'existe que quand on laisse l'AP grand ouvert ou
qu'on utilise des protections peu efficaces (WEP).
Jacques.
Je mets un WRT54G en aval de mon routeur. Les beacons sont transmises
depuis l'interieur du LAN et pose un danger certain d'intrusion.
Si, en revanche, je protege l'acces au LAN en wifi en listant sur le
routeur
que seul les adresses MAC XX de mon pda (supporte WPA, je crois) et MAC
YY de l'ordi portable de ma copine peuvent acceder en utlisant une cle
ZZ,
seuls ces deux-la peuvent 1) acceder au LAN et 2) partager la connection
internet.
Pour securiser toujours plus, je ne permets pas de SSID broadcast
et n'autorise que l'identification par WAP.
Je fais ainsi le compromis d'avoir les beacons transmis en permanence,
que seul un nombre limite d'equippements pourront utiliser (en theorie.)
Je mets un WRT54G en aval de mon routeur. Les beacons sont transmises
depuis l'interieur du LAN et pose un danger certain d'intrusion.
Si, en revanche, je protege l'acces au LAN en wifi en listant sur le
routeur
que seul les adresses MAC XX de mon pda (supporte WPA, je crois) et MAC
YY de l'ordi portable de ma copine peuvent acceder en utlisant une cle
ZZ,
seuls ces deux-la peuvent 1) acceder au LAN et 2) partager la connection
internet.
Pour securiser toujours plus, je ne permets pas de SSID broadcast
et n'autorise que l'identification par WAP.
Je fais ainsi le compromis d'avoir les beacons transmis en permanence,
que seul un nombre limite d'equippements pourront utiliser (en theorie.)
Je mets un WRT54G en aval de mon routeur. Les beacons sont transmises
depuis l'interieur du LAN et pose un danger certain d'intrusion.
Si, en revanche, je protege l'acces au LAN en wifi en listant sur le
routeur
que seul les adresses MAC XX de mon pda (supporte WPA, je crois) et MAC
YY de l'ordi portable de ma copine peuvent acceder en utlisant une cle
ZZ,
seuls ces deux-la peuvent 1) acceder au LAN et 2) partager la connection
internet.
Pour securiser toujours plus, je ne permets pas de SSID broadcast
et n'autorise que l'identification par WAP.
Je fais ainsi le compromis d'avoir les beacons transmis en permanence,
que seul un nombre limite d'equippements pourront utiliser (en theorie.)
