Le Sat, 18 Dec 2004 17:00:27 +0000, Xavier a écrit :
Ben moi, je ne vois plus de problème : en tant que RSSI, ce qui m'importe est la sécurité de mon LAN.
OK. Et si _tes_ gusses vont se balader avec leurs potables sur des PA publics, ça t'interpelle un peu plus ? :)
-- BOFH excuse #336:
the xy axis in the trackball is coordinated with the summer solstice
Nicob
On Sat, 18 Dec 2004 17:00:27 +0000, Olivier Huet wrote:
Par contre, ce qui est discret, c'est la description du problème. OK, c'est lié à la table de routage, mais comment _exactement_ ? Quelle genre de route (on sent bien que ça a à voir avec la route par défaut) déclenche ce problème ? Remarque, puisqu'il suffit de modifier la table de routage pour passer outre...
J'ai justement ce problème : la faille semble bien gigantesque !!!!
A ce que j'en ai compris, chacun des liens réseau (interface physique, lien point à point, etc.) est considéré comme local, et la plage d'IP associée à ce lien appartient donc au "réseau local" pour le firewall de Windows XP.
Ca doit swinguer à l'intérieur des DSLAM :(
Nicob
On Sat, 18 Dec 2004 17:00:27 +0000, Olivier Huet wrote:
Par contre, ce qui est discret, c'est la description du problème. OK,
c'est lié à la table de routage, mais comment _exactement_ ? Quelle
genre de route (on sent bien que ça a à voir avec la route par
défaut) déclenche ce problème ? Remarque, puisqu'il suffit de
modifier la table de routage pour passer outre...
J'ai justement ce problème : la faille semble bien gigantesque !!!!
A ce que j'en ai compris, chacun des liens réseau (interface physique,
lien point à point, etc.) est considéré comme local, et la plage d'IP
associée à ce lien appartient donc au "réseau local" pour le firewall
de Windows XP.
On Sat, 18 Dec 2004 17:00:27 +0000, Olivier Huet wrote:
Par contre, ce qui est discret, c'est la description du problème. OK, c'est lié à la table de routage, mais comment _exactement_ ? Quelle genre de route (on sent bien que ça a à voir avec la route par défaut) déclenche ce problème ? Remarque, puisqu'il suffit de modifier la table de routage pour passer outre...
J'ai justement ce problème : la faille semble bien gigantesque !!!!
A ce que j'en ai compris, chacun des liens réseau (interface physique, lien point à point, etc.) est considéré comme local, et la plage d'IP associée à ce lien appartient donc au "réseau local" pour le firewall de Windows XP.
Ca doit swinguer à l'intérieur des DSLAM :(
Nicob
Cedric Blancher
Le Sat, 18 Dec 2004 17:00:27 +0000, Olivier Huet a écrit :
dest masque passerelle interface 0.0.0.0 0.0.0.0 a.b.c.254 a.b.c.d
Route par défaut.
MAIS !!!!!!!!!!!!!!!!!!!!!!!!!!! j'ai : dest masque passerelle interface a.b.c.0 255.255.255.0 a.b.c.d a.b.c.d
Parce que Free adresse ses réseaux en DHCP, filant une IP avec un netmask de 255.255.255.0 qui, sur une interface ethernet, ressemble à s'y méprendre à une définition de réseau local. Dans ton cas, il s'agit de ne pas laisser cette exception, puisque ce n'est justement pas un réseau local. Tu noteras que dans la configuration du firewall, tu peux :
1. lever l'exception 2. spécifier sur quelles interfaces tu veux la laisser le cas échéant
-- BOFH excuse #264:
Your modem doesn't speak English.
Le Sat, 18 Dec 2004 17:00:27 +0000, Olivier Huet a écrit :
dest masque passerelle interface
0.0.0.0 0.0.0.0 a.b.c.254 a.b.c.d
Route par défaut.
MAIS !!!!!!!!!!!!!!!!!!!!!!!!!!!
j'ai :
dest masque passerelle interface
a.b.c.0 255.255.255.0 a.b.c.d a.b.c.d
Parce que Free adresse ses réseaux en DHCP, filant une IP avec un
netmask de 255.255.255.0 qui, sur une interface ethernet, ressemble à
s'y méprendre à une définition de réseau local. Dans ton cas, il
s'agit de ne pas laisser cette exception, puisque ce n'est justement pas
un réseau local. Tu noteras que dans la configuration du firewall, tu
peux :
1. lever l'exception
2. spécifier sur quelles interfaces tu veux la laisser le cas échéant
Le Sat, 18 Dec 2004 17:00:27 +0000, Olivier Huet a écrit :
dest masque passerelle interface 0.0.0.0 0.0.0.0 a.b.c.254 a.b.c.d
Route par défaut.
MAIS !!!!!!!!!!!!!!!!!!!!!!!!!!! j'ai : dest masque passerelle interface a.b.c.0 255.255.255.0 a.b.c.d a.b.c.d
Parce que Free adresse ses réseaux en DHCP, filant une IP avec un netmask de 255.255.255.0 qui, sur une interface ethernet, ressemble à s'y méprendre à une définition de réseau local. Dans ton cas, il s'agit de ne pas laisser cette exception, puisque ce n'est justement pas un réseau local. Tu noteras que dans la configuration du firewall, tu peux :
1. lever l'exception 2. spécifier sur quelles interfaces tu veux la laisser le cas échéant
-- BOFH excuse #264:
Your modem doesn't speak English.
Olivier Huet
Bonjour,
MAIS !!!!!!!!!!!!!!!!!!!!!!!!!!! j'ai : dest masque passerelle interface a.b.c.0 255.255.255.0 a.b.c.d a.b.c.d
Parce que Free adresse ses réseaux en DHCP, filant une IP avec un netmask de 255.255.255.0 qui, sur une interface ethernet, ressemble à s'y méprendre à une définition de réseau local. Dans ton cas, il s'agit de ne pas laisser cette exception, puisque ce n'est justement pas un réseau local. Tu noteras que dans la configuration du firewall, tu peux :
1. lever l'exception 2. spécifier sur quelles interfaces tu veux la laisser le cas échéant
Oui le réglage que tu indique est effctivement tout à fait faisable avec ce firewall de XP SP2, MAIS tout de même, le fait d'installer le SP2 sans aucune option d'install suffit à mettre par défaut cette règle "Partage de fichires et d'imprimante" avec justement les ports netbios comme "visible depuis mon réseau"...
Pour ma part, en regardant ce que le SP2 avais changé, ce paramétrage m'avais un peu surpris, mais ayant vu "visible depuis mon réseau" je l'ai laissé - erreur (sans casse pour ma part, heureusement).
En fait, Microsoft avait fait beaucoup de progrès dans la sécurité, avec le bon dogme "sécurisé par défaut", or là, c'est vraiment l'ultime gaffe...
En plus, le patch indiqué dans les autres posts n'est pas dans Windows update...
Olivier Huet
Bonjour,
MAIS !!!!!!!!!!!!!!!!!!!!!!!!!!!
j'ai :
dest masque passerelle interface
a.b.c.0 255.255.255.0 a.b.c.d a.b.c.d
Parce que Free adresse ses réseaux en DHCP, filant une IP avec un
netmask de 255.255.255.0 qui, sur une interface ethernet, ressemble à
s'y méprendre à une définition de réseau local. Dans ton cas, il
s'agit de ne pas laisser cette exception, puisque ce n'est justement pas
un réseau local. Tu noteras que dans la configuration du firewall, tu
peux :
1. lever l'exception
2. spécifier sur quelles interfaces tu veux la laisser le cas échéant
Oui le réglage que tu indique est effctivement tout à fait faisable avec
ce firewall de XP SP2, MAIS tout de même, le fait d'installer le SP2
sans aucune option d'install suffit à mettre par défaut cette règle
"Partage de fichires et d'imprimante" avec justement les ports netbios
comme "visible depuis mon réseau"...
Pour ma part, en regardant ce que le SP2 avais changé, ce paramétrage
m'avais un peu surpris, mais ayant vu "visible depuis mon réseau" je
l'ai laissé - erreur (sans casse pour ma part, heureusement).
En fait, Microsoft avait fait beaucoup de progrès dans la sécurité, avec
le bon dogme "sécurisé par défaut", or là, c'est vraiment l'ultime gaffe...
En plus, le patch indiqué dans les autres posts n'est pas dans Windows
update...
MAIS !!!!!!!!!!!!!!!!!!!!!!!!!!! j'ai : dest masque passerelle interface a.b.c.0 255.255.255.0 a.b.c.d a.b.c.d
Parce que Free adresse ses réseaux en DHCP, filant une IP avec un netmask de 255.255.255.0 qui, sur une interface ethernet, ressemble à s'y méprendre à une définition de réseau local. Dans ton cas, il s'agit de ne pas laisser cette exception, puisque ce n'est justement pas un réseau local. Tu noteras que dans la configuration du firewall, tu peux :
1. lever l'exception 2. spécifier sur quelles interfaces tu veux la laisser le cas échéant
Oui le réglage que tu indique est effctivement tout à fait faisable avec ce firewall de XP SP2, MAIS tout de même, le fait d'installer le SP2 sans aucune option d'install suffit à mettre par défaut cette règle "Partage de fichires et d'imprimante" avec justement les ports netbios comme "visible depuis mon réseau"...
Pour ma part, en regardant ce que le SP2 avais changé, ce paramétrage m'avais un peu surpris, mais ayant vu "visible depuis mon réseau" je l'ai laissé - erreur (sans casse pour ma part, heureusement).
En fait, Microsoft avait fait beaucoup de progrès dans la sécurité, avec le bon dogme "sécurisé par défaut", or là, c'est vraiment l'ultime gaffe...
En plus, le patch indiqué dans les autres posts n'est pas dans Windows update...
Olivier Huet
Cedric Blancher
Le Sun, 19 Dec 2004 00:54:45 +0000, Olivier Huet a écrit :
Oui le réglage que tu indique est effctivement tout à fait faisable avec ce firewall de XP SP2, MAIS tout de même, le fait d'installer le SP2 sans aucune option d'install suffit à mettre par défaut cette règle "Partage de fichires et d'imprimante" avec justement les ports netbios comme "visible depuis mon réseau"...
Ben oui, je sais bien. Quand j'ai migré le laptop de ma moitié, je me suis même retrouvé avec la prise en main du bureua à distance...
En plus, le patch indiqué dans les autres posts n'est pas dans Windows update...
Il n'est clairement pas annoncé sur la page d'accueil WindowsXP. Par contre, le gestionnaire d'update automatique le ramène.
-- BOFH excuse #34:
(l)user error
Le Sun, 19 Dec 2004 00:54:45 +0000, Olivier Huet a écrit :
Oui le réglage que tu indique est effctivement tout à fait faisable avec
ce firewall de XP SP2, MAIS tout de même, le fait d'installer le SP2
sans aucune option d'install suffit à mettre par défaut cette règle
"Partage de fichires et d'imprimante" avec justement les ports netbios
comme "visible depuis mon réseau"...
Ben oui, je sais bien. Quand j'ai migré le laptop de ma moitié, je me
suis même retrouvé avec la prise en main du bureua à distance...
En plus, le patch indiqué dans les autres posts n'est pas dans Windows
update...
Il n'est clairement pas annoncé sur la page d'accueil WindowsXP. Par
contre, le gestionnaire d'update automatique le ramène.
Le Sun, 19 Dec 2004 00:54:45 +0000, Olivier Huet a écrit :
Oui le réglage que tu indique est effctivement tout à fait faisable avec ce firewall de XP SP2, MAIS tout de même, le fait d'installer le SP2 sans aucune option d'install suffit à mettre par défaut cette règle "Partage de fichires et d'imprimante" avec justement les ports netbios comme "visible depuis mon réseau"...
Ben oui, je sais bien. Quand j'ai migré le laptop de ma moitié, je me suis même retrouvé avec la prise en main du bureua à distance...
En plus, le patch indiqué dans les autres posts n'est pas dans Windows update...
Il n'est clairement pas annoncé sur la page d'accueil WindowsXP. Par contre, le gestionnaire d'update automatique le ramène.
