Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

parefeu avancée et filtrage adresse mac

15 réponses
Avatar
exmachina
bonjour,

j'aimerais savoir si le parefeu avancée de vista permettez d'effectuer
un filtrage au niveau des adesse mac.

merci.

10 réponses

1 2
Avatar
Fabrice [MVP]
"exmachina" a écrit dans le message de
news:
bonjour,

j'aimerais savoir si le parefeu avancée de vista permettez d'effectuer un
filtrage au niveau des adesse mac.

merci.



Bonjour,


Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas MAC
adresse)

Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel) car
il est possible de sniffer une adresse mac sur un réseau et de remplacer de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui
rend complètement ridicule cette protection !

--
Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm

Avatar
exmachina
Fabrice [MVP] a formulé ce vendredi :
"exmachina" a écrit dans le message de
news:
bonjour,

j'aimerais savoir si le parefeu avancée de vista permettez d'effectuer un
filtrage au niveau des adesse mac.

merci.



Bonjour,


Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas MAC
adresse)

Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel) car il
est possible de sniffer une adresse mac sur un réseau et de remplacer de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui rend
complètement ridicule cette protection !


merci pour la reponse.
par ailleur, j'ai vu que vista proposer un filtrage par certificat, ya
t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste (adresse ip non envisageable car trop facile).

merci.


Avatar
Stephane Faure
Fabrice [MVP], in :

Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas MAC
adresse)

Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel) car
il est possible de sniffer une adresse mac sur un réseau et de remplacer de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui
rend complètement ridicule cette protection !


Si on suit votre raisonnement, un filtrage par adresse IP est tout aussi
ridicule : l'IP spoofing, vous connaissez ?
Sinon, un peu de lecture hors de chez MS s'impose :

http://minilien.com/?NqWlQ7hB2Q

ou

http://www.linux-
france.org/prj/inetdoc/securite/tutoriel/tutoriel.securite.attaquesproto
coles.ip-spoofing.html

Avatar
Thierry MILLE [MVP]
"Stephane Faure" a écrit dans le message de
news:
Fabrice [MVP], in :

Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas
MAC
adresse)

Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel)
car
il est possible de sniffer une adresse mac sur un réseau et de remplacer
de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui
rend complètement ridicule cette protection !


Si on suit votre raisonnement, un filtrage par adresse IP est tout aussi
ridicule : l'IP spoofing, vous connaissez ?


C'est surtout que le filtrage par adresse MAC ne fonctionne que pour un
domaine de diffusion donné. Ce qui limite généralement les attaques.

Sans faire d'IP spoofing, sur un domaine de diffusion il est plus simple de
changer son adresse IP par une autre qui serait autorisée dans les ACL du
pare-feu :-)

Sinon, un peu de lecture hors de chez MS s'impose :

http://minilien.com/?NqWlQ7hB2Q


Marche pas :-(
ou

http://www.linux-france.org/prj/inetdoc/securite/tutoriel/tutoriel.securite.attaquesprotocoles.ip-spoofing.html


Mouais, cela date un peu ou fonctionne toujours sur des plateformes
utilisant des protocoles archaïques. Essayez de l'IP spoofing sur du RDP,
SMB, etc. sous Windows Vista (configuré par défaut).

D'ailleurs mêmes de "vieux" protocoles (à commencer par SMTP) font toujours
reposer la sécurité sur les adresses IP sans que grand monde n'y trouve
rien à redire.

--
Thierry MILLE


Avatar
exmachina
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Avatar
Thierry MILLE [MVP]
"exmachina" a écrit dans le message de
news:
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.


Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non répudiation,
cryptage, etc.). Dans le cas du pare feu avancé de Windows Vista : c'est
pour IPSec (qui existe depuis Windows 2000).

Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau (authentification
de type ordinateur). Sans autorité de certification, vous pouvez utiliser
une clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).

Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer de
certificat depuis les pages Web de Windows 2000 et 2003 serveur (y compris
SP2) :
http://support.microsoft.com/kb/922706/en-us

Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en entreprise.
Il faut voir si l'utilisation de certificats est bien nécessaires dans votre
cas (domestique ?).

--
Thierry MILLE

Avatar
exmachina
Le 05/03/2007, Thierry MILLE [MVP] a supposé :
"exmachina" a écrit dans le message de
news:
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.


Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non répudiation,
cryptage, etc.). Dans le cas du pare feu avancé de Windows Vista : c'est pour
IPSec (qui existe depuis Windows 2000).

Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau (authentification
de type ordinateur). Sans autorité de certification, vous pouvez utiliser une
clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).

Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer de
certificat depuis les pages Web de Windows 2000 et 2003 serveur (y compris
SP2) :
http://support.microsoft.com/kb/922706/en-us

Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en entreprise.
Il faut voir si l'utilisation de certificats est bien nécessaires dans votre
cas (domestique ?).


en fait non, mais bon c'est juste pour compenser le manque de filtrage
d'adresse mac de vista.

y'a til d'autre moyen de faire un bon filtrage.


Avatar
Thierry MILLE [MVP]
"exmachina" a écrit dans le message de
news:
Le 05/03/2007, Thierry MILLE [MVP] a supposé :
"exmachina" a écrit dans le message de
news:
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.


Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non
répudiation, cryptage, etc.). Dans le cas du pare feu avancé de Windows
Vista : c'est pour IPSec (qui existe depuis Windows 2000).

Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau
(authentification de type ordinateur). Sans autorité de certification,
vous pouvez utiliser une clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).

Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer
de certificat depuis les pages Web de Windows 2000 et 2003 serveur (y
compris SP2) :
http://support.microsoft.com/kb/922706/en-us

Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en
entreprise. Il faut voir si l'utilisation de certificats est bien
nécessaires dans votre cas (domestique ?).


en fait non, mais bon c'est juste pour compenser le manque de filtrage
d'adresse mac de vista.

Filtrer par adresse MAC ne sert strictement à rien. Pourquoi ?

Car le filtrage qui pourrait être réalisé sur les adresses MAC ne serait que
celui d'un domaine de diffusion. Pour les autres adresses : c'est celle du
routeur qui est utilisée.

Je ne connais pas votre niveau en termes de réseau, je fais donc au plus
court.
Un domaine de diffusion correspond à un réseau IP. C'est à dire que les
hôtes qui sont situés dessus peuvent communiquer directement sans utiliser
de routeur.
Pour communiquer directement, un hôte doit dans un premier temps résoudre
l'adresse IP en adresse MAC à l''aide du protocole ARP (Address Resolution
Protocol). Généralement cette résolution se fait par diffusion (on peut
aussi créer des entrées statiques avec le programme arp.exe et son
commutateur -s).

Qu'est ce que cela signifie en terme de sécurité en imaginant filtrer sur
les adresses MAC ?
Les hôtes (surtout les Windows) diffusent régulièrement des trames sur le
réseau pour s'annoncer ou interroger (demande de bail DHCP, ARP, résolution
de noms, etc.) d'autres hôtes : il est ainsi possible en écoutant le réseau
avec un analyseur de trames (Netmon, Ethereal, Netasyst, Observer,
Etherpeek, Linkferret, ...) de récupérer leurs trames et donc les adresses
MAC de ces machines (même avec des commutateurs puisqu'il s'agit de
diffusion).
Connaissant une adresse IP, il est possible d'envoyer un ping à l'une des
machines du réseau. En fait, il va falloir que l'ordinateur réalisant la
demande d'echo commence par faire une requête ARP pour résoudre l'adresse IP
en adresse MAC (cela est fait de manière transparente). A partir de là il
n'aura qu'à afficher son cache ARP (arp -a ou -g) pour connaître l'adresse
MAC correspondant à l'adresse IP.

Mais alors : à quoi cela sert-il ?
Connaissant l'adresse MAC d'une machine, l'intrus n'a plus qu'à changer
l'adresse MAC de son ordinateur par une adresse MAC autorisée :
=> par le gestionnaire de périphériques et les propriétés de la carte réseau
pour la plupart des cartes
=> avec SMAC de KLC Consulting pour les autres

Sécuriser un réseau par adresse MAC n'est pas de la sécurité : tout juste du
vent (et encore qu'il ne souffle pas très fort). Les pare-feux ne réalisent
du filtrage qu'au niveaux 3 (réseaux : adresses IP), 4 (transport comme UDP
ou TCP par exemple) et 7 (contenus échangés) du modèle OSI.

Que voulez vous faire exactement ?
=> peut être que votre sécurisation passe par l'utilisation de commutateurs
et la création de règles et/ou VLAN.

Cordialement

--
Thierry MILLE



Avatar
exmachina
"exmachina" a écrit dans le message de
news:
Le 05/03/2007, Thierry MILLE [MVP] a supposé :
"exmachina" a écrit dans le message de
news:
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.


Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non répudiation,
cryptage, etc.). Dans le cas du pare feu avancé de Windows Vista : c'est
pour IPSec (qui existe depuis Windows 2000).

Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau
(authentification de type ordinateur). Sans autorité de certification,
vous pouvez utiliser une clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).

Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer
de certificat depuis les pages Web de Windows 2000 et 2003 serveur (y
compris SP2) :
http://support.microsoft.com/kb/922706/en-us

Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en
entreprise. Il faut voir si l'utilisation de certificats est bien
nécessaires dans votre cas (domestique ?).


en fait non, mais bon c'est juste pour compenser le manque de filtrage
d'adresse mac de vista.

Filtrer par adresse MAC ne sert strictement à rien. Pourquoi ?

Car le filtrage qui pourrait être réalisé sur les adresses MAC ne serait que
celui d'un domaine de diffusion. Pour les autres adresses : c'est celle du
routeur qui est utilisée.

Je ne connais pas votre niveau en termes de réseau, je fais donc au plus
court.
Un domaine de diffusion correspond à un réseau IP. C'est à dire que les hôtes
qui sont situés dessus peuvent communiquer directement sans utiliser de
routeur.
Pour communiquer directement, un hôte doit dans un premier temps résoudre
l'adresse IP en adresse MAC à l''aide du protocole ARP (Address Resolution
Protocol). Généralement cette résolution se fait par diffusion (on peut aussi
créer des entrées statiques avec le programme arp.exe et son commutateur -s).

Qu'est ce que cela signifie en terme de sécurité en imaginant filtrer sur les
adresses MAC ?
Les hôtes (surtout les Windows) diffusent régulièrement des trames sur le
réseau pour s'annoncer ou interroger (demande de bail DHCP, ARP, résolution
de noms, etc.) d'autres hôtes : il est ainsi possible en écoutant le réseau
avec un analyseur de trames (Netmon, Ethereal, Netasyst, Observer, Etherpeek,
Linkferret, ...) de récupérer leurs trames et donc les adresses MAC de ces
machines (même avec des commutateurs puisqu'il s'agit de diffusion).
Connaissant une adresse IP, il est possible d'envoyer un ping à l'une des
machines du réseau. En fait, il va falloir que l'ordinateur réalisant la
demande d'echo commence par faire une requête ARP pour résoudre l'adresse IP
en adresse MAC (cela est fait de manière transparente). A partir de là il
n'aura qu'à afficher son cache ARP (arp -a ou -g) pour connaître l'adresse
MAC correspondant à l'adresse IP.

Mais alors : à quoi cela sert-il ?
Connaissant l'adresse MAC d'une machine, l'intrus n'a plus qu'à changer
l'adresse MAC de son ordinateur par une adresse MAC autorisée :
=> par le gestionnaire de périphériques et les propriétés de la carte réseau
pour la plupart des cartes
=> avec SMAC de KLC Consulting pour les autres

Sécuriser un réseau par adresse MAC n'est pas de la sécurité : tout juste du
vent (et encore qu'il ne souffle pas très fort). Les pare-feux ne réalisent
du filtrage qu'au niveaux 3 (réseaux : adresses IP), 4 (transport comme UDP
ou TCP par exemple) et 7 (contenus échangés) du modèle OSI.

Que voulez vous faire exactement ?
=> peut être que votre sécurisation passe par l'utilisation de commutateurs
et la création de règles et/ou VLAN.

Cordialement


je veux juste securiser un workgroup.




Avatar
Thierry MILLE [MVP]
"exmachina" a écrit dans le message de
news:

je veux juste securiser un workgroup.


C'est un peu vaste comme question :
combien d'hôtes ?
entreprise ou particulier ?
quels systèmes d'exploitation ?
quelles sont les ressources à sécuriser ?
combien d'utilisateurs sont sur le réseau interne ?
niveau de (in)compétence de ces utilisateurs ?
avez vous déjà sécurisé tout le reste (mises à jour/mots de
passe/configurations des applications/autorisations d'accès locales et
distantes/cryptage des données/antivirus/accès physique/accès au
BIOS/formation des utilisateurs/incendie/énergie/protection NBC du
bâtiment/etc.) ?

Peut-être pourriez vous commencer par passer en domaine pour centraliser la
gestion des ressources et des identités ?

Cordialement

--
Thierry MILLE

1 2