Je vois passer régulièrement des fils concernant la protection des réseaux
(familiaux) WiFi.
Les réponses données par les différents contributeurs sont souvent
incomplètes, voire contradictoires.
J'ai donc décidé d'apporter ma contribution au débat (et j'espère que
j'éviterai au moins de me contredire, à défaut d'être complet). ;-)
Les conseils que je donne supposent l'utilisation de Windows, mais peuvent
en grande partie s'appliquer à d'autres systèmes.
1) Schéma d'attaque:
Il faut avant tout définir contre quoi on veut se protéger. Voici un
scénario possible, en l'absence de protection du réseau WiFi.
- Un attaquant se connecte à un réseau WiFi "familial" (par exemple un
modem-routeur passerelle NAT parefeu, quelques postes de travail) accès WiFi
non protégé (= dansl'état du déballage).
- Il repère facilement le FAI et donc potentiellement le type du
modem-routeur, simplement par le nom du point d'accès ("Wanadoo xxx",
"Netgear"); ou bien en naviguant sur internet, va sur le site de la CNIL,
obtient l'adresse IP "vue d'internet" du modem-routeur, fait un "Whois" et
identifie le FAI.
- A partir de la liste des modem-routeurs loués par le FAI, et avec les docs
prises sur le site du FAI, l'attaquant détermine le nom d'utilisateur / mot
de passe par défaut (en général, admin / admin).
- Avec un "ipcfg /all" sous Windows il détermine l'adresse du modem-routeur
vue du réseau interne, se connecte en http au modem-routeur avec le nom
d'utilisateur et le mot de passe par défaut.
- Il prend le contrôle du modem-routeur (change le mot de passe), prend
connaissance du nom d'utilisateur et du mot de passe de connexion à
internet.
- Puis il pirate le compte sur le site du FAI (se créée une BAL, prend
connaissance des messages, se crée des pages persos ou change le contenu de
celles qui existent).
- Et peut aussi pirater le contenu des PC du réseau familial, si les
partages de fichiers sont activés (cas par défaut sous Windows).
- Il peut enfin se livrer sur internet à des activités délictueuses ou
frauduleuses, en toute impunité, en se faisant passer pour le détenteur du
compte qui pourra, lui, avoir maille à partir avec la justice...
Bref, sans protection, risque de dégâts maximaux.
2) La protection :
- Il vaut mieux avoir un poste connecté directement en ethernet (liaison
filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir
d'abord une liaison WiFi non sécurisée, et faire vite pour la sécuriser!
- Avant tout, mettez à jour les systèmes d'exploitation des postes de
travail (sous XP le WiFi est intégré au système), le BIOS du modem-routeur
et ceux d'éventuels autres éléments flashables du réseau, les divers drivers
et programmes d'installation des éléments du réseau. Ceci permettra sans
doute de profiter des plus hauts degrés de protection, de boucher des
failles et corriger des bugs.
- Changez le ou les mots de passe du modem-routeur.
- Choisissez en tant que mode de chiffrement: WPA2 / PSK si tous les postes
le peuvent, ou WPA / PSK sinon (le WEP n'est pas sûr); activez le changement
périodique de clé (par exemple toutes les heures); utilisez AES comme
algorithme de chiffrement. Utilisez comme "secret partagé" une longue phrase
de passe. Configurez tous vos postes WiFi de la même manière que le
modem-routeur (ou laissez faire la recherche automatique de réseau) et
copiez la phrase de passe du secret partagé (à transporter dans un fichier,
sur une clé USB, puis copier / coller, ou CTRL C / CTRL V sous Windows, pour
éviter les erreurs de saisie).
- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque
poste la connexion correspondante (celle qui utilise le dispositif WiFi),
avec attribution d'une IP fixe, unique, dans la même tranche que celle du
modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et
255.255.255.0 comme masque de sous-réseau si on vous le demande).
- Si le but de votre réseau local est le simple partage de la liaison à
internet, désactivez dans les propriétés des connexions WiFi les éléments
"Client pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes
pour les réseaux Microsoft". Ne laissez activé que TCPIP et éventuellement
un élément de type "Connexion 802.1x" rajouté parfois lors de l'installation
d'un dispositif de connexion WiFi sécurisée lorsqu'on utilise une ancienne
version de Windows (2000 par exemple). Dans les propriétés de TCPIP,
désactivez Netbios.
- Si vous voulez réellement partager des fichiers, songez à des serveurs /
clients FTP. Pour l'administration des postes à distance, songez à Ultra
VNC. Pour un partage d'imprimante, certains modem-routeurs font serveur
d'impression (USR 9108 par exemple). Bref, même si vous en avez envie,
évitez d'activer les éléments de réseaux Microsoft sur des connexions vers
internet!
- Limitez l'accès des postes autorisés à configurer le modem-routeur aux
seuls postes du réseau interne (liste limitative des IP des appareils
autorisés à administrer le mode-routeur, avec leurs adresses IP internes).
Désactivez le serveur DHCP du routeur.
- Vous pouvez si vous le désirez perdre (un peu) de votre temps avec
quelques babioles inutiles qui n'apporteront rien en matière de sécurité,
mais si ça peut vous rassurer, ça ne fait pas de mal:
* changer le nom SSID du réseau, et ne pas le diffuser ("on" arrivera quand
même à le retrouver, avec un détecteur de réseau WiFi couplé à un analyseur
de paquets) ;
* filtrer l'accès au réseau WiFi par les adresses MAC des dispositifs de
connexion (ça se retrouve, comme le nom SSID du réseau, et puis ça s'usurpe
avec des utilitaires à disposition sur internet) ;
* changer l'adresse par défaut du modem-routeur et la tranche d'adresse des
postes (ça ne sert à rien si le réseau n'est pas protégé, ça ne sert plus à
rien s'il est protégé) ;
* changer le nom du groupe de travail Windows (inutile car vous n'avez pas
de réseau Windows si vous avez suivi ces conseils) ;
* comme l'a suggéré un posteur, mettre une horloge sur l'alimentation
électrique du modem-routeur (s'il est correctement protégé, il l'est tout le
temps; s'il est mal protégé, il ne faut pas le mettre en service).
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
Je suis probablement bouché, mais dans le cas d'un lan classique de particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur et de passer à des configurations ip fixées ?
Je suis aussi bouchée que toi, je n'arrive pas à comprendre ces légendes urbaines sur DHCP. -- Nina
On 14 Oct 2006 23:15:28 GMT, Eric Masson <emss@free.fr> wrote:
Je suis probablement bouché, mais dans le cas d'un lan classique de
particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est
l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur
et de passer à des configurations ip fixées ?
Je suis aussi bouchée que toi, je n'arrive pas à comprendre ces
légendes urbaines sur DHCP.
--
Nina
Je suis probablement bouché, mais dans le cas d'un lan classique de particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur et de passer à des configurations ip fixées ?
Je suis aussi bouchée que toi, je n'arrive pas à comprendre ces légendes urbaines sur DHCP. -- Nina
Eric Razny
Le Sun, 15 Oct 2006 11:05:34 +0000, Nina Popravka a écrit :
Je suis probablement bouché, mais dans le cas d'un lan classique de particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur et de passer à des configurations ip fixées ?
Je suis aussi bouchée que toi, je n'arrive pas à comprendre ces légendes urbaines sur DHCP.
Je peux me risquer à une hypothèse : ce n'est pas lié au wifi mais au fait que certaines boxes (au moins la freebox à une époque, je ne sais pas si ça continue) passent parfois de routeur en mode bridge lors d'un reboot. Et dans ce cas la première machine qui réclame une adresse via dhcp se prendra l'adresse IP publique[1] et ne bénifiera donc plus de la protection relative de se trouver derrière un routeur.
Pour ma part je suggère de toute façon un "vrai" routeur/AP soho (genre WRT54G & co) plutôt qu'une box et sa carte wifi avec parfois des problèmes de connexion (antenne, toussa) et si la box doit être "en direct" je fais partie des gens qui suggèrent de mettre des adresses en dur sur la LAN.
[1] Comme je refuse de mettre une carte wifi sur ma box je ne sais pas ce que ça donne dans ce cas.
Le Sun, 15 Oct 2006 11:05:34 +0000, Nina Popravka a écrit :
Je suis probablement bouché, mais dans le cas d'un lan classique de
particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est
l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur
et de passer à des configurations ip fixées ?
Je suis aussi bouchée que toi, je n'arrive pas à comprendre ces
légendes urbaines sur DHCP.
Je peux me risquer à une hypothèse :
ce n'est pas lié au wifi mais au fait que certaines boxes (au moins la
freebox à une époque, je ne sais pas si ça continue) passent parfois de
routeur en mode bridge lors d'un reboot. Et dans ce cas la première
machine qui réclame une adresse via dhcp se prendra l'adresse IP
publique[1] et ne bénifiera donc plus de la protection relative de se
trouver derrière un routeur.
Pour ma part je suggère de toute façon un "vrai" routeur/AP soho (genre
WRT54G & co) plutôt qu'une box et sa carte wifi avec parfois des
problèmes de connexion (antenne, toussa) et si la box doit être "en
direct" je fais partie des gens qui suggèrent de mettre des adresses en
dur sur la LAN.
[1] Comme je refuse de mettre une carte wifi sur ma box je ne sais pas ce
que ça donne dans ce cas.
Le Sun, 15 Oct 2006 11:05:34 +0000, Nina Popravka a écrit :
Je suis probablement bouché, mais dans le cas d'un lan classique de particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur et de passer à des configurations ip fixées ?
Je suis aussi bouchée que toi, je n'arrive pas à comprendre ces légendes urbaines sur DHCP.
Je peux me risquer à une hypothèse : ce n'est pas lié au wifi mais au fait que certaines boxes (au moins la freebox à une époque, je ne sais pas si ça continue) passent parfois de routeur en mode bridge lors d'un reboot. Et dans ce cas la première machine qui réclame une adresse via dhcp se prendra l'adresse IP publique[1] et ne bénifiera donc plus de la protection relative de se trouver derrière un routeur.
Pour ma part je suggère de toute façon un "vrai" routeur/AP soho (genre WRT54G & co) plutôt qu'une box et sa carte wifi avec parfois des problèmes de connexion (antenne, toussa) et si la box doit être "en direct" je fais partie des gens qui suggèrent de mettre des adresses en dur sur la LAN.
[1] Comme je refuse de mettre une carte wifi sur ma box je ne sais pas ce que ça donne dans ce cas.
WinTerMiNator
Nina Popravka wrote:
On 13 Oct 2006 17:30:13 GMT, "WinTerMiNator" wrote:
Quelques minutes si on provoque ces incidents (voir le post précédent pour le type de matériel; et je n'ai pas dit que le logiciel kivabien se trouve sur internet!). Dingue... y a encore du trafic de disquettes et de CDs, de nos jours ?
:-))))))) Si tu fais allusion à la "découverte" d'il y a 3 ou 4 mois, c'est démenti depuis un bail. Ou plutôt réexplicité.
Non,
Je fais allusion à un logiciel bien particulier, qui n'est pas à ma connaissance diffusé par son auteur. Et ça fait au moins deux ans qu'il existe.
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Nina Popravka wrote:
On 13 Oct 2006 17:30:13 GMT, "WinTerMiNator" <me@privacy.net> wrote:
Quelques minutes si on provoque ces incidents (voir le post
précédent pour le type de matériel; et je n'ai pas dit que le
logiciel kivabien se trouve sur internet!).
Dingue... y a encore du trafic de disquettes et de CDs, de nos jours ?
:-)))))))
Si tu fais allusion à la "découverte" d'il y a 3 ou 4 mois, c'est
démenti depuis un bail. Ou plutôt réexplicité.
Non,
Je fais allusion à un logiciel bien particulier, qui n'est pas à ma
connaissance diffusé par son auteur. Et ça fait au moins deux ans qu'il
existe.
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
On 13 Oct 2006 17:30:13 GMT, "WinTerMiNator" wrote:
Quelques minutes si on provoque ces incidents (voir le post précédent pour le type de matériel; et je n'ai pas dit que le logiciel kivabien se trouve sur internet!). Dingue... y a encore du trafic de disquettes et de CDs, de nos jours ?
:-))))))) Si tu fais allusion à la "découverte" d'il y a 3 ou 4 mois, c'est démenti depuis un bail. Ou plutôt réexplicité.
Non,
Je fais allusion à un logiciel bien particulier, qui n'est pas à ma connaissance diffusé par son auteur. Et ça fait au moins deux ans qu'il existe.
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
WinTerMiNator
Eric Razny wrote:
Je suis probablement bouché, mais dans le cas d'un lan classique de particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur et de passer à des configurations ip fixées ?
Je suis aussi bouchée que toi, je n'arrive pas à comprendre ces légendes urbaines sur DHCP.
Je peux me risquer à une hypothèse : ce n'est pas lié au wifi mais au fait que certaines boxes (au moins la freebox à une époque, je ne sais pas si ça continue) passent parfois de routeur en mode bridge lors d'un reboot. Et dans ce cas la première machine qui réclame une adresse via dhcp se prendra l'adresse IP publique[1] et ne bénifiera donc plus de la protection relative de se trouver derrière un routeur.
Pour ma part je suggère de toute façon un "vrai" routeur/AP soho (genre WRT54G & co) plutôt qu'une box et sa carte wifi avec parfois des problèmes de connexion (antenne, toussa) et si la box doit être "en direct" je fais partie des gens qui suggèrent de mettre des adresses en dur sur la LAN.
[1] Comme je refuse de mettre une carte wifi sur ma box je ne sais pas ce que ça donne dans ce cas.
Les raisons pour ne pas utiliser le DHCP sont d'abord pratiques: - si vous voulez ouvrir des ports entrants vers des serveurs (eMule, MSN Messenger etc.), c'est le bronx à régler en DHCP, - et en n'utilisant pas le DHCP, vous pouvez désactiver le client DHCP sur les postes du réseau (1 service de moins sous Windows).
Sur le plan sécurité, bien protégé par WPA2 / PSK + AES il n'y a pas beaucoup de risques. Mais, par principe, les machins automatiques ça me fout des boutons...
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Eric Razny wrote:
Je suis probablement bouché, mais dans le cas d'un lan classique de
particulier avec une box quelconque supportant le WPA/WPA2 PSK,
quel est l'intérêt, en termes de sécurité, de désactiver le dhcp
sur le routeur et de passer à des configurations ip fixées ?
Je suis aussi bouchée que toi, je n'arrive pas à comprendre ces
légendes urbaines sur DHCP.
Je peux me risquer à une hypothèse :
ce n'est pas lié au wifi mais au fait que certaines boxes (au moins la
freebox à une époque, je ne sais pas si ça continue) passent parfois
de routeur en mode bridge lors d'un reboot. Et dans ce cas la première
machine qui réclame une adresse via dhcp se prendra l'adresse IP
publique[1] et ne bénifiera donc plus de la protection relative de se
trouver derrière un routeur.
Pour ma part je suggère de toute façon un "vrai" routeur/AP soho
(genre WRT54G & co) plutôt qu'une box et sa carte wifi avec parfois
des problèmes de connexion (antenne, toussa) et si la box doit être
"en direct" je fais partie des gens qui suggèrent de mettre des
adresses en dur sur la LAN.
[1] Comme je refuse de mettre une carte wifi sur ma box je ne sais
pas ce que ça donne dans ce cas.
Les raisons pour ne pas utiliser le DHCP sont d'abord pratiques:
- si vous voulez ouvrir des ports entrants vers des serveurs (eMule, MSN
Messenger etc.), c'est le bronx à régler en DHCP,
- et en n'utilisant pas le DHCP, vous pouvez désactiver le client DHCP sur
les postes du réseau (1 service de moins sous Windows).
Sur le plan sécurité, bien protégé par WPA2 / PSK + AES il n'y a pas
beaucoup de risques. Mais, par principe, les machins automatiques ça me fout
des boutons...
--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
Je suis probablement bouché, mais dans le cas d'un lan classique de particulier avec une box quelconque supportant le WPA/WPA2 PSK, quel est l'intérêt, en termes de sécurité, de désactiver le dhcp sur le routeur et de passer à des configurations ip fixées ?
Je suis aussi bouchée que toi, je n'arrive pas à comprendre ces légendes urbaines sur DHCP.
Je peux me risquer à une hypothèse : ce n'est pas lié au wifi mais au fait que certaines boxes (au moins la freebox à une époque, je ne sais pas si ça continue) passent parfois de routeur en mode bridge lors d'un reboot. Et dans ce cas la première machine qui réclame une adresse via dhcp se prendra l'adresse IP publique[1] et ne bénifiera donc plus de la protection relative de se trouver derrière un routeur.
Pour ma part je suggère de toute façon un "vrai" routeur/AP soho (genre WRT54G & co) plutôt qu'une box et sa carte wifi avec parfois des problèmes de connexion (antenne, toussa) et si la box doit être "en direct" je fais partie des gens qui suggèrent de mettre des adresses en dur sur la LAN.
[1] Comme je refuse de mettre une carte wifi sur ma box je ne sais pas ce que ça donne dans ce cas.
Les raisons pour ne pas utiliser le DHCP sont d'abord pratiques: - si vous voulez ouvrir des ports entrants vers des serveurs (eMule, MSN Messenger etc.), c'est le bronx à régler en DHCP, - et en n'utilisant pas le DHCP, vous pouvez désactiver le client DHCP sur les postes du réseau (1 service de moins sous Windows).
Sur le plan sécurité, bien protégé par WPA2 / PSK + AES il n'y a pas beaucoup de risques. Mais, par principe, les machins automatiques ça me fout des boutons...
-- Michel Nallino aka WinTerMiNator http://anonapps.samizdat.net (Anonymat sur Internet) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Eric Masson
Eric Razny writes:
'Lut,
ce n'est pas lié au wifi mais au fait que certaines boxes (au moins la freebox à une époque, je ne sais pas si ça continue) passent parfois de routeur en mode bridge lors d'un reboot. Et dans ce cas la première machine qui réclame une adresse via dhcp se prendra l'adresse IP publique[1] et ne bénifiera donc plus de la protection relative de se trouver derrière un routeur.
Ok, donc dans le cas de l'usage d'une FBX avec un firmware buggé (je pense que l'on peut difficilement appeler ça autrement), ça peut effectivement présenter un intérêt.
Pour ma part je suggère de toute façon un "vrai" routeur/AP soho (genre WRT54G & co) plutôt qu'une box et sa carte wifi
Là, tu prêches un convaincu, par contre, ce n'est pas simple de faire passer le message, la clientèle visée par les box étant majoritairement imperméable à ce genre de problématique.
-- In the industry, "BOSE" is considered an acronym for "Buy Other Sound Equipment". Rich Wang : http://www.intellexual.net/bose.html
Eric Razny <news_01@razny.net> writes:
'Lut,
ce n'est pas lié au wifi mais au fait que certaines boxes (au moins la
freebox à une époque, je ne sais pas si ça continue) passent parfois de
routeur en mode bridge lors d'un reboot. Et dans ce cas la première
machine qui réclame une adresse via dhcp se prendra l'adresse IP
publique[1] et ne bénifiera donc plus de la protection relative de se
trouver derrière un routeur.
Ok, donc dans le cas de l'usage d'une FBX avec un firmware buggé (je
pense que l'on peut difficilement appeler ça autrement), ça peut
effectivement présenter un intérêt.
Pour ma part je suggère de toute façon un "vrai" routeur/AP soho (genre
WRT54G & co) plutôt qu'une box et sa carte wifi
Là, tu prêches un convaincu, par contre, ce n'est pas simple de faire
passer le message, la clientèle visée par les box étant majoritairement
imperméable à ce genre de problématique.
--
In the industry, "BOSE" is considered an acronym for "Buy Other Sound
Equipment".
Rich Wang : http://www.intellexual.net/bose.html
ce n'est pas lié au wifi mais au fait que certaines boxes (au moins la freebox à une époque, je ne sais pas si ça continue) passent parfois de routeur en mode bridge lors d'un reboot. Et dans ce cas la première machine qui réclame une adresse via dhcp se prendra l'adresse IP publique[1] et ne bénifiera donc plus de la protection relative de se trouver derrière un routeur.
Ok, donc dans le cas de l'usage d'une FBX avec un firmware buggé (je pense que l'on peut difficilement appeler ça autrement), ça peut effectivement présenter un intérêt.
Pour ma part je suggère de toute façon un "vrai" routeur/AP soho (genre WRT54G & co) plutôt qu'une box et sa carte wifi
Là, tu prêches un convaincu, par contre, ce n'est pas simple de faire passer le message, la clientèle visée par les box étant majoritairement imperméable à ce genre de problématique.
-- In the industry, "BOSE" is considered an acronym for "Buy Other Sound Equipment". Rich Wang : http://www.intellexual.net/bose.html
Nina Popravka
On 15 Oct 2006 19:56:29 GMT, "WinTerMiNator" wrote:
Les raisons pour ne pas utiliser le DHCP sont d'abord pratiques: - si vous voulez ouvrir des ports entrants vers des serveurs (eMule, MSN Messenger etc.), c'est le bronx à régler en DHCP, Bah... ça doit faire plus de 10 ans que je sais réserver des adresses
sur un serveur DHCP, quand même ;->>>> -- Nina
On 15 Oct 2006 19:56:29 GMT, "WinTerMiNator" <me@privacy.net> wrote:
Les raisons pour ne pas utiliser le DHCP sont d'abord pratiques:
- si vous voulez ouvrir des ports entrants vers des serveurs (eMule, MSN
Messenger etc.), c'est le bronx à régler en DHCP,
Bah... ça doit faire plus de 10 ans que je sais réserver des adresses
On 15 Oct 2006 19:56:29 GMT, "WinTerMiNator" wrote:
Les raisons pour ne pas utiliser le DHCP sont d'abord pratiques: - si vous voulez ouvrir des ports entrants vers des serveurs (eMule, MSN Messenger etc.), c'est le bronx à régler en DHCP, Bah... ça doit faire plus de 10 ans que je sais réserver des adresses
sur un serveur DHCP, quand même ;->>>> -- Nina
Nina Popravka
On 15 Oct 2006 19:56:29 GMT, Eric Masson wrote:
Ok, donc dans le cas de l'usage d'une FBX avec un firmware buggé
Pas de bug, elle passe en bridge après un hard reboot, et il faut la rebooter une fois de plus pour qu'elle revienne en mode routeur. C'est écrit dans la doc :-) -- Nina
On 15 Oct 2006 19:56:29 GMT, Eric Masson <emss@free.fr> wrote:
Ok, donc dans le cas de l'usage d'une FBX avec un firmware buggé
Pas de bug, elle passe en bridge après un hard reboot, et il faut la
rebooter une fois de plus pour qu'elle revienne en mode routeur.
C'est écrit dans la doc :-)
--
Nina
Ok, donc dans le cas de l'usage d'une FBX avec un firmware buggé
Pas de bug, elle passe en bridge après un hard reboot, et il faut la rebooter une fois de plus pour qu'elle revienne en mode routeur. C'est écrit dans la doc :-) -- Nina
Fabien LE LEZ
On 15 Oct 2006 21:00:59 GMT, Nina Popravka :
Pas de bug, elle passe en bridge après un hard reboot, et il faut la rebooter une fois de plus pour qu'elle revienne en mode routeur.
Je ne vois pas bien quel autre mot on pourrait utiliser pour désigner un pareil trou de sécurité.
On 15 Oct 2006 21:00:59 GMT, Nina Popravka <Nina@nospam.news.free.fr>:
Pas de bug, elle passe en bridge après un hard reboot, et il faut la
rebooter une fois de plus pour qu'elle revienne en mode routeur.
Je ne vois pas bien quel autre mot on pourrait utiliser pour désigner
un pareil trou de sécurité.
Pas de bug, elle passe en bridge après un hard reboot, et il faut la rebooter une fois de plus pour qu'elle revienne en mode routeur.
Je ne vois pas bien quel autre mot on pourrait utiliser pour désigner un pareil trou de sécurité.
Eric Razny
Le Sun, 15 Oct 2006 21:00:59 +0000, Nina Popravka a écrit :
On 15 Oct 2006 19:56:29 GMT, Eric Masson wrote:
Ok, donc dans le cas de l'usage d'une FBX avec un firmware buggé
Pas de bug, elle passe en bridge après un hard reboot, et il faut la rebooter une fois de plus pour qu'elle revienne en mode routeur. C'est écrit dans la doc :-)
Oui, mais tu devrais lire un peu plus les news proxad que tu fréquentes pourtant :) Ce qui n'est pas écrit dans la doc c'est qu'un hard reboot ou "équivalent" (ie passage en mode bridge) peut être "spontanné".
J'ai une machine connectée chez mes parents, alimentée sur le même onduleur que celui de la freebox et qui gère parfaitement les problèmes dudit onduleur. Or malgré l'absence de problème d'alim[1] la freebox est passée (avec ou sans reboot ça je ne sais pas) en mode bridge sans prévenir. Il y a visiblement d'autres personnes à qui c'est arrivé, et pas nécessairement des Mme Michu[2] (encore que je vois mal Mme Michu faire des hard reboot sans le faire exprès!).
Donc c'est bien d'un bug qu'il s'agit. Accessoirement le fait qu'après un hard-reboot une freebox ne soit pas fichue de récupérer sa config (accessible facilement) est pour moi, sinon un bug, un problème de conception.
Enfin un raisonnement élémentaire montre, me semble-t-il, que ces boxes ne devraient pas être utilisées dans une optique de sécurité : le firmware peut changer sur la simple volontée du FAI, et par principe je n'aime pas ça[3]. Certains possesseur de la freebox v5 ont apparement l'impression d'être essentiellement des beta testeurs. Vu le prix d'un routeur décent je trouve qu'il n'y a pas photo.
Eric
[1] Un contrôle rapide de l'alim de la freebox n'a rien donné et la pièce est climatisée
[2] Dans le sens où ce sont des personnes qui semblent avoir un minimum de connaissances informatiques et qui sont, à priori, plus crédible qu'un utilisateur lambda.
[3] Ca ne veux pas dire que je vérifie le firmware de mon routeur (ou plutôt un russe blanc dans ce cas :) ) mais si je fais des upgrades c'est volontairement et je choisis en cas de faille avérée d'upgrader, de mettre en place un workaround ou de serrer les fesses :)
Le Sun, 15 Oct 2006 21:00:59 +0000, Nina Popravka a écrit :
On 15 Oct 2006 19:56:29 GMT, Eric Masson <emss@free.fr> wrote:
Ok, donc dans le cas de l'usage d'une FBX avec un firmware buggé
Pas de bug, elle passe en bridge après un hard reboot, et il faut la
rebooter une fois de plus pour qu'elle revienne en mode routeur. C'est
écrit dans la doc :-)
Oui, mais tu devrais lire un peu plus les news proxad que tu fréquentes
pourtant :)
Ce qui n'est pas écrit dans la doc c'est qu'un hard reboot ou
"équivalent" (ie passage en mode bridge) peut être "spontanné".
J'ai une machine connectée chez mes parents, alimentée sur le même
onduleur que celui de la freebox et qui gère parfaitement les problèmes
dudit onduleur. Or malgré l'absence de problème d'alim[1] la freebox est
passée (avec ou sans reboot ça je ne sais pas) en mode bridge sans
prévenir. Il y a visiblement d'autres personnes à qui c'est arrivé, et
pas nécessairement des Mme Michu[2] (encore que je vois mal Mme Michu
faire des hard reboot sans le faire exprès!).
Donc c'est bien d'un bug qu'il s'agit. Accessoirement le fait qu'après un
hard-reboot une freebox ne soit pas fichue de récupérer sa config
(accessible facilement) est pour moi, sinon un bug, un problème de
conception.
Enfin un raisonnement élémentaire montre, me semble-t-il, que ces boxes
ne devraient pas être utilisées dans une optique de sécurité : le
firmware peut changer sur la simple volontée du FAI, et par principe je
n'aime pas ça[3]. Certains possesseur de la freebox v5 ont apparement
l'impression d'être essentiellement des beta testeurs. Vu le prix d'un
routeur décent je trouve qu'il n'y a pas photo.
Eric
[1] Un contrôle rapide de l'alim de la freebox n'a rien donné et la
pièce est climatisée
[2] Dans le sens où ce sont des personnes qui semblent avoir un minimum
de connaissances informatiques et qui sont, à priori, plus crédible
qu'un utilisateur lambda.
[3] Ca ne veux pas dire que je vérifie le firmware de mon routeur (ou
plutôt un russe blanc dans ce cas :) ) mais si je fais des upgrades c'est
volontairement et je choisis en cas de faille avérée d'upgrader, de
mettre en place un workaround ou de serrer les fesses :)
Le Sun, 15 Oct 2006 21:00:59 +0000, Nina Popravka a écrit :
On 15 Oct 2006 19:56:29 GMT, Eric Masson wrote:
Ok, donc dans le cas de l'usage d'une FBX avec un firmware buggé
Pas de bug, elle passe en bridge après un hard reboot, et il faut la rebooter une fois de plus pour qu'elle revienne en mode routeur. C'est écrit dans la doc :-)
Oui, mais tu devrais lire un peu plus les news proxad que tu fréquentes pourtant :) Ce qui n'est pas écrit dans la doc c'est qu'un hard reboot ou "équivalent" (ie passage en mode bridge) peut être "spontanné".
J'ai une machine connectée chez mes parents, alimentée sur le même onduleur que celui de la freebox et qui gère parfaitement les problèmes dudit onduleur. Or malgré l'absence de problème d'alim[1] la freebox est passée (avec ou sans reboot ça je ne sais pas) en mode bridge sans prévenir. Il y a visiblement d'autres personnes à qui c'est arrivé, et pas nécessairement des Mme Michu[2] (encore que je vois mal Mme Michu faire des hard reboot sans le faire exprès!).
Donc c'est bien d'un bug qu'il s'agit. Accessoirement le fait qu'après un hard-reboot une freebox ne soit pas fichue de récupérer sa config (accessible facilement) est pour moi, sinon un bug, un problème de conception.
Enfin un raisonnement élémentaire montre, me semble-t-il, que ces boxes ne devraient pas être utilisées dans une optique de sécurité : le firmware peut changer sur la simple volontée du FAI, et par principe je n'aime pas ça[3]. Certains possesseur de la freebox v5 ont apparement l'impression d'être essentiellement des beta testeurs. Vu le prix d'un routeur décent je trouve qu'il n'y a pas photo.
Eric
[1] Un contrôle rapide de l'alim de la freebox n'a rien donné et la pièce est climatisée
[2] Dans le sens où ce sont des personnes qui semblent avoir un minimum de connaissances informatiques et qui sont, à priori, plus crédible qu'un utilisateur lambda.
[3] Ca ne veux pas dire que je vérifie le firmware de mon routeur (ou plutôt un russe blanc dans ce cas :) ) mais si je fais des upgrades c'est volontairement et je choisis en cas de faille avérée d'upgrader, de mettre en place un workaround ou de serrer les fesses :)
Fabien LE LEZ
On 15 Oct 2006 21:00:59 GMT, Nina Popravka :
Bah... ça doit faire plus de 10 ans que je sais réserver des adresses sur un serveur DHCP, quand même ;->>>>
En fait, il faudrait découper le problème en deux :
- l'assignation (fixe ou aléatoire) d'une adresse IP à une carte réseau ; - le mode de transmission de cette adresse à la carte réseau (DHCP ou en dur sur la machine).
Perso, je préfère assigner des IP fixes aux machines, car c'est le encore la façon la plus simple d'identifier une machine donnée (pour y accéder via VNC, par exemple).
Pour la transmission de l'adresse IP, j'imagine que DHCP peut servir, si le réseau est gros, ou si une machine ne fonctionne que par DHCP. Mais il faut alors que le serveur DHCP soit fiable.
On 15 Oct 2006 21:00:59 GMT, Nina Popravka <Nina@nospam.news.free.fr>:
Bah... ça doit faire plus de 10 ans que je sais réserver des adresses
sur un serveur DHCP, quand même ;->>>>
En fait, il faudrait découper le problème en deux :
- l'assignation (fixe ou aléatoire) d'une adresse IP à une carte
réseau ;
- le mode de transmission de cette adresse à la carte réseau
(DHCP ou en dur sur la machine).
Perso, je préfère assigner des IP fixes aux machines, car c'est le
encore la façon la plus simple d'identifier une machine donnée (pour y
accéder via VNC, par exemple).
Pour la transmission de l'adresse IP, j'imagine que DHCP peut servir,
si le réseau est gros, ou si une machine ne fonctionne que par DHCP.
Mais il faut alors que le serveur DHCP soit fiable.
Bah... ça doit faire plus de 10 ans que je sais réserver des adresses sur un serveur DHCP, quand même ;->>>>
En fait, il faudrait découper le problème en deux :
- l'assignation (fixe ou aléatoire) d'une adresse IP à une carte réseau ; - le mode de transmission de cette adresse à la carte réseau (DHCP ou en dur sur la machine).
Perso, je préfère assigner des IP fixes aux machines, car c'est le encore la façon la plus simple d'identifier une machine donnée (pour y accéder via VNC, par exemple).
Pour la transmission de l'adresse IP, j'imagine que DHCP peut servir, si le réseau est gros, ou si une machine ne fonctionne que par DHCP. Mais il faut alors que le serveur DHCP soit fiable.
