Je suis sous Windows XP SP2, J'ai la freebox (V4 je crois) connecté à mon
ordinateur par
une liaison ethernet. Les fonctions routeur et Wifi sont activées. J'utilise
Zone alarm comme firewall et
Avast comme antivirus. La mise à jour Windows n'est pas activée
Quand je vais voir l'état de la connexion au réseau local (en bas à droite),
j'ai comme adresse IP: 192.168.0.2
et comme passerelle: 192.168.0.254.
Première question: comment connaître l'adresse IP de ma freexbox? (à moins
que ce ne soit 192.168.0.254)
Est ce que mon ordinateur risque quand même d'être piraté? En particulier
est ce que quelqu'un peut scanner les ports de mon ordinateur?
On 26 Aug 2007 10:13:51 GMT, Philippe Gueguen wrote:
Comment diable faites vous ça??
En regardant les en-tête de votre post, tout simplement. (pour vous qui utilisez OE, clic droit sur le message, propriétés, détails) -- Nina
Nicolas George
fred wrote in message :
J'ai lu ici même qu'être derrière un routeur (tout simple) n'offrait aucune sorte de garantie. Je me suis donc dit, visiblement à tort, que l'on pouvait scanner les ports des babasses derrière le routeur, non ?
Où j'm a trompé ?
La freebox en « mode routeur » n'est pas un routeur « tout simple » : elle fait de la traduction d'adresses et de ports.
fred wrote in message <877iniju55.fsf@free.fr>:
J'ai lu ici même qu'être derrière un routeur (tout simple)
n'offrait aucune sorte de garantie.
Je me suis donc dit, visiblement à tort,
que l'on pouvait scanner les ports des babasses derrière le routeur, non
?
Où j'm a trompé ?
La freebox en « mode routeur » n'est pas un routeur « tout simple » : elle
fait de la traduction d'adresses et de ports.
J'ai lu ici même qu'être derrière un routeur (tout simple) n'offrait aucune sorte de garantie. Je me suis donc dit, visiblement à tort, que l'on pouvait scanner les ports des babasses derrière le routeur, non ?
Où j'm a trompé ?
La freebox en « mode routeur » n'est pas un routeur « tout simple » : elle fait de la traduction d'adresses et de ports.
Nina Popravka
On 26 Aug 2007 13:35:47 GMT, fred wrote:
Ou alors, maintenant, dois-je comprendre le truc comme cela : derrière un routeur, il est impossible, d'aucune manière que ce soit, de scanner les ports des babasses dans le LAN. D'aucune manière que ce soit sans doute pas, mais y arriver doit être
particulièrement sportif ;->
Ce qui offre un (petit ?) plus au niveau sécurité, non ? Un gros plus si les machines du LAN sont des poubelles, aucun plus si
elles sont bien tenues. -- Nina
On 26 Aug 2007 13:35:47 GMT, fred <fredantispam@free.fr> wrote:
Ou alors, maintenant, dois-je comprendre le truc comme cela :
derrière un routeur, il est impossible, d'aucune manière que ce soit,
de scanner les ports des babasses dans le LAN.
D'aucune manière que ce soit sans doute pas, mais y arriver doit être
particulièrement sportif ;->
Ce qui offre un (petit ?) plus au niveau sécurité, non ?
Un gros plus si les machines du LAN sont des poubelles, aucun plus si
Ou alors, maintenant, dois-je comprendre le truc comme cela : derrière un routeur, il est impossible, d'aucune manière que ce soit, de scanner les ports des babasses dans le LAN. D'aucune manière que ce soit sans doute pas, mais y arriver doit être
particulièrement sportif ;->
Ce qui offre un (petit ?) plus au niveau sécurité, non ? Un gros plus si les machines du LAN sont des poubelles, aucun plus si
elles sont bien tenues. -- Nina
Zythum
J'ai lu ici même qu'être derrière un routeur (tout simple) n'offrait aucune sorte de garantie.
il y a parfois des ayatollah ici ;-)
Je me suis donc dit, visiblement à tort, que l'on pouvait scanner les ports des babasses derrière le routeur, non ?
On peut si tu utilise des adresses publiques derrière un routeur. Le routage, sans filtrage, n'amène aucune sécurité.
Où j'm a trompé ?
Souvent, pour ce raccorder sur Internet, on utilise derrière un routeur des adresses dites privées (192.168.x.x ou 10.x.x.x plus la dernière que j'ai oublié). Ces adresses ne sont pas routées sur Internet (souvent appelées abusivement non routable).
Du fait de ce non routage, toute machine qui utilise ses plages n'est pas joignable depuis l'extérieur. Elle ne peut donc être atteinte par une quelconque attaque directe.
Comme lorsque tu fais une requette vers un serveur, celui-ci doit pouvoir te répondre (donc tu dois avoir une adresse publique), le routeur, lorsqu'il transmet ta requête, remplace ton @ IP privée par son adresse publique et il maintient à jour une table pour pouvoir, lorsque la réponse revient, la retransmettre en interne à la bonne machine, c'est le NAT (Network Adress Translation).
C'est donc l'utilisation combinée du NAT ET d'adresses privées pour les PC du LAN (et donc d'un routeur ad'hoc) qui empèche les attaques directes. Il est donc un peu idiot de s'en passer pour un particulier.
La seule faon d'attaquer ta machine devient des attaques détournées qui installe, sur ta machine, un programme (via un courriel ou une page Web piégée). Ce programme va alors se charger d'initialiser la connection.
-- Zythum
J'ai lu ici même qu'être derrière un routeur (tout simple)
n'offrait aucune sorte de garantie.
il y a parfois des ayatollah ici ;-)
Je me suis donc dit, visiblement à tort,
que l'on pouvait scanner les ports des babasses derrière le routeur, non
?
On peut si tu utilise des adresses publiques derrière un routeur. Le
routage, sans filtrage, n'amène aucune sécurité.
Où j'm a trompé ?
Souvent, pour ce raccorder sur Internet, on utilise derrière un routeur
des adresses dites privées (192.168.x.x ou 10.x.x.x plus la dernière que
j'ai oublié).
Ces adresses ne sont pas routées sur Internet (souvent appelées
abusivement non routable).
Du fait de ce non routage, toute machine qui utilise ses plages n'est
pas joignable depuis l'extérieur. Elle ne peut donc être atteinte par
une quelconque attaque directe.
Comme lorsque tu fais une requette vers un serveur, celui-ci doit
pouvoir te répondre (donc tu dois avoir une adresse publique), le
routeur, lorsqu'il transmet ta requête, remplace ton @ IP privée par son
adresse publique et il maintient à jour une table pour pouvoir, lorsque
la réponse revient, la retransmettre en interne à la bonne machine,
c'est le NAT (Network Adress Translation).
C'est donc l'utilisation combinée du NAT ET d'adresses privées pour les
PC du LAN (et donc d'un routeur ad'hoc) qui empèche les attaques
directes. Il est donc un peu idiot de s'en passer pour un particulier.
La seule faon d'attaquer ta machine devient des attaques détournées qui
installe, sur ta machine, un programme (via un courriel ou une page Web
piégée). Ce programme va alors se charger d'initialiser la connection.
J'ai lu ici même qu'être derrière un routeur (tout simple) n'offrait aucune sorte de garantie.
il y a parfois des ayatollah ici ;-)
Je me suis donc dit, visiblement à tort, que l'on pouvait scanner les ports des babasses derrière le routeur, non ?
On peut si tu utilise des adresses publiques derrière un routeur. Le routage, sans filtrage, n'amène aucune sécurité.
Où j'm a trompé ?
Souvent, pour ce raccorder sur Internet, on utilise derrière un routeur des adresses dites privées (192.168.x.x ou 10.x.x.x plus la dernière que j'ai oublié). Ces adresses ne sont pas routées sur Internet (souvent appelées abusivement non routable).
Du fait de ce non routage, toute machine qui utilise ses plages n'est pas joignable depuis l'extérieur. Elle ne peut donc être atteinte par une quelconque attaque directe.
Comme lorsque tu fais une requette vers un serveur, celui-ci doit pouvoir te répondre (donc tu dois avoir une adresse publique), le routeur, lorsqu'il transmet ta requête, remplace ton @ IP privée par son adresse publique et il maintient à jour une table pour pouvoir, lorsque la réponse revient, la retransmettre en interne à la bonne machine, c'est le NAT (Network Adress Translation).
C'est donc l'utilisation combinée du NAT ET d'adresses privées pour les PC du LAN (et donc d'un routeur ad'hoc) qui empèche les attaques directes. Il est donc un peu idiot de s'en passer pour un particulier.
La seule faon d'attaquer ta machine devient des attaques détournées qui installe, sur ta machine, un programme (via un courriel ou une page Web piégée). Ce programme va alors se charger d'initialiser la connection.
-- Zythum
Xavier Roche
Donc, si je comprends bien, passer la freebox en mode routeur, permet de bloquer les scans provenant de l'extérieur, et par là même, de sécuriser (un peu) plus la ou les babasses derrière ?
Le NAT est une protection faible (même si les puristes considèrent cela comme une hérésie) car, effectivement, en l'absence de règles de re-routage de port vers l'intérieur, personne ne peut se connecter depuis l'extérieur.
Donc un service local vulnérable ne pourra être attaqué, étant inaccessible.
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à proprement parler une protection crédible, c'est juste un effect de bord dû au "bug" inhérent au NAT qui rend impossible la connexion directe dans l'autre sens (et raison pour laquelle une palanquée de protocoles, comme FTP, ont parfois du mal à passer, si des réglages spécifiques ne sont pas mis en places)
Et, ceci étant dis, c'est une protection extra-light qui ne protège plus que des choses amha peu vulnérables (à part peut être les personnes qui partageraient un service de fichier sans aucune protection) ; les attaques à la mode actuellement mettant en jeu d'autres moyens plus faciles à mettre en oeuvre à travers des firewalls (pièces jointes piégées, plugins vérolés ..) et, une fois un PC vérolé, il est toujours possible d'imaginer des stratégies pour rendre visible la machine derrière un NAT (par exemple pooler d'autres machines du botnet pour établir une connexion depuis le PC vérolé vers l'attaquant)
Donc, si je comprends bien, passer la freebox en mode routeur, permet de
bloquer les scans provenant de l'extérieur, et par là même, de sécuriser
(un peu) plus la ou les babasses derrière ?
Le NAT est une protection faible (même si les puristes considèrent cela
comme une hérésie) car, effectivement, en l'absence de règles de
re-routage de port vers l'intérieur, personne ne peut se connecter
depuis l'extérieur.
Donc un service local vulnérable ne pourra être attaqué, étant inaccessible.
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à
proprement parler une protection crédible, c'est juste un effect de bord
dû au "bug" inhérent au NAT qui rend impossible la connexion directe
dans l'autre sens (et raison pour laquelle une palanquée de protocoles,
comme FTP, ont parfois du mal à passer, si des réglages spécifiques ne
sont pas mis en places)
Et, ceci étant dis, c'est une protection extra-light qui ne protège plus
que des choses amha peu vulnérables (à part peut être les personnes qui
partageraient un service de fichier sans aucune protection) ; les
attaques à la mode actuellement mettant en jeu d'autres moyens plus
faciles à mettre en oeuvre à travers des firewalls (pièces jointes
piégées, plugins vérolés ..) et, une fois un PC vérolé, il est toujours
possible d'imaginer des stratégies pour rendre visible la machine
derrière un NAT (par exemple pooler d'autres machines du botnet pour
établir une connexion depuis le PC vérolé vers l'attaquant)
Donc, si je comprends bien, passer la freebox en mode routeur, permet de bloquer les scans provenant de l'extérieur, et par là même, de sécuriser (un peu) plus la ou les babasses derrière ?
Le NAT est une protection faible (même si les puristes considèrent cela comme une hérésie) car, effectivement, en l'absence de règles de re-routage de port vers l'intérieur, personne ne peut se connecter depuis l'extérieur.
Donc un service local vulnérable ne pourra être attaqué, étant inaccessible.
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à proprement parler une protection crédible, c'est juste un effect de bord dû au "bug" inhérent au NAT qui rend impossible la connexion directe dans l'autre sens (et raison pour laquelle une palanquée de protocoles, comme FTP, ont parfois du mal à passer, si des réglages spécifiques ne sont pas mis en places)
Et, ceci étant dis, c'est une protection extra-light qui ne protège plus que des choses amha peu vulnérables (à part peut être les personnes qui partageraient un service de fichier sans aucune protection) ; les attaques à la mode actuellement mettant en jeu d'autres moyens plus faciles à mettre en oeuvre à travers des firewalls (pièces jointes piégées, plugins vérolés ..) et, une fois un PC vérolé, il est toujours possible d'imaginer des stratégies pour rendre visible la machine derrière un NAT (par exemple pooler d'autres machines du botnet pour établir une connexion depuis le PC vérolé vers l'attaquant)
Nina Popravka
On 26 Aug 2007 18:34:44 GMT, Xavier Roche wrote:
Et, ceci étant dis, c'est une protection extra-light qui ne protège plus que des choses amha peu vulnérables (à part peut être les personnes qui partageraient un service de fichier sans aucune protection) ; les attaques à la mode actuellement mettant en jeu d'autres moyens plus faciles à mettre en oeuvre à travers des firewalls (pièces jointes piégées, plugins vérolés ..) et, une fois un PC vérolé, il est toujours possible d'imaginer des stratégies pour rendre visible la machine derrière un NAT (par exemple pooler d'autres machines du botnet pour établir une connexion depuis le PC vérolé vers l'attaquant)
A partir du moment où une machine est infectée par un bot, c'est elle qui initie la connexion, donc la question ne se pose pas. La question du monsieur était "est-ce qu'un routeur me protège du scan de ports", la réponse est OUI. Certes, tout le monde se contre tamponne du scan de ports, et ça n'a rien d'une menace contre la sécurité quand on est normalement constitué, mais si on part là dessus, y en a pour 6 mois, l'OP a vu sur Zebulon que c'était 'achtement important d'avoir ses ports "stealth", comme ils disent. :-))))) -- Nina
On 26 Aug 2007 18:34:44 GMT, Xavier Roche
<xroche@free.fr.NOSPAM.invalid> wrote:
Et, ceci étant dis, c'est une protection extra-light qui ne protège plus
que des choses amha peu vulnérables (à part peut être les personnes qui
partageraient un service de fichier sans aucune protection) ; les
attaques à la mode actuellement mettant en jeu d'autres moyens plus
faciles à mettre en oeuvre à travers des firewalls (pièces jointes
piégées, plugins vérolés ..) et, une fois un PC vérolé, il est toujours
possible d'imaginer des stratégies pour rendre visible la machine
derrière un NAT (par exemple pooler d'autres machines du botnet pour
établir une connexion depuis le PC vérolé vers l'attaquant)
A partir du moment où une machine est infectée par un bot, c'est elle
qui initie la connexion, donc la question ne se pose pas.
La question du monsieur était "est-ce qu'un routeur me protège du scan
de ports", la réponse est OUI.
Certes, tout le monde se contre tamponne du scan de ports, et ça n'a
rien d'une menace contre la sécurité quand on est normalement
constitué, mais si on part là dessus, y en a pour 6 mois, l'OP a vu
sur Zebulon que c'était 'achtement important d'avoir ses ports
"stealth", comme ils disent.
:-)))))
--
Nina
Et, ceci étant dis, c'est une protection extra-light qui ne protège plus que des choses amha peu vulnérables (à part peut être les personnes qui partageraient un service de fichier sans aucune protection) ; les attaques à la mode actuellement mettant en jeu d'autres moyens plus faciles à mettre en oeuvre à travers des firewalls (pièces jointes piégées, plugins vérolés ..) et, une fois un PC vérolé, il est toujours possible d'imaginer des stratégies pour rendre visible la machine derrière un NAT (par exemple pooler d'autres machines du botnet pour établir une connexion depuis le PC vérolé vers l'attaquant)
A partir du moment où une machine est infectée par un bot, c'est elle qui initie la connexion, donc la question ne se pose pas. La question du monsieur était "est-ce qu'un routeur me protège du scan de ports", la réponse est OUI. Certes, tout le monde se contre tamponne du scan de ports, et ça n'a rien d'une menace contre la sécurité quand on est normalement constitué, mais si on part là dessus, y en a pour 6 mois, l'OP a vu sur Zebulon que c'était 'achtement important d'avoir ses ports "stealth", comme ils disent. :-))))) -- Nina
Nina Popravka
On 26 Aug 2007 18:48:50 GMT, fred wrote:
Si personne ne peut se connecter de l'extérieur, c'est « faible » ou « fort » ?
C'est faible dans la mesure où les nuisibles s'installent à l'intérieur (enfin pas tout seuls, c'est vous qui les installez, la plupart du temps), et appellent l'extérieur. Par définition l'extérieur répond si on le sollicite de l'intérieur. Et ne me répondez pas "ah mais j'ai un fireoualle qui surveille les sorties, justement", on ne confie pas sa sécurité à un fireoualle qui tourne sur une machine qui peut être compromise, parce que le truc qui compromet, si il est pas trop con, la première chose qu'il pense à faire, c'est de neutraliser le fireoualle. -> -- Nina
On 26 Aug 2007 18:48:50 GMT, fred <fredantispam@free.fr> wrote:
Si personne ne peut se connecter de l'extérieur, c'est « faible »
ou « fort » ?
C'est faible dans la mesure où les nuisibles s'installent à
l'intérieur (enfin pas tout seuls, c'est vous qui les installez, la
plupart du temps), et appellent l'extérieur.
Par définition l'extérieur répond si on le sollicite de l'intérieur.
Et ne me répondez pas "ah mais j'ai un fireoualle qui surveille les
sorties, justement", on ne confie pas sa sécurité à un fireoualle qui
tourne sur une machine qui peut être compromise, parce que le truc qui
compromet, si il est pas trop con, la première chose qu'il pense à
faire, c'est de neutraliser le fireoualle.
->
--
Nina
Si personne ne peut se connecter de l'extérieur, c'est « faible » ou « fort » ?
C'est faible dans la mesure où les nuisibles s'installent à l'intérieur (enfin pas tout seuls, c'est vous qui les installez, la plupart du temps), et appellent l'extérieur. Par définition l'extérieur répond si on le sollicite de l'intérieur. Et ne me répondez pas "ah mais j'ai un fireoualle qui surveille les sorties, justement", on ne confie pas sa sécurité à un fireoualle qui tourne sur une machine qui peut être compromise, parce que le truc qui compromet, si il est pas trop con, la première chose qu'il pense à faire, c'est de neutraliser le fireoualle. -> -- Nina
Vincent Bernat
OoO En cette matinée pluvieuse du dimanche 26 août 2007, vers 10:58, Xavier Roche disait:
Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable au risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant plus que tu désactives les mises à jour.
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment scanner les ports en utilisant certaines applications côté cible. -- NERVE GAS IS NOT A TOY NERVE GAS IS NOT A TOY NERVE GAS IS NOT A TOY -+- Bart Simpson on chalkboard in episode 2F32
OoO En cette matinée pluvieuse du dimanche 26 août 2007, vers 10:58,
Xavier Roche <xroche@free.fr.NOSPAM.invalid> disait:
Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable au
risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant
plus que tu désactives les mises à jour.
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas
scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment
scanner les ports en utilisant certaines applications côté cible.
--
NERVE GAS IS NOT A TOY
NERVE GAS IS NOT A TOY
NERVE GAS IS NOT A TOY
-+- Bart Simpson on chalkboard in episode 2F32
OoO En cette matinée pluvieuse du dimanche 26 août 2007, vers 10:58, Xavier Roche disait:
Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable au risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant plus que tu désactives les mises à jour.
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment scanner les ports en utilisant certaines applications côté cible. -- NERVE GAS IS NOT A TOY NERVE GAS IS NOT A TOY NERVE GAS IS NOT A TOY -+- Bart Simpson on chalkboard in episode 2F32
