Scan de port et Freebox

Le
Philippe Gueguen
Bonjour

Je suis sous Windows XP SP2, J'ai la freebox (V4 je crois) connecté à mon
ordinateur par
une liaison ethernet. Les fonctions routeur et Wifi sont activées. J'utilise
Zone alarm comme firewall et
Avast comme antivirus. La mise à jour Windows n'est pas activée

Quand je vais voir l'état de la connexion au réseau local (en bas à droite),
j'ai comme adresse IP: 192.168.0.2
et comme passerelle: 192.168.0.254.

Première question: comment connaître l'adresse IP de ma freexbox? (à moins
que ce ne soit 192.168.0.254)

Est ce que mon ordinateur risque quand même d'être piraté? En particulier
est ce que quelqu'un peut scanner les ports de mon ordinateur?

Merci
Vos réponses Page 3 / 7
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
JCH
Le #870828
"Philippe Gueguen" 46d14c73$0$402$
Merci pour vos réponses!
Si j'ai bien compris il y a trois adresses correspondant à mon équipement.
L'adresse de ma carte réseau 192.168.0.2 (non routable)
L'adresse de mon routeur (Freebox) interne: 192.168.0.254 (non routable)
Et enfin l'adresse publique de ma freebox (celle là routable) accessible
de l'extérieur.

Sur l'interface d'administration de Free je ne trouve aucun moyen de
connaître l'adresse
IP publique. C'est étrange qu'il existe pas de moyen de la connaître (avec
un trace route peut être?).

"Nicolas George" news: 46d13fc1$0$435$
Philippe Gueguen wrote in message
Première question: comment connaître l'adresse IP de ma freexbox? (à
moins
que ce ne soit 192.168.0.254)


*L*'adresse IP de la freebox, ça ne veut rien dire, parce qu'elle en a
plusieurs. 192.168.0.254 en est une, celle attribuée à l'interface sur le
brin local ; il y en a une autre, celle attribuée à l'interface publique
de
la freebox. Normalement, celle-ci est invisible de l'intérieur au niveau
réseau, mais il y a des protocoles applicatifs qui la montrent. On dirait
que c'est 82.64.159.81 ; c'est consultable dans l'interface
d'administration
de Free.

Est ce que mon ordinateur risque quand même d'être piraté?


Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable
au
risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant
plus que tu désactives les mises à jour.



Bonjour,

Si vous avez la V4 vous pouvez utiliser la télécommande :
Les flèches haut et bas pour faire défiler le type d'informations (ADSL,
etc), les flèches gauche et droite pour l'affichage qui se fait sur la
Freebox( pas besoin d'être dégroupé).
Si je me souviens bien :
un appui sur fleche bas pour accéder aux informations adsl
un ou plusieurs appuis sur fleche droite pour faire défiler les informations
dont l'adresse IP

Cordialement,
Jean-Claude



Pascal Hambourg
Le #870827
Salut,


Je répondais en fait au deuxième point: non, quelqu'un ne peut pas
scanner les ports de son ordinateur.


Pas directement. Il y a eu récemment des démonstrations sur comment
scanner les ports en utilisant certaines applications côté cible.


Tu fais allusion au DNS rebinding ?


Pascal Hambourg
Le #870826

Donc, si je comprends bien, passer la freebox en mode routeur, permet de
bloquer les scans provenant de l'extérieur



Oui, les scans et les tentatives de connexion directs depuis l'extérieur.

Le NAT est une protection faible (même si les puristes considèrent cela
comme une hérésie) car, effectivement, en l'absence de règles de
re-routage de port vers l'intérieur, personne ne peut se connecter
depuis l'extérieur.


Ce n'est pas une question d'hérésie mais de généralisation. NAT est un
terme générique qui ne désigne rien de précis. Il y a cinquante façons
de faire du NAT et toutes n'offrent pas le même niveau de protection.
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre
aucune, je dis bien *aucune* espèce de protection. Cela n'exclut pas que
d'autres façons de faire du NAT apportent intrinsèquement une bonne
protection contre les connexions entrantes. Mais il paraît que le
logiciel de la Freebox est basé sur un noyau Linux. ;-)

Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à
proprement parler une protection crédible, c'est juste un effect de bord
dû au "bug" inhérent au NAT qui rend impossible la connexion directe
dans l'autre sens


Dans le cas de la Freebox en mode routeur - et d'autres box - la
protection qu'on atribue à tort au NAT vient en fait de l'utilisation
d'adresses privées côté LAN qui ne sont pas routées sur le réseau
public, comme l'a très bien expliqué Zythum. Le NAT quant à lui ne sert
qu'à rétablir une connectivité asymétrique entre les deux côtés. La
protection des adresses privées n'est néanmoins pas totale : elle est
inefficace si l'attaquant est situé juste de l'autre côté de la box,
sans aucun routeur entre les deux. Mais chez Free cette position est
occupée par des équipements du FAI, donc le risque est vraiment minime.
Mais ce n'est pas - ou n'a pas toujours été - le cas partout, notamment
chez certains FAI câble.


Thierry
Le #870825
"Pascal Hambourg" news: fau6km$1549$
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre
aucune, je dis bien *aucune* espèce de protection.


Qu'est ce qu'il fait des demandes de connexions entrantes ?

Pascal Hambourg
Le #870824
"Pascal Hambourg" news: fau6km$1549$

Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre
aucune, je dis bien *aucune* espèce de protection.


Qu'est ce qu'il fait des demandes de connexions entrantes ?


Il (Linux, pas le NAT) les route comme n'importe quels paquets, NAT ou
pas NAT.
Le NAT de Linux ne fait que modifier (ou pas) l'adresse et/ou le port
source ou destination des paquets en fonction de règles ; il ne
détermine pas directement comment ils sont routés (c'est le boulot de la
décision de routage en fonction de la table de routage) ni s'ils doivent
être acceptés ou bloqués (c'est le boulot des règles de filtrage). Ces
trois fonctions, NAT, routage et filtrage s'opèrent séquentiellement sur
chaque paquet entrant. Le NAT n'influe sur les deux autres que dans sa
capacité à modifier les adresses et/ou les ports des paquets.


Stephane Catteau
Le #874032
fred n'était pas loin de dire :

Euh, désolé, je n'ai pas capté, là...
Si personne ne peut se connecter de l'extérieur, c'est « faible »
ou « fort » ?


C'est fort... pour la protection des connexions venant de l'extérieur
et concernant un service qui n'est pas ouvert sur l'extérieur. Il n'y a
pas qu'un moyen d'agir, donc en soit parler de "protection forte" sans
préciser ce qui est protégé, c'est une abhération.

Un ordinateur placé sur un réseau, ce sont des données volontairement
entrantes, des données volontairement sortantes, des services ouverts,
et un utilisateur. Si ne serait-ce qu'un seul de ses vecteurs est
faiblement protégé, alors le niveau de protection est faible.
Même si tu avais un routeur filtrant, une boiboite avec un firewall
dedans, *et* un firewall sur ton ordinateur, donc une protection niveau
paranoïa aigüe pour ce qui concerne les connexions entrantes, tu ne
serais que faiblement protégé si dans le même temps tu cliques sur tout
ce qui te passe sous la main.

L'important, ce n'est pas d'avoir une protection "forte", mais d'avoir
des protections homogènes. Si quelqu'un veut vraiment rentrer, il
rentrera quoi que tu fasses, mais ce genre de personnes sont rares, et
elles n'ont probablement aucune raison de vouloir rentrer chez toi.
Donc la plus part des pirates vont venir frapper à une porte ou une
autre, et lorsqu'ils verront que personne ne répond, ils essayeront
chez le voisin. En moins d'une demi-heure ils trouveront une porte
ouverte, alors qu'il leur aurait falu plusieurs heures pour forcer la
tienne.


Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS
à proprement parler une protection crédible, c'est juste un effect de
bord dû au "bug" inhérent au NAT qui rend impossible la connexion
directe dans l'autre sens (et raison pour laquelle une palanquée de
protocoles, comme FTP, ont parfois du mal à passer, si des réglages
spécifiques ne sont pas mis en places)


Je ne comprends pas ton allusion aux « puristes » : qu'est-ce qu'ils en
pensent, les « puristes » ?


Que la NAT c'est une méthode pour constituer un réseau, pas pour le
protéger, et que ça ne devrait donc pas entrer en ligne de compte dans
la protection du réseau.
En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça
ressemble à de la science-fiction, la NAT pourrait peut-être un jour
s'affranchir de cette limite, rendant caduc tout un pan de la
protection du réseau.


Est-ce à dire que j'ai ici deux sons de cloche ?


Non, mais tu as plusieurs approches d'un même problème, tout comme tu
as plusieurs routes qui te mènent à un même lieu.


Xavier Roche
Le #874031
En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça
ressemble à de la science-fiction, la NAT pourrait peut-être un jour
s'affranchir de cette limite, rendant caduc tout un pan de la
protection du réseau.


J'ai à ce propos assisté à quelques conférences où des gourous d'IPv6 se
gaussaient de la "protection" qu'offrait le NAT, vu que la nouvelle
tendance est de tuer une bonne fois pour toute ce dernier (1), et de
préférer les adresses routables partout, en assignant une IP publique à
chaque millimètre carré de silicium présent sur terre.

Cela aura au moins le mérite de séparer une bonne fois pour toutes la
partie protection et la protection par absence de routage
qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.

(1)

Stephane Catteau
Le #873816
Xavier Roche devait dire quelque chose comme ceci :

[Tout en adresse IP publique grâce au beau, au grand, IPv6]
Cela aura au moins le mérite de séparer une bonne fois pour toutes la
partie protection et la protection par absence de routage
qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.


Ca aurait un autre mérite.
Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de
se faire insulter parce que le lave linge a fait bouillir la layette de
bébé, parce que le frigo a commandé soixante pack de bières, et autres
joyeusetés qui arriveront forcément (un jour certe lointain) avec le
tout domotique, le tout adresses publiques, et surtout le tout ouvert à
tout vent vu qu'on y connait rien, ben ce jour-là, la sécurité
informatique va faire un sacré bond en avant...

--
Profitez vite de notre offre exceptionnelle : Pour tout achat d'un
lave-vaisselle, une black box vous est offerte.

Vincent Bernat
Le #873814
OoO En cette fin de matinée radieuse du lundi 27 août 2007, vers 11:21,
Pascal Hambourg
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas
scanner les ports de son ordinateur.


Pas directement. Il y a eu récemment des démonstrations sur comment
scanner les ports en utilisant certaines applications côté cible.


Tu fais allusion au DNS rebinding ?


Je ne crois pas. Il me semble que ça a un rapport avec Flash. J'ai la
flemme de rechercher...
--
BOFH excuse #419:
Repeated reboots of the system failed to solve problem



Nina Popravka
Le #873813
On 28 Aug 2007 18:18:19 GMT, Stephane Catteau wrote:

Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de
se faire insulter parce que le lave linge a fait bouillir la layette de
bébé, parce que le frigo a commandé soixante pack de bières,


Je pense que quand le frigo sera capable de commander 60 packs de
bière avec une adresse publique, le fabricant le livrera tout
simplement avec une carte à puce accrochée dessus qu'il faudra
introduire dedans pour initier la connexion :-)
Et qu'à chaque fois qu'il sera connecté, il s'occupera de faire ses
mises à jour de sécurité avant toute chose.
--
Nina

Publicité
Poster une réponse
Anonyme