Scan de port et Freebox
Le
Philippe Gueguen
Bonjour
Je suis sous Windows XP SP2, J'ai la freebox (V4 je crois) connecté à mon
ordinateur par
une liaison ethernet. Les fonctions routeur et Wifi sont activées. J'utilise
Zone alarm comme firewall et
Avast comme antivirus. La mise à jour Windows n'est pas activée
Quand je vais voir l'état de la connexion au réseau local (en bas à droite),
j'ai comme adresse IP: 192.168.0.2
et comme passerelle: 192.168.0.254.
Première question: comment connaître l'adresse IP de ma freexbox? (à moins
que ce ne soit 192.168.0.254)
Est ce que mon ordinateur risque quand même d'être piraté? En particulier
est ce que quelqu'un peut scanner les ports de mon ordinateur?
Merci
Je suis sous Windows XP SP2, J'ai la freebox (V4 je crois) connecté à mon
ordinateur par
une liaison ethernet. Les fonctions routeur et Wifi sont activées. J'utilise
Zone alarm comme firewall et
Avast comme antivirus. La mise à jour Windows n'est pas activée
Quand je vais voir l'état de la connexion au réseau local (en bas à droite),
j'ai comme adresse IP: 192.168.0.2
et comme passerelle: 192.168.0.254.
Première question: comment connaître l'adresse IP de ma freexbox? (à moins
que ce ne soit 192.168.0.254)
Est ce que mon ordinateur risque quand même d'être piraté? En particulier
est ce que quelqu'un peut scanner les ports de mon ordinateur?
Merci
Bonjour,
Si vous avez la V4 vous pouvez utiliser la télécommande :
Les flèches haut et bas pour faire défiler le type d'informations (ADSL,
etc), les flèches gauche et droite pour l'affichage qui se fait sur la
Freebox( pas besoin d'être dégroupé).
Si je me souviens bien :
un appui sur fleche bas pour accéder aux informations adsl
un ou plusieurs appuis sur fleche droite pour faire défiler les informations
dont l'adresse IP
Cordialement,
Jean-Claude
Tu fais allusion au DNS rebinding ?
Oui, les scans et les tentatives de connexion directs depuis l'extérieur.
Ce n'est pas une question d'hérésie mais de généralisation. NAT est un
terme générique qui ne désigne rien de précis. Il y a cinquante façons
de faire du NAT et toutes n'offrent pas le même niveau de protection.
Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre
aucune, je dis bien *aucune* espèce de protection. Cela n'exclut pas que
d'autres façons de faire du NAT apportent intrinsèquement une bonne
protection contre les connexions entrantes. Mais il paraît que le
logiciel de la Freebox est basé sur un noyau Linux. ;-)
Dans le cas de la Freebox en mode routeur - et d'autres box - la
protection qu'on atribue à tort au NAT vient en fait de l'utilisation
d'adresses privées côté LAN qui ne sont pas routées sur le réseau
public, comme l'a très bien expliqué Zythum. Le NAT quant à lui ne sert
qu'à rétablir une connectivité asymétrique entre les deux côtés. La
protection des adresses privées n'est néanmoins pas totale : elle est
inefficace si l'attaquant est situé juste de l'autre côté de la box,
sans aucun routeur entre les deux. Mais chez Free cette position est
occupée par des équipements du FAI, donc le risque est vraiment minime.
Mais ce n'est pas - ou n'a pas toujours été - le cas partout, notamment
chez certains FAI câble.
Qu'est ce qu'il fait des demandes de connexions entrantes ?
Il (Linux, pas le NAT) les route comme n'importe quels paquets, NAT ou
pas NAT.
Le NAT de Linux ne fait que modifier (ou pas) l'adresse et/ou le port
source ou destination des paquets en fonction de règles ; il ne
détermine pas directement comment ils sont routés (c'est le boulot de la
décision de routage en fonction de la table de routage) ni s'ils doivent
être acceptés ou bloqués (c'est le boulot des règles de filtrage). Ces
trois fonctions, NAT, routage et filtrage s'opèrent séquentiellement sur
chaque paquet entrant. Le NAT n'influe sur les deux autres que dans sa
capacité à modifier les adresses et/ou les ports des paquets.
C'est fort... pour la protection des connexions venant de l'extérieur
et concernant un service qui n'est pas ouvert sur l'extérieur. Il n'y a
pas qu'un moyen d'agir, donc en soit parler de "protection forte" sans
préciser ce qui est protégé, c'est une abhération.
Un ordinateur placé sur un réseau, ce sont des données volontairement
entrantes, des données volontairement sortantes, des services ouverts,
et un utilisateur. Si ne serait-ce qu'un seul de ses vecteurs est
faiblement protégé, alors le niveau de protection est faible.
Même si tu avais un routeur filtrant, une boiboite avec un firewall
dedans, *et* un firewall sur ton ordinateur, donc une protection niveau
paranoïa aigüe pour ce qui concerne les connexions entrantes, tu ne
serais que faiblement protégé si dans le même temps tu cliques sur tout
ce qui te passe sous la main.
L'important, ce n'est pas d'avoir une protection "forte", mais d'avoir
des protections homogènes. Si quelqu'un veut vraiment rentrer, il
rentrera quoi que tu fasses, mais ce genre de personnes sont rares, et
elles n'ont probablement aucune raison de vouloir rentrer chez toi.
Donc la plus part des pirates vont venir frapper à une porte ou une
autre, et lorsqu'ils verront que personne ne répond, ils essayeront
chez le voisin. En moins d'une demi-heure ils trouveront une porte
ouverte, alors qu'il leur aurait falu plusieurs heures pour forcer la
tienne.
Que la NAT c'est une méthode pour constituer un réseau, pas pour le
protéger, et que ça ne devrait donc pas entrer en ligne de compte dans
la protection du réseau.
En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça
ressemble à de la science-fiction, la NAT pourrait peut-être un jour
s'affranchir de cette limite, rendant caduc tout un pan de la
protection du réseau.
Non, mais tu as plusieurs approches d'un même problème, tout comme tu
as plusieurs routes qui te mènent à un même lieu.
J'ai à ce propos assisté à quelques conférences où des gourous d'IPv6 se
gaussaient de la "protection" qu'offrait le NAT, vu que la nouvelle
tendance est de tuer une bonne fois pour toute ce dernier (1), et de
préférer les adresses routables partout, en assignant une IP publique à
chaque millimètre carré de silicium présent sur terre.
Cela aura au moins le mérite de séparer une bonne fois pour toutes la
partie protection et la protection par absence de routage
qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.
(1)
[Tout en adresse IP publique grâce au beau, au grand, IPv6]
Ca aurait un autre mérite.
Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de
se faire insulter parce que le lave linge a fait bouillir la layette de
bébé, parce que le frigo a commandé soixante pack de bières, et autres
joyeusetés qui arriveront forcément (un jour certe lointain) avec le
tout domotique, le tout adresses publiques, et surtout le tout ouvert à
tout vent vu qu'on y connait rien, ben ce jour-là, la sécurité
informatique va faire un sacré bond en avant...
--
Profitez vite de notre offre exceptionnelle : Pour tout achat d'un
lave-vaisselle, une black box vous est offerte.
Pascal Hambourg
Je ne crois pas. Il me semble que ça a un rapport avec Flash. J'ai la
flemme de rechercher...
--
BOFH excuse #419:
Repeated reboots of the system failed to solve problem
Je pense que quand le frigo sera capable de commander 60 packs de
bière avec une adresse publique, le fabricant le livrera tout
simplement avec une carte à puce accrochée dessus qu'il faudra
introduire dedans pour initier la connexion :-)
Et qu'à chaque fois qu'il sera connecté, il s'occupera de faire ses
mises à jour de sécurité avant toute chose.
--
Nina