[windows] Quel firewall ?

Regis n'était pas loin de dire :

tous le monde ne peu pas dédier une machine pour cela

Il suffit d'un routeur séparé qui fait ça.

Si la box (live, free, alice...) fait deja routeur, peut on esperer
moins de trous de securité ?

Le seul apport d'un routeur en matière de sécurité, c'est qu'en temps
normal il ne sait pas où rediriger les connexions entrantes (vers une
backdoor par exemple). Du moins lorsque celui-ci fait la liaison entre
le vaste monde et un réseau en adresse IP privée.
Il s'agit là d'un effet de bord de l'utilisation des adresses IP
privées, qui ne peuvent pas être adressées (atteintent) en dehors du
réseau qui les contient[1] ; toute connexion entrante se fait donc avec
l'adresse IP du routeur (ou de la box suivant le cas). Or, une fois que
la demande de connexion est arrivée au routeur, celui-ci se retrouve
avec, d'un côté une demande de connexion, et de l'autre côté deux,
trois, voire pourquoi pas cent ordinateurs. Comme le routeur n'est pas
en mesure de deviner auquel de ces ordinateurs la demande de connexion
est destinée, il la droppe (envoie à la poubelle).
Attention toutefois, la plus part des box et des modem-routeurs ont la
possibilité de désigner un ordinateur comme destinataire de ces
connexions entrantes. En général ils appellent cela "DMZ", ce qui est
une grosse erreur mais bon bref. Si une adresse IP est indiquée dans
cette zone, c'est à elle que seront envoyés toutes les connexions
entrantes, ce qui limite l'intérêt du routeur en terme de filtrage.

Par exemple, la livebox thomson mini integre une "sorte" de parefeu
"petit"," moyen", "grand", qu'il faut cocher, mais j'ai remarque, qu'en
choisissant le plus costaud, la connexion Internet en patit :-(

D'une manière générale, il ne faut pas se fier aux firewalls qui
travaillent par niveau de sécurité. D'une part parce que l'on ne sait
jamais avec certitude ce qu'ils font et ne font pas, mais en plus parce
qu'ils ne définissent pas forcément les risques de la même façon que
toi.
A titre d'exemple, à ses débuts, le service UPnP de Windows était
tellement mal foutu qu'il suffisait de lui envoyer deux/trois petits
riens pour que Windows parte en carafe. Le filtrage des données
accédant à ce port était donc de mise, d'autant plus qu'à l'époque il
ne servait pas à grand chose pour un particulier. Pour autant, je doute
qu'un firewall travaillant par niveau de sécurité l'ait un jour filtré
autrement qu'au niveau maximum puisque, dans l'esprit des concepteurs
de ces firewalls, UPnP était un service utile qu'il fallait laisser
accessible.

Faut il acheter un routeur derriere le routeur de la box ?

Non. Les fonctions de routage de la box se suffisent en elles-mêmes,
rajouter un routeur derrière n'ajouterait rien à la sécurité du réseau.



[1]
Je met volontairement de côté le cas où un réseau privé serait séparé
en deux, avec par exemple une branche en 10.0.0.0/8 et l'autre en
192.168.0.0/16. Dans une tel cas les deux parties du réseau peuvent
communiquer l'une avec l'autre sans problèmes, du moins tant qu'il n'y
a pas un passage, fut-il furtif, par le vaste monde et que celui-ci ne
soit pas encapsulé dans un tunnel.

Regis <l.t.a.b@wanadoo.fr> wrote in news:49e6dd84$0$17067$ba4acef3
@news.orange.fr:

Si la box (live, free, alice...) fait deja routeur, peut on esperer
moins de trous de securité ?

L'ennui des boxes est leur opacité. Si la box se laisse utiliser comme un
simple modem (donc sans fonctions de routage ni filtrage), on peut mettre
un vrai routeur derrière, dans lequel on peut explicitement paramétrer ce
qu'il fait et filtre ou pas. Pour ma part j'utilise entre autres un LinkSys
avec un firmware tiers (DD-WRT). (derrière un simple modem, pas une box,
parce que je me fous du triple play, que mon FAI ne propose d'ailleurs pas
Rien que pour avoir un firewall à réglages fins, ça vaut à mon avis le
coup. En tout cas pour l'utilisation que je fais de ma connexion.

Cornelia

--
Be out and be proud - today is the first day of the rest of your life
Support Transgenre Strasbourg : www.sts67.org
Creative stuff : www.bownbend.com
GPG key ID 83FF7452

Regis a écrit :
> Faut il acheter un routeur derriere le routeur de la box ?

Merci Stéphane et merci Cornélia pour vos reponses,

En fait je me posais la question du routeur car je n'ai aucune confiance
dans la Livebox, meme si cette derniere, a ce qu'on m'a dit, avait un
programme de gestion Linux, ce qui lui confererait une meilleure
securité, oui surement, mais j'aime bien mettre les mains dans le
camboui, c'est a dire pouvoir gerer au plus juste le parefeu, je suis de
l'epoque vieux-linux :-)

J'ai quatre machines : un PC sous Vista, un PC sous XP/LInux en dual
boot, un tres vieux PC sous Linux Ubuntu 8.10 et enfin, un portable
MacBook, pour le PC sur Vista, j'ai fait l'acquisition de Comodo
Internet Security a $39.00 et sur le PC XP c'est Kaspersky Internet
Security 2009 qui vaut plus cher, quand je suis sous Linux, je sais que
je ne crains rien car les attaques sont rares et je ne suis pas ce que
l'on peut appeler une cible interessante, parceque si c'est pour
connaitre mes coordonnees, suffit de se connecter a un site perso et
j'ai tout ce qu'il faut pour etre emmerder par telephone ;-)

En fait, je ne laisse aucune machine allumée pour par exemple jouer le
parefeu, j'ai installe un switch et un NAS qui lui beneficie d'une
interface Web et Ftp, ce dernier est allume en permanence mais comme un
NAS est un disque dur securisé par mot de passe, je suis plus
tranquille, car j'ai toujours besoin d'un document au boulot, alors j'ai
fait des regles NAT 80 et 21 vers le NAS pour pouvoir downloader /
uploader et ceci facilement, comme les fichiers sont petits, ca va vite.

Une fois a la maison, je tape \nas sous Windows ou je specifie le NAS
sous Linux pour pouvoir charger ou decharger du travail sur ces disques
durs et ca marche au poil.

En guise de reference, c'est un Linksys NAS200 (que j'ai payé 90 euros)
dont j'ai upgradé le firmware et ai mis deux disques durs de 500 Go en
SATA 2 en LVM, donc j'ai de la place pour mes petits fichiers et cote
parefeu, c'est derriere ma Livebox plus la protection par mots de passe,
et je pense que ce montage est plutot securisant pour mon boulot et la
maison.

Voila,

Amicalement,

Régis.

--

Regis <l.t.a.b@wanadoo.fr> wrote in news:49e74aa4$0$12631$ba4acef3
@news.orange.fr:

j'aime bien mettre les mains dans le
camboui, c'est a dire pouvoir gerer au plus juste le parefeu, je suis de
l'epoque vieux-linux :-)

Dans ce cas un routeur au firmware modifié ne devrait pas te faire peur, je
pense... Voir p.ex. <http://en.wikipedia.org/wiki/Openwrt> si tu veux voir
tout ce qui est possible avec des routeurs grand public.

Cornelia

--
Be out and be proud - today is the first day of the rest of your life
Support Transgenre Strasbourg : www.sts67.org
Creative stuff : www.bownbend.com
GPG key ID 83FF7452

Bonsoir.

"Regis" <l.t.a.b@wanadoo.fr> a écrit dans le message
de news 49e6dd84$0$17067$ba4acef3@news.orange.fr

Cornelia Schneider a écrit :

bacchus <repondresurleforum@svp.merci> wrote in
news:49e4db7e$0$27584 $426a34cc@news.free.fr:

tous le monde ne peu pas dédier une machine pour cela

Il suffit d'un routeur séparé qui fait ça.

Si la box (live, free, alice...) fait deja routeur, peut on esperer
moins de trous de securité ?

Ca dépend de comment on la configure, en supposant qu'on arrive à le faire.

Déjà, ne pas oublier que ces engins sont prévus pour une télémaintenance,
faite depuis chez votre ISP par des techniciens mal identifiés, modestement
payés et chez qui existe un turnover important. Beaucoup de "trucs internes"
doivent donc relever du secret de Polichinelle.

Personnellement, je n'ai aucune confiance en un tel système de sécurité.
Donc j'ai mon propre routeur firewall et je subis cette chose en attendant
que sa dernière raison d'être (la téléphonie) ait disparu.

Par exemple, la livebox thomson mini integre une "sorte" de parefeu
"petit"," moyen", "grand", qu'il faut cocher, mais j'ai remarque,
qu'en choisissant le plus costaud, la connexion Internet en patit
:-(

Oui, et même avec le "minus" ! :-@

Pour des raisons professionnelles, j'ai besoin d'une DMZ pour y connecter un
PC de maintenance plus ou moins imposé et dont je ne veux pas sur mon LAN.
Considérant ce que j'ai écrit plus haut,
A priori il est toujours impossible configurer la LB en mode bridge, donc en
simple modem ADSL, et même en connectant mon routeur en DMZ, le journal de
la LB montre qu'au-delà du simple freinage, elle filtre encore des paquets !

Faut il acheter un routeur derriere le routeur de la box ?

Ca présente plusieurs avantages: notamment, au-delà de la sécurité, celui de
vous monter une config LAN qui soit indépendante de votre ISP (*).
Mais l'idéal alors est de choisir un ISP (parmi ceux disponibles) dont la
Box accepte de passer en mode bridge.

(*) Par exemple: Si vous avez plusieurs stations connectées entre elles,
avec des sauvegardes etc. le jour où vous déménagez et qu'avec une autre box
on vous impose un changement de numéro de sous-réseau, vous êtes très
content...

A vrai dire, j'avais fait le choix de cet ISP parce que contrairement aux
autres, il est aussi câbleur. En 2007 j'ai eu une coupure physique de ma
ligne et le précédent, après la réinstallation d'Outlook Express (sans
rire), m'a simplement suggéré de demander gentiment à l'Opérateur Historique
s'il voulait bien chercher la panne...

D'ailleurs je me demande ce qui est prévu légalement dans ce cas, lorsqu'on
a choisi le dégroupage total chez un autre ISP qu'Orange...

--
Cordialement.

* Patrick BRUNET www.ipzb.fr www.ipzb-pro.com
* E-mail: lien sur http://zener131.eu/ContactMe

Cornelia Schneider a écrit :

Dans ce cas un routeur au firmware modifié ne devrait pas te faire peur, je
pense... Voir p.ex. <http://en.wikipedia.org/wiki/Openwrt> si tu veux voir
tout ce qui est possible avec des routeurs grand public.

Assuremment, mais jusqu'a preuve du contraire, "ma" Livebox ne
m'appartient pas, je la loue, si je foire un flashage comme cela s'est
deja passé pour un de mes vieux PC, je serais contraint de l'acheter et
ceci en panne, donc, j'en prend grand soin, j'ai besoin du telephone et
de la connexion Internet, pour ce qui est de la TV, je m'en fous, j'en
ai pas besoin, je ne suis pas très TV, mais je suis très PC, faudrait
d'ailleurs que j'aille a l'ophtalmo : deja 7 heures de bronzage intensif
au boulot de ma retine, et une deuxieme couche de bronzage a la maison,
et je crois que ma vue en a pris un coup depuis la derniere paire de
lunettes.

Bon, pour en revenir a la box, je prefere la laisser telle qu'elle,
autant si ca aurait ete uhn routeur standard, je me serais permis, mais
là, c'est du trapeze sans filet !

Amicalement,

Régis.

--

Salut,

Stephane Catteau a écrit :

Ainsi est-ce à Gibson que l'on doit la connerie que l'on retrouve sur
la plus part des firewalls personnel Windows, à savoir que lorsqu'un
port est fermé, il ne faut surtout pas répondre et laisser mourrir la
connexion de son beau TimeOut. Non seulement c'est contraire aux RFC,
mais en plus c'est la porte ouverte pour un magnifique DDoS, puisqu'il
suffit de bombarder une machine de connexions fantomes vers des ports
fermés pour saturer la pile IP.

La pile IP de qui ? Pas celle de la machine protégée par le firewall, en
tout cas, puisqu'elle ne voit même pas les demandes de connexion
bloquées par le firewall.

Regis <l.t.a.b@wanadoo.fr> wrote in news:49e82793$0$12658$ba4acef3
@news.orange.fr:

pour en revenir a la box, je prefere la laisser telle qu'elle

Je ne parlais pas de flasher la box (tu ne trouveras d'ailleurs sûrement
pas de firmware tiers pour les boxes fournies par les FAI), mais de la
faire fonctionner en simple modem/bridge, si c'est possible, et de mettre
un routeur plus élaboré derrière elle.

Cornelia

--
Be out and be proud - today is the first day of the rest of your life
Support Transgenre Strasbourg : www.sts67.org
Creative stuff : www.bownbend.com
GPG key ID 83FF7452

Cornelia Schneider <cschneider@pccsxb.com> wrote:

Je ne parlais pas de flasher la box (tu ne trouveras d'ailleurs sûrement
pas de firmware tiers pour les boxes fournies par les FAI), mais de la
faire fonctionner en simple modem/bridge, si c'est possible, et de mettre
un routeur plus élaboré derrière elle.

Il y a toujours la posibilité, si la box ne peut pas faire bridge (j'ai
eu un ZyXel un peu chatouilleux là-dessus, je l'ai laissé en routeur)
d'ouvrir tous les ports de la box vers un routeur/passerelle (ce qui est
appelé improprement DMZ dans l'interface d'admin des boxes) et ensuite
de faire finement le filtrage/redirection vers les postes du LAN, voire
une *vraie* DMZ à l'aide d'un logiciel adapté - OpenBSD Packet Filter a
ma préférence, mais il y en a d'autres.

Un vieux PC de récup, même pas trop puissant, pourvu qu'il accepte au
moins deux (ou trois) cartes Ethernet fera l'affaire.

En plus, c'est très pédagogique. J'ai comme ça, pendant plus de dix ans
échangé des connaissances et des expériences entre mon réseau-de-
chez-moi où je testais des trucs, et celui de ma boîte, où ils étaient
très contents que mes modifications ne tombent pas le réseau pendant
trois jours.

Faut juste avoir un bon DAF (Daughters acceptance factor :-) Encore plus
difficile que le WAF quand c'est des ados accrochés à leurs forums ou à
MSN.

PS rigolo : depuis que je suis parti (involontairement) de chez moi avec
l'architecture réseau sous mon bras, et qu'elles sont directement sur la
Freebox, elles regrettent à mort le DNS local et le proxy Squid que je
leur avais installé ... Plus de filtrage de pubs, et bien plus lent

Bises à toi (si je puis me l'autoriser)
--
XAv
Disponible au 1/9/2009
<http://www.xavierhumbert.net/perso/CV2.html>

xavier@groumpf.org (Xavier) wrote in
news:1iybv14.1s03hsho8no3kN%xavier@groumpf.org:

Il y a toujours la posibilité, si la box ne peut pas faire bridge
(j'ai eu un ZyXel un peu chatouilleux là-dessus, je l'ai laissé en
routeur) d'ouvrir tous les ports de la box vers un routeur/passerelle
(ce qui est appelé improprement DMZ dans l'interface d'admin des
boxes) et ensuite de faire finement le filtrage/redirection vers les
postes du LAN, voire une *vraie* DMZ à l'aide d'un logiciel adapté -
OpenBSD Packet Filter a ma préférence, mais il y en a d'autres.

Oui, ça peut effectivement marcher comme ça aussi.

[...]

Bises à toi (si je puis me l'autoriser)

Oui oui :-)

Cornelia

--
Be out and be proud - today is the first day of the rest of your life
Support Transgenre Strasbourg : www.sts67.org
Creative stuff : www.bownbend.com
GPG key ID 83FF7452