Je viens de trouver un utilitaire pour le WOL mais avant de l'utiliser,
je me demandais quels étaient les problèmes de sécurité à prendre en
compte si j'utilise cette possibilité.
Votre avis svp ?
(je suis sous XP pro avec ouverture de session par mot de passe)
--
J-L M. (Alphomega)
ICQ: 149635116
Pour m'écrire, cliquer le lien ci-dessous
http://cerbermail.com/?G5iYdBb2Ce
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stirner
Je viens de trouver un utilitaire pour le WOL mais avant de l'utiliser, je me demandais quels étaient les problèmes de sécurité à prendre en compte si j'utilise cette possibilité.
Votre avis svp ?
Et bien si je ne me trompe pas, il faut ouvrir un port UDP sur la freebox en redirection sur la machine que tu veut pourvoir reveiller. Ouvrir un port n'est jamais sans risque (la securite 0 n'existe pas) mais dans ce cas precis du wol c'est quand meme relativement limite.
Quand elle est eteinte pour pouvoir la rallumer il faut que l'attaquant connaise l'adresse mac de la carte ethernet de la machine en question. Qu'il sache egalement quel port de la freebox est forwarder. Autrement dis c'est bien difficile, sauf si l'attaquant connais ton systeme ;).
Une foi la machine allume il ne faut pas qu'il y est un service qui tourne sur le port en question (celui ou tu redirige le paquet wol). Si non le service seras accessible de l'exterieur.
Autre probleme quand la machine est eteinte, si l'attaquant controle une machine interne du reseau, il peut usurper l'adresse ip de ma machine qui est eteinte. est donc y acceder depuis l'exterieur. Mais il faut qu'il soit deja a l'interieur.
Voilou
Je viens de trouver un utilitaire pour le WOL mais avant de l'utiliser,
je me demandais quels étaient les problèmes de sécurité à prendre en
compte si j'utilise cette possibilité.
Votre avis svp ?
Et bien si je ne me trompe pas, il faut ouvrir un port UDP sur la freebox en
redirection sur la machine que tu veut pourvoir reveiller. Ouvrir un port
n'est jamais sans risque (la securite 0 n'existe pas) mais dans ce cas
precis du wol c'est quand meme relativement limite.
Quand elle est eteinte pour pouvoir la rallumer il faut que l'attaquant
connaise l'adresse mac de la carte ethernet de la machine en question. Qu'il
sache egalement quel port de la freebox est forwarder. Autrement dis c'est
bien difficile, sauf si l'attaquant connais ton systeme ;).
Une foi la machine allume il ne faut pas qu'il y est un service qui tourne
sur le port en question (celui ou tu redirige le paquet wol). Si non le
service seras accessible de l'exterieur.
Autre probleme quand la machine est eteinte, si l'attaquant controle une
machine interne du reseau, il peut usurper l'adresse ip de ma machine qui
est eteinte. est donc y acceder depuis l'exterieur. Mais il faut qu'il soit
deja a l'interieur.
Je viens de trouver un utilitaire pour le WOL mais avant de l'utiliser, je me demandais quels étaient les problèmes de sécurité à prendre en compte si j'utilise cette possibilité.
Votre avis svp ?
Et bien si je ne me trompe pas, il faut ouvrir un port UDP sur la freebox en redirection sur la machine que tu veut pourvoir reveiller. Ouvrir un port n'est jamais sans risque (la securite 0 n'existe pas) mais dans ce cas precis du wol c'est quand meme relativement limite.
Quand elle est eteinte pour pouvoir la rallumer il faut que l'attaquant connaise l'adresse mac de la carte ethernet de la machine en question. Qu'il sache egalement quel port de la freebox est forwarder. Autrement dis c'est bien difficile, sauf si l'attaquant connais ton systeme ;).
Une foi la machine allume il ne faut pas qu'il y est un service qui tourne sur le port en question (celui ou tu redirige le paquet wol). Si non le service seras accessible de l'exterieur.
Autre probleme quand la machine est eteinte, si l'attaquant controle une machine interne du reseau, il peut usurper l'adresse ip de ma machine qui est eteinte. est donc y acceder depuis l'exterieur. Mais il faut qu'il soit deja a l'interieur.
Voilou
Pascal
Salut,
Je viens de trouver un utilitaire pour le WOL mais avant de l'utiliser, je me demandais quels étaient les problèmes de sécurité à prendre en compte si j'utilise cette possibilité.
Votre avis svp ?
Et bien si je ne me trompe pas, il faut ouvrir un port UDP sur la freebox en redirection sur la machine que tu veut pourvoir reveiller. [...]
Autre probleme quand la machine est eteinte, si l'attaquant controle une machine interne du reseau, il peut usurper l'adresse ip de ma machine qui est eteinte. est donc y acceder depuis l'exterieur. Mais il faut qu'il soit deja a l'interieur.
Et s'il est déjà a l'intérieur il lui suffit d'établir une connexion sortante puisque la Freebox laisse tout passer en sortie, pas besoin de s'emmerder.
Par contre il risque d'y avoir une difficulté non liée à la sécurité qui a déjà été évoquée ici ou dans fr.comp.reseaux.ethernet : le problème de l'adresse MAC de la machine cible. La Freebox est-elle en mode normal ou routeur ?
Salut,
Je viens de trouver un utilitaire pour le WOL mais avant de l'utiliser,
je me demandais quels étaient les problèmes de sécurité à prendre en
compte si j'utilise cette possibilité.
Votre avis svp ?
Et bien si je ne me trompe pas, il faut ouvrir un port UDP sur la freebox en
redirection sur la machine que tu veut pourvoir reveiller.
[...]
Autre probleme quand la machine est eteinte, si l'attaquant controle une
machine interne du reseau, il peut usurper l'adresse ip de ma machine qui
est eteinte. est donc y acceder depuis l'exterieur. Mais il faut qu'il soit
deja a l'interieur.
Et s'il est déjà a l'intérieur il lui suffit d'établir une connexion
sortante puisque la Freebox laisse tout passer en sortie, pas besoin de
s'emmerder.
Par contre il risque d'y avoir une difficulté non liée à la sécurité qui
a déjà été évoquée ici ou dans fr.comp.reseaux.ethernet : le problème de
l'adresse MAC de la machine cible. La Freebox est-elle en mode normal ou
routeur ?
Je viens de trouver un utilitaire pour le WOL mais avant de l'utiliser, je me demandais quels étaient les problèmes de sécurité à prendre en compte si j'utilise cette possibilité.
Votre avis svp ?
Et bien si je ne me trompe pas, il faut ouvrir un port UDP sur la freebox en redirection sur la machine que tu veut pourvoir reveiller. [...]
Autre probleme quand la machine est eteinte, si l'attaquant controle une machine interne du reseau, il peut usurper l'adresse ip de ma machine qui est eteinte. est donc y acceder depuis l'exterieur. Mais il faut qu'il soit deja a l'interieur.
Et s'il est déjà a l'intérieur il lui suffit d'établir une connexion sortante puisque la Freebox laisse tout passer en sortie, pas besoin de s'emmerder.
Par contre il risque d'y avoir une difficulté non liée à la sécurité qui a déjà été évoquée ici ou dans fr.comp.reseaux.ethernet : le problème de l'adresse MAC de la machine cible. La Freebox est-elle en mode normal ou routeur ?
Jean-Luc M.
Par contre il risque d'y avoir une difficulté non liée à la sécurité qui a déjà été évoquée ici ou dans fr.comp.reseaux.ethernet : le problème de l'adresse MAC de la machine cible. La Freebox est-elle en mode normal ou routeur ?
J'ai mis la freebox en mode routeur et fait une translation sur un port N mais je l'ai faite en TCP et non en UDP. C'est peut-etre pour ça que ca ne fonctionne pas .
-- J-L M. (Alphomega) ICQ: 149635116 Pour m'écrire, cliquer le lien ci-dessous http://cerbermail.com/?G5iYdBb2Ce
Par contre il risque d'y avoir une difficulté non liée à la sécurité qui a
déjà été évoquée ici ou dans fr.comp.reseaux.ethernet : le problème de
l'adresse MAC de la machine cible. La Freebox est-elle en mode normal ou
routeur ?
J'ai mis la freebox en mode routeur et fait une translation sur un port
N mais je l'ai faite en TCP et non en UDP.
C'est peut-etre pour ça que ca ne fonctionne pas .
--
J-L M. (Alphomega)
ICQ: 149635116
Pour m'écrire, cliquer le lien ci-dessous
http://cerbermail.com/?G5iYdBb2Ce
Par contre il risque d'y avoir une difficulté non liée à la sécurité qui a déjà été évoquée ici ou dans fr.comp.reseaux.ethernet : le problème de l'adresse MAC de la machine cible. La Freebox est-elle en mode normal ou routeur ?
J'ai mis la freebox en mode routeur et fait une translation sur un port N mais je l'ai faite en TCP et non en UDP. C'est peut-etre pour ça que ca ne fonctionne pas .
-- J-L M. (Alphomega) ICQ: 149635116 Pour m'écrire, cliquer le lien ci-dessous http://cerbermail.com/?G5iYdBb2Ce
Pascal
[WoL depuis internet à travers la Freebox]
Par contre il risque d'y avoir une difficulté non liée à la sécurité qui a déjà été évoquée ici ou dans fr.comp.reseaux.ethernet : le problème de l'adresse MAC de la machine cible. La Freebox est-elle en mode normal ou routeur ?
J'ai mis la freebox en mode routeur et fait une translation sur un port N mais je l'ai faite en TCP et non en UDP. C'est peut-etre pour ça que ca ne fonctionne pas .
Il y a en fait trois problèmes potentiels.
1) Le protocole spécifié dans la redirection de port de la Freebox doit évidemment correspondre au protocole utilisé par l'utilitaire de wake-on-LAN. Si ce dernier émet des paquets UDP il faut faire la redirection sur le port UDP correspondant.
2) Si je me souviens bien, le wake-on-LAN repose sur l'émission d'une trame ethernet contenant une séquence d'octets particulières ("magic packet") et sus de l'adresse MAC de la cible. Or dans le protocole TCP le premier paquet est une demande de connexion (SYN) qui a un contenu bien défini. Je ne suis pas sûr qu'on puisse y glisser facilement la séquence d'octets magique. C'est pourquoi il est a priori plus simple d'utiliser un paquet UDP dont le contenu est arbitraire.
3) La Freebox doit envoyer le paquet redirigé à la machine cible, et sur un réseau ethernet l'adresse IP ne suffit pas. Il faut que la trame ethernet contenant le paquet wake-on-LAN ait pour adresse MAC destination soit l'adresse MAC de la machine cible, soit l'adresse MAC de diffusion (ou "broadcast", ff:ff:ff:ff:ff:ff).
Le premier cas implique que la Freebox connaisse de manière statique l'association adresse MAC-adresse IP de la machine cible, la résolution normale par le protocole ARP ne fonctionnant pas puisque la machine est éteinte.
Le deuxième cas implique que la Freebox permette de faire une redirection d'un port UDP vers l'adresse IP de broadcast du sous-réseau local (192.168.0.255). Pas sûr que ce soit possible.
[WoL depuis internet à travers la Freebox]
Par contre il risque d'y avoir une difficulté non liée à la sécurité
qui a déjà été évoquée ici ou dans fr.comp.reseaux.ethernet : le
problème de l'adresse MAC de la machine cible. La Freebox est-elle en
mode normal ou routeur ?
J'ai mis la freebox en mode routeur et fait une translation sur un port
N mais je l'ai faite en TCP et non en UDP.
C'est peut-etre pour ça que ca ne fonctionne pas .
Il y a en fait trois problèmes potentiels.
1) Le protocole spécifié dans la redirection de port de la Freebox doit
évidemment correspondre au protocole utilisé par l'utilitaire de
wake-on-LAN. Si ce dernier émet des paquets UDP il faut faire la
redirection sur le port UDP correspondant.
2) Si je me souviens bien, le wake-on-LAN repose sur l'émission d'une
trame ethernet contenant une séquence d'octets particulières ("magic
packet") et sus de l'adresse MAC de la cible. Or dans le protocole TCP le
premier paquet est une demande de connexion (SYN) qui a un contenu bien
défini. Je ne suis pas sûr qu'on puisse y glisser facilement la séquence
d'octets magique. C'est pourquoi il est a priori plus simple d'utiliser
un paquet UDP dont le contenu est arbitraire.
3) La Freebox doit envoyer le paquet redirigé à la machine cible, et sur
un réseau ethernet l'adresse IP ne suffit pas. Il faut que la trame
ethernet contenant le paquet wake-on-LAN ait pour adresse MAC destination
soit l'adresse MAC de la machine cible, soit l'adresse MAC de diffusion
(ou "broadcast", ff:ff:ff:ff:ff:ff).
Le premier cas implique que la Freebox connaisse de manière statique
l'association adresse MAC-adresse IP de la machine cible, la résolution
normale par le protocole ARP ne fonctionnant pas puisque la machine est
éteinte.
Le deuxième cas implique que la Freebox permette de faire une redirection
d'un port UDP vers l'adresse IP de broadcast du sous-réseau local
(192.168.0.255). Pas sûr que ce soit possible.
Par contre il risque d'y avoir une difficulté non liée à la sécurité qui a déjà été évoquée ici ou dans fr.comp.reseaux.ethernet : le problème de l'adresse MAC de la machine cible. La Freebox est-elle en mode normal ou routeur ?
J'ai mis la freebox en mode routeur et fait une translation sur un port N mais je l'ai faite en TCP et non en UDP. C'est peut-etre pour ça que ca ne fonctionne pas .
Il y a en fait trois problèmes potentiels.
1) Le protocole spécifié dans la redirection de port de la Freebox doit évidemment correspondre au protocole utilisé par l'utilitaire de wake-on-LAN. Si ce dernier émet des paquets UDP il faut faire la redirection sur le port UDP correspondant.
2) Si je me souviens bien, le wake-on-LAN repose sur l'émission d'une trame ethernet contenant une séquence d'octets particulières ("magic packet") et sus de l'adresse MAC de la cible. Or dans le protocole TCP le premier paquet est une demande de connexion (SYN) qui a un contenu bien défini. Je ne suis pas sûr qu'on puisse y glisser facilement la séquence d'octets magique. C'est pourquoi il est a priori plus simple d'utiliser un paquet UDP dont le contenu est arbitraire.
3) La Freebox doit envoyer le paquet redirigé à la machine cible, et sur un réseau ethernet l'adresse IP ne suffit pas. Il faut que la trame ethernet contenant le paquet wake-on-LAN ait pour adresse MAC destination soit l'adresse MAC de la machine cible, soit l'adresse MAC de diffusion (ou "broadcast", ff:ff:ff:ff:ff:ff).
Le premier cas implique que la Freebox connaisse de manière statique l'association adresse MAC-adresse IP de la machine cible, la résolution normale par le protocole ARP ne fonctionnant pas puisque la machine est éteinte.
Le deuxième cas implique que la Freebox permette de faire une redirection d'un port UDP vers l'adresse IP de broadcast du sous-réseau local (192.168.0.255). Pas sûr que ce soit possible.
Jean-Luc M.
Tout d'abord, merci pour tous ces détails
Si ce dernier émet des paquets UDP il faut faire la redirection sur le port UDP correspondant.
Sur la console du mode routeur de free j'ai fais une transalation sur un port N vers l'IP de ma machine (que j'ai défini comme fixe 192.168.0.11)
2) Si je me souviens bien, le wake-on-LAN repose sur l'émission d'une trame ethernet contenant une séquence d'octets particulières ("magic packet") et sus de l'adresse MAC de la cible. Or dans le protocole TCP le premier paquet est une demande de connexion (SYN) qui a un contenu bien défini. Je ne suis pas sûr qu'on puisse y glisser facilement la séquence d'octets magique. C'est pourquoi il est a priori plus simple d'utiliser un paquet UDP dont le contenu est arbitraire.
J'ai modifié le mode TCP en UDP
Le premier cas implique que la Freebox connaisse de manière statique l'association adresse MAC-adresse IP de la machine cible, la résolution normale par le protocole ARP ne fonctionnant pas puisque la machine est éteinte.
Ok ! Donc pas possible !
Le deuxième cas implique que la Freebox permette de faire une redirection d'un port UDP vers l'adresse IP de broadcast du sous-réseau local (192.168.0.255). Pas sûr que ce soit possible.
Apparemment si puisque la console routeur permet de le définir. Par contre, j'ai fais la transaltion sur l'IP statique 0.11 et non sur l'adresse de diffusion. Je referai un essai en utilisant 192.168.0.255
-- Jean-Luc M.
Tout d'abord, merci pour tous ces détails
Si ce dernier émet des paquets UDP il faut faire la redirection sur le port
UDP correspondant.
Sur la console du mode routeur de free j'ai fais une transalation sur
un port N vers l'IP de ma machine (que j'ai défini comme fixe
192.168.0.11)
2) Si je me souviens bien, le wake-on-LAN repose sur l'émission d'une trame
ethernet contenant une séquence d'octets particulières ("magic packet") et
sus de l'adresse MAC de la cible. Or dans le protocole TCP le premier paquet
est une demande de connexion (SYN) qui a un contenu bien défini. Je ne suis
pas sûr qu'on puisse y glisser facilement la séquence d'octets magique. C'est
pourquoi il est a priori plus simple d'utiliser un paquet UDP dont le contenu
est arbitraire.
J'ai modifié le mode TCP en UDP
Le premier cas implique que la Freebox connaisse de manière statique
l'association adresse MAC-adresse IP de la machine cible, la résolution
normale par le protocole ARP ne fonctionnant pas puisque la machine est
éteinte.
Ok ! Donc pas possible !
Le deuxième cas implique que la Freebox permette de faire une redirection
d'un port UDP vers l'adresse IP de broadcast du sous-réseau local
(192.168.0.255). Pas sûr que ce soit possible.
Apparemment si puisque la console routeur permet de le définir.
Par contre, j'ai fais la transaltion sur l'IP statique 0.11 et non sur
l'adresse de diffusion.
Je referai un essai en utilisant 192.168.0.255
Si ce dernier émet des paquets UDP il faut faire la redirection sur le port UDP correspondant.
Sur la console du mode routeur de free j'ai fais une transalation sur un port N vers l'IP de ma machine (que j'ai défini comme fixe 192.168.0.11)
2) Si je me souviens bien, le wake-on-LAN repose sur l'émission d'une trame ethernet contenant une séquence d'octets particulières ("magic packet") et sus de l'adresse MAC de la cible. Or dans le protocole TCP le premier paquet est une demande de connexion (SYN) qui a un contenu bien défini. Je ne suis pas sûr qu'on puisse y glisser facilement la séquence d'octets magique. C'est pourquoi il est a priori plus simple d'utiliser un paquet UDP dont le contenu est arbitraire.
J'ai modifié le mode TCP en UDP
Le premier cas implique que la Freebox connaisse de manière statique l'association adresse MAC-adresse IP de la machine cible, la résolution normale par le protocole ARP ne fonctionnant pas puisque la machine est éteinte.
Ok ! Donc pas possible !
Le deuxième cas implique que la Freebox permette de faire une redirection d'un port UDP vers l'adresse IP de broadcast du sous-réseau local (192.168.0.255). Pas sûr que ce soit possible.
Apparemment si puisque la console routeur permet de le définir. Par contre, j'ai fais la transaltion sur l'IP statique 0.11 et non sur l'adresse de diffusion. Je referai un essai en utilisant 192.168.0.255
-- Jean-Luc M.
Jean-Luc M.
ça marche
Pour des infos complémentaires et outils nécessaires, aller sur http://www.dslreports.com/faq/6790
avec une freebox, faire la transalation du port UDP 32767 vers 192.168.0.255 (ou directement l'IP de la carte reseau si elle est fixe)
-- Jean-Luc M.
ça marche
Pour des infos complémentaires et outils nécessaires, aller sur
http://www.dslreports.com/faq/6790
avec une freebox, faire la transalation du port UDP 32767 vers
192.168.0.255 (ou directement l'IP de la carte reseau si elle est fixe)
Pour des infos complémentaires et outils nécessaires, aller sur http://www.dslreports.com/faq/6790
avec une freebox, faire la transalation du port UDP 32767 vers 192.168.0.255 (ou directement l'IP de la carte reseau si elle est fixe)
-- Jean-Luc M.
Mat Free
Le premier cas implique que la Freebox connaisse de manière statique l'association adresse MAC-adresse IP de la machine cible, la résolution normale par le protocole ARP ne fonctionnant pas puisque la machine est éteinte.
En fait, cela fonctionne pendant quelques dizaines de minutes, le temps que le cache ARP se vide.
Le deuxième cas implique que la Freebox permette de faire une redirection d'un port UDP vers l'adresse IP de broadcast du sous-réseau local (192.168.0.255). Pas sûr que ce soit possible.
Effectivement, il semble que cela ne fonctionne pas.
-- Mat
Le premier cas implique que la Freebox connaisse de manière statique
l'association adresse MAC-adresse IP de la machine cible, la
résolution normale par le protocole ARP ne fonctionnant pas puisque
la machine est éteinte.
En fait, cela fonctionne pendant quelques dizaines de minutes, le temps
que le cache ARP se vide.
Le deuxième cas implique que la Freebox permette de faire une
redirection d'un port UDP vers l'adresse IP de broadcast du
sous-réseau local (192.168.0.255). Pas sûr que ce soit possible.
Effectivement, il semble que cela ne fonctionne pas.
Le premier cas implique que la Freebox connaisse de manière statique l'association adresse MAC-adresse IP de la machine cible, la résolution normale par le protocole ARP ne fonctionnant pas puisque la machine est éteinte.
En fait, cela fonctionne pendant quelques dizaines de minutes, le temps que le cache ARP se vide.
Le deuxième cas implique que la Freebox permette de faire une redirection d'un port UDP vers l'adresse IP de broadcast du sous-réseau local (192.168.0.255). Pas sûr que ce soit possible.
Effectivement, il semble que cela ne fonctionne pas.
