Free Box Et Oui Encore ...

[redgob]

????

comprends plus là ....

le routeur hardware qui ouvre pas les ports n'est pas firewall ? (pour moi firewall c'est fermer les ports, je te parle pas des mc afee qui contrôle les requêtes sortantes, genre tel logiciel tente de se connecter à internet)

Ben jusatement c'est ça la différence entre un routeur simple et un routeur/firewall il permet de faire des contrôles plus avancés que le simple blocage de ports (cf mes messages plus haut). Mais sinon, t'as raison dans le sens où m^me le plus simple des routeurs peut faire office de firewall

[redgob]

@Toff

C'est quoi un WAN ?

Comment fais tu pour bloquer le ping venant d'internet sur une freebox ?

[Toff]

FIF47 Le routeur il route, le firewall il filtre. Ci après un exemple simpliste.

Routeur (tu dis port 80 IP PC3 port 80)

Firewall (IP PC1 de 10h00 à 16h00 accès fermé, IP PC2 de 0h00 à 12h00 accès fermé, IP autorisées PC1, PC2, PC3 port 6802 TCP UDP fermé pour PC1)

PC1 PC2 PC3 (serveur web) PC4

de l'extérieur si tu donnes l'adresse wan(ip public externe wide area network) tu vas sur le serveur web sur le PC3 (routage)

le PC1 peut pas jouer avec xbconnect (firewall)

les PC1 et PC2 ont des plages d'accès au web (firewall)

le PC4 n'a aucun accès au web (firewall)

Sinon il y a des routeurs qui intègrent un firewall.

Comment fais tu pour bloquer le ping venant d'internet sur une freebox ?

Je sais pas si t'as pas l'écran peut être qu'il se bloque pas ou alors tu aurais raison dans le sens où ils ont mis sur l'écran réseau local le ping externe et y a pas d'interdiction ping interne possible. J'en sais rien j'ai pas encore FREE Modifié 2 septembre 2004 par Toff

[redgob]

OK, ok, WAN (Wide Area Network) par opposition au LAN (Local Area Network).

[Toff]

l'ip de que ton FAI te donne est une ip WAN

L'internet c'est le plus gros wan du monde mais certains wan ne sont pas sur internet

[Invité fif47]

Routeur (tu dis port 80 IP PC3 port 80)

Firewall (IP PC1 de 10h00 à 16h00 accès fermé, IP PC2 de 0h00 à 12h00 accès fermé, IP autorisées PC1, PC2, PC3 port 6802 TCP UDP fermé pour PC1)

PC1  PC2      PC3 (serveur web)  PC4

de l'extérieur si tu donnes l'adresse wan(ip public externe wide area network) tu vas sur le serveur web sur le PC3 (routage)

le PC1 peut pas jouer avec xbconnect (firewall)

les PC1 et PC2 ont des plages d'accès au web (firewall)

le PC4 n'a aucun accès au web (firewall)

Sinon il y a des routeurs qui intègrent un firewall.

ok, donc si j'ai bien compris, si tu scanne cette WAN (depuis l'extérieur, bien sûr), elle a juste le port 80 d'ouvert ? (qui renvoie sur le PC3)

donc si le routeur ne redirige rien, tous les ports apparaissent fermés sur cette WAN ? (dans ce cas là, le routeur serait un firewall basic, mais efficace, non ?)

ta restriction horaire d'accès au web, c'est genre firewall d'entreprises, non ? comme le port 6802 TCP UDP fermé pour PC1 ?

Par contre, pour les accès, tu indique les ports que tu fermes (6802 TCP UDP fermé pour PC1) port sortant ou entrant ?

enfin quand tu dis

IP PC1 de 10h00 à 16h00 accès fermé

tu fermes les ports entrants comme sortants je suppose, et de 16 h à 10 h ? juste les ports sortants sont ouverts ?

EDIT

Merci déjà pour tes réponses terribles

si tu as le temps de répondre à ça aussi stp, j'espère avoir été assez clair !!!

Modifié 2 septembre 2004 par fif47

[dems]

ba je vois quil y a pliende rep dsl j'ai pas u le temp de re passer alors mon dash est :

unleashX

vers : 0.31.0229a

je v voir un peut tout ce que vous avez posté merci pour vos rep

[Toff]

donc si le routeur ne redirige rien, tous les ports apparaissent fermés sur cette WAN ? (dans ce cas là, le routeur serait un firewall basic, mais efficace, non ?)

C'est pas vraiment ça, mais on va dire oui ça le fait de façon basic, enfin un routeur et un firewall ne font pas la même chose, le firewall il est après pour affiner ce que tu laisses passer avec le routeur. Tu peux aussi autoriser certaines IP à utiliser les ports que tu routes.

Par contre, pour les accès, tu indique les ports que tu fermes (6802 TCP UDP fermé pour PC1) port sortant ou entrant ?

enfin quand tu dis

IP PC1 de 10h00 à 16h00 accès fermé

tu fermes les ports entrants comme sortants je suppose, et de 16 h à 10 h ? juste les ports sortants sont ouverts ?

Oui bien sur, mais cela dépend de l'évolution de ton routeur mais en général tu peux indiquer des règles pour des port, des ip, des logiciels et ceci en entrant ou sortant.

[XBoy]

Le routeur ne ferme pas les ports : il ne les ouvre pas

Je me permet d'ajouter de petites precision a propos de la notion de "firewall"

Et oui en effet la freebox fait du NAT (Network Adress Translation) cad qu'en effet depuis le net toutes les machines de ton reseau ont la meme IP.

Donc Freebox fait firewall puisque tes ports ne dirigent sur aucun service (FTP, HTTP...).

Tu est donc protégé, mais si tu fait des redirections de ports (genre pour xbconnect) fait le avec precaution, cad n'ouvre pas de ports dont tu na pas besoin!

Une autre chose n'active pas l'option DMZ (DeMilitarized Zone) car cette option redirige tout les ports entrants (depuis le web donc) vers la machine spécifié: en gros ca fait une jolie passoire!

A propos de ping, de preference desactivez le ping depuis le WAN car en effet, un hacker commence par pinguer une range d'IP, celles qui repondent recoivent ensuite une batterie d'attaques plus ou moins merdiques (faut le dire quand meme)

Vala

[Toff]

Une autre chose n'active pas l'option DMZ (DeMilitarized Zone) car cette option redirige tout les ports entrants (depuis le web donc) vers la machine spécifié: en gros ca fait une jolie passoire!

De toutes façons c'est à ça que ça sert.

exemple

internet<===>firewall <=====>DMZ(serveur web)                      <=====>firewall<====>reseau interne

Toutes les requêtes de l'internet sont envoyées dans la DMZ ou tu as placé les machines qui peuvent communiquer avec l'extérieur par exemple les serveurs web. Si c'est une requête autre qu'un appel au serveur web elle se perdra dans le néant.

Le réseau interne est ainsi inaccessible de l'extérieur et peut être à nouveau protégé par un second firewall.

Mais souvent l'erreur classique c'est d'avoir le serveur web sur le réseau interne en faisant confiance au routage et firewall. Bon c'est vrai qu'il faut un routeur à 3 pattes mais sinon la DMZ on a pas encore trouvé mieux.

[XBoy]

internet<===>firewall <=====>DMZ(serveur web)                      <=====>firewall<====>reseau interne

Toutes les requêtes de l'internet sont envoyées dans la DMZ ou tu as placé les machines qui peuvent communiquer avec l'extérieur par exemple les serveurs web. Si c'est une requête autre qu'un appel au serveur web elle se perdra dans le néant.

Le réseau interne est ainsi inaccessible de l'extérieur et peut être à nouveau protégé par un second firewall.

Mais souvent l'erreur classique c'est d'avoir le serveur web sur le réseau interne en faisant confiance au routage et firewall. Bon c'est vrai qu'il faut un routeur à 3 pattes mais sinon la DMZ on a pas encore trouvé mieux.

Sauf que si tu veut juste mettre un serveur web, redirige juste le port 80 (voir 443 si tu veut HTTPS) vers ta machine. c'est beaucoup plus sur que de donner un acces complet.

Car mettre le serveur web en DMZ, c'est dangereux dans le sens ou si ta un service foireux (genre un telnet buggué que ta pas desactivé... ou tout autre service dont t'es meme pas au courant de l'existance, et surtout sous windows) TOUT les autres services disponibles sur ton serveur son accessible.

De plus si un hacker arrive a installer un exploit il peu lancer un petit logiciel serveur ouvrant un port, sur lekel il peu se connecter et faire du coup ce qu'il veut sur sa machine (si t'avai ouvert ke le 80 il k'aurai eu dans l'zob)...

Donc DMZ c'est mal.

En gros ya que netmeeting qui necessite vraiment une DMZ et donc comme ton schema l'indique dans ce cas la, il faut mettre un 2eme firewall afin de proteger le reste du reseau.

PS: pour ceux qui veulent s'installer un firewall(qui fait plein d'autre choses aussi) sous linux sans se prendre la tete, regardez ca : SME Server (desolé le serveur est souvent down en ce moment)

Vala

[Toff]

Désolé mais ça ça me fait bondir

Donc DMZ c'est mal.

Mais je t'indique amicalement que la DMZ sert à y mettre toutes les machines en relation avec l'extérieur afin de les isoler des réseaux internes.

Tu dis ça

Sauf que si tu veut juste mettre un serveur web, redirige juste le port 80 (voir 443 si tu veut HTTPS) vers ta machine. c'est beaucoup plus sur que de donner un acces complet.

J'avais écrit ça

Si c'est une requête autre qu'un appel au serveur web elle se perdra dans le néant.

Je te rappelle que appel au serveur web cela peut être ce que tu appelles le port 80

Alors j'aimerai bien savoir comment ton hacker il pourra trouver un port ouvert pour installer quelque chose. Le seul moyen c'est de rentrer par des requetes SQL par le canal web pour récupéré un user password pour avoir accès à la BDD, mais pour lutter contre ça il suffit de programmer ses scripts correctement.

Donc toute autre requete va dans le mur

Netmeeting c'est un soft je ne vois pas le rapport, tu veux retirer les utilisateurs de netmeeting du réseau local ?

Et SME c'est trop lourd pour un firewall, je pense que tu voulais parler d'autres chose vu que j'en installe comme serveur intranet, de messagerie, de fax, de données je connais bien ce produit.

Modifié 9 septembre 2004 par Toff

[redgob]

Mais je t'indique amicalement que la DMZ sert à y mettre toutes les machines en relation avec l'extérieur afin de les isoler des réseaux internes.

Rien n'empêche de mettre en DMZ une machine qui n'est pas isolée du réseau interne.

Ce que di XBoy, c'est que mettre une machine en DMZ, c'est-à-dire lui donner un accès sans restriction depuis l'extérieur, c'est ouvrir pleins de ports pour rien et donc prendre des risques inutiles : il vaut savoir de quels ports tu as besoin et les ouvrir un par un.

Sinon pour netmeeting, moi je comprends qu'il est difficiel ou impossible de prévoir quels ports vont être utilisés par ce logiciel et je trouve ça bizarre honnêtement.

Modifié 9 septembre 2004 par redgob

[Toff]

Bon je recommence dans mon exemple ce sont des serveurs web donc par exemple le port 80 est routé sur des serveurs toutes autres requêtes sur n'importe quels ports vont dans le néant sont bloqués quoi.

Faudra m'expliquer comment tu peux définir une DMZ si elle est dans le réseau interne

Et puis après tout faîtes comme vous voulez moi j'aurais prévenu c'est tout !

[XBoy]

Bon je recommence dans mon exemple ce sont des serveurs web donc par exemple le port 80 est routé sur des serveurs toutes autres requêtes sur n'importe quels ports vont dans le néant sont bloqués quoi.

Ba non qu'elles ne vont pas dans lenéant si t'es en DMZ...

Elle vont vers le port en question et si ta un serveur ftp ki tourne et que le gars fait une demande sur le 21... ba ca repond. Et a la base tu voulais faire que du web...

Je veux dir que DMZ c'est dangereux si tu sais pas vraiement administrer une machine car tout ce qui tourne est accessible.

Ensuite bien sur que si qu'un hacker peut utiliser un exploit, meme si tu code bien!!

Je ne citerai que l'exemple d'utiliser un serveru WEB IIS5 (ou meme une vieille version d'apache)... Le gars il lance un exploit qui lance un shell distant sur un port que lui seul connait, genre 1234, et si t en DMZ, ce port est accessible. Alors que si t'avais juste redirigé le 80, ta machine n'aurait pas été accessible.

Recherche "exploit iis remote shell" sur google par exemple... 2eme reponse ta une page qui te donne meme le code source pour l'exploit!!

Donc c'est plus sur de rediriger les ports que tu veux utiliser plutot que de tout ouvrir sans reflechir.

Mais bon je pense qu'ici on a surtout des utilisateur windows, et que donc s'ils mettent leur becane en DMZ, yaura le partage reseau d'accessible, imprimantes et tout et tout si leur machine est mal configurée (et on est jamais a l'abri d'un bete oubli).

Oui, SME est un peu lourd pour faire que firewall, mais il fait trés bien cette fonction et quand commence a savoir l'utiliser on a tout de suite envie de faire autre chose que "juste" firewall.

Mais comme tu dis... chacun gére ca comme il veut...

[Toff]

il faut que je te l'écrive comment dans mon exemple j'ai parlé de serveur web

quand on est professionnel et qu'on gère des serveurs web c'est une évidence qu'on redirige le port 80 sur un port avec un routeur.

Donc le seul point d'entrée de la DMZ c'est en externe le port 80 et en interne le port que t'as décidé, donc rien d'autre ne peut entrer.

Si c'était pas le cas, dans mon schéma j'aurais mis les serveur web en accès direct internet

Ensuite si tu ne veux pas comprendre que la DMZ ça sert à ça et bien j'y peux franchement rien. Mais je peux t'affirmer que les gens compétents continueront à l'utiliser car aujourd'hui on rien inventer de mieux.

Merci de faire l'effort de lire un manuel d'architecture des réseaux car il ne s'agit plus d'un problème d'opinion mais d'une réalité technique.

[XBoy]

quand on est professionnel et qu'on gère des serveurs web c'est une évidence qu'on redirige le port 80 sur un port avec un routeur.

Donc le seul point d'entrée de la DMZ c'est en externe le port 80 et en interne le port que t'as décidé, donc rien d'autre ne peut entrer.

Ouai sauf qu'ici on parle de personne non competentes en matiere de reseau et donc c'est pour ca que je leur deconseille l'utilisation de la DMZ.

Ta juste du oublier cet aspect la de la chose.

PS: Zen mec.

[Toff]

Non désolé on a jamais dit que l'on s'adressait à des personnes non compétentes mais j'ai lu des affirmations fausses basées sur des pseudo connaissances.

C'est pas parcequ'on est sur un forum où les gens sont là pour le fun qu'on peut dire n'importe quoi en considérant qu'on s'adresse à des gens "non compétents".

Tu ne sais pas ce que feront demain des jeunes qui lisent ce forum aujourd'hui, peut être seront t'ils administrateurs système alors autant leur donner de vraies infos dès maintenant.

Ensuite la DMZ ça fait peur à beaucoup de monde je sais, mais ça n'a rien de complexe et cela vient d'une logique militaire qui est compréhensible par le commun des mortels. Quand on veut envahir ce pays on doit passer par cette zone et quand on est dans cette zone on ne peut pas aller plus loin, c'est une zone tampon. Le processus "malin" étant cantonné à cette zone on a toute latitude pour réagir et l'anihiler.

Moi je respecte les autres sur ce forum et je leur donne de vrais infos car je ne les considère pas comme non compétents, à moi éventuellement d'adapter mon discours pour le rendre compréhensible par le plus grand nombre. Je ne me permets pas de censurer l'information en estimant que c'est pour leur bien.

Si j'étais pas ZEN j'aurais répondu autrechose

[XBoy]

Tu ne sais pas ce que feront demain des jeunes qui lisent ce forum aujourd'hui, peut être seront t'ils administrateurs système alors autant leur donner de vraies infos dès maintenant.

Ok, en effet, je reformule un peu,

La DMZ : utilisé la que si vous savez ce que vous faites avec.

La DMZ c'est dangeureux si on ne sais pas ce qu'on fait, c'est une vraie info...

C'est pas parcequ'on est sur un forum où les gens sont là pour le fun qu'on peut dire n'importe quoi en considérant qu'on s'adresse à des gens "non compétents".

Je dis pas n'importe quoi, j'ai dit que c'etait deconseillé car il faut etre conscient de tout ce que ca implique. Et comme le forum n'est pas spécialisé dans le domaine, j'ai voulu mettre en garde, pas plus.

Vala, c'est mieux ?

[Toff]

NON

La DMZ c'est dangeureux si on ne sais pas ce qu'on fait, c'est une vraie info

Ca c'est complètement faux, la DMZ elle sert à ça la machine que l'on met là elle est la seule à être visible de l'extérieur, questce que ça a de dangereux.

Ca sert que si cette machine serait attaquée et tomberait aux mains de l'ennemi de toutes façons après on ne va pas plus loin alors les dégats ils sont cantonnés.

Donc c'est le contraire quand on ne sait pas ce qu'on fait la DMZ limite les dégats à la seule machine dans la zone.

Un routage de port mal fait ou avec un firewall mal configuré sur une machine d'un réseau et c'est tout le réseau qui pourra être anéanti.

Alors ça ne sert à rien de reformuler pour dire la même chose puisque c'est l'info qui est fausse. Et ça c'est pas moi qui le dit je te renvoies à n'importe quel manuel d'architecture réseau.

Il y a des moment où la sagesse commande d'accepter son erreur sinon la bêtise prend en charge son destin.

Modifié 9 septembre 2004 par Toff

[Invité fif47]

hoho ça chauffe !!!!

en tout cas merci pour toutes ces infos !

personne cherche un jeune en contrat de qualif admin reseau locaux svp ???