Je suis sous Windows XP SP2, J'ai la freebox (V4 je crois) connecté à mon ordinateur par une liaison ethernet. Les fonctions routeur et Wifi sont activées. J'utilise Zone alarm comme firewall et Avast comme antivirus. La mise à jour Windows n'est pas activée
Quand je vais voir l'état de la connexion au réseau local (en bas à droite), j'ai comme adresse IP: 192.168.0.2 et comme passerelle: 192.168.0.254.
Première question: comment connaître l'adresse IP de ma freexbox? (à moins que ce ne soit 192.168.0.254)
Est ce que mon ordinateur risque quand même d'être piraté? En particulier est ce que quelqu'un peut scanner les ports de mon ordinateur?
Merci
Les réponses au message de Philippe Gueguen (phg@spam.news.free.fr)
Philippe Gueguen a écrit : > La mise à jour Windows n'est pas activée
C'est amha une mauvaise idée.
> Première question: comment connaître l'adresse IP de ma freexbox? (à moins > que ce ne soit 192.168.0.254)
A priori c'est la passerelle (192.168.0.254) en mode routeur
Mais de toute manière, pour accéder à certains services, la freebox utilise des adresses locales exotiques (212.27.38.253), l'adresse du routeur n'a d'interêt que pour le... routage.
> Est ce que mon ordinateur risque quand même d'être piraté? En particulier > est ce que quelqu'un peut scanner les ports de mon ordinateur?
Non, s'il n'y a pas de ports redirigés, il scannera les ports de la freebox (ce qui ne présente à priori pas de risques)
Et le principal risque provient aujourd'hui d'applications vérolées (faux freewares ou faux antivirus vérolés, par exemple, ou plugins douteux) que seul un antivirus -- et la vigilance de l'utilisateur -- peuvent arrêter.
Philippe Gueguen wrote in message : > Première question: comment connaître l'adresse IP de ma freexbox? (à moins > que ce ne soit 192.168.0.254)
*L*'adresse IP de la freebox, ça ne veut rien dire, parce qu'elle en a plusieurs. 192.168.0.254 en est une, celle attribuée à l'interface sur le brin local ; il y en a une autre, celle attribuée à l'interface publique de la freebox. Normalement, celle-ci est invisible de l'intérieur au niveau réseau, mais il y a des protocoles applicatifs qui la montrent. On dirait que c'est 82.64.159.81 ; c'est consultable dans l'interface d'administration de Free.
> Est ce que mon ordinateur risque quand même d'être piraté?
Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable au risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant plus que tu désactives les mises à jour.
Nicolas George a écrit : >> Est ce que mon ordinateur risque quand même d'être piraté? > Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable au > risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant > plus que tu désactives les mises à jour.
Je répondais en fait au deuxième point: non, quelqu'un ne peut pas scanner les ports de son ordinateur.
Merci pour vos réponses! Si j'ai bien compris il y a trois adresses correspondant à mon équipement. L'adresse de ma carte réseau 192.168.0.2 (non routable) L'adresse de mon routeur (Freebox) interne: 192.168.0.254 (non routable) Et enfin l'adresse publique de ma freebox (celle là routable) accessible de l'extérieur.
Sur l'interface d'administration de Free je ne trouve aucun moyen de connaître l'adresse IP publique. C'est étrange qu'il existe pas de moyen de la connaître (avec un trace route peut être?).
"Nicolas George" a écrit dans le message de news: 46d13fc1$0$435$426a34cc@news.free.fr... > Philippe Gueguen wrote in message > : >> Première question: comment connaître l'adresse IP de ma freexbox? (à >> moins >> que ce ne soit 192.168.0.254) > *L*'adresse IP de la freebox, ça ne veut rien dire, parce qu'elle en a > plusieurs. 192.168.0.254 en est une, celle attribuée à l'interface sur le > brin local ; il y en a une autre, celle attribuée à l'interface publique > de > la freebox. Normalement, celle-ci est invisible de l'intérieur au niveau > réseau, mais il y a des protocoles applicatifs qui la montrent. On dirait > que c'est 82.64.159.81 ; c'est consultable dans l'interface > d'administration > de Free. >> Est ce que mon ordinateur risque quand même d'être piraté? > Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable > au > risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant > plus que tu désactives les mises à jour.
> Merci pour vos réponses! > Si j'ai bien compris il y a trois adresses correspondant à mon équipement. > L'adresse de ma carte réseau 192.168.0.2 (non routable) > L'adresse de mon routeur (Freebox) interne: 192.168.0.254 (non routable) > Et enfin l'adresse publique de ma freebox (celle là routable) accessible de > l'extérieur. > Sur l'interface d'administration de Free je ne trouve aucun moyen de > connaître l'adresse > IP publique. C'est étrange qu'il existe pas de moyen de la connaître (avec un > trace route peut être?). > "Nicolas George" a écrit dans le message de > news: 46d13fc1$0$435$426a34cc@news.free.fr... >> Philippe Gueguen wrote in message >> : >>> Première question: comment connaître l'adresse IP de ma freexbox? (à moins >>> que ce ne soit 192.168.0.254) >>> *L*'adresse IP de la freebox, ça ne veut rien dire, parce qu'elle en a >> plusieurs. 192.168.0.254 en est une, celle attribuée à l'interface sur le >> brin local ; il y en a une autre, celle attribuée à l'interface publique de >> la freebox. Normalement, celle-ci est invisible de l'intérieur au niveau >> réseau, mais il y a des protocoles applicatifs qui la montrent. On dirait >> que c'est 82.64.159.81 ; c'est consultable dans l'interface >> d'administration >> de Free. >>>> Est ce que mon ordinateur risque quand même d'être piraté? >>> Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable au >> risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant >> plus que tu désactives les mises à jour.
> Je répondais en fait au deuxième point: non, quelqu'un ne peut pas > scanner les ports de son ordinateur. Hmmm, comment se fait il alors que je puisse scanner les ports de ma babasse ?
Un truc m'échappe, là.
Ok, j'ai une adresse IP fixe, ma freebox n'est pas configurée en mode routeur (mais je ne pense pas que cela ait une importance), et en faisant un coup de nmap sur mon adresse IP, j'arrive à voir les ports ouverts (ou non).
> Sur l'interface d'administration de Free je ne trouve aucun moyen de > connaître l'adresse > IP publique. C'est étrange qu'il existe pas de moyen de la connaître (avec > un trace route peut être?). Si, dans « Caratéristiques techniques de votre ligne ».
Dans « Caractéristiques techniques de ma ligne », j'ai:
Informations Techniques facultatives réservées à un public averti ! Ligne téléphonique 04 ... Raccordée actuellement en offre IP/ADSL 2432 Kbits Dégroupage de la zone prévu au second semestre 2006
NRA : BRI38 (BRIE) Longueur : 3166 mètres Affaiblissement : 47 dB Vous ne disposez pas d'une IP fixe
Peut être qu'il faut une IP fixe pour qu'on vous la donne ici!
"fred" a écrit dans le message de news: 87bqcuk432.fsf@free.fr... > Philippe Gueguen a écrit : >> Sur l'interface d'administration de Free je ne trouve aucun moyen de >> connaître l'adresse >> IP publique. C'est étrange qu'il existe pas de moyen de la connaître >> (avec >> un trace route peut être?). > Si, dans « Caratéristiques techniques de votre ligne ». > -- > http://scipy.org/FredericPetit
"Nina Popravka" a écrit dans le message de news: 1bk2d3do2lrb0r7am6bgtqhvvul0l6h8us@4ax.com... > On 26 Aug 2007 10:08:13 GMT, Philippe Gueguen > wrote: >>Peut être qu'il faut une IP fixe pour qu'on vous la donne ici! > Oui. > Enfin puisque ça a l'air de vous turlupiner, votre IP est actuellement > 82.64.159.81. > -- > Nina
Je me répond à moi-même: Il suffit d'aller voir dans les propriétés de mon message!
"Philippe Gueguen" a écrit dans le message de news: 46d15253$0$432$426a74cc@news.free.fr... > Comment diable faites vous ça?? > "Nina Popravka" a écrit dans le message de news: > 1bk2d3do2lrb0r7am6bgtqhvvul0l6h8us@4ax.com... >> On 26 Aug 2007 10:08:13 GMT, Philippe Gueguen >> wrote: >>>>Peut être qu'il faut une IP fixe pour qu'on vous la donne ici! >>> Oui. >> Enfin puisque ça a l'air de vous turlupiner, votre IP est actuellement >> 82.64.159.81. >> -- >> Nina
> On 26 Aug 2007 09:59:33 GMT, fred wrote: >>Ok, j'ai une adresse IP fixe, ma freebox n'est pas configurée en mode >>routeur (mais je ne pense pas que cela ait une importance) > Evidemment que si, c'est même ça qui fait la différence. Ok, alors il y a quelque chose que je n'ai pas compris (du tout).
J'ai lu ici même qu'être derrière un routeur (tout simple) n'offrait aucune sorte de garantie. Je me suis donc dit, visiblement à tort, que l'on pouvait scanner les ports des babasses derrière le routeur, non ?
Où j'm a trompé ?
Ou alors, maintenant, dois-je comprendre le truc comme cela : derrière un routeur, il est impossible, d'aucune manière que ce soit, de scanner les ports des babasses dans le LAN. Ce qui offre un (petit ?) plus au niveau sécurité, non ?
> On 26 Aug 2007 10:01:00 GMT, fred wrote: >>Si, dans « Caratéristiques techniques de votre ligne ». > Non, parce que le monsieur n'est pas dégroupé. Au temps pour moi.
Fred wrote in message : > J'ai lu ici même qu'être derrière un routeur (tout simple) > n'offrait aucune sorte de garantie. > Je me suis donc dit, visiblement à tort, > que l'on pouvait scanner les ports des babasses derrière le routeur, non > ? > Où j'm a trompé ?
La freebox en « mode routeur » n'est pas un routeur « tout simple » : elle fait de la traduction d'adresses et de ports.
>Ou alors, maintenant, dois-je comprendre le truc comme cela : >derrière un routeur, il est impossible, d'aucune manière que ce soit, >de scanner les ports des babasses dans le LAN. D'aucune manière que ce soit sans doute pas, mais y arriver doit être particulièrement sportif ;- >Ce qui offre un (petit ?) plus au niveau sécurité, non ? Un gros plus si les machines du LAN sont des poubelles, aucun plus si elles sont bien tenues. -- Nina
Fred a écrit : > J'ai lu ici même qu'être derrière un routeur (tout simple) > n'offrait aucune sorte de garantie.
il y a parfois des ayatollah ici ;-)
> Je me suis donc dit, visiblement à tort, > que l'on pouvait scanner les ports des babasses derrière le routeur, non > ?
On peut si tu utilise des adresses publiques derrière un routeur. Le routage, sans filtrage, n'amène aucune sécurité.
> Où j'm a trompé ?
Souvent, pour ce raccorder sur Internet, on utilise derrière un routeur des adresses dites privées (192.168.x.x ou 10.x.x.x plus la dernière que j'ai oublié). Ces adresses ne sont pas routées sur Internet (souvent appelées abusivement non routable).
Du fait de ce non routage, toute machine qui utilise ses plages n'est pas joignable depuis l'extérieur. Elle ne peut donc être atteinte par une quelconque attaque directe.
Comme lorsque tu fais une requette vers un serveur, celui-ci doit pouvoir te répondre (donc tu dois avoir une adresse publique), le routeur, lorsqu'il transmet ta requête, remplace ton @ IP privée par son adresse publique et il maintient à jour une table pour pouvoir, lorsque la réponse revient, la retransmettre en interne à la bonne machine, c'est le NAT (Network Adress Translation).
C'est donc l'utilisation combinée du NAT ET d'adresses privées pour les PC du LAN (et donc d'un routeur ad'hoc) qui empèche les attaques directes. Il est donc un peu idiot de s'en passer pour un particulier.
La seule faon d'attaquer ta machine devient des attaques détournées qui installe, sur ta machine, un programme (via un courriel ou une page Web piégée). Ce programme va alors se charger d'initialiser la connection.
> La freebox en « mode routeur » n'est pas un routeur « tout simple » : elle > fait de la traduction d'adresses et de ports.
Donc, si je comprends bien, passer la freebox en mode routeur, permet de bloquer les scans provenant de l'extérieur, et par là même, de sécuriser (un peu) plus la ou les babasses derrière ?
Fred a écrit : > Donc, si je comprends bien, passer la freebox en mode routeur, permet de > bloquer les scans provenant de l'extérieur, et par là même, de sécuriser > (un peu) plus la ou les babasses derrière ?
Le NAT est une protection faible (même si les puristes considèrent cela comme une hérésie) car, effectivement, en l'absence de règles de re-routage de port vers l'intérieur, personne ne peut se connecter depuis l'extérieur.
Donc un service local vulnérable ne pourra être attaqué, étant inaccessible.
Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à proprement parler une protection crédible, c'est juste un effect de bord dû au "bug" inhérent au NAT qui rend impossible la connexion directe dans l'autre sens (et raison pour laquelle une palanquée de protocoles, comme FTP, ont parfois du mal à passer, si des réglages spécifiques ne sont pas mis en places)
Et, ceci étant dis, c'est une protection extra-light qui ne protège plus que des choses amha peu vulnérables (à part peut être les personnes qui partageraient un service de fichier sans aucune protection) ; les attaques à la mode actuellement mettant en jeu d'autres moyens plus faciles à mettre en oeuvre à travers des firewalls (pièces jointes piégées, plugins vérolés ..) et, une fois un PC vérolé, il est toujours possible d'imaginer des stratégies pour rendre visible la machine derrière un NAT (par exemple pooler d'autres machines du botnet pour établir une connexion depuis le PC vérolé vers l'attaquant)
> C'est donc l'utilisation combinée du NAT ET d'adresses privées pour > les PC du LAN (et donc d'un routeur ad'hoc) qui empèche les attaques > directes. Il est donc un peu idiot de s'en passer pour un particulier. Voilà, c'est ce que je voulais savoir ;-)
> La seule faon d'attaquer ta machine devient des attaques détournées > qui installe, sur ta machine, un programme (via un courriel ou une > page Web piégée). Ce programme va alors se charger d'initialiser la > connection.
>Et, ceci étant dis, c'est une protection extra-light qui ne protège plus >que des choses amha peu vulnérables (à part peut être les personnes qui >partageraient un service de fichier sans aucune protection) ; les >attaques à la mode actuellement mettant en jeu d'autres moyens plus >faciles à mettre en oeuvre à travers des firewalls (pièces jointes >piégées, plugins vérolés ..) et, une fois un PC vérolé, il est toujours >possible d'imaginer des stratégies pour rendre visible la machine >derrière un NAT (par exemple pooler d'autres machines du botnet pour >établir une connexion depuis le PC vérolé vers l'attaquant)
A partir du moment où une machine est infectée par un bot, c'est elle qui initie la connexion, donc la question ne se pose pas. La question du monsieur était "est-ce qu'un routeur me protège du scan de ports", la réponse est OUI. Certes, tout le monde se contre tamponne du scan de ports, et ça n'a rien d'une menace contre la sécurité quand on est normalement constitué, mais si on part là dessus, y en a pour 6 mois, l'OP a vu sur Zebulon que c'était 'achtement important d'avoir ses ports "stealth", comme ils disent. :-))))) -- Nina
> fred a écrit : >> Donc, si je comprends bien, passer la freebox en mode routeur, permet de >> bloquer les scans provenant de l'extérieur, et par là même, de sécuriser >> (un peu) plus la ou les babasses derrière ? > Le NAT est une protection faible (même si les puristes considèrent > cela comme une hérésie) car, effectivement, en l'absence de règles de > re-routage de port vers l'intérieur, personne ne peut se connecter > depuis l'extérieur.
Euh, désolé, je n'ai pas capté, là... Si personne ne peut se connecter de l'extérieur, c'est « faible » ou « fort » ?
> Donc un service local vulnérable ne pourra être attaqué, étant inaccessible.
> Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS > à proprement parler une protection crédible, c'est juste un effect de > bord dû au "bug" inhérent au NAT qui rend impossible la connexion > directe dans l'autre sens (et raison pour laquelle une palanquée de > protocoles, comme FTP, ont parfois du mal à passer, si des réglages > spécifiques ne sont pas mis en places)
Je ne comprends pas ton allusion aux « puristes » : qu'est-ce qu'ils en pensent, les « puristes » ?
> A partir du moment où une machine est infectée par un bot, c'est elle > qui initie la connexion, donc la question ne se pose pas. > La question du monsieur était "est-ce qu'un routeur me protège du scan > de ports", la réponse est OUI. Ok.
> Certes, tout le monde se contre tamponne du scan de ports, et ça n'a > rien d'une menace contre la sécurité quand on est normalement > constitué, Ok.
> mais si on part là dessus, y en a pour 6 mois, Ok, on va arrêter là alors.
> l'OP a vu > sur Zebulon que c'était 'achtement important d'avoir ses ports > "stealth", comme ils disent. Là, sauf ton respect, il y a erreur sur la personne ;-)
>Si personne ne peut se connecter de l'extérieur, c'est « faible » >ou « fort » ?
C'est faible dans la mesure où les nuisibles s'installent à l'intérieur (enfin pas tout seuls, c'est vous qui les installez, la plupart du temps), et appellent l'extérieur. Par définition l'extérieur répond si on le sollicite de l'intérieur. Et ne me répondez pas "ah mais j'ai un fireoualle qui surveille les sorties, justement", on ne confie pas sa sécurité à un fireoualle qui tourne sur une machine qui peut être compromise, parce que le truc qui compromet, si il est pas trop con, la première chose qu'il pense à faire, c'est de neutraliser le fireoualle. --- Nina
> On 26 Aug 2007 18:48:50 GMT, fred wrote: >>Si personne ne peut se connecter de l'extérieur, c'est « faible » >>ou « fort » ? > C'est faible dans la mesure où les nuisibles s'installent à > l'intérieur (enfin pas tout seuls, c'est vous qui les installez, la > plupart du temps), et appellent l'extérieur. Non, je n'installe pas de nuisibles sur mes babasses.
> Par définition l'extérieur répond si on le sollicite de l'intérieur. > Et ne me répondez pas "ah mais j'ai un fireoualle qui surveille les > sorties, justement", on ne confie pas sa sécurité à un fireoualle qui > tourne sur une machine qui peut être compromise, parce que le truc qui > compromet, si il est pas trop con, la première chose qu'il pense à > faire, c'est de neutraliser le fireoualle. Nous sommes bien d'accord.
OoO En cette matinée pluvieuse du dimanche 26 août 2007, vers 10:58, Xavier Roche disait:
>> Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable au >> risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant >> plus que tu désactives les mises à jour.
> Je répondais en fait au deuxième point: non, quelqu'un ne peut pas > scanner les ports de son ordinateur.
Pas directement. Il y a eu récemment des démonstrations sur comment scanner les ports en utilisant certaines applications côté cible. -- NERVE GAS IS NOT A TOY NERVE GAS IS NOT A TOY NERVE GAS IS NOT A TOY -+- Bart Simpson on chalkboard in episode 2F32
"Philippe Gueguen" a écrit dans le message de news: 46d14c73$0$402$426a74cc@news.free.fr... > Merci pour vos réponses! > Si j'ai bien compris il y a trois adresses correspondant à mon équipement. > L'adresse de ma carte réseau 192.168.0.2 (non routable) > L'adresse de mon routeur (Freebox) interne: 192.168.0.254 (non routable) > Et enfin l'adresse publique de ma freebox (celle là routable) accessible > de l'extérieur. > Sur l'interface d'administration de Free je ne trouve aucun moyen de > connaître l'adresse > IP publique. C'est étrange qu'il existe pas de moyen de la connaître (avec > un trace route peut être?). > "Nicolas George" a écrit dans le message de > news: 46d13fc1$0$435$426a34cc@news.free.fr... >> Philippe Gueguen wrote in message >> : >>> Première question: comment connaître l'adresse IP de ma freexbox? (à >>> moins >>> que ce ne soit 192.168.0.254) >>> *L*'adresse IP de la freebox, ça ne veut rien dire, parce qu'elle en a >> plusieurs. 192.168.0.254 en est une, celle attribuée à l'interface sur le >> brin local ; il y en a une autre, celle attribuée à l'interface publique >> de >> la freebox. Normalement, celle-ci est invisible de l'intérieur au niveau >> réseau, mais il y a des protocoles applicatifs qui la montrent. On dirait >> que c'est 82.64.159.81 ; c'est consultable dans l'interface >> d'administration >> de Free. >>>> Est ce que mon ordinateur risque quand même d'être piraté? >>> Contrairement à ce que dit Xavier Roche, oui : tu es toujours vulnérable >> au >> risque d'un client défectueux ouvrant un trou de sécurité, et ce d'autant >> plus que tu désactives les mises à jour.
Bonjour,
Si vous avez la V4 vous pouvez utiliser la télécommande : Les flèches haut et bas pour faire défiler le type d'informations (ADSL, etc), les flèches gauche et droite pour l'affichage qui se fait sur la Freebox( pas besoin d'être dégroupé). Si je me souviens bien : un appui sur fleche bas pour accéder aux informations adsl un ou plusieurs appuis sur fleche droite pour faire défiler les informations dont l'adresse IP
Vincent Bernat a écrit : >>Je répondais en fait au deuxième point: non, quelqu'un ne peut pas >>scanner les ports de son ordinateur. > Pas directement. Il y a eu récemment des démonstrations sur comment > scanner les ports en utilisant certaines applications côté cible.
Xavier Roche a écrit : > fred a écrit : >> Donc, si je comprends bien, passer la freebox en mode routeur, permet de >> bloquer les scans provenant de l'extérieur
Oui, les scans et les tentatives de connexion directs depuis l'extérieur.
> Le NAT est une protection faible (même si les puristes considèrent cela > comme une hérésie) car, effectivement, en l'absence de règles de > re-routage de port vers l'intérieur, personne ne peut se connecter > depuis l'extérieur.
Ce n'est pas une question d'hérésie mais de généralisation. NAT est un terme générique qui ne désigne rien de précis. Il y a cinquante façons de faire du NAT et toutes n'offrent pas le même niveau de protection. Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre aucune, je dis bien *aucune* espèce de protection. Cela n'exclut pas que d'autres façons de faire du NAT apportent intrinsèquement une bonne protection contre les connexions entrantes. Mais il paraît que le logiciel de la Freebox est basé sur un noyau Linux. ;-)
> Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS à > proprement parler une protection crédible, c'est juste un effect de bord > dû au "bug" inhérent au NAT qui rend impossible la connexion directe > dans l'autre sens
Dans le cas de la Freebox en mode routeur - et d'autres box - la protection qu'on atribue à tort au NAT vient en fait de l'utilisation d'adresses privées côté LAN qui ne sont pas routées sur le réseau public, comme l'a très bien expliqué Zythum. Le NAT quant à lui ne sert qu'à rétablir une connectivité asymétrique entre les deux côtés. La protection des adresses privées n'est néanmoins pas totale : elle est inefficace si l'attaquant est situé juste de l'autre côté de la box, sans aucun routeur entre les deux. Mais chez Free cette position est occupée par des équipements du FAI, donc le risque est vraiment minime. Mais ce n'est pas - ou n'a pas toujours été - le cas partout, notamment chez certains FAI câble.
"Pascal Hambourg" a écrit dans le message de news: fau6km$1549$1@biggoron.nerim.net... > Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre > aucune, je dis bien *aucune* espèce de protection.
Qu'est ce qu'il fait des demandes de connexions entrantes ?
Thierry a écrit : > "Pascal Hambourg" a écrit dans le message de > news: fau6km$1549$1@biggoron.nerim.net... >>Pour prendre un exemple que je connais, le NAT du noyau Linux n'offre >>aucune, je dis bien *aucune* espèce de protection. > Qu'est ce qu'il fait des demandes de connexions entrantes ?
Il (Linux, pas le NAT) les route comme n'importe quels paquets, NAT ou pas NAT. Le NAT de Linux ne fait que modifier (ou pas) l'adresse et/ou le port source ou destination des paquets en fonction de règles ; il ne détermine pas directement comment ils sont routés (c'est le boulot de la décision de routage en fonction de la table de routage) ni s'ils doivent être acceptés ou bloqués (c'est le boulot des règles de filtrage). Ces trois fonctions, NAT, routage et filtrage s'opèrent séquentiellement sur chaque paquet entrant. Le NAT n'influe sur les deux autres que dans sa capacité à modifier les adresses et/ou les ports des paquets.
> Euh, désolé, je n'ai pas capté, là... > Si personne ne peut se connecter de l'extérieur, c'est « faible » > ou « fort » ?
C'est fort... pour la protection des connexions venant de l'extérieur et concernant un service qui n'est pas ouvert sur l'extérieur. Il n'y a pas qu'un moyen d'agir, donc en soit parler de "protection forte" sans préciser ce qui est protégé, c'est une abhération.
Un ordinateur placé sur un réseau, ce sont des données volontairement entrantes, des données volontairement sortantes, des services ouverts, et un utilisateur. Si ne serait-ce qu'un seul de ses vecteurs est faiblement protégé, alors le niveau de protection est faible. Même si tu avais un routeur filtrant, une boiboite avec un firewall dedans, *et* un firewall sur ton ordinateur, donc une protection niveau paranoïa aigüe pour ce qui concerne les connexions entrantes, tu ne serais que faiblement protégé si dans le même temps tu cliques sur tout ce qui te passe sous la main.
L'important, ce n'est pas d'avoir une protection "forte", mais d'avoir des protections homogènes. Si quelqu'un veut vraiment rentrer, il rentrera quoi que tu fasses, mais ce genre de personnes sont rares, et elles n'ont probablement aucune raison de vouloir rentrer chez toi. Donc la plus part des pirates vont venir frapper à une porte ou une autre, et lorsqu'ils verront que personne ne répond, ils essayeront chez le voisin. En moins d'une demi-heure ils trouveront une porte ouverte, alors qu'il leur aurait falu plusieurs heures pour forcer la tienne.
>> Encore une fois, les puristes vont sauter au plafond: le NAT n'est PAS >> à proprement parler une protection crédible, c'est juste un effect de >> bord dû au "bug" inhérent au NAT qui rend impossible la connexion >> directe dans l'autre sens (et raison pour laquelle une palanquée de >> protocoles, comme FTP, ont parfois du mal à passer, si des réglages >> spécifiques ne sont pas mis en places) > Je ne comprends pas ton allusion aux « puristes » : qu'est-ce qu'ils en > pensent, les « puristes » ?
Que la NAT c'est une méthode pour constituer un réseau, pas pour le protéger, et que ça ne devrait donc pas entrer en ligne de compte dans la protection du réseau. En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça ressemble à de la science-fiction, la NAT pourrait peut-être un jour s'affranchir de cette limite, rendant caduc tout un pan de la protection du réseau.
> Est-ce à dire que j'ai ici deux sons de cloche ?
Non, mais tu as plusieurs approches d'un même problème, tout comme tu as plusieurs routes qui te mènent à un même lieu.
Stephane Catteau a écrit : > En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça > ressemble à de la science-fiction, la NAT pourrait peut-être un jour > s'affranchir de cette limite, rendant caduc tout un pan de la > protection du réseau.
J'ai à ce propos assisté à quelques conférences où des gourous d'IPv6 se gaussaient de la "protection" qu'offrait le NAT, vu que la nouvelle tendance est de tuer une bonne fois pour toute ce dernier (1), et de préférer les adresses routables partout, en assignant une IP publique à chaque millimètre carré de silicium présent sur terre.
Cela aura au moins le mérite de séparer une bonne fois pour toutes la partie protection et la protection par absence de routage qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.
> Stephane Catteau a écrit : >> En soi ils n'ont pas tort, nul ne peut prédire l'avenir, et même si ça >> ressemble à de la science-fiction, la NAT pourrait peut-être un jour >> s'affranchir de cette limite, rendant caduc tout un pan de la >> protection du réseau. > J'ai à ce propos assisté à quelques conférences où des gourous d'IPv6 > se gaussaient de la "protection" qu'offrait le NAT, vu que la nouvelle > tendance est de tuer une bonne fois pour toute ce dernier (1), et de > préférer les adresses routables partout, en assignant une IP publique > à chaque millimètre carré de silicium présent sur terre. Merci en tout cas à tous, je relirai tout ça à tête reposée...
Xavier Roche devait dire quelque chose comme ceci :
[Tout en adresse IP publique grâce au beau, au grand, IPv6] > Cela aura au moins le mérite de séparer une bonne fois pour toutes la > partie protection et la protection par absence de routage > qui-protège-un-peu-mais-bon-c'est-pas-totalement-satisfaisant.
Ca aurait un autre mérite. Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de se faire insulter parce que le lave linge a fait bouillir la layette de bébé, parce que le frigo a commandé soixante pack de bières, et autres joyeusetés qui arriveront forcément (un jour certe lointain) avec le tout domotique, le tout adresses publiques, et surtout le tout ouvert à tout vent vu qu'on y connait rien, ben ce jour-là, la sécurité informatique va faire un sacré bond en avant...
-- Profitez vite de notre offre exceptionnelle : Pour tout achat d'un lave-vaisselle, une black box vous est offerte.
OoO En cette fin de matinée radieuse du lundi 27 août 2007, vers 11:21, Pascal Hambourg disait:
>>> Je répondais en fait au deuxième point: non, quelqu'un ne peut pas >>> scanner les ports de son ordinateur. >>> Pas directement. Il y a eu récemment des démonstrations sur comment >> scanner les ports en utilisant certaines applications côté cible.
> Tu fais allusion au DNS rebinding ?
Je ne crois pas. Il me semble que ça a un rapport avec Flash. J'ai la flemme de rechercher... -- BOFH excuse #419: Repeated reboots of the system failed to solve problem
On 28 Aug 2007 18:18:19 GMT, Stephane Catteau wrote:
> Lorsque [n'importe quel fabricant d'électro-ménager] en aura marre de >se faire insulter parce que le lave linge a fait bouillir la layette de >bébé, parce que le frigo a commandé soixante pack de bières,
Je pense que quand le frigo sera capable de commander 60 packs de bière avec une adresse publique, le fabricant le livrera tout simplement avec une carte à puce accrochée dessus qu'il faudra introduire dedans pour initier la connexion :-) Et qu'à chaque fois qu'il sera connecté, il s'occupera de faire ses mises à jour de sécurité avant toute chose. -- Nina
Vincent Bernat a écrit : > OoO En cette fin de matinée radieuse du lundi 27 août 2007, vers 11:21, > Pascal Hambourg disait: >>>> Je répondais en fait au deuxième point: non, quelqu'un ne peut pas >>>> scanner les ports de son ordinateur. >>>>> Pas directement. Il y a eu récemment des démonstrations sur comment >>> scanner les ports en utilisant certaines applications côté cible. >> Tu fais allusion au DNS rebinding ?
Philippe Gueguen wrote: > Bonjour > Je suis sous Windows XP SP2, J'ai la freebox (V4 je crois) connecté à mon > ordinateur par > une liaison ethernet. Les fonctions routeur et Wifi sont activées. J'utilise > Zone alarm comme firewall et > Avast comme antivirus.
A priori le firewall n'est pas indispensable étant donné que la freebox se comporte comme un routeur NAT avec, sans autre précision, aucune redirection de port. Une demande de connexion TCP sera donc rejetée faute de destination.
> La mise à jour Windows n'est pas activée
En prenant quelques petites précautions ça ne présente selon moi pas énormément de risques. Et cela permet de ne pas entrer dans le jeu de Big Brother alias Microsoft.
> Quand je vais voir l'état de la connexion au réseau local (en bas à droite), > j'ai comme adresse IP: 192.168.0.2 > et comme passerelle: 192.168.0.254.
> Première question: comment connaître l'adresse IP de ma freexbox? (à moins > que ce ne soit 192.168.0.254)
C'est l'adresse publique de votre freebox que vous cherchez sans doute ? 192.168.0.254 étant son adresse privé sur votre propre réseau. Si vous avez un site chez free vous pouvez toujours vous créer une petite page en PHP qui affiche l'adresse IP de la machine à l'origine de la requète HTTP :
> Est ce que mon ordinateur risque quand même d'être piraté?
Par une attaque directe il y a peu de chance à mon avis. Le seul problème reste l'infection par je ne sais quel vers/virus pouvant décider d'ouvrir une "backdoor" pour donner la main à un quelconque pirate. Il faut bien admettre que la meilleur défense contre un pirate est sans doute de ne présenter aucun intérêt pour lui. Quelqu'un de particulièrement acharné, doué et ayant une bonne motivation pour vous nuire finira certainement toujours par trouver une faille... Il n'y a sans doute pas de protection absolue si ce n'est celle de débrancher le câble réseau. :-)
> En particulier > est ce que quelqu'un peut scanner les ports de mon ordinateur?
Aucune chance si vous n'avez pas touché à la configuration routeur de votre freebox.
Gerard Menvussa a écrit : > Il faut bien admettre que la meilleur défense contre un pirate est sans > doute de ne présenter aucun intérêt pour lui.
Malheureusement toute machine connectée en permanence présente un intérêt pour un pirate, ne serait-ce que pour grossir les rangs de son armée de zombies qu'il pourra utiliser ou louer à loisir.
Pascal Hambourg wrote: > Gerard Menvussa a écrit : >>> Il faut bien admettre que la meilleur défense contre un pirate est >> sans doute de ne présenter aucun intérêt pour lui. > Malheureusement toute machine connectée en permanence présente un > intérêt pour un pirate, ne serait-ce que pour grossir les rangs de son > armée de zombies qu'il pourra utiliser ou louer à loisir.
Disons alors qu'il faut que l'effort que doit fournir le pirate soit trop grand par rapport à l'intérêt que présente la réussite du piratage. Ce qui est souvent le cas. Les machines des particuliers n'étant pas connectées et allumées en permanence elles ne présentent pas un très grand intérêt à mon avis.
Gerard Menvussa a écrit : > Disons alors qu'il faut que l'effort que doit fournir le pirate soit > trop grand par rapport à l'intérêt que présente la réussite du piratage.
Comme toujours.
> Ce qui est souvent le cas. Les machines des particuliers n'étant pas > connectées et allumées en permanence
C'est toi qui le dis. Il y a notamment une part non négligeable de forcenés du téléchargement (P2P, forums binaires...) qui laissent leur machine en ligne en permanence pour "rentabiliser" l'abonnement.
> elles ne présentent pas un très grand intérêt à mon avis.
Même une machine en ligne seulement 10 % du temps, si elle est triviale à pirater (pas de protection, pas à jour, donc grosse faille béante) ça ne se refuse pas. Avec 10 machines de ce type, on en a en moyenne une de disponible.
Nina Popravka wrote: > On 29 Aug 2007 11:36:33 GMT, Gerard Menvussa > wrote: >> Les machines des particuliers n'étant pas >> connectées et allumées en permanence elles ne présentent pas un très >> grand intérêt à mon avis.
> T'es sorti d'une longue retraite au Tibet y a pas longtemps, toi... > :-)
C'est pas bien de se moquer. Et en plus ce n'est pas terrible comme argumentation.
On 29 Aug 2007 12:46:28 GMT, Gerard Menvussa wrote:
>C'est pas bien de se moquer. Et en plus ce n'est pas terrible comme >argumentation.
Une retraite dans une DSI, pardon... A dire vrai, je vois même pas pourquoi je m'enquiquinerais à argumenter :-) Quand tu sortiras de ton bureau, va te brancher sur la ligne ADSL de ta vieille mère et regarde le trafic qui passe. Même en RTC, d'ailleurs ; j'ai fait une capture de 10 mn hier pour prouver à un abruti qu'il disait des conneries en prétendant qu'un PC en RTC était parfaitement tranquille. Elle doit encore être là :
Et l'engueulade est là :
Quand on lit qu'un PC grand public sur 4 est membre d'un botnet, ça doit pas être faux :-) -- Nina
> Quand on lit qu'un PC grand public sur 4 est membre d'un botnet, ça > doit pas être faux :-)
Ça doit juste être parce qu'ils ne prennent pas les précautions simples qui permettent d'éviter d'appliquer automatiquement les patch pour windows...
-- "RECHERCHONS HOMMES" présentant peau sensible utilisant déodorant sans alcool, pour tester produits cosmétiques, rémunération en fin d'essai. -+- in -Halte à l'expérimentation neuneutale -+-
Pascal Hambourg wrote: > Gerard Menvussa a écrit : >>> Disons alors qu'il faut que l'effort que doit fournir le pirate soit >> trop grand par rapport à l'intérêt que présente la réussite du piratage. > Comme toujours. >> Ce qui est souvent le cas. Les machines des particuliers n'étant pas >> connectées et allumées en permanence
> C'est toi qui le dis. Il y a notamment une part non négligeable de > forcenés du téléchargement (P2P, forums binaires...) qui laissent leur > machine en ligne en permanence pour "rentabiliser" l'abonnement.
Oui j'entends. Malgré tout je persiste à dire que cela ne représente pas beaucoup d'intérêt. A part peut-être pour les apprentis pirates qui s'exercent leur livre à la main. (la plupart sont d'ailleurs des admins système qui veulent vraiment voir de quoi il s'agit n'est-ce pas ?)
>> elles ne présentent pas un très grand intérêt à mon avis.
> Même une machine en ligne seulement 10 % du temps, si elle est triviale > à pirater (pas de protection, pas à jour, donc grosse faille béante) ça > ne se refuse pas. Avec 10 machines de ce type, on en a en moyenne une de > disponible.
>Ça doit juste être parce qu'ils ne prennent pas les précautions simples >qui permettent d'éviter d'appliquer automatiquement les patch pour >windows...
Je pense au contraire que la première précaution élémentaire à prendre est d'appliquer automatiquement les patches pour Windows, et que tout le reste n'est (à peu près) que littérature, mais on va pas se chamailler pour ça :-) (je te rappelle quand même qu'à l'époque de Blaster, le patch était dispo depuis 3 semaines ; et que les nuisibles ont fait de très gros progrès depuis) -- Nina
> Je pense au contraire que la première précaution élémentaire à prendre > est d'appliquer automatiquement les patches pour Windows, et que tout > le reste n'est (à peu près) que littérature,
Je n'en pense pas moins, j'étais ironique...
-- > Jésus avait de bien meilleurs résultats en disant à Lazare : « > Lève- toi et marche ». c est ki jesu ???? lazar kome la gar ? -+- atome in : Ya pas de miracle -+-
Gerard Menvussa devait dire quelque chose comme ceci :
>>> Ce qui est souvent le cas. Les machines des particuliers n'étant pas >>> connectées et allumées en permanence >> C'est toi qui le dis. Il y a notamment une part non négligeable de >> forcenés du téléchargement (P2P, forums binaires...) qui laissent leur >> machine en ligne en permanence pour "rentabiliser" l'abonnement. > Oui j'entends. Malgré tout je persiste à dire que cela ne représente pas > beaucoup d'intérêt.
Avoir à sa disposition un ordinateur connecté à internet mais qui ne permette pas de remonter jusqu'à soi quoi que l'on fasse ne représenterait pas beaucoup d'intérêt ?
- Un DDoS demande d'avoir de nombreuses machines à sa disposition ; - Lorsque l'on attaque un cible, on laisse l'adresse IP de la machine relais, pas la sienne ; - Propager un virus ;
Mais ça ce sont les grands classiques, les usages d'un autre temps, qui ne touchent qu'à la sécurité informatique.
- Mettre en ligne des images/vidéos pédophiles pour ses copains sans que son adresse IP ne soit révélée ; - Consulter les images/vidéos/sites pédophiles sans que son adresse IP ne soit révélée ; - Utiliser Skipe (ou autre) pour parler avec ses copains terroristes sans que son adresse IP ne soit révélée ; - Même chose pour les gros traffiquants (d'armes, de drogues, de femmes d'animaux exotiques (ben vi), et ainsi de suite) ; - Vendre tranquillement ses produits en installant le serveur HTTP sur l'ordinateur d'un tiers (ça se fait encore ?) ;
Je continues la liste ou pas ?
Un ordinateur ouvert, c'est la possibilité pour une personne qui ne veut pas être identifiée de faire tout ce qu'elle veut en toute sécurité. Evidement, cela ne veut pas dire que toi tu vas te faire pirater, compte-tenu du nombre de machines connectés au réseau, le risque individuel est minime. Mais en toute chose le risque est minime, des milliers d'avions volent chaque jour, mais un seul s'écrase de temps en temps... Toi, tu fais ce que tu veux, mais personnellement si je pouvais éviter d'être dans cet avion là, je préfèrerais.
> A part peut-être pour les apprentis pirates qui s'exercent leur livre > à la main. (la plupart sont d'ailleurs des admins système qui veulent > vraiment voir de quoi il s'agit n'est-ce pas ?)
Les admins *réseaux* ont le réseau qu'ils administrent pour voir de quoi il s'agit. Non seulement ça leur évite des ennuis avec la justice, mais en plus cela leur permet de savoir précisément ce qu'ils font et les conséquences de ce qu'ils ont fait, ce qui leur permet d'apprendre beaucoup plus qu'en agissant en aveugle, sans moyen de vérifier s'ils ont subis un échec (protection efficace) ou s'ils se sont plantés quelque part.
Message de Xavier Roche (xroche@free.fr.NOSPAM.invalid) (26 Aout 2007)