Sécurisation réseau routeur NAT freebox

Questions, trucs, astuces, coup de pouce sur le vaste thème du réseau...
Installation, configuration, partage, WiFi, CPL, dépannage, les libelluliens sont prêts à vous aider.

Modérateur: Modérateurs

Sécurisation réseau routeur NAT freebox

Messagepar Falkra » 19 Aoû 2006 16:47

Bonjour, (j'ai mis une flèche avant les questions)

je viens de finir d'installer internet chez mes parents (qui vont venir voir libellules ^^). Le modem, une freebox (en ethernet), possède à l'arrière un mini-hub 4 ports, parfait pour connecter les 2 pc dont il est question.

Donc on a la freebox connectée au téléphone, et sur la freebox (sur le mini switch) : les 2 pc, en ethernet, chacun sur un câble séparé, et pas reliés entre eux.

J'avais branché les pc dessus, sans rien configurer vraiment dans windows (1 xp home, un xp pro), et au moment de l'allumage du 2eme, une infobulle criait au conflit d'IP (attribution auto, laissé tel que par défaut).

J'ai donc activé et paramétré le mode routeur de la freebox, je voudrais être sûr que je n'ai rien oublié côté sécurité... il y a un truc côté firewall que je ne saisis pas.

J'ai affecté une IP interne à la freebox, devenue modem/routeur NAT, et passé en manuel les IP des 2 pc (192.168.0.xx), le DHCP distribue à ces 2 ip du réseau uniquement. Dans le paramètre passerelle, j'ai mis l'IP interne de la freebox, et j'ai renseigné les 2 DNS (et réactivé le service client DNS... sinon pas de net).

On est obligé de créer une DMZ (demilitarized zone), apparemment.
:arrow: A quoi ça sert ? :mrgreen:
ZA détecte un réseau privé sur l'ip de cette DMZ.

Ensuite, dans le firewall (zone alarm pro), que je paramètre en "ne se trouve pas sur réseau ICS" (internet connection sharing) ou sur l'option 2, "ce pc est un client d'une passerelle ICS exécutant ZA pro" (et en renseignant l'IP interne du modem plus bas), ça fonctionne...
:arrow: Pourquoi ? Que faut-il choisir ?
Dans le doute, j'ai mis les 2 sur l'option 2 avec ip de la passerelle.

Image

Des tests online de scan de ports montrent les ports à risque blocked (je préfère stealth, comme sur mon pc).
:arrow: Est-ce possible ?

J'ai paramétré de ne pas répondre aux pings, et aucune translation d'adresse au de bail dhcp... (propose adresse mac).
:arrow: Il en faut ? Je suis en 100% ethernet, pas un gramme de wifi. :ange:

:arrow: le service de client DNS semble obligatoire, depuis le passage en mode routeur, vraiment obligatoire ? Il ouvre un port 1025 ou 1026 et/ou 1029 je crois (par svchost avec * sur adresse distante, bien sûr).

Merci par avance, si vous prenez le temps de lire ce long post, et d'y répondre, même partiellement.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar Audran » 19 Aoû 2006 17:19

Bonjour!
Pour t'éclairer sur la dmz, c'est, sauf erreur de ma part, une option qui te permet l'ouverture de tout les ports.
Par exemple, si tu attribues une dmz à l'ip 192.168.0.XXX, ça laisserai tout passer, tout les ports à cette adresses seront ouvert, ce qui n'est pas top, connaissant internet et ses dangers...
Voilou, en espérant t'avoir un peu éclairé! :wink:
«Je suis capable du meilleur et du pire. Mais, dans le pire, c’est moi le meilleur»
Coluche
mon blog!
Config : Imac 27" core i7 , 16 Go RAM, SSD 256 Go, révision 2010//
Avatar de l’utilisateur
Audran
Libellulien Junior
Libellulien Junior
 
Messages: 195
Inscription: 30 Mai 2006 18:27
Localisation: Ile-de-France

Messagepar Falkra » 19 Aoû 2006 17:30

Merci d'avoir répondu. :-D (et lu!)

C'est effectivement assez pourri côté sécurité. :lol:
J'ai donc cette dmz, mais elle n'a pas d'existence en dehors du réseau interne ? (puisque c'et une 192.168.x.x) :? Je n'affecte à aucun pc l'IP interne de cette DMZ (pas fou, si j'ai bien suivi, car je ne tiens pas à ouvrir tous les ports sur une des machines). Je n'aurai de problèmes que si je règle un pc sur l'IP interne de la DMZ (dans les paramètres du tcp-ip).

Est-ce que le réseau détecté par ZA (qui est l'IP de la DMZ) doit pêtre passé en sécurisé ou Inernet ? Ca ne pourrait pas être en fait juste le modem ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar Audran » 19 Aoû 2006 19:18

Je suis pas un spécialiste, mais les histoire de réseau m'intéresse.
Bon, est-ce que tu veux que tes pc communiquent ensemble avec des dossiers partagé? (avec la main en dessous)
Bon, t'as bien mis des ip à chacun des pc sous forme 192.etc.
En principe, en tout cas, j'ai ps été confronté au problème, quand tu montes un réseau entre 2 pc, tu créés une communication entre eux (qu'il faut mettre en place, tu partages ta connexion internet mais c'est pas pour ça que tes pc "se parlent") et t'as pas de dmz a créer entre 2 pc comme te le demande qui, freebox ou ZA?
Oui pour le ping, si tu sais t'en servir, tu verras ou non si tes pc communiquent entre eux/avec la freebox.
Tu vas dans exécuter, tu tape "cmd" et après tu ping.
Oui, free te donne des dns, faut les mettre, perso, je les ai mis, alors...
Pour zone alarm, ce qui serait bien c'est, que tu le desactives histoire de clarifier ton réseau et après tu le remets. Histoire de se dégager la vue.
Faut bidouiller, je te donne mes pratiques, c'est bourrin, mais c'est pas facile d'expliquer...
Bon courage!
Et je sais pas si ça va t'aider...

Et la dmz a une ip d'attribué?? Dans les paramètres du routeur, sur ton compte free, tu vires, tu lui mets "0", t'attribues pas d'ip à la dmz. ZA ne verra plus cette dmz, je pense.
«Je suis capable du meilleur et du pire. Mais, dans le pire, c’est moi le meilleur»
Coluche
mon blog!
Config : Imac 27" core i7 , 16 Go RAM, SSD 256 Go, révision 2010//
Avatar de l’utilisateur
Audran
Libellulien Junior
Libellulien Junior
 
Messages: 195
Inscription: 30 Mai 2006 18:27
Localisation: Ile-de-France

Messagepar Falkra » 19 Aoû 2006 19:43

Merci pour ces réponses.
Je n'ai pas spécialement besoin que ces pc communiquent entre eux et se partagent des fichiers (ils sont proches l'un de l'autre, et j'ai une clé usb pour les fichiers), ce n'est pas obligé. Je veux juste que chacun ait internet de façon indépendante (que les deux surfent tranquillement), donc pas besoin de les relier entre eux, j'aimerais éviter, d'ailleurs.

Je vais essayer de voir pour le réseau ce que ça donne en désactivant des trucs. La DMZ est créée, ça semble obligatoire, on remplit une IP, aparemment par l'interface, on ne peut pas la désactiver (lui donner une ip 192.168.0.0 reste possible, mais ça reste une ip).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar Audran » 19 Aoû 2006 21:36

Certes, tu attribues "0" à l'ip de la dmz mais, tu peux commencer à attribuer les adresses ip qu'à partir de "1" (dans "début DHCP" dans le menu des fonctionnalités routeur de ta freebox)

[img=http://img201.imageshack.us/img201/9346/aidewr6.th.jpg]
Dernière édition par Audran le 19 Aoû 2006 21:38, édité 1 fois.
«Je suis capable du meilleur et du pire. Mais, dans le pire, c’est moi le meilleur»
Coluche
mon blog!
Config : Imac 27" core i7 , 16 Go RAM, SSD 256 Go, révision 2010//
Avatar de l’utilisateur
Audran
Libellulien Junior
Libellulien Junior
 
Messages: 195
Inscription: 30 Mai 2006 18:27
Localisation: Ile-de-France

Messagepar Falkra » 19 Aoû 2006 21:38

C'est configuré comme ça, (sauf que le dhcp commence dans les 50, histoire de).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Sécurisation réseau routeur NAT freebox

Messagepar scaphoide » 20 Aoû 2006 08:17

Falkra a écrit:J'ai affecté une IP interne à la freebox, devenue modem/routeur NAT, et passé en manuel les IP des 2 pc (192.168.0.xx), le DHCP distribue à ces 2 ip du réseau uniquement. Dans le paramètre passerelle, j'ai mis l'IP interne de la freebox, et j'ai renseigné les 2 DNS (et réactivé le service client DNS... sinon pas de net).
.


Si tu a donné manuellement des adresses IP a chacun de tes PC, il faut désactiver le DHCP, car le DHCP va attibuer des adresses qui seront différentes.
Si votre tête est enfouie dans le sable, votre derrière est une cible de choix!!!
Image
Avatar de l’utilisateur
scaphoide
Super Libellulien
Super Libellulien
 
Messages: 2768
Inscription: 14 Oct 2003 18:57
Localisation: St Ursen (CH)

Messagepar Falkra » 20 Aoû 2006 10:39

Ok, je vais faire ça (une case à décocher dans l'interface de gestion), là j'avais le dhcp distirbuant sur 192.168.0.49 jusque .50 et manuellement défini les pc en .49 et .50, c'est redondant, je vais le virer.
Merci pour l'info, en réseaux je débute un peu. :lol:
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar Audran » 20 Aoû 2006 11:05

En fait, DHCP ou pas, si tu attribues à tes pc une ip manuellement, le dhcp activé ne changera pas tes adresses...
«Je suis capable du meilleur et du pire. Mais, dans le pire, c’est moi le meilleur»
Coluche
mon blog!
Config : Imac 27" core i7 , 16 Go RAM, SSD 256 Go, révision 2010//
Avatar de l’utilisateur
Audran
Libellulien Junior
Libellulien Junior
 
Messages: 195
Inscription: 30 Mai 2006 18:27
Localisation: Ile-de-France

Messagepar Falkra » 20 Aoû 2006 11:09

Ok, je vais le désactiver, vu qu'il n'est pas utile dans ce cas (et si ça ne va pas, je remets, au besoin).
En fait j'ai l'impression qu'en tant que routeur c'est la freebox qui "prend" d'éventuelles attaques, à la place des pc, et que sans redirection de ports partiuclière, on pourrait se passer de firewall (sauf qu'ils servent pour éviter les fuites de données par exemple).

Je vais faire des essais en début d'après midi. :-D
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1


Retourner vers Réseaux

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités