|
|
Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
brucine Nouveau Membre
Inscrit le: 05 Jan 2008 Messages: 39
|
Posté le: Sam 05 Jan 2008 pm 19:52 Sujet du message: [CI Box] Firewall AH4222 |
|
|
Bonjour à toutes et tous.
J'ai 4 pc, 3 sous win2000sp4 et 1 sous xpsp2 en aval de la Club Internet Box et de 2 switches.
Si j'active le firewall de la AH4222, les machines passent tous les tests d'intrusion, style http://www.pcflank.com, mais les réglages sont sommaires, je préférerais utiliser un firewall logiciel installé sur chaque machine.
Si je désactive le firewall AH4222 et que je teste un firewall (à ce jour kerio et Online Armor), ces firewalls interceptent bien des connexions sur le Net, et donc "fonctionnent", mais échouent aux tests précités de manière totalement "transparente": les logs de ces logiciels ne signalent rien d'autorisé ni d'interdit, tout se passant comme si les paquets étaient "perdus" quelque part sur la box ou le réseau local sans jamais atteindre leur destination.
Le résultat est le même si l'on shunte les switches et que l'on branche directement la box sur un seul poste.
Bref, le "deal", c'est de désactiver le firewall AH4222 en faisant en sorte que le firewall logiciel fasse son job, en même temps que les éditeurs logiciels me soutiennent mordicus que leurs produits passent les fameux tests.
Il s'agirait donc de réglages au niveau de la box, que je ne trouve pas.
merci pour vos idées. |
|
Revenir en haut de page |
|
|
Dumboton Membre indispensable
Inscrit le: 20 Juin 2005 Messages: 10316 Localisation: 95170
|
Posté le: Sam 05 Jan 2008 pm 22:28 Sujet du message: |
|
|
Bienvenu.
Passe la box en DMZ le temps du test _________________
CI c'était des hommes, un service et de la qualité
Dernière édition par Dumboton le Dim 06 Jan 2008 pm 12:00; édité 1 fois |
|
Revenir en haut de page |
|
|
brucine Nouveau Membre
Inscrit le: 05 Jan 2008 Messages: 39
|
Posté le: Dim 06 Jan 2008 am 10:32 Sujet du message: |
|
|
J'y ai bien pensé, mais quand on s'attaque à cette option, on reçoit un message comme quoi ça désactive le téléphone? |
|
Revenir en haut de page |
|
|
Dumboton Membre indispensable
Inscrit le: 20 Juin 2005 Messages: 10316 Localisation: 95170
|
Posté le: Dim 06 Jan 2008 am 11:51 Sujet du message: |
|
|
juste pour tester ton parefeu _________________
CI c'était des hommes, un service et de la qualité |
|
Revenir en haut de page |
|
|
brucine Nouveau Membre
Inscrit le: 05 Jan 2008 Messages: 39
|
Posté le: Dim 06 Jan 2008 pm 16:50 Sujet du message: |
|
|
enquête faite, si le firewall de la box est désactivé et qu'on active une dmz sur un des postes, le firewall logiciel prend la main et sécurise y compris à l'égard des "stealth tests".
mais le téléphone continue à avoir une tonalité, sonner....et pas moyen de communiquer avec.
le problème serait dans ces conditions peut-être lié à "firewaller" la connexion téléphonique, mais comment (pour un firewall externe, sur la box, il y a apparemment un item pour ça)? |
|
Revenir en haut de page |
|
|
Dumboton Membre indispensable
Inscrit le: 20 Juin 2005 Messages: 10316 Localisation: 95170
|
Posté le: Dim 06 Jan 2008 pm 17:58 Sujet du message: |
|
|
Si ton firewall interne te satisfait en DMZ, il sera d'autant plus efficace si il est derrière la box _________________
CI c'était des hommes, un service et de la qualité |
|
Revenir en haut de page |
|
|
brucine Nouveau Membre
Inscrit le: 05 Jan 2008 Messages: 39
|
Posté le: Dim 06 Jan 2008 pm 18:45 Sujet du message: |
|
|
Je ne comprends pas ta réponse.
si je fais une dmz, avec ou sans firewall cibox activé, mais avec firewall logiciel, je suis "en sécurité", mais je n'ai plus de téléphone: l'idéal serait bien sûr de pouvoir activer la dmz en gardant le téléphone, mais comment?
si je n'ai pas de dmz, le log des firewalls logiciels devient "transparent", ils ne reçoivent plus certaines informations, et je n'ai aucun moyen de sécuriser les ports 21,23, 80... sauf à activer le firewall ci.
mais le firewall ci est tout de même un peu sommaire:
ce qu'il faudrait, c'est garder le firewall ci désactivé (ou faire fonctionner dmz+téléphone) en rendant entièrement la main au firewall logiciel, ce qui passe par des parmétrages "en hard" sur la cibox, mais lesquels? |
|
Revenir en haut de page |
|
|
Dumboton Membre indispensable
Inscrit le: 20 Juin 2005 Messages: 10316 Localisation: 95170
|
Posté le: Dim 06 Jan 2008 pm 21:11 Sujet du message: |
|
|
Je ne saisis pas ta démarche.
Ton firewall logiciel ne pourra jamais sécuriser les ports de la box...inversement les failes des ports de la box ne concernent pas des machines sécurisées par ton firewall logiciel _________________
CI c'était des hommes, un service et de la qualité |
|
Revenir en haut de page |
|
|
brucine Nouveau Membre
Inscrit le: 05 Jan 2008 Messages: 39
|
Posté le: Dim 06 Jan 2008 pm 22:18 Sujet du message: |
|
|
Et pourquoi pas, justement?
Admettons que la box laisse passer non seulement les ports 21,23,80 et netbios, mais tous les ports de la création, et qu'on la laisse faire sans se préoccuper qu'elle dispose ou non d'un firewall qui n'en est pas un. (A ce que j'en sais, il n'arrête rien de ce qui sort, et s'il doit par exemple autoriser le port 21 ou 139, il n'appartient qu'à moi d'en juger l'opportunité selon le programme et/ou l'ip appelante).
Le job d'un firewall n'est-il pas précisément de filtrer tout ce qui ne l'est pas, ce que cette p... de box ne me laisse pas faire du fait de ses pré-paramétrages? |
|
Revenir en haut de page |
|
|
Dumboton Membre indispensable
Inscrit le: 20 Juin 2005 Messages: 10316 Localisation: 95170
|
Posté le: Dim 06 Jan 2008 pm 23:01 Sujet du message: |
|
|
brucine a écrit: | Et pourquoi pas, justement?
Admettons que la box laisse passer non seulement les ports 21,23,80 et netbios, mais tous les ports de la création, et qu'on la laisse faire sans se préoccuper qu'elle dispose ou non d'un firewall qui n'en est pas un. (A ce que j'en sais, il n'arrête rien de ce qui sort, et s'il doit par exemple autoriser le port 21 ou 139, il n'appartient qu'à moi d'en juger l'opportunité selon le programme et/ou l'ip appelante).
|
Heureusement qu'une box laisse passer ce qui sort, puisque par définition c'est ce que réclame l'utilisateur....et elle laisse entrer ce qui est sorti
Une box n'a pas vocation à faire le tri de ce que tu lui envoies...c'est le rôle de ton firewall logiciel
Le firewall d'une box a surtout pour but de se protéger afin qu'elle ne perde pas les pédales dans le traffic réseau.
Ne pas répondre à un ping n'est pas gage de sécurité
Citation: |
Le job d'un firewall n'est-il pas précisément de filtrer tout ce qui ne l'est pas, ce que cette p... de box ne me laisse pas faire du fait de ses pré-paramétrages? |
Rien compris désolé _________________
CI c'était des hommes, un service et de la qualité |
|
Revenir en haut de page |
|
|
cyberghost Membre habitué
Inscrit le: 10 Jan 2006 Messages: 80
|
Posté le: Lun 07 Jan 2008 am 02:38 Sujet du message: |
|
|
brucine a écrit: | Le job d'un firewall n'est-il pas précisément de filtrer tout ce qui ne l'est pas, ce que cette p... de box ne me laisse pas faire du fait de ses pré-paramétrages? |
Salut à tous,
en gros, tu veux gérer toute la sécurité via firewall logiciel directement et faire en sorte que la box laisse tout couler en "banissant" la fonction firewall materiel voire NAT qui protege aussi (ce qui du point de vue sécurité et pas trop top, je me place dans la continuité de ce que dit Dumboton)
Après tu peux tenter de faire tes tests en appliquant des regles NAT renvoyant tout le traffic des ports du routeur vers tes machines ... ce n'est pas conseillé mais si c'est pour experimenter ...
Par contre je ne comprend pas pourquoi firewall box activé les tests de PCflank ne sont pas tous OK ?
Si tu actives le firewall de la CIbox et que sur cette page
http://192.168.1.1/scsrvcntr.cmd
tu décoches tout dans la partie WAN, les résultats sont-ils les memes ? |
|
Revenir en haut de page |
|
|
brucine Nouveau Membre
Inscrit le: 05 Jan 2008 Messages: 39
|
Posté le: Lun 07 Jan 2008 pm 14:19 Sujet du message: |
|
|
Quand le firewall de la ci box est activé, les ports 21,22,23, 80... sont steathed mais je n'ai pas la main sur le reste.
Dans le lien que tu indiques, cyberghost, tout était déjà désactivé sur le côté LAN sauf un item (ssh?) que j'ai désactivé mais qui ne change rien quand le firewall de la ci est désactivé.
oui, le but est bien de faire en sorte que, firewall de la cibox désactivé, cette dernière ne serve plus que de modem (même si elle ne route rien, je m'en f..., j'ai des switches en aval) de sorte que seul le firewall logiciel sur chaque poste décide de ce qui doit ou non être autorisé, y compris l'accès au port 80. (à titre d'exemple, pour faire échouer sdv, il suffit de lui interdire de s'exécuter en condamnant le navigateur, TCP Out, sur le port 3658, et on ne voit pas bien quels ports devraient être autorisés par défaut pour le navigateur en dehors de 80 et 443). |
|
Revenir en haut de page |
|
|
cyberghost Membre habitué
Inscrit le: 10 Jan 2006 Messages: 80
|
Posté le: Lun 07 Jan 2008 pm 14:51 Sujet du message: |
|
|
brucine a écrit: | oui, le but est bien de faire en sorte que, firewall de la cibox désactivé, cette dernière ne serve plus que de modem (même si elle ne route rien, je m'en f..., j'ai des switches en aval) de sorte que seul le firewall logiciel sur chaque poste décide de ce qui doit ou non être autorisé, y compris l'accès au port 80. (à titre d'exemple, pour faire échouer sdv, il suffit de lui interdire de s'exécuter en condamnant le navigateur, TCP Out, sur le port 3658, et on ne voit pas bien quels ports devraient être autorisés par défaut pour le navigateur en dehors de 80 et 443). |
Il y a 2 choses bien distinctes, c'est que tes firewalls logiciels vont s'occuper des ports 80 au niveau de tes ordis mais la box s'occupent de son port 80 a elle ... c'est indispensable ...
maintenant comme je te disais dans l'autre post, le fait de faire une règle NAT ouvrant les ports de la box vers tes machines est a tester pour ce que tu veux faire ... mais c'est bof
en ce qui concerne ton exemple sur le 80 et le 443, firewall box actif ou non, cela ne changerait rien a une regle parefeu logiciel, a savoir
tcp sortant / port distant 80 : 443 / navigateur web
Toi ce qui te gene finalement, c'est d'avoir un routeur ... |
|
Revenir en haut de page |
|
|
brucine Nouveau Membre
Inscrit le: 05 Jan 2008 Messages: 39
|
Posté le: Lun 07 Jan 2008 pm 15:24 Sujet du message: |
|
|
mais si, justement, ça change tout.
aucun firewall logiciel testé à ce jour ne permet, si le firewall ci est inactif, de rendre invisible par exemple le port 80: je sais que c'est sodomiser les diptères, mais tout de même, moins un ordinateur est visible, moins il est attaqué.
une vieille m..... comme kerio 2.1.5 est capable de n'autoriser le navigateur, http 80, que pour les protocoles que l'on choisit (udp, tcp, in, out....) et idem pour les ip pouvant, partant de là, interdire spécifiquement l'ip 123.456.78.78. ou bien au contraire tout autoriser dès lors que l'ip est LAN non routable 192.168.0.x.
kerio a d'autres défauts et est vieillissant, mais je veux qu'on m'explique (en dehors du fait que le choix d'un firewall pour w2ksp4 est déjà limité) pourquoi Online Armor n'est pas capable de gérer des règles isolées LAN/WAN et par gammes de ports, pourquoi Jetico lui sait distinguer LAN/WAN mais est absolument inparamétrable, pourquoi Outpost et KIS plantent tout en réseau local pour prendre la main sur un adaptateur ethernet virtuel ...., bref pourquoi on ne peut pas obtenir ce qui pourtant devrait tomber sous le sens: un firewall moderne qui sait distinguer le LAN du WAN et qui permet de contrôler non pas les applications, c'est du vent, mais la demande spécifique de telle application pour telle ip, tel port, tel protocole, et tel sens de communication, qu'il y ait en amont un routeur ou rien.
Nous devrions tous être plus exigeants vis-à-vis de nos firewalls si nous voulons qu'ils fassent autre chose qu'en seulement porter le nom. |
|
Revenir en haut de page |
|
|
cyberghost Membre habitué
Inscrit le: 10 Jan 2006 Messages: 80
|
Posté le: Lun 07 Jan 2008 pm 16:17 Sujet du message: |
|
|
si sur la page
http://192.168.1.1/scsrvcntr.cmd
tout est décoché coté WAN et que la firewall de la box est actif, il n'est pas possible que le port 80 (de la box) soit visible ... a moins que tu es une regle NAT sur le 80 et que ton parefeu ordi ne fasse pas son job ...
Pour Online Armor, je crois que dans sa version free les règles ne sont pas complètes pour ce que tu veux faire mais je n'en suis pas sur ... je connais mal le produit ... autrement tu as essayé de voir du coté de ZoneAlarm ? |
|
Revenir en haut de page |
|
|
|
|
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
|
|