Onglet Security du B593s-22

 

Parefeu

Un parefeu (ou firewall) est disponible et permettra de vous protéger d'attaques extérieures (attaques DOSDisk Operating System, système d'exploitation pour IBM PC. Voire aussi MS-DOS pour les PC compatibles. L'ancêtre de Microsoft Windows.) ainsi que de filtrer les accès à l'extérieure.

L'écran se présente ainsi:

firewall

A vous de choisir le niveau de protection voire de le customizer. Dans ce dernier cas, vous aurez la main sur les différents filtres disponibles (MACL'adresse Mac est l'identifiant unique d'une carte réseau. Une autre définition existe, mais il est peu probable sur ce site:Mac peut en effet désigner un Macintosh, ordinateurs conçus et vendus par la société Apple. , IP, URL) et pourrez soit les désactiver, soit indiquer s'il s'agit d'une liste blanche (donc autorisée) ou noire (interdite).

Comme indiqué sur la page, la politique de sécurité définie ici restera active, même si vous en avez défini une autre par ailleurs (pare-feu sur PC, ...) voire se compléteront.

Cochez aussi la case Enable pour vous protéger des attaques DOSDisk Operating System, système d'exploitation pour IBM PC. Voire aussi MS-DOS pour les PC compatibles. L'ancêtre de Microsoft Windows..

noteCe parefeu a évidemment ses limites. Il suffit qu'une machine blacklistée change d'adresse MACL'adresse Mac est l'identifiant unique d'une carte réseau. Une autre définition existe, mais il est peu probable sur ce site:Mac peut en effet désigner un Macintosh, ordinateurs conçus et vendus par la société Apple. , d'adresse IP ou de nom URL pour que celle-ci soit de nouveau autorisée à accéder à ce qui lui était interdit auparavant.

 

Filtrage par adresse MAC

Il s'agit donc de la suite du paramétrage du pare-feu.

D'abord un rappel, l'adresse MACL'adresse Mac est l'identifiant unique d'une carte réseau. Une autre définition existe, mais il est peu probable sur ce site:Mac peut en effet désigner un Macintosh, ordinateurs conçus et vendus par la société Apple. est l'identifiant d'une machine (plus exactement de sa carte réseau qui pourra être Wi-Fi, RJ45Registered jack 45: Connecteur 8p8c (8 positions, 8 contatcs) utilisé pour terminer les câbles de type paire torsadée. Utilisé principalement pour des connexions Ethernet, voire parfois pour le téléphone., ... Une machine pouvant très bien avoir plusieurs cartes réseaux installées, donc autant d'adresses MAC !).

mac

Vous pourrez de nouveau désactiver le filtrage ou définir un filtrage par liste blanche (donc seule les adresses MACL'adresse Mac est l'identifiant unique d'une carte réseau. Une autre définition existe, mais il est peu probable sur ce site:Mac peut en effet désigner un Macintosh, ordinateurs conçus et vendus par la société Apple. autorisées) ou liste noire (Les adresses MACL'adresse Mac est l'identifiant unique d'une carte réseau. Une autre définition existe, mais il est peu probable sur ce site:Mac peut en effet désigner un Macintosh, ordinateurs conçus et vendus par la société Apple. indiquées sont interdites).

Enfin, indiquez le/les adresses MAC (add item) ou effacer la liste complète (delete all). Vous pourrez aussi les modifiers (l'option sera "edit" dans ce as). Hélas, cette liste est limité à 8 adresse MacL'adresse Mac est l'identifiant unique d'une carte réseau. Une autre définition existe, mais il est peu probable sur ce site:Mac peut en effet désigner un Macintosh, ordinateurs conçus et vendus par la société Apple. ...

 

Filtre sur IP

Pour rappel, une adresse IP permet de localiser une machine (qui sera toujours identifiée par son adresse MACL'adresse Mac est l'identifiant unique d'une carte réseau. Une autre définition existe, mais il est peu probable sur ce site:Mac peut en effet désigner un Macintosh, ordinateurs conçus et vendus par la société Apple. ).

Le principe est identique que précédemment. Avec juste une note qui indique que la liste blanche des adresses IP est prise en priorité sur la liste noire. Donc une IP en liste blanche et noire sera autorisée.

ip

 

Filtre sur URL

L'URL est le nom que l'on donne à une machine pour permettre de la locailiser...comme l'adresse IP. Et en effet, lorsque l'on donne un nom, le système va chercher à résoudre ce nom pour en déduire l'adresse IP correspondante ! (Exemple de développement réseau en C)

Voilà aussi pourquoi je ne parle de cette option que maintenant alors qu'il est (étrangement) présent avant celui du filtrage par IP dans le menu.

D'où la note sur cette page qui indique qu'une machine ayant déjà résolue ce nom en IP risque fort de pouvoir y accéder malgré l'interdiction que vous venez de poser, si l'adresse IP correspondante n'est pas elle aussi bloquée dans votre filtrage.

 

SIP

Session Initiation Protocol (SIP): réservé aux personnes qualifiées. Protocole pour les télécommunications comme la VoIP, visiophonie, ...

 

SAC

Service access control:permet de limiter le nombre de personnes se connectant au modem. Par défaut, les accès depuis l'extérieure sont interdits.

sac

 

Port Forwarding

Redirection de ports entre votre réseau local et l'extérieur. Réservé aux personnes expérimentées.

En principe, seule la machine déclarée en DMZ ne devrait être accessibe depuis l'exterieur et ceci pour tous les ports du réseau. Ici, ce menu permettra de rendre accessible une machine pour un ou quelques ports que vous aurez identifié au préalable.

Ce menu sera aussi très intéressant pour rediriger des flux entre des ports différents. Par exemple, le port standard du protocole HTTP est le 80, mais vous avez paramétré le port 8080 sur votre serveur WEB. Dans ce cas indiquez le port externe à 80 et local à 8080.

Pour ajouter une règle de redirection, vous devrez indiquer :

  • Le type (tcp, udp)
  • le protocol
  • Eventuellement l'adresse IP de la machine distante...
  • Le port utilisé par la machine distante (1 à 65535)
  • L'adresse IP du host local qui recevra les informations
  • Le port de la machine locale
  • enable ou disable pour activer ou non la règle

RemarqueL'adresse IP du host local devra être différent de l'adresse ip de votre modem/routeur...

Il faudra fixer les adresses IP de ces machines si vous ne voulez pas revenir modifier ces paramètres !

Evidemment, il sera possible de modifier/supprimer vos règles.

 

UPnP

Universal Plug and Play. Il s'agit d'un protocole réseau permettant de connecter de façon simplifié des machines en réseau local. Il suffit de cocher ou non la case pour activer ou non ce protocole.

 

DMZ

DeMilitariZed, en français, une zone démilitarisée.

Il s'agit ici d'une machine que l'on veut rendre accessible depuis l'extérieur et/ou l'intérieur, tout en ne rendant pas visible les autres machines du réseau local.

Il n'y a par contre pas de contrainte appliquée dessus (parefeu du boitier inactif, ...). Cette zone servira à installer une machine avec des serveurs accessibles depuis l'extérieur comme un serveur de messagerie, serveur de jeux, ftp, ...

Par défaut, cette zone n'est pas activée. Si vous l'activez, il faudra indiquer l'adresse IP du serveur.

Comme il s'agit d'une machine de type serveur, il faudra fixer l'adresse IP de celle-ci est être en dehors des adresses IP dynamiques.

Pensez aussi à sécuriser cette machine ! Exemple de solutions pour Linux, Raspberry.

dmz

Tous les ports seront ainsi redirigés vers cette machine.

Vous pouvez toujours paramétrer individuellement certains des ports pour les rediriger sur des machines spécifiques.

 

Opérateurs en France

Avec la téléphonie mobile en France, vous faîtes du speudo l'internet...

En effet lorsque vous accéder à internet, vous passez par un routeur NATLes routeurs NAT (network address translation pour Traduction d'adresse internet) permettent la correspondances d'adresses IP ? d'autres adresses IP. Utilisés principalement pour des machines connectées en intranet afin qu'ils puissent accéder ? un réseau externe. Cela permet d'avoir une seule adresse externe publique visible sur Internet pour toutes les adresses d'un réseau privé. Cela évitera aussi une pénurie encore plus rapide des adresses IP V4. Cette solution est utilisée dans les box des FAI.. Or, c''est aussi ce routeur NATLes routeurs NAT (network address translation pour Traduction d'adresse internet) permettent la correspondances d'adresses IP ? d'autres adresses IP. Utilisés principalement pour des machines connectées en intranet afin qu'ils puissent accéder ? un réseau externe. Cela permet d'avoir une seule adresse externe publique visible sur Internet pour toutes les adresses d'un réseau privé. Cela évitera aussi une pénurie encore plus rapide des adresses IP V4. Cette solution est utilisée dans les box des FAI. qui va vous empêcher d'accéder à un serveur installé derrière votre modem routeur en 3G ou 4G depuis l'extérieur.

Les options DMZZone démilitarisée ou demilitarized zone en anglais.DMZ est un sous-réseau séparé du réseau local, accessible depuis l'extérieur., port forwarding ne seront donc pas très intéressantes dans ce cas...

En espérant qu'ils ne reconduisent plus l'usage d'un routeur NATLes routeurs NAT (network address translation pour Traduction d'adresse internet) permettent la correspondances d'adresses IP ? d'autres adresses IP. Utilisés principalement pour des machines connectées en intranet afin qu'ils puissent accéder ? un réseau externe. Cela permet d'avoir une seule adresse externe publique visible sur Internet pour toutes les adresses d'un réseau privé. Cela évitera aussi une pénurie encore plus rapide des adresses IP V4. Cette solution est utilisée dans les box des FAI. lorsqu'ils passeront enfin en IPV6. En effet, bien que déconseilllé, ils pourraient aussi reconduire le routeur NATLes routeurs NAT (network address translation pour Traduction d'adresse internet) permettent la correspondances d'adresses IP ? d'autres adresses IP. Utilisés principalement pour des machines connectées en intranet afin qu'ils puissent accéder ? un réseau externe. Cela permet d'avoir une seule adresse externe publique visible sur Internet pour toutes les adresses d'un réseau privé. Cela évitera aussi une pénurie encore plus rapide des adresses IP V4. Cette solution est utilisée dans les box des FAI., proposant ainsi un service payant en option pour pouvoir bénéficier de l'ip fixe et permettre d'accéder aux différents ports.

 

 

 

 

V9.00

Date de dernière modification:30/11/2016

Tous les logos, images, émulateurs, utilitaires et autres marques sont la propriété de leur compagnie respective.