Onglet Security du B593s-22

 

Parefeu

Un parefeu (ou firewall) est disponible et permettra de vous protéger d'attaques extérieures (attaques DOS) ainsi que de filtrer les accès à l'extérieure.

L'écran se présente ainsi:

firewall

A vous de choisir le niveau de protection voire de le customizer. Dans ce dernier cas, vous aurez la main sur les différents filtres disponibles (MAC, IP, URL) et pourrez soit les désactiver, soit indiquer s'il s'agit d'une liste blanche (donc autorisée) ou noire (interdite).

Comme indiqué sur la page, la politique de sécurité définie ici restera active, même si vous en avez défini une autre par ailleurs (pare-feu sur PC, ...) voire se compléteront.

Cochez aussi la case Enable pour vous protéger des attaques DOS.

noteCe parefeu a évidemment ses limites. Il suffit qu'une machine blacklistée change d'adresse MAC, d'adresse IP ou de nom URL pour que celle-ci soit de nouveau autorisée à accéder à ce qui lui était interdit auparavant.

 

Filtrage par adresse MAC

Il s'agit donc de la suite du paramétrage du pare-feu.

D'abord un rappel, l'adresse MAC est l'identifiant d'une machine (plus exactement de sa carte réseau qui pourra être Wi-Fi, RJ45, ... Une machine pouvant très bien avoir plusieurs cartes réseaux installées, donc autant d'adresses MAC !).

mac

Vous pourrez de nouveau désactiver le filtrage ou définir un filtrage par liste blanche (donc seule les adresses MAC autorisées) ou liste noire (Les adresses MAC indiquées sont interdites).

Enfin, indiquez le/les adresses MAC (add item) ou effacer la liste complète (delete all). Vous pourrez aussi les modifiers (l'option sera "edit" dans ce as). Hélas, cette liste est limité à 8 adresse Mac...

 

Filtre sur IP

Pour rappel, une adresse IP permet de localiser une machine (qui sera toujours identifiée par son adresse MAC).

Le principe est identique que précédemment. Avec juste une note qui indique que la liste blanche des adresses IP est prise en priorité sur la liste noire. Donc une IP en liste blanche et noire sera autorisée.

ip

 

Filtre sur URL

L'URL est le nom que l'on donne à une machine pour permettre de la locailiser...comme l'adresse IP. Et en effet, lorsque l'on donne un nom, le système va chercher à résoudre ce nom pour en déduire l'adresse IP correspondante ! (Exemple de développement réseau en C)

Voilà aussi pourquoi je ne parle de cette option que maintenant alors qu'il est (étrangement) présent avant celui du filtrage par IP dans le menu.

D'où la note sur cette page qui indique qu'une machine ayant déjà résolue ce nom en IP risque fort de pouvoir y accéder malgré l'interdiction que vous venez de poser, si l'adresse IP correspondante n'est pas elle aussi bloquée dans votre filtrage.

 

SIP

Session Initiation Protocol (SIP): réservé aux personnes qualifiées. Protocole pour les télécommunications comme la VoIP, visiophonie, ...

 

SAC

Service access control:permet de limiter le nombre de personnes se connectant au modem. Par défaut, les accès depuis l'extérieure sont interdits.

sac

 

Port Forwarding

Redirection de ports entre votre réseau local et l'extérieur. Réservé aux personnes expérimentées.

En principe, seule la machine déclarée en DMZ ne devrait être accessibe depuis l'exterieur et ceci pour tous les ports du réseau. Ici, ce menu permettra de rendre accessible une machine pour un ou quelques ports que vous aurez identifié au préalable.

Ce menu sera aussi très intéressant pour rediriger des flux entre des ports différents. Par exemple, le port standard du protocole HTTP est le 80, mais vous avez paramétré le port 8080 sur votre serveur WEB. Dans ce cas indiquez le port externe à 80 et local à 8080.

Pour ajouter une règle de redirection, vous devrez indiquer :

  • Le type (tcp, udp)
  • le protocol
  • Eventuellement l'adresse IP de la machine distante...
  • Le port utilisé par la machine distante (1 à 65535)
  • L'adresse IP du host local qui recevra les informations
  • Le port de la machine locale
  • enable ou disable pour activer ou non la règle

RemarqueL'adresse IP du host local devra être différent de l'adresse ip de votre modem/routeur...

Il faudra fixer les adresses IP de ces machines si vous ne voulez pas revenir modifier ces paramètres !

Evidemment, il sera possible de modifier/supprimer vos règles.

 

UPnP

Universal Plug and Play. Il s'agit d'un protocole réseau permettant de connecter de façon simplifié des machines en réseau local. Il suffit de cocher ou non la case pour activer ou non ce protocole.

 

DMZ

DeMilitariZed, en français, une zone démilitarisée.

Il s'agit ici d'une machine que l'on veut rendre accessible depuis l'extérieur et/ou l'intérieur, tout en ne rendant pas visible les autres machines du réseau local.

Il n'y a par contre pas de contrainte appliquée dessus (parefeu du boitier inactif, ...). Cette zone servira à installer une machine avec des serveurs accessibles depuis l'extérieur comme un serveur de messagerie, serveur de jeux, ftp, ...

Par défaut, cette zone n'est pas activée. Si vous l'activez, il faudra indiquer l'adresse IP du serveur.

Comme il s'agit d'une machine de type serveur, il faudra fixer l'adresse IP de celle-ci est être en dehors des adresses IP dynamiques.

Pensez aussi à sécuriser cette machine ! Exemple de solutions pour Linux, Raspberry.

dmz

Tous les ports seront ainsi redirigés vers cette machine.

Vous pouvez toujours paramétrer individuellement certains des ports pour les rediriger sur des machines spécifiques.

 

Opérateurs en France

Avec la téléphonie mobile en France, vous faîtes du speudo l'internet...

En effet lorsque vous accéder à internet, vous passez par un routeur NAT. Or, c''est aussi ce routeur NAT qui va vous empêcher d'accéder à un serveur installé derrière votre modem routeur en 3G ou 4G depuis l'extérieur.

Les options DMZ, port forwarding ne seront donc pas très intéressantes dans ce cas...

En espérant qu'ils ne reconduisent plus l'usage d'un routeur NAT lorsqu'ils passeront enfin en IPV6. En effet, bien que déconseilllé, ils pourraient aussi reconduire le routeur NAT, proposant ainsi un service payant en option pour pouvoir bénéficier de l'ip fixe et permettre d'accéder aux différents ports.

 

 

 

 

V9.00

Date de dernière modification:30/11/2016

Tous les logos, images, émulateurs, utilitaires et autres marques sont la propriété de leur compagnie respective.