[brucine]

Bonjour à toutes et tous.

J'ai 4 pc, 3 sous win2000sp4 et 1 sous xpsp2 en aval de la Club Internet Box et de 2 switches.

Si j'active le firewall de la AH4222, les machines passent tous les tests d'intrusion, style http://www.pcflank.com, mais les réglages sont sommaires, je préférerais utiliser un firewall logiciel installé sur chaque machine.

Si je désactive le firewall AH4222 et que je teste un firewall (à ce jour kerio et Online Armor), ces firewalls interceptent bien des connexions sur le Net, et donc "fonctionnent", mais échouent aux tests précités de manière totalement "transparente": les logs de ces logiciels ne signalent rien d'autorisé ni d'interdit, tout se passant comme si les paquets étaient "perdus" quelque part sur la box ou le réseau local sans jamais atteindre leur destination.

Le résultat est le même si l'on shunte les switches et que l'on branche directement la box sur un seul poste.

Bref, le "deal", c'est de désactiver le firewall AH4222 en faisant en sorte que le firewall logiciel fasse son job, en même temps que les éditeurs logiciels me soutiennent mordicus que leurs produits passent les fameux tests.

Il s'agirait donc de réglages au niveau de la box, que je ne trouve pas.

merci pour vos idées.

[Dumboton]

Bienvenu.
Passe la box en DMZ le temps du test
_________________

CI c'était des hommes, un service et de la qualité

[brucine]

J'y ai bien pensé, mais quand on s'attaque à cette option, on reçoit un message comme quoi ça désactive le téléphone?

[Dumboton]

juste pour tester ton parefeu
_________________

CI c'était des hommes, un service et de la qualité

[brucine]

enquête faite, si le firewall de la box est désactivé et qu'on active une dmz sur un des postes, le firewall logiciel prend la main et sécurise y compris à l'égard des "stealth tests".

mais le téléphone continue à avoir une tonalité, sonner....et pas moyen de communiquer avec.

le problème serait dans ces conditions peut-être lié à "firewaller" la connexion téléphonique, mais comment (pour un firewall externe, sur la box, il y a apparemment un item pour ça)?

[Dumboton]

Si ton firewall interne te satisfait en DMZ, il sera d'autant plus efficace si il est derrière la box
_________________

CI c'était des hommes, un service et de la qualité

[brucine]

Je ne comprends pas ta réponse.

si je fais une dmz, avec ou sans firewall cibox activé, mais avec firewall logiciel, je suis "en sécurité", mais je n'ai plus de téléphone: l'idéal serait bien sûr de pouvoir activer la dmz en gardant le téléphone, mais comment?

si je n'ai pas de dmz, le log des firewalls logiciels devient "transparent", ils ne reçoivent plus certaines informations, et je n'ai aucun moyen de sécuriser les ports 21,23, 80... sauf à activer le firewall ci.

mais le firewall ci est tout de même un peu sommaire:
ce qu'il faudrait, c'est garder le firewall ci désactivé (ou faire fonctionner dmz+téléphone) en rendant entièrement la main au firewall logiciel, ce qui passe par des parmétrages "en hard" sur la cibox, mais lesquels?

[Dumboton]

Je ne saisis pas ta démarche.

Ton firewall logiciel ne pourra jamais sécuriser les ports de la box...inversement les failes des ports de la box ne concernent pas des machines sécurisées par ton firewall logiciel
_________________

CI c'était des hommes, un service et de la qualité

[brucine]

Et pourquoi pas, justement?

Admettons que la box laisse passer non seulement les ports 21,23,80 et netbios, mais tous les ports de la création, et qu'on la laisse faire sans se préoccuper qu'elle dispose ou non d'un firewall qui n'en est pas un. (A ce que j'en sais, il n'arrête rien de ce qui sort, et s'il doit par exemple autoriser le port 21 ou 139, il n'appartient qu'à moi d'en juger l'opportunité selon le programme et/ou l'ip appelante).

Le job d'un firewall n'est-il pas précisément de filtrer tout ce qui ne l'est pas, ce que cette p... de box ne me laisse pas faire du fait de ses pré-paramétrages?

[Dumboton]

[cyberghost]

[brucine]

Quand le firewall de la ci box est activé, les ports 21,22,23, 80... sont steathed mais je n'ai pas la main sur le reste.

Dans le lien que tu indiques, cyberghost, tout était déjà désactivé sur le côté LAN sauf un item (ssh?) que j'ai désactivé mais qui ne change rien quand le firewall de la ci est désactivé.

oui, le but est bien de faire en sorte que, firewall de la cibox désactivé, cette dernière ne serve plus que de modem (même si elle ne route rien, je m'en f..., j'ai des switches en aval) de sorte que seul le firewall logiciel sur chaque poste décide de ce qui doit ou non être autorisé, y compris l'accès au port 80. (à titre d'exemple, pour faire échouer sdv, il suffit de lui interdire de s'exécuter en condamnant le navigateur, TCP Out, sur le port 3658, et on ne voit pas bien quels ports devraient être autorisés par défaut pour le navigateur en dehors de 80 et 443).

[cyberghost]

[brucine]

mais si, justement, ça change tout.

aucun firewall logiciel testé à ce jour ne permet, si le firewall ci est inactif, de rendre invisible par exemple le port 80: je sais que c'est sodomiser les diptères, mais tout de même, moins un ordinateur est visible, moins il est attaqué.

une vieille m..... comme kerio 2.1.5 est capable de n'autoriser le navigateur, http 80, que pour les protocoles que l'on choisit (udp, tcp, in, out....) et idem pour les ip pouvant, partant de là, interdire spécifiquement l'ip 123.456.78.78. ou bien au contraire tout autoriser dès lors que l'ip est LAN non routable 192.168.0.x.

kerio a d'autres défauts et est vieillissant, mais je veux qu'on m'explique (en dehors du fait que le choix d'un firewall pour w2ksp4 est déjà limité) pourquoi Online Armor n'est pas capable de gérer des règles isolées LAN/WAN et par gammes de ports, pourquoi Jetico lui sait distinguer LAN/WAN mais est absolument inparamétrable, pourquoi Outpost et KIS plantent tout en réseau local pour prendre la main sur un adaptateur ethernet virtuel ...., bref pourquoi on ne peut pas obtenir ce qui pourtant devrait tomber sous le sens: un firewall moderne qui sait distinguer le LAN du WAN et qui permet de contrôler non pas les applications, c'est du vent, mais la demande spécifique de telle application pour telle ip, tel port, tel protocole, et tel sens de communication, qu'il y ait en amont un routeur ou rien.

Nous devrions tous être plus exigeants vis-à-vis de nos firewalls si nous voulons qu'ils fassent autre chose qu'en seulement porter le nom.

[cyberghost]

si sur la page
http://192.168.1.1/scsrvcntr.cmd
tout est décoché coté WAN et que la firewall de la box est actif, il n'est pas possible que le port 80 (de la box) soit visible ... a moins que tu es une regle NAT sur le 80 et que ton parefeu ordi ne fasse pas son job ...
Pour Online Armor, je crois que dans sa version free les règles ne sont pas complètes pour ce que tu veux faire mais je n'en suis pas sur ... je connais mal le produit ... autrement tu as essayé de voir du coté de ZoneAlarm ?