Aller au contenu

Utilité du pare-feu


Lord-Axiome

Messages recommandés

Bonjour, ma question va peut-être vous sembler étrange mais : est que mettre un pare-feu sur un nas est utile sachant qu'il est derrière une box qui en a un ?

Par précaution je dirais oui. Mais l'ami qui l'héberge pense que non, car sa livebox en a un, que dsm est sur une base linux et qu'il rejettera toute tentative de connexion sur un port où il n'a pas de service actif.

Comme ça je n'ai pas d'argument valable à lui opposer car je ne sais pas quel sont les vulnérabilités effectives, du coup je voulais savoir si vous aviez des infos là dessus afin de savoir qui à raison.

(quelque précision : le nas est accessible depuis internet, on stock des fichiers dessus et parfois on télécharge des torrents. On mettra peut être aussi un serveur web un jour.) 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, Lord-Axiome a dit :

Bonjour, ma question va peut-être vous sembler étrange mais : est que mettre un pare-feu sur un nas est utile sachant qu'il est derrière une box qui en a un ?

réponse courte : oui

Il y a 9 heures, Lord-Axiome a dit :

l'ami qui l'héberge pense que non, car sa livebox en a un

faux : ce n'est pas un firewall mais un routeur avec des fonctions de nat (pour la plupart des gens c'est la même chose, et c'est vrai que le résultat est similaire pour un particulier)

Il y a 9 heures, Lord-Axiome a dit :

que dsm est sur une base linux

vrai

Il y a 9 heures, Lord-Axiome a dit :

qu'il rejettera toute tentative de connexion sur un port où il n'a pas de service actif.

vrai, comme un windows, un mac, un ... le ferait, mais le problème c'est pour tous les ports où un service est en écoute

--------------

Plusieurs raisons d'activer le firewall du nas (et de son pc ...) :

  • si l'upnp est activé sur ta box (c'est souvant le cas par défaut), tu as des ports qui s'ouvrent tout seul => ton nas est peut être accessible depuis le net
  • si ton nas doit être accessible depuis le net (hébergement par exemple), tu ne souhaites peut être pas voir de trafic (tentatives de piratages) depuis certains pays, le firewall du nas te permet de bloquer le trafic venant de certains pays ou d'autoriser seulement certains pays(perso je ne connais personne en Chine, donc le trafic depuis la Chine est interdit)
  • si tu souhaites n'autoriser qu'une certaines IP à accéder à ton nas sur un certain port (par exemple pour synchroniser avec le nas d'un ami) : le firewall du nas peut servir
  • si tu fais une erreur de conf sur ta box (ouverture d'un port par accident) : le firewall du nas limitera la casse
  • si tu change de box pour une qui laisse tout passer : idem
  • si tu passe ta box en bridge (modem simple) : idem
  • si tu souhaites interdire l'accès à ton nas depuis certains postes : le nas peut faire le ménage (très utile en entreprise)
  • ... je pourrais continuer lgt (ipv6, reject VS drop, ddos, ...)

et pour finir, ça ne bouffe rien en perf (sauf à avoir un trafic monstrueux), donc autant l'activer

Lien vers le commentaire
Partager sur d’autres sites

Merci pour les réponses, je n'avais effectivement pas pensé à l'upnp. 

Par contre dans les livebox le terme "pare-feu" est vraiment utilisé. Mais c'est vrai que je n'ai pas eu a chercher loin pour avoir des retours d'utilisateurs:
https://communaute.orange.fr/t5/protéger-mes-données-et-mon/le-mode-de-firewall-moyen-de-la-livebox-est-il-inutile/td-p/105313

Lien vers le commentaire
Partager sur d’autres sites

il y a 29 minutes, Lord-Axiome a dit :

Par contre dans les livebox le terme "pare-feu" est vraiment utilisé.

De même que le terme DMZ alors qu'il est TRÈS mal employé ou quand nos politiques/journalistes/... parlent des technologies digitales en voulant parler du numérique ou encore ceux qui emploient le terme "cloud" à tout va ...

Dans tous les cas il ne s'agit pas que d'une mauvaise connaissance de l'étymologie ou encore d'un anglicisme pour fainéants mais d'une mauvaise compréhension de ce dont ils parlent. Les brochures/documentations/... d'Orange/Free/... sont écrites par des commerciaux ou des "marketeux" (qui n'y connaissent rien mais s’imaginent souvent le contraire) pour M. et Mme Tout le Monde (qui en savent rarement plus et qui souvent s'en moquent).

Pour en revenir au pare-feu, si l'on considère que c'est juste un "truc" permettant d’empêcher (ou de limiter) une intrusion venant de l'extérieur, le bouton on/off de la prise de courant peut être considéré comme le pare-feu ultime.

En pratique, un pare-feu personnel devrait au minimum être en mesure de réaliser les 3 actions suivantes :

  • autoriser/interdire un flux en fonction de son origine : adresse source et interface d'entrée
  • autoriser/interdire un flux en fonction de sa destination : adresse de destination et interface de sortie
  • autoriser/interdire un flux en fonction de son type : protocole utilisé

A ma connaissance, aucune Box ne permet (je ne dis pas qu'elles n'en sont pas capable) de réaliser ne serait qu'un de ces points, elles nous permettent juste de transférer ou non tel ou tel numéro de port vers telle ou telle adresse de destination => elles font de la translation d'adresse et/ou de port : nat/pat. A contrario, même le pare-feu de Windows nous permet de réaliser un filtrage sur les 3 points précédents.

@Einsteinium : en pratique la plupart des box sont SPI (spi light mais spi tout de même), sinon le FTP et d'autres protocoles du même genre ne marcheraient pas et elles satureraient très vite (le moindre téléchargement les mettrait à genoux)

Lien vers le commentaire
Partager sur d’autres sites

Ouai enfin pour un particulier un bon spi qui bloque tout ce qui rentre par défaut et bien suffisant. Le mien ne laisse que les deux port pour le l2tp vers mon nas.

Après j'ai aussi un pare feu supplémentaire en plus du spi, mais je ne l'utilise que pour bloqué toutes entrées et sorties des Cam pour être sur quelles ne soient accessibles que localement, à côté de cela je ne me vois pas faire des règles pour tous les autres appareils... les iPhone/iPad utilisent bien des ports (https://support.apple.com/fr-fr/HT202944)

Pour une entreprise je dis pas, on laisse que quelques ports... mais pour un particulier cela serait un peu trop... mais je suis d'accord que de base pour les bobox... ce sont de vrais gruyère ;-)

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Einsteinium a dit :

Après j'ai aussi un pare feu supplémentaire en plus du spi, mais je ne l'utilise que pour bloqué toutes entrées et sorties des Cam pour être sur quelles ne soient accessibles que localement,

Retire la passerelle (et les serveurs DNS) de la configuration IP des caméras, c'est plus simple. :wink:

Lien vers le commentaire
Partager sur d’autres sites

Non en IP fixe, même le serveur de temps est locale (le nas).

Enfin quand je dis qu'elle s'authentifie, c'est pas cela, la fonction p2p est désactivé, mais elle balance une requête à intervalle régulier au serveur de la firme... certainement pour dire.. hey oh je suis la :mrgreen:

M'enfin via les statistiques du modem je les vue direct... blocage depuis... donc cela me dérange pas plus que ça ;-)

Lien vers le commentaire
Partager sur d’autres sites

Il y a quand même quelque chose qui m'échappe, un équipement qui n'a pas de passerelle (route par défaut) n'a aucun moyen d'accéder à un autre réseau que le réseau auquel il est connecté.

Donc je ne vois pas comment ta caméra IP peut envoyer du trafic qui n'est pas à destination du réseau local auquel elle est connectée. :confused:

Soit ta caméra est une arnaque, soit il y a un souci de configuration réseau.

Lien vers le commentaire
Partager sur d’autres sites

Non c'est pas une arnaque malheureusement :mrgreen: , je me suis aussi posé, la question... une résolution automatique d'un des services...  m'enfin cela ne m'aura pas plus chagriné que ça, avec le "tout connecté" de nos jours... 

De toute façon, j'ai toujours imposé ce blocage à mes cams de toute façon, Faudrait pas qu'on me voit me baladé à poil chez moi :lol:

Lien vers le commentaire
Partager sur d’autres sites

Si elle communique vraiment vers l'extérieur, il n'y a que 3 possibilités :

  • elle a gardé dans un coin l'adresse de la dernière passerelle qu'elle a eu
  • elle fait de la découverte (igmp par exemple, ou plus brutal, scan) pour trouver une passerelle valide
  • même en ip statique, elle demande au DHCP des info complémentaires
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.