Lord-Axiome Posté(e) le 7 octobre 2016 Partager Posté(e) le 7 octobre 2016 Bonjour, ma question va peut-être vous sembler étrange mais : est que mettre un pare-feu sur un nas est utile sachant qu'il est derrière une box qui en a un ? Par précaution je dirais oui. Mais l'ami qui l'héberge pense que non, car sa livebox en a un, que dsm est sur une base linux et qu'il rejettera toute tentative de connexion sur un port où il n'a pas de service actif. Comme ça je n'ai pas d'argument valable à lui opposer car je ne sais pas quel sont les vulnérabilités effectives, du coup je voulais savoir si vous aviez des infos là dessus afin de savoir qui à raison. (quelque précision : le nas est accessible depuis internet, on stock des fichiers dessus et parfois on télécharge des torrents. On mettra peut être aussi un serveur web un jour.) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 7 octobre 2016 Partager Posté(e) le 7 octobre 2016 Il y a 9 heures, Lord-Axiome a dit : Bonjour, ma question va peut-être vous sembler étrange mais : est que mettre un pare-feu sur un nas est utile sachant qu'il est derrière une box qui en a un ? réponse courte : oui Il y a 9 heures, Lord-Axiome a dit : l'ami qui l'héberge pense que non, car sa livebox en a un faux : ce n'est pas un firewall mais un routeur avec des fonctions de nat (pour la plupart des gens c'est la même chose, et c'est vrai que le résultat est similaire pour un particulier) Il y a 9 heures, Lord-Axiome a dit : que dsm est sur une base linux vrai Il y a 9 heures, Lord-Axiome a dit : qu'il rejettera toute tentative de connexion sur un port où il n'a pas de service actif. vrai, comme un windows, un mac, un ... le ferait, mais le problème c'est pour tous les ports où un service est en écoute -------------- Plusieurs raisons d'activer le firewall du nas (et de son pc ...) : si l'upnp est activé sur ta box (c'est souvant le cas par défaut), tu as des ports qui s'ouvrent tout seul => ton nas est peut être accessible depuis le net si ton nas doit être accessible depuis le net (hébergement par exemple), tu ne souhaites peut être pas voir de trafic (tentatives de piratages) depuis certains pays, le firewall du nas te permet de bloquer le trafic venant de certains pays ou d'autoriser seulement certains pays(perso je ne connais personne en Chine, donc le trafic depuis la Chine est interdit) si tu souhaites n'autoriser qu'une certaines IP à accéder à ton nas sur un certain port (par exemple pour synchroniser avec le nas d'un ami) : le firewall du nas peut servir si tu fais une erreur de conf sur ta box (ouverture d'un port par accident) : le firewall du nas limitera la casse si tu change de box pour une qui laisse tout passer : idem si tu passe ta box en bridge (modem simple) : idem si tu souhaites interdire l'accès à ton nas depuis certains postes : le nas peut faire le ménage (très utile en entreprise) ... je pourrais continuer lgt (ipv6, reject VS drop, ddos, ...) et pour finir, ça ne bouffe rien en perf (sauf à avoir un trafic monstrueux), donc autant l'activer 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 7 octobre 2016 Partager Posté(e) le 7 octobre 2016 Quoi les bobox de nos opérateurs non même pas de spi ? Cela me choque pas... cela doit faire 8 ans que j'en est pas utilisé 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lord-Axiome Posté(e) le 9 octobre 2016 Auteur Partager Posté(e) le 9 octobre 2016 Merci pour les réponses, je n'avais effectivement pas pensé à l'upnp. Par contre dans les livebox le terme "pare-feu" est vraiment utilisé. Mais c'est vrai que je n'ai pas eu a chercher loin pour avoir des retours d'utilisateurs:https://communaute.orange.fr/t5/protéger-mes-données-et-mon/le-mode-de-firewall-moyen-de-la-livebox-est-il-inutile/td-p/105313 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 9 octobre 2016 Partager Posté(e) le 9 octobre 2016 il y a 29 minutes, Lord-Axiome a dit : Par contre dans les livebox le terme "pare-feu" est vraiment utilisé. De même que le terme DMZ alors qu'il est TRÈS mal employé ou quand nos politiques/journalistes/... parlent des technologies digitales en voulant parler du numérique ou encore ceux qui emploient le terme "cloud" à tout va ... Dans tous les cas il ne s'agit pas que d'une mauvaise connaissance de l'étymologie ou encore d'un anglicisme pour fainéants mais d'une mauvaise compréhension de ce dont ils parlent. Les brochures/documentations/... d'Orange/Free/... sont écrites par des commerciaux ou des "marketeux" (qui n'y connaissent rien mais s’imaginent souvent le contraire) pour M. et Mme Tout le Monde (qui en savent rarement plus et qui souvent s'en moquent). Pour en revenir au pare-feu, si l'on considère que c'est juste un "truc" permettant d’empêcher (ou de limiter) une intrusion venant de l'extérieur, le bouton on/off de la prise de courant peut être considéré comme le pare-feu ultime. En pratique, un pare-feu personnel devrait au minimum être en mesure de réaliser les 3 actions suivantes : autoriser/interdire un flux en fonction de son origine : adresse source et interface d'entrée autoriser/interdire un flux en fonction de sa destination : adresse de destination et interface de sortie autoriser/interdire un flux en fonction de son type : protocole utilisé A ma connaissance, aucune Box ne permet (je ne dis pas qu'elles n'en sont pas capable) de réaliser ne serait qu'un de ces points, elles nous permettent juste de transférer ou non tel ou tel numéro de port vers telle ou telle adresse de destination => elles font de la translation d'adresse et/ou de port : nat/pat. A contrario, même le pare-feu de Windows nous permet de réaliser un filtrage sur les 3 points précédents. @Einsteinium : en pratique la plupart des box sont SPI (spi light mais spi tout de même), sinon le FTP et d'autres protocoles du même genre ne marcheraient pas et elles satureraient très vite (le moindre téléchargement les mettrait à genoux) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 11 octobre 2016 Partager Posté(e) le 11 octobre 2016 Ouai enfin pour un particulier un bon spi qui bloque tout ce qui rentre par défaut et bien suffisant. Le mien ne laisse que les deux port pour le l2tp vers mon nas. Après j'ai aussi un pare feu supplémentaire en plus du spi, mais je ne l'utilise que pour bloqué toutes entrées et sorties des Cam pour être sur quelles ne soient accessibles que localement, à côté de cela je ne me vois pas faire des règles pour tous les autres appareils... les iPhone/iPad utilisent bien des ports (https://support.apple.com/fr-fr/HT202944) Pour une entreprise je dis pas, on laisse que quelques ports... mais pour un particulier cela serait un peu trop... mais je suis d'accord que de base pour les bobox... ce sont de vrais gruyère ;-) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 11 octobre 2016 Partager Posté(e) le 11 octobre 2016 il y a une heure, Einsteinium a dit : Après j'ai aussi un pare feu supplémentaire en plus du spi, mais je ne l'utilise que pour bloqué toutes entrées et sorties des Cam pour être sur quelles ne soient accessibles que localement, Retire la passerelle (et les serveurs DNS) de la configuration IP des caméras, c'est plus simple. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 11 octobre 2016 Partager Posté(e) le 11 octobre 2016 Et bien non, j'ai remarqué que malgré cela elles s'identifient auprès du serveur de la marque, pourtant j'ai bien désactivé toutes les fonctions p2p et cie... même en mettant une passerelle et dns bidon... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 11 octobre 2016 Partager Posté(e) le 11 octobre 2016 C'est totalement anormal. Les caméras sont en DHCP ? Si non, tu peux envoyer une lettre d'insultes au constructeur. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 11 octobre 2016 Partager Posté(e) le 11 octobre 2016 Non en IP fixe, même le serveur de temps est locale (le nas). Enfin quand je dis qu'elle s'authentifie, c'est pas cela, la fonction p2p est désactivé, mais elle balance une requête à intervalle régulier au serveur de la firme... certainement pour dire.. hey oh je suis la M'enfin via les statistiques du modem je les vue direct... blocage depuis... donc cela me dérange pas plus que ça ;-) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 11 octobre 2016 Partager Posté(e) le 11 octobre 2016 Il y a quand même quelque chose qui m'échappe, un équipement qui n'a pas de passerelle (route par défaut) n'a aucun moyen d'accéder à un autre réseau que le réseau auquel il est connecté. Donc je ne vois pas comment ta caméra IP peut envoyer du trafic qui n'est pas à destination du réseau local auquel elle est connectée. Soit ta caméra est une arnaque, soit il y a un souci de configuration réseau. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 11 octobre 2016 Partager Posté(e) le 11 octobre 2016 Non c'est pas une arnaque malheureusement , je me suis aussi posé, la question... une résolution automatique d'un des services... m'enfin cela ne m'aura pas plus chagriné que ça, avec le "tout connecté" de nos jours... De toute façon, j'ai toujours imposé ce blocage à mes cams de toute façon, Faudrait pas qu'on me voit me baladé à poil chez moi 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 11 octobre 2016 Partager Posté(e) le 11 octobre 2016 Faudra quand même m'expliquer comment ta caméra peut chercher à accéder à un autre réseau sans passerelle... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 11 octobre 2016 Partager Posté(e) le 11 octobre 2016 Si elle communique vraiment vers l'extérieur, il n'y a que 3 possibilités : elle a gardé dans un coin l'adresse de la dernière passerelle qu'elle a eu elle fait de la découverte (igmp par exemple, ou plus brutal, scan) pour trouver une passerelle valide même en ip statique, elle demande au DHCP des info complémentaires 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.