Structure réseau local domestique et sécurité (config firewall)

Structure réseau local domestique et sécurité (config firewall) - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 21-03-2012 à 22:02:20    

Bonjour à tous,
 
 
J'ai mis un switch (D-lonk 8 ports) en sortie ethernet de ma livebox pour pouvoir distribuer internet dans la maison. Du coup je me pose la question de la sécurité  des équipements reliés au switch. Je joue avec Zonealarm free at avira free en ce qui concerne les PC qui sont connectés. Il y a aussi un DDUr en ethernet et un réseau de boitiers CPL. Internet circule sans soucis vers les PC (sous zone alarm réglage zone publique securité haute pour le réseau, adresses fixes pour les PC)
 
1/ Bien sûr, les PC sont tous pourvus de firewall (zonealarm)et antivirus (avira) et ad-aware. Pour pouvoir partager les imprimantes, les PC sont en zone sûre moyenne locale sur zonealarm grâce à une plage d'IP zone sûre moyenne sur tous les zone alarm des PC.
Faut ils les mettre en une zone public haute pour augmenter la sécurité et accessoirement mettre un PC avec les imprimantes en zone public moyenne pour qu'il donne accès aux imprimantes? Ou bien le terme zone public/zone sure ne change pas le comportement de la sécurité mais c'est seulement le caractère moyen/haut ou désactivé de la zone qui influe?
 
2. Disque dur réseau: j'ai un disque dur réseau ethernet(débranché actuellement par crainte du coup) branché sur le switch. Vu qu'il est direct sur le switch relié à la livebox, il est pas protégé question virus et hack, non? Il n'a pas de firewall!
Faut il le mettre derrière un PC (protégé firewall+antivirus) qui serait tout le temps allumé plutôt que direct en réseau?
 
3. J'ai un réseau de boitiers CPL derrières le switch avec la télé branchée derrière. (permet d'accéder au disque dur réseau) C'est pas très safe non plus? Pourrait-on la faire bugger?
 
 
Quelle serait une meilleure config au final? Un PC protégé qui reçoit le flux web et redistribue via switch? J'ai un PC avec 2 prise ethernet (1 carte réseau +1 carte mère) Il pourrait le faire? Cela serait donc pour protéger par un firewall les Disque durs ethernet et le réseau CPL pour la télévision.
 
Merci d'avance!

Reply

Marsh Posté le 21-03-2012 à 22:02:20   

Reply

Marsh Posté le 21-03-2012 à 23:00:24    

Bonjour a toi (quoique, plutôt bonsoir).
 
Tous tes équipements sont déjà protégés par le NAT de ta box, qui ne laisse pas passer de flux entrants non sollicités sur ton LAN.
 
Je vais pas te faire plaisir, mais la situation actuelle est la suivante : t'y connais quedalle en sécurité, alors t'essaies de te débrouiller. Tu penses qu'il faut un firewall, parce que c'est marqué sur tout pleins de sites. Le souci, c'est que pour qu'un firewall soit vraiment efficace, il faut savoir exactement ce qu'on fait avec.
 
Dans l'ordre inverse:
 
3 - Les CPL sont des équipements de niveau 2, comme un switch. Ca ne se "protège" pas de l'internet. Tu peux activer le cryptage entre tes boitiers CPL pour éventuellement empêcher tes voisins (si tu habites en appartement) de capter ton réseau CPL, mais tes boitiers ne sont pas hackables via ta box ou susceptibles de se faire infecter par des virus.
 
2 - Y'a rien a hacker sur un disque ethernet. Si tu paramètres mal ton réseau (par exemple wifi vulnérable), une tierce personne pourrait éventuellement accéder à tes données, mais c'est pas un firewall qui réglerait quoi que ce soit.
 
1 - Grosse gueulante la : tu sais pas ce que tu fais, mais comme y'a une interface playmobil c'est rassurant. C'est quoi la différence pratique entre une "zone publique sécurité haute", une "zone publique moyenne", et un "toto va manger chez sa tata ce midi" ?
 
Le firewall de base de Windows est tout à fait suffisant pour sécuriser un PC. Son inconvénient à la base est qu'il n'active pas le filtrage des flux sortants (c'est à dire qu'il bloque les tentatives de connection non autorisées à partir de l'extérieur, mais que si un programme malveillant est déjà installé sur ton PC, il ne pourra pas l'empêcher de communiquer).
 
 
Enfin bref, en l'état actuel, ton LAN est décemment sécurisé. Dans le sens ou il est tout aussi sécurisé que celui d'une personne qui n'y connait rien et qui se base sur les outils standard fournis avec son PC neuf.
 
Si t'es intéressé par la sécurité, alors il va te falloir chercher plus loin que les trucs "clés en main" de Zone Alarm. Différents équipements réseau ont différentes problématiques de sécurité.
 
Et c'est pas parce que t'as trouvé un marteau qu'il faut vouloir planter des clous partout. Y'en a pas besoin.

Reply

Marsh Posté le 22-03-2012 à 15:03:50    

Hello,
 
Merci pour ta réponse détaillée.  :D  
 
Effectivement j'y connais que dalle, et donc j'essaie de me débrouiller et je pose modestement des questions. Je me base sur 2 sites secuser.com et assiste.com pour choisir mes outils de protections. Ils recommandent firewall+anti-virus+anti-malware pour un PC connecté ce que j'ai fait.
 
3- Concernant  les boitiers CPL :"tes boitiers ne sont pas hackables via ta box" c'est principalement ce que je craignais vu que si j'arrive à voir des videos Youtube sur ma télé connectée en CPL c'est que les infos passent dans un sens, comment être sur qu'elle ne passe pas dans l'autre sens ou que les infos qui arrivent soient bien uniquement des videos et pas des virus? C'était mon interrogation. Tu me dis que la box trie les flux par son NAT. ok, j'espère qu'elle le fait bien et que c'est suffisant!  :wahoo:  
 
2- Concernant le disque ethernet, alors la wifi était en WAP et elle est désactivée volontairement dans la box de toute façon. La aussi, tu me dis que c'est le NAT de la box qui choisit les flux entrant et sortant donc pas de risque d'accés au disque de donnée depuis l'extérieur. ok merci. Bon j'imagine qu'en insistant, si on est fort, on arrive à passer mais j'ai rien de spécial à protéger je veux juste que ça soit pas un boulevard. Remarque : Tu me dis que le firewall de windows d'un PC est suffisant pour bloquer les tentatives de connection non autorisées à partir de l'extérieur. Donc il y a des tentatives même avec une box (d'ailleurs il y a des rapports de tentatives chez moi), donc est ce que mon disque de données qui n'a aucun firewall est vraiment aussi bien protégé que tu le dis par le NAT? mauvaise question ? Si j'ai des fichiers comme des scans de fiche de paye ou un scan de ma carte d'identité je préfère poser la question et paraître stupide plutôt que de courir un risque.
 
1- Concernant la différence "zone publique sécurité haute", une "zone publique moyenne" ce n'est pas ma question, il y a une indication sur zonealarm qui me suffit pour l'instant (le passage de moyen à haut rend le PC invisible sur le réseau et empêche le partage des imprimantes). J'en demande pas plus. Ma question était sur la différence entre zone public et zone sûre à réglage de hauteur de sécurité équivalent. Je me doute bien que le choix zone sure/zone publique cela permet de définir 2 zones différentes: la zone internet et la zone réseau locale mais est ce que le comportement du firewall est le même vis-à-vis d'un second PC en zone sure et d'un troisième en zone public si pour les 2 zones j'ai mis sécurité haute (poarce que peut-être que si j'avais pas une box mais un modem je n'aurais pas la même protection par NAT?). Question un peu théorique pour les nuls quoi :sarcastic:  
 
J'utilise zonealarm à la place du firewall windows  car il permet comme tu le dis aussi de choisir les demandes qui viennent des programmes installés. ça me permet de bloquer les programmes qui veulent vérifier les mises à jours ou même les télécharger sans me prévenir (pratique lorsque qu'on avait une quantité limité de données autorisés si on était connecté en 3G via téléphone portable ou autre. rien qu'une mise à jour adobe ou SP3 te plantait ton forfait) ou si tu as un logiciel qui veut envoyer des infos ou en récupérer sans que ça soit forcement légitime. PAr exemple un lecteur alternatif de PDF ou un convertisseur gratuit de vidéo qui va vouloir communiquer pour peut-être faire des mises à jour mais peut-être aussi pour rapporter autre chose comme un taux d'utilisation ou le nom des fichiers utilisés par le programme ou encore d'autre trucs auquel je pense pas. Donc c'est un choix volontaire motivé.
 
Bon si je résume, le NAT de la box protège suffisamment des accès extérieurs donc mon réseau est protégé suffisamment pour un particulier. J'ai un doute qui subsiste car tu me dis que le firewall de windows est suffisant pour protéger des accès extérieurs, et il y a des accès extérieurs,  et donc est ce que le disque réseau est si bien protégé?
 
 
Merci d'avoir pris le temps de me répondre, c'est cool ! :jap:


Message édité par Profil supprimé le 22-03-2012 à 15:05:50
Reply

Marsh Posté le 22-03-2012 à 17:03:12    

Re,
Content de voir que tu ne t'es pas vexé :D
 
On essaie de reprendre :
 
Première chose à voir : Le NAT, c'est un mécanisme simple. T'as plusieurs PC à l'intérieur de ton LAN, mais une seule IP publique (vue d'internet) portée par ta box. Ta box maintient une table entre les requêtes de tes équipements réseau, et le retour des équipements sur Internet.
 
Si une requête "orpheline", non initiée par un de tes pc sur ton LAN, arrive à ta box, et que tu n'as pas configuré explicitement de règle de routage (genre "le port 21 en tcp doit être redirigé vers l'IP de mon NAS" ), alors ta box ne sait pas quoi faire du paquet. Elle l'ignore.
 
Tu te rends donc compte qu'une personne extérieure ne peut avoir accès à ton LAN que dans un seul cas : si tu as déjà dans ce LAN un PC infecté, qui va de lui même aller se connecter sur un serveur controllé  par le pirate.
 
Il y a deux façons principales d'infecter un PC : essayer de gagner un accès distant via une faille de sécurité de façon active (en ciblant un système en particulier), ou la façon passive, mettre en place une page web ciblant une vulnérabilité d'un navigateur ou d'un plugin, et attendre que des gens arrivent sur la page et soient infectés.
 
Le but premier d'un firewall c'est de mitiger (et non pas d'éliminer) le premier cas de figure, le second étant plutôt de la responsabilité des mises à jour de sécurité, et de l'antivirus.
 
Dans une situation normale (99,99% des cas) le premier cas ne se pose même pas, puisque PC derrière une box = PC non attaquable de l'extérieur.
 
 
 
3 - Tu ne peux pas te préoccuper de protéger ton CPL de l'internet, comme tu ne te préoccupes pas de protéger ton switch ou tes câbles RJ45 de l'internet. Ils ne sont pas visibles à distance.
Comme je t'ai indiqué, la seule chose à faire est d'activer le cryptage entre tes CPL pour éviter qu'un éventuel voisin branché sur le même réseau électrique ne puisse pas voir ton traffic LAN.
 
Y'a rien à protéger "à distance" d'un CPL. C'est un simple équipement réseau.
 
2 - Ton boitier réseau, c'est un "mini pc" sous Linux, qui fait tourner un service de partage de fichiers. Tout d'abord, comme je t'ai indiqué, si tu n'as pas exposé ton NAS volontairement à internet (en mettant en place des règles de routage sur ta box par exemple), alors tu n'as rien à craindre.
Ensuite, ton NAS fait tourner un OS qui n'est pas sensible aux virus Windows. C'est des plates formes qui sont peu attaquées, car pas intéressantes / dotées d'OS et de logiciels "minoritaires".
La seule chose dont tu dois t'assurer, c'est que tu as bien paramétré les droits d'accès pour ne pas qu'un utilisateur sans login et mot de passe ait accès à des données sensibles.
 
Je vais faire une analogie très foireuse : Tu n'installes pas d'antivirus ni de firewall sur ton autoradio. Bah la, c'est pareil.

Reply

Marsh Posté le 23-03-2012 à 12:53:47    

Citation :

Content de voir que tu ne t'es pas vexé :D


 
 :D Bonne humeur et compréhension avant tout!
 
 

Citation :


Première chose à voir : Le NAT, c'est un mécanisme simple. T'as plusieurs PC à l'intérieur de ton LAN, mais une seule IP publique (vue d'internet) portée par ta box. Ta box maintient une table entre les requêtes de tes équipements réseau, et le retour des équipements sur Internet.
 
Si une requête "orpheline", non initiée par un de tes pc sur ton LAN, arrive à ta box, et que tu n'as pas configuré explicitement de règle de routage (genre "le port 21 en tcp doit être redirigé vers l'IP de mon NAS" ), alors ta box ne sait pas quoi faire du paquet. Elle l'ignore.
 
...
 
Dans une situation normale (99,99% des cas) le premier cas ne se pose même pas, puisque PC derrière une box = PC non attaquable de l'extérieur.


 
Merci pour cet explication explicite du fonctionnement! :wahoo:  
 

Citation :


3 - Tu ne peux pas te préoccuper de protéger ton CPL de l'internet, comme tu ne te préoccupes pas de protéger ton switch ou tes câbles RJ45 de l'internet. Ils ne sont pas visibles à distance.
Comme je t'ai indiqué, la seule chose à faire est d'activer le cryptage entre tes CPL pour éviter qu'un éventuel voisin branché sur le même réseau électrique ne puisse pas voir ton traffic LAN.
 
Y'a rien à protéger "à distance" d'un CPL. C'est un simple équipement réseau.


 
 
Vu que je suis pas en appartement, je vais laisser l'équipement tel quel, cryptage ou pas cryptage! A l'occasion, je regarderais ce que je peux y faire pour le plaisir!
 

Citation :

2 - Ton boitier réseau, c'est un "mini pc" sous Linux, qui fait tourner un service de partage de fichiers. Tout d'abord, comme je t'ai indiqué, si tu n'as pas exposé ton NAS volontairement à internet (en mettant en place des règles de routage sur ta box par exemple), alors tu n'as rien à craindre.
Ensuite, ton NAS fait tourner un OS qui n'est pas sensible aux virus Windows. C'est des plates formes qui sont peu attaquées, car pas intéressantes / dotées d'OS et de logiciels "minoritaires".
La seule chose dont tu dois t'assurer, c'est que tu as bien paramétré les droits d'accès pour ne pas qu'un utilisateur sans login et mot de passe ait accès à des données sensibles.


 
ok j'ai compris plus en détails. En effet, je n'ai pas mis de règles spécifiques de routage qui permettraient d’accéder au disque si jamais j'étais hors de chez moi et que je voudrais accéder au disque ou autre. Je n'en ai pas vraiment l'utilité et je vais laisser tel quel!
 
J'ai mis des mots de passes pour les dossiers persos d'utilisateur sur le disque (qui sont vu comme des "sous-disques" ) et pour les dossiers communs aux utilisateurs, il n'y a pas de mot de passe.
 

Citation :

Je vais faire une analogie très foireuse : Tu n'installes pas d'antivirus ni de firewall sur ton autoradio. Bah la, c'est pareil.


 :lol: Regarde ce que j'ai trouvé en faisant une recherche pour rigoler:  

Citation :

Votre autoradio est un cheval de Troie.
Chaque élément embarqué étant de plus en plus interconnecté avec d'autres, certaines prouesses jadis incroyables deviennent peu à peu possibles. Il faudra bientôt mettre à jour firewall et antivirus de l'autoradio.  
sources: 1, 2


 :lol:  :lol:  
Bon c'est pour la déconne !
 
Merci pour le temps que tu as pris pour me renseigner et m'instruire c'est cool!  :jap:  :jap:  

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed