Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe ma connexion

Le DMZ et la sécurité

Realunskilled
contributeur occasionnel
13 647  

Le DMZ et la sécurité

Bonjour,

 

Je me posais une petite question, j'ai la livebox 4 et un routeur. J'ai connecté mes deux consoles via le routeur mis lui même en DMZ (afin d'ouvrir tous les ports et faciliter leur connection aux jeux en ligne sachant que c'est peu risqué d'après ce que j'en ai lu).

 

En revanche, je me connectais avant directement au routeur via mon ordinateur et ma tablette car son wifi est de meilleure qualitée et celui ci étant paramétré sur les serveurs DNS de google.

 

Ai-je pris un risque en me connectant à un routeur connecté en DMZ à la livebox ou pas ? Je me reconnecte maintenant à la livebox en wifi et j'ai désactivé celui du routeur en attendant d'avoir la réponse.

 

Merci à vous pour votre réponse

5 RÉPONSES 5
PhilDur
#TopMembre
#TopMembre
13 618  

Re : Le DMZ et la sécurité

Bonjour Realunskilled

 


@Realunskilled a écrit :

En revanche, je me connectais avant directement au routeur via mon ordinateur et ma tablette car son wifi est de meilleure qualitée et celui ci étant paramétré sur les serveurs DNS de google.

 

Ai-je pris un risque en me connectant à un routeur connecté en DMZ à la livebox ou pas ?


Est-ce risqué ?  Vaste question !

 

Je répondrais : Ca dépend ! et avec ça tu es vachement avancé !

 

En faisant ça tu reportes les fonctions de sécurité réseau de la box dans le routeur.

Ca va donc dépendre de la configuration de ton routeur et de son pare-feu.

 

Le réseau de la box

Normalement le LAN de la box est du type 192.168.1.0/24.

En traduisant ce jargon : les machines connectées à la Livebox doivent toutes avoir des adresses locales en 192.168.1.XXX  et un masque en 255.255.255.0 ; avec  xxx va de 1 à 254, la valeur 1 est déjà utilisée par la box elle même et la valeur 255 est réservée.

Dans ce LAN ton routeur aura nécessairement une adresse de ce type. C'est le port Wan du routeur qui est connecté à la box qui "porte" cette adresse.

Cette adresse peut lui être affectée par le DHCP de la box. Par défaut XXX sera alors strictement compris entre 9 et 151.

Je vais supposer que l'adresse du routeur est 192.168.1.254

Le routeur devra utiliser la Livebox comme passerelle par défaut soit donc :

adresse de passerelle = 192.168.1.1

Le routeur devra contenir des Adresse DNS valides et accessibles. A partir de ce moment il aura accès à internet.

 

Le réseau du routeur

Le réseau du routeur devra être quelque chose du genre 192.168.Y.Z/24

Toutes les adresses IP des machines "derrière" le routeur auront une adresse en 192.168.Y.X et un masque de 255.255.255.0. On supposera que Y=2 (c'est arbitraire, on peut !)

Le routeur aura comme adresse dans ce réseau 192.168.2.1, l'adresse 192.168.2.255 est réservée.

 

Ton PC  (ou ta console, ton téléphone, ...) connecté à ton routeur  (que ce soit en Ethernet ou en Wifi) devrait ainsi avoir comme adresse 192.168.2.10, un masque 255.255.255.0, une adresse de passerelle 192.168.2.1 (le routeur) et des adresses DNS valides. A partir de ce moment ton PC aura accès à Internet.

 

Première constatation

Ton routeur permet aux machines du réseau 192.168.2.0 de voir toute machine qui n'est pas dans ce réseau ; parce que le routeur leur sert de passerelle, ils voient ce qui est devant le routeur

parce que la box est passerelle par défaut dans le réseau 192.168.1.0, toutes les machines de ce réseau "voient" ce qui est devant la box.

Là on vient juste de comprendre à quoi sert un routeur.

 

La DMZ et la sécurité

A partir du moment où on déclare à la Livebox que l'adresse 192.168.1.254 (celle du routeur) est l'adresse de la DMZ, la box laisse tout passer de et vers cette adresse.

 

Le site  http://www.mon-ip.com/ affiche l'adresse internet de la machine qui le consulte (de ton navigateur donc).

Connecte ton PC à la box et consulte le site mon-ip avec ton navigateur, note l'adresse IP internet de ton PC

Connecte ton PC à ton routeur et refais la même manip, que remarques-tu ? Ton PC a la même adresse !

 

Que tu sois en DMZ ou pas ton PC aura toujours la même adresse, celle de ton raccordement Internet.

Une attaque de l'extérieur nécessite de traverser ta box et ton routeur.

Ta machine est déjà un peu protégée.

 

Le pare-feu du routeur

Le danger ne vient pas d'directement d'internet, il vient de chez toi.

Si jamais un logiciel utilise l'UPnP pour configurer un routage entrant et envoie l'information vers l'extérieur, alors une connexion entrante est possible.

Le pare-feu du routeur est chargé

  • d'interdire à une machine du LAN de communiquer avec certaines adresses à l'extérieur,
  • d'interdire à certaines adresses extérieures de communiquer avec son LAN
  • ...

En général le par-feu du routeur est correctement réglé en usine.

 

Le pare-feu du PC

Windows intègre un pare-feu de bonne qualité, et même un pare-feu très bien ficellé.

Si on déclare que l'application fsx a le droit d'accéder à internet, alors les ports correspondants ne seront ouverts que si fsx fonctionne.

Le pare-feu de windows doit rester actif.

 

Un  pare feu doit pouvoir empêcher tout cheval de Troie de communiquer avec son "maître". Là on tombe sur la synergie nécessaire entre anti-virus et pare-feu. L'anti-virus détecte les fichiers corrompus. Le pare-feu devrait empêcher tout virus de communiquer vers l'extérieur.

 

Quand tu connectes ton PC à TON routeur, il est protégé en fonction des règles actives dans tes pare-feu.

 

Désolé, mais la responsabilité de ta protection reste la tienne.

 

J'espère que d'autres pourront corriger si j'ai raconté de konneries, il est impossible de ne pas se tromper.

Cordialement

PhilDur

 

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
Realunskilled
contributeur occasionnel
13 585  

Re : Le DMZ et la sécurité

Bonjour @PhilDur,


Merci pour ta réponse,

 

Donc si je comprends bien (et merci pour ces bonnes explications), les règles de trafic de mon PC windows et du routeur me protègent.

Je vais tacher de bien les configurer dans ce cas (mon windows est effectivement correctement protégé mais je ne me suis pas attardé sur la configuration du routeur).

 

Merci encore pour ton aide

terramotu
contributeur
953  

Re: Re : Le DMZ et la sécurité

Bonjour désolé de relancer une vieille conversation mais je cherche quelques confirmations avant de maniper sur mon sous réseau.

(je me permet de tutoyer)

 

J'ai mon réseau orange box 5 (tempus fugit), et un router qui tourne sur un OpenWRT  connecté en 192.168.1.24/24.

Le but est de faire un sous réseau isolé du reste pour pouvoir héberger des services sur internet.

 

Si j'active la DMZ sur mon OpenWRT alors j'ai compris que tout ce qui en sort ne sera pas soumis au parefeu par défaut de la box. C'est à dire que potentiellement tout les services ce qui sortent sur le WAN de mon OpenWRT (192.168.1.24/24) se retrouvent sur le WAN de ma box orange.

 

On arrive au problème:

Prenons un example:

Mon réseau orange: 192.168.1.0/24

Mon OpenWRT: connecté en 192.168.1.24 gère le réseau 192.168.2.0/24

Je ne peux donc pas interagir depuis mon réseau orange sur mon routeur OpenWRT et je ne veux pas de machine connectés simultanément sur les deux réseau.

Solution: Passer par le routeur OpenWRT pour la configuration en ouvrant le port 22 côté WAN du routeur comme ça je me connecte sur le port 22 de 192.168.1.24 et je peux gérer l'autre réseau. Sauf qu'avec la DMZ j'ai peur que ça renvoit le port sur le wan de ma boxe orange.

 

Voilà voilà

Merci d'avance

Je suis un peu perdu et j'ai un peu de mal à avoir des informations

Cordialement

terramotu

 

matrixbx
fan
fan
919  

Re: Re : Le DMZ et la sécurité

Salut @terramotu 

Si tu mets en place la fonctionnalité "DMZ" de la Livebox vers ton routeur OpenWRT, alors effectivement tout les services qu'il expose sur son interface WAN seront accessibles depuis Internet (ainsi que ceux présents sur son LAN et pour lesquels il y a une redirection de port configurée dans celui-ci).

Tu peux restreindre les adresses IP et/ou les comptes autorisés à accéder en ssh au routeur dans la config d'opensshd de celui-ci (probablement aussi si c'est dropbear qui est utilisé), il faut regarder la doc et adapter la configuration à ton besoin, tes contraintes.

Bon courage.

Politesse et courtoisie ne sont pas en option (sauf en cas d'abus graves et répétés, et encore, même dans ce cas ...).
Suggérer, expliquer, démontrer ne suffit parfois pas. On apprend de ses erreurs, enfin la plupart. "I'm All Out of Gum."
PhilDur
#TopMembre
#TopMembre
859  

Re: Re : Le DMZ et la sécurité

Bonjour @terramotu 

 

Ton interprétation de la DMZ est correcte.

 

 

Simplement , j'inverserais ta phrase : "... tout ce qui en sort ne sera pas soumis au parefeu par défaut de la box. ..."

Les services sont fournis chez toi,  ce que la box doit laisser passer et que ton routeur doit contrôler ce sont les requêtes entrantes.

Ton pare feu doit filtrer des connexions entrantes, et le configurer correctement exige beaucoup de temps et de précision. C'est ainsi que j’interprète la dernière phrase de @matrixbx : "Bon courage".

J'ajoute  : " C'est ben vrrai, ça !"

 

 

 


@terramotu  a écrit :

....

On arrive au problème:

Prenons un example:

Mon réseau orange: 192.168.1.0/24

Mon OpenWRT: connecté en 192.168.1.24 gère le réseau 192.168.2.0/24

Je ne peux donc pas interagir depuis mon réseau orange sur mon routeur OpenWRT et je ne veux pas de machine connectés simultanément sur les deux réseau.

Solution: Passer par le routeur OpenWRT pour la configuration en ouvrant le port 22 côté WAN du routeur comme ça je me connecte sur le port 22 de 192.168.1.24 et je peux gérer l'autre réseau. Sauf qu'avec la DMZ j'ai peur que ça renvoit le port sur le wan de ma boxe orange.


 

 

Ce n'est pas aussi simple et impossible que ça.

Je pense que, dans certaines conditions, tu peux agir sur ton routeur WRT  (interagir ?  me semble trop, agir suffit)

 

La configuration des routeurs prévoit bien souvent un paramètre de type booléen pour autoriser l'administration à distance ou pas.

par "administration à distance", on entend : administration par une machine y accédant au travers de son port Wan

Si tu ouvres cette porte alors la sécurisation de la connexion doit être forte : ssh, mot de passe, ....  il y a des outils.

 

Tu peux aussi, connecter une machine sur le LAN du WRT et administrer ton routeur en local.

 

 

L'accès IP est possible.

Seulement il faut que cet accès soit configuré au niveau IP

Toute machine d'un réseau IP dialogue sans contrainte avec les autres machines du réseau IP

Donc tout host connecté à la box, peut dialoguer avec les autres hosts connectés à la box.

 

Dès qu'une requête est à destination d'une adresse hors de ce réseau le gestionnaire IP var adresser la requête à une des passerelles connues.

Généralement seule la passerelle par défaut est connue et c'est la box qui fait fonction de passerelle par défaut.

 

Pour accéder à ton serveur dans ta DMZ  tu devras déclarer ton routeur comme passerelle.

Tu as au moins deux manières de le faire :

- dédier un PC (réel ou virtuel) aux accès DMZ de chez toi : tu déclares alors l'adresse IP du routeur WRT comme passerelle par défaut.

- ajouter une route statique au host dédié aux accès DMZ. Une route statique c'est la spécification d'une passerelle dédiée à certaines adresses ou plage d'adresses.

 

 

Que tu choisisses l'une ou l'autre méthode, PC dédié (ou un boot sur une configuration spécifique) ou PC bivalent n'oublie pas de sécuriser la solution.

 

Comme matrixbx  : " Bon courage !"

 

Cordialement

PhilDur

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera

Vous avez une question ?

Interrogez la communauté

Déjà 753031 membres inscrits 🧡

1334 personnes actuellement en ligne

Tous les membres en ligne