internet & fixe protéger mes données et mon accès internet

Voir tous les sujets internet & fixe

Bonjour

---

@azertylive  a écrit :

Bonjour,

J'ai ajouté un raspberry en DMZ sur ma livebox 5. Cet ajout rend mon raspberry accessible depuis l'extérieur, de ce côté là, tout fonctionne bien.

Le problème que je rencontre c'est que les accès depuis le raspberry (en DMZ) vers mes autres équipements de mon réseau local sont toujours autorisés ! Ces connexions devraient être bloquées comme indiqué sur la page :

https://assistancepro.orange.fr/internet_livebox_pro/livebox/installer_et_utiliser/piloter_et_instal...

"Le pare-feu de votre Livebox bloquera donc les accès au réseau local pour garantir la sécurité de vos données. Les services susceptibles d'être piratés depuis Internet sont eux situés dans la DMZ. En cas de piratage d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non aux données du réseau local."

Comment corriger ce problème ?

Merci

 

---

La phrase citée "Le pare-feu de votre Livebox bloquera donc les accès au réseau local pour garantir la sécurité de vos données. Les services susceptibles d'être piratés depuis Internet sont eux situés dans la DMZ. En cas de piratage d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non aux données du réseau local." décrit bien le fonctionnement de la DMZ ..... pour les connexions venant d'Internet

La Livebox est un routeur.

Si tu as tout un tas de machines  (ou une seule) qui devraient être accédées depuis Internet, et qui répondent à tout un tas de ports différents la DMZ est faite pour prendre en compte  un routeur dont l'adresse sera déclarée DMZ.

Elle passera "toutes les connexions entrantes" au routeur qui gérera alors ces demandes entrantes.

En général ce routeur est aussi un pare-feu.

Ça permet d'installer chez soi des machines et d'ouvrir l'accès à ces machine et rien que ces machines.

En agissant ainsi un client protégerait totalement son(ses) pC, son NAS son Imprimante de tout accès  e x t e r n e .

Tu n'as qu'une machine, le Py, tu n'as pas besoin du routeur additionnel.

Tu l'as déclarée en DMZ, donc si la box reçoit une demande venant d'internet, elle ne l'analysera pas et la transmettra au Py sans intervenir.

C'est ça qui protège les autres machines connectées à ta Livebox  (ça les protège des accès extérieur).

Le Py et ton PC sont sur le même LAN, le réseau 192.168.1.0/24 par défaut,  ils communiquent sans utiliser la fonction routeur de la Livebox.

Aucune connexion entre le Py et une des machine du LAN ne pourra être filtrée par ta box.

Pour protéger tes machines une solution simple (mais couteuse) serait de placer un routeur  en 192.168.1.150 devant tes machines. On supposera que tes machines seront alors dans le LAN 192.168.2.0/24

Tant que le Py ne comporte aucune route statique ajoutée, il utilisera toujours la box comme passerelle par défaut.

Il ne pourra communiquer qu'avec la box (et donc Internet).

Pour que le Py ait accès à la machine 192.168.2.20  et uniquement elle (derrière le routeur ajouté),  il faudrait ajouter une route statique par  la commande :

route add    192.168.2.20 netmask 255.255.255.255     192.168.1.150

En vert la cible à atteindre,    en bleu la passerelle à utiliser

Pour que le Py ait accès aux machines 192.168.2.1 à 192.168.2.31, il faudrait ajouter une route statique par    

route add    192.168.2.0 netmask 255.255.224      192.168.1.150

Le filtrage s'effectue en gérant l'adresse et le masque cible

La valeur décimale 224 est  E0 en hexadécimal et représente le masque binaire '11100000'

Toutes les adresses 192.168.0.x avec x qui tient sur 5 bits sont sélectionnées

Dans ton cas le Py et les autres machines sur le même réseau, c'est possible .... mais pas trivial.

Il te suffirait de configurer dans le Py des règles pour son pare-feu

Regarde la commande iptables 

Tu comprendras très vite la complexité du problème, bon courage !

Nota Bene :

Je ne sais pas comment tu as dégoté ton lien, mais il est aujourd'hui périmé et il correspond à l'utilisation de "Livebox Pro". Globalement il reste valable, mais les "Livebox" ne disposent pas de la même taille mémoire et du même firmware que les "Livebox Pro".

Quand un moteur de recherche un article, vérifie toujours sa validité dans le temps, beaucoup des papiers trouvés sont périmés, et dans l'objet  vérifie s'il s'applique à ta version de matériel et/ou de logiciel.

Cordialement

PhilDur

Bonjour et merci pour ta réponse complète.

Je suis désolé de revenir sur la phrase "En cas de piratage d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non aux données du réseau local." mais ça décrit bien le fonctionnement d'une DMZ comme je la connais. Par contre, le fonctionnement proposé par la livebox ne correspond pas à ça. En cas de piratage de mon Pi en DMZ, le pirate aura accès à tout le réseau local par rebond ! 

Pour moi ce fonctionnement, c'est juste un NAT de tous les ports vers mon Pi...

On est d'accord 

Je vais voir comment sécuriser ça au mieux.

Merci

Une nouvelle édition s'imposait car mon message était trop long et confus.

Les Livebox ont une fonctionnalité DMZ dans leur interface d'administration mais ce n'est pas une DMZ. On pourrait plutôt la renommer « Hôte DMZ » ou « Hôte exposé ».

Je ne sais pas comment créer une DMZ avec un abonnement Orange (domestique).

Bonjour !

C'est une solution sous-optimale. Pour la mise en œuvre, le premier pare-feu (celui de la Livebox) serait au réglé au niveau faible. Il faudrait aussi rajouter des règles NAT / PAT pour les machines de la DMZ avec des ports TCP / UDP standards pour permettre des connexions externes. Ainsi, aucune machine de la DMZ n'est protégée par un pare-feu routeur. Cela me paraîtrait plus logique que le pare-feu et le NAT soit différencié avec leur fonctionnement propre. Les règles du pare-feu s'appliqueraient aux ports TCP / UDP des paquets IP provenant du routeur avant l'application du NAT pour les paquets sortants. D'où le fait que les machines de la DMZ seraient branchées sur la Livebox et que le routeur serait défini comme hôte exposé (nommé DMZ) dans l'interface d'administration de la Livebox. Sans l'ouverture fournie dans le pare-feu de la Livebox, les machines du réseau local n'auraient pas accès à l'Internet (c'est une de mes suppositions, à vérifier !). Mais en retirant la protection du pare-feu de la Livebox on expose de fait le réseau local, d’où le nom d'hôte exposé. Tout cela à cause du NAT.

Bonjour @basilix 

---

@basilix  a écrit :

 

Je ne sais pas comment créer une DMZ avec un abonnement Orange (domestique).

---

C'est assez primaire, mais c'est efficace :

1 tu laisses le pare-feu de la Livebox en niveau  "moyen"

2 tu configure ton routeur ajouté avec une IP constant (

si possible fournie par le DHCP de la box, le routeur étant en adressage dynamique

Et tu colles un bail DHCP statique dans la Livebox pour attribuer une adresse IP constante à ton routeur

3 tu décrètes l'adresse du routeur comme adresse de la DMZ dans ta Livebox

Oui, ce n'est peut-être pas une DMZ stricto sensu, mais ça va te créer un sous réseau protégé auquel tu peux appliquer les règles de filtrage de ton choix.

Les machines du LAN de la box ne seront pas impactées.

Cordialement

PhilDur

Bonjour @PhilDur !

Quelque chose ne va pas dans ma conception précédente.

Si tu le dis !