Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Securiser sa box

delta07

Hello

J'ai une freebox v6, et j'aurais voulu savoir plusieurs petites choses concernant sa securite.
La box ne semble pas posseder de par feux de base, ca veut dire que chaque machine est sense se proteger elle meme ?
Pas moyen de configurer un par feu general ? parce que il n y a que la redirection de port si j'ai bien compris.

Ayral

Active sur ta box le mode routeur. Dans ce cas, la box masque tous les ports et la box se comporte comme un pare-feu matériel. Il faut donc désactiver l'éventuel pare feu logiciel installé sur les PC du réseau domestique ou d'entreprise. Et ouvrir les ports à la demande de certaines applications (a-mule par exemple).
http://b.marlow.free.fr/la_freebox.html
État des ports sur mon réseau familial derrière une freebox V6

Un port fermé, le 113, tous les autres masqués (stealth en anglais, furtifs).

tiramiseb

Salut,

Pour compléter l'explication d'Ayral :

La box ne semble pas posseder de par feux de base, ca veut dire que chaque machine est sense se proteger elle meme ?

Quand tu es en mode routeur (ce qui est le défaut, à ma connaissance), alors la seule machine à avoir une adresse IPv4 publique est ta freebox. Tes PC ont des adresses privées, qui ne sont pas routables par Internet. Autrement dit, personne à l'extérieur de ton réseau n'est capable d'atteindre tes PC à l'intérieur.
C'est pour cela que la Freebox fait office de pare-feu : toute requête ne peut arriver qu'à elle-même, et c'est retransmis à tes machines uniquement si tu le configures dans ce sens (redirection de port).

delta07

Ah oui ok je comprend mieux.

Du coup, j ai fait une rediection de port pour pouvoir me loger en ssh sur mons erveur, mais ca veut dire que depuis l exterieur, on ne peut avoir acces qu'a ce port UNIQUEMENT.
A bien proteger alors 🙂

Mais si de base les ports sont "furtif", ca signifie que si je fais une requete web depuis un pc, j ouvre le port 80 et j attend une reponse sur ce port, donc la box autorise ce port a etre ouvert non ? Ils ne s'ouvrent que si une machine fait une requete vers l internet c'est ca ?

En gros, INPUT tout est ferme, OUTPUT c'est selon ce que font les machine sur mon reseau. c'est ca?

Merci beaucoup

tiramiseb

si je fais une requete web depuis un pc, j ouvre le port 80 et j attend une reponse sur ce port

Non.

Tu te connectes au port 80 distant mais tu n'ouvres pas ton port 80.
Tu n'ouvres aucun port : tu établis une communication, ça utilise un port en effet, mais ça ne l'ouvre pas en écoute à "n'importe qui" : c'est une unique connexion en cours.

En gros, INPUT tout est ferme, OUTPUT c'est selon ce que font les machine sur mon reseau. c'est ca?

Tu peux imaginer ça comme ça, mais sur un pare-feu de réseau on n'utilise pas les termes d'INPUT et OUTPUT, vu que l'INPUT c'est « ce qui rentre dans la machine » et l'OUTPUT c'est « ce qui sort de la machine » : là on n'a que des paquets qui traversent la machine (FORWARD).

delta07

ok

Donc a priori si je ne change rien sur ma box, hormis une redirection de port pour le ssh sur mon serveur, je ne risque pas grand chose donc ?

vince2corte

Non, pas grand chose : juste de te faire pirater ton serveur via ce SSH, et de là tout ton réseau local :lol:
Comme tiramiseb l'a très bien expliqué dans de multiples posts (tu vois, j'ai bien tout lu 😉 ), tant que tu n'ouvre pas les ports sur la box, tout va bien. Quand tu ouvre un port, il faut bien configurer le serveur pour qu'il se protège tout seul !

tiramiseb

Comme le dit vince2corte : si ton serveur SSH est bien sécurisé (mot de passe solide, mises à jour appliquées dès qu'elles sortent, etc), alors il ne devrait pas y avoir de risque 🙂

Ayral

delta07 a écritok
Donc a priori si je ne change rien sur ma box

Sur ma box j'ai dû activer moi même le mode routeur.
D'après ce que j'ai compris, avant la freebox revolution, il faut activer soi mlême le mode routeur. Depuis la Révolution, c'est activé par vdéfaut.

Si c'est réglé tu mets [Résolu] dans le sujet de ta discussion.

delta07

vince2corte a écritNon, pas grand chose : juste de te faire pirater ton serveur via ce SSH, et de là tout ton réseau local :lol:
Comme tiramiseb l'a très bien expliqué dans de multiples posts (tu vois, j'ai bien tout lu 😉 ), tant que tu n'ouvre pas les ports sur la box, tout va bien. Quand tu ouvre un port, il faut bien configurer le serveur pour qu'il se protège tout seul !

tiramiseb a écritComme le dit vince2corte : si ton serveur SSH est bien sécurisé (mot de passe solide, mises à jour appliquées dès qu'elles sortent, etc), alors il ne devrait pas y avoir de risque smile

Ayral a écrit Sur ma box j'ai dû activer moi même le mode routeur.
D'après ce que j'ai compris, avant la freebox revolution, il faut activer soi mlême le mode routeur. Depuis la Révolution, c'est activé par vdéfaut.

OK ok, et bien le mode routeur etait deja active donc no souci de ce cotela.

Pour l'instant, il n'y que la redirection ssh, sur un autre port que 22, avec un fail2ban avec seulement 3 try possible

Et quand je ferai les redirection pour mail, ftp, etc... je ferai du fail2ban pareil 🙂

Merci beaucoup a vous pour vos reponses et votre patience 😃