Un routeur NAT est-il un pare-feu ?

[ggt-labz]

Salut,

 

A la lecture du post sur les ports ouverts sans raison, je me suis posé la question suivante : à partir du moment où le routeur NAT a tous ses ports fermés (*), peut-on se passer purement de pare feu sur tous les PC derrière ? Car enfin, supposer une attaque du routeur, de sa prise de contrôle, suivies d'attaques des PC derrière, ça fait un peu science fiction, non ? Je me trompe ?

 

C'est l'hypothèse que j'ai toujours fait : s'assurer que la 'box' est bien en fonction routeur NAT/DHCP avec rien (ou si peu) en ports d'ouverts, installer un bon anti-virus qui se met à jour tout seul et surveille les entrants + vaccination spybot et vogue la galère. Pas besoin de pare-feu.

 

Qu'en pensent les spécialistes émérites ? Suis-je naif ? Si oui, qu'on m'explique le risque.

 

En tout cas merci.

 

gg.

 

(*) OK, à vérifier, ça semble être le cas de la free box, par exemple qui n'en ouvre pas si l'utilisateur ne le demande pas pour faire du port forwarding

[trunkate]

Salut aussi,

 

aucune communication ne pourra atteindre les machines derrière un routeur si tous les ports de tous les protocoles sont fermés. Le problème, sans pare-feu individuel, est qu'une machine infectée, c'est si vite fait ..., pourra affecter toutes ses comparses du même LAN.

 

voilà,

 

[odSen]

Le routeur va stopper uniquement les connexions entrantes.

Il faut installer sur chaque machine un firewall logiciel pour contrôler les connexions sortantes.

[ggt-labz]

Hallo,

 

Merci pour ces réponses et réflexions. Ca me conforte dans l'idée que j'en avais. Notamment que jamais un back-door ne pourrait s'intaller de manière efficace et rendre les PC, zombis.

 

Je suis bien d'accord qu'il faut que le réseau interne soit luimême supposé démuni de machines qui s'attaquent les unes les autres !

 

Cette histoire de pare-feu pour les connexions sortantes j'y crois à moitié. Disons dans une hypothèse de sécurité moyenne, un pare-feu est moyennemt utile, dans la mesure où :

• La 'box' est en routeur,
  
• Anti-virus et autre Spybot sont correctement configurés,
  
• L'utilsatrice/teur est consignée/e pour ne pas ouvrir à tout va les attachement suspects (dont les extensions sont visibles, SVP),
  
• Plus activation du DEP sous XP.
  

Dans cette hypothèse, aucun code malicieux ne devrait jamais s'exécuter. C'est théorique. OK. Alors on rajoute un pare-feu. Pas une mince affaire, non ?

 

Supposons maintenant qu'on est infecté. Déjà c'est pas bien ! C'est donc un ver malin. il détectera par exemple que MSN est installé, il sortira sur le port 80 en SSH et aura un nom qui ressemble à MSN. Si votre pare-feu suspecte l'exécutable, il va donc alerter l'utilisateur. Si ce n'est pas vous mais votre fiston de 13 ans, il va cliquer accepter la connexion sortante pour avoir la paix.

 

Ajoutons en plus que le pare-feu est complexe à configurer, intrusif, pas toujours compatible avec le reste des protections et services.

 

Mon hypothèse est donc de s'en passer et de sécuriser au maximum le PC contre l'intrusion et l'exécution de codes malicieux (*). Je configure et maintiens de temps en temps des réseaux basés ADSL d'amis utilsatrices.teurs non avancées/és. J'avais essayé de rajouter un pare-feu aux mesures précitées car protéger contre les connexions sortantes me paraît un peu luxe, en tout cas bien compliqué.

 

D'ailleurs même les utilsatrices/teurs non spécialistes ont souvent leur leçon toute apprise ou en pense-bête sur un post-it : pour sécuriser mon PC derrière xDSL, y m'faut X, Y, Z et un pare feu. Ca ne me semble pas automatique. Je dirais : ça ou bien X, Y, Z et un routeur bien verrouillé.

 

En tout cas merci pour les réponses. Je me dis qu'un pare-feu contre les connexions sortantes reste un tantinet 'overkill' et compliqué en plus du reste chez des amis qui n'y connaissent rien et qui vont appeler sans arrêt ou pire accepter quand le pare-feu sonnera à cause d'une application inconnue. Mais je me dis aussi que chez moi, ça peut servir comme alerte d'infection suspectée (merci l'antivirus, dans ce cas !).

 

Mais comme j'ai jusque maintenant fui les pare-feu, me vient une question : y-a-t-il un pare feu (open source si possible) qui vaille le détour ?

 

Bonnes journées, douces nuits.

 

gg.

 

(*) en trois ans, avec trois PC, jamais eu de problème derrière mes routeus successifs (câble et ADSL). Touchons du bois...

[Poun64]

Salut !

 

Rien ne t'empêche de configurer (presque) une fois pour toute le Firewall en créant des règles spécifiques pour les logiciels autorisés à sortir sur le net.

Il faut créer les règles en faisant tous les essais possibles et imaginables (navigateur, messagerie, MSN, Màj de l'antivirus, etc). Faut le faire avec l'utilisateur du PC pour connaître ses habitudes.

Chez moi ça donne çà avec Kerio (mais ça doit être similaire avec les autres FW) :

 

Pour ce qui est des règles générales tu interdis toutes les "entrantes" et les "sortantes" vers internet.

Chez moi ça donne ceci :

 

Avec ça, t'auras plus aucun message te demandant de valider quoi que ce soit.

Si une application ne marche pas parce qu'elle ne peut pas sortir vers internet, c'est tracé dans un journal :

 

Exemple, si tu veux autoriser Nero à faire une mise à jour sur son site éditeur, ou un autre programme qui n'est pas dans la liste, tu configures comme ceci :

 

Le pare feu te demandera de créer une règle lors de la prochaine tentative avec le logiciel qui était bridé.

J'espère ne pas t'avoir saoulé !

Modifié le 3 janvier 2007 par Poun64

[wacesea]

Je préconiserais plutôt l'utilisation d'un pare-feu. Je m'explique

 

Tu supposes que ton anti-virus est à jour. Soit. Entre le moment ou un ver est créé et le moment où le vaccin apparaît et est diffusé par les éditeurs d'antivirus, tu as un délai moyen de 4h (pour les meilleurs) à 6h ou plus. Que fais-tu si tu te prends un script sur une page infectée ?

 

Si t'es parano, tu configures ton antivirus pour qu'il se mette à jour toutes les heures. Mais avoue que ça ralenti un peu ta bécane et même en mode silence, tu t'en ressens. Pis c'est pire si t'as un reboot à faire, et absorbé par ton boulot, tu te rends même pas compte de l'arrivée du message qui te prie de reboot et pan t'as fait clic sans le savoir pendant que tu tapais ton courrier... reboot. C'est du vécu. lol.

 

Il faut le reconnaitre, pour la majorité, on configure l'antivirus pour qu'il se mette à jour le matin en ouvrant le pc, ou la nuit si il tourne. Dans la journée... On prie pour ne prendre qui ne soit pas encore identifié. 0days...

 

Donc, tu te prends un code malicieux, et te voilà avec un serveur que ton antivirus n'a pas pu voir venir. Là, tu n'as plus qu'à espérer que ton pare-feu détecte une tentative de connexion au Wan non sollicitée... Il aura au moins ce mérite à mon sens.

 

Rien n'est sûr à 100% en matière de sécurité. J'en conviens bien volontiers. Mais je suis de ceux qui pensent que si il n'est pas totalement indispensable d'avoir un pare-feu, il n'est pas non plus inutile

 

Je me permets un autre commentair. Tu parles de routeur NAT. Le NAT n'est qu'une traduction d'adresses pour des Pc sur un réseau local qui veulent communiquer avec l'extérieur. En schématisant, une passerelle NAT (ton routeur par exemple) "traduit" la requête du pc local et l'envoie. Je pense que tu voulais parler de Port Forwarding (redirection de ports) ?

 

En conclusion, ça me fait réfléchir aussi ton histoire de pare-feu. Mais sur un réseau local par exemple, je ne prendrais pas le risque de ne pas avoir en amont une solution pare-feu (Ipcop par exemple). Je garde toujours à l'esprit qu'en informatique, 80% des pannes se situent, au début, derrière le clavier.

[anne34]

Je profite de cette file de discussion pour poser les questions qui m'interpellent depuis quelques jours depuis que j'ai été par hasard faire des tests sur la sécurité de mon PC. Pour info je n'y comprens pas grand chose dans toutes ces histoire de ports donc j'aurais besoin d'explications simples SVP.

 

GGT labz dit

s'assurer que la 'box' est bien en fonction routeur NAT/DHCP

Quand je vais sur le configurateur de ma club-internet box je vois que "Enabled DHCP Server" est coché

-> cela signifie-t-il qu'il est bien fonction NAT/DHCP ??

(PS j'ai dû paramétrer une seule règle de NAT (+création Virtual server + port triggering) pour un jeu en ligne)

 

La H-L de Club-Internet que j'ai interrogée ce matin au sujet du FW intégré au modem/routeur, m'a dit que depuis avril 2006 le nouveau firmware ne donnait plus la possibilité de l'activer (d'où mon impossibilité de le faire en suivant la procédure donnée dans un tuto de ce site) mais que la sécurité avait été renforcée !!!???

 

Pour Poun 64

Moi j'ai Bitdefender Internet Security 10 comme logiciel de sécurité et j'avoue que quand je vois la page "filtrage" du parefeu je prends un peu peur.

Il est vrai que je viens de réinstaller tout mon système et mes programmes donc j'ai été obligée de créer pas mal de règle d'autorisation pour les MAJ et procédures d'authentification de mes programmes (en grand nombre il est vrai!) je vais donc en supprimer mais j'espère que ça ne vas pas "bloquer" le fonctionnement de quoi que ce soit

 

Voilà ce que ça donne "chez moi" :

 

et franchement tous ces "Tous les deux " dans la colonne "Direction" et ces "Tous: Tous" dans la colonne "Adresse distante" me font un peu peur !! Et pourquoi mon courriel TheBat a-t-il besoin de tant de ports et de règles à lui tout seul, je ne me souviens pas en avoir créées autant!!

 

Bref, si vous pouviez me donner votre avis et vos conseils je suis preneuse et vous en remercie d'avance

Modifié le 12 janvier 2007 par anne34

[wacesea]

anne34,

 

Pour les ports de ton application messagerie, pas de problèmes. il s'agit des ports utilisisés par des protocoles qui te permettent de recevoir et d'envoyer des mails. le port 25 pour Smtp, port 110 pour Pop3, port 143 pour Imap, port 993 pour l'Imap cryptage et idem pour le 995 pop3s. le port 80 là c'est pour ta navigation.

 

Les règles créées par ton parefeu ne semblent pas, à première vue, inquiétantes.

 

Pour ta CI Box, j'ai besoin de connaitre la marque de celle-ci (Hitachi....). Et je te donne un élément de réponse ce soir si possible.

 

[anne34]

 

Pour ta CI Box, j'ai besoin de connaitre la marque de celle-ci (Hitachi....). Et je te donne un élément de réponse ce soir si possible.

 

 

Vu que je ne vois que AH 4222 sous la box je suppose que c'est Hitachi puisqu'avant j'avais l'Hitachi AH 4021.

 

Et pense que tu, selon ce que j'ai dit, que mon routeur est bien en NAT/DHCP ?

 

Avoir attribué des adresses fixes aux 4 PC de la maison (3 en wifi) augmente-t-il les risques de piratages ?

 

Merci

Modifié le 12 janvier 2007 par anne34

[Poun64]

Bonsoir toul'monde !

 

Anne34,

Je ne connais pas "Bit Defender" mais je crois être bien plus restrictif avec mon FireWall que toi

Sur ma machine, je n'ai jamais autorisé les requêtes "entrantes".

Ceci ne m'empêche pas de gambader joyeusement sur le net, d'expédier et de recevoir des mails, de mettre à jour mon anti-virus et autres anti-cochonneries, de télécharger des fichiers... et de poster sur le Forum de zébulon !

 

Je n'autorise les sorties vers les ports distants que quand c'est vraiment indispensable.

Tu conviendras avec moi, qu'un parefeu ne sert à rien si on laisse entrer ou sortir tout ce qui se présente !

 

Kerio permet de créer des règles très facilement et fait la ségrégation entre les demandes sortantes et les demandes venant de l'extérieur.

Si ça se trouve, "Bit Defender" sait faire la même chose (une petite lecture de son aide devrait t'en apprendre un peu plus).

 

Voici pour toi

Modifié le 12 janvier 2007 par Poun64