Config de mon parefeu

[Berfizan]

Bonjour

 

J'ai dans mon routeur ( Inventel DWB200 ) un parefeu intégré configuré en filtre entrée et sortie.

 

Pour pouvoir accéder à ma banque ( site en https ) je suis obligé d'ouvrir le port 443.

 

J'ai donc récupérer l'adresse ip du site par un netstat -ano et j'ai configuré comme suit, dernière ligne du tableau.( 192.168.1.201 est l'adresse du PC à partir duquel je me connecte à ma banque. )

 

 

Ca marche ( si je ne le fais pas, je ne peux pas me connecter ) mais pensez-vous que ce soit cohérent en terme de sécurité?

 

C'est-à-dire, cela signifie bien que tout ce qui sort du PC 192.168.1.201 par le port 443 ne peut aller que sur l'adresse IP de ma banque ?.

 

Merci d'avance pour vos remarques éventuelles

Modifié le 22 février 2006 par berfizan

[Berfizan]

Mince, j'ai demandé un truc impossible ou quoi ....?

[Berfizan]

J'insisterais ....????

[odSen]

Salut,

443 est un port serveur,

peut-être qu'il faut indiquer port d'origine = 443 et destination = any

et mettre l'ip de ta banque en source, et any (ou la tienne si elle est fixe) en destination.

La règle devrait plutot être spécifiée pour les paquets entrant, non ? Les deux peut-être ?

C'est tout de même étrange qu'il faille créer une règle pour ce genre d'opération

Modifié le 22 février 2006 par odSen

[Berfizan]

Merci de ta réponse qui, malheureusement, ne répond pas à ma question.

 

C'est tout de même étrange qu'il faille créer une règle pour ce genre d'opération

 

Perso ça ne m'étonne pas vraiment, ca me va bien méme.( Pour info, j'ai le même fonctionnemt lorsque je veux me loguer chez mon FAI, le point commun entre lui et ma banque est que ce sont des sites https )

 

La principale question est :

 

C'est-à-dire, cela signifie bien que tout ce qui sort du PC 192.168.1.201 par le port 443 ne peut aller que sur l'adresse IP de ma banque ?.

 

Je n'ai pas de problème d'accès au site avec la règle que j'ai definie.La doc du routeur est très succinte sur ces règles.

 

La règle devrait plutot être spécifiée pour les paquets entrant, non ? Les deux peut-être ?

 

Si je ne filtre qu'en entrée, je n'ai besoin d'aucune règle.

 

Merci encore ..

Modifié le 22 février 2006 par berfizan

[Greywolf]

C'est-à-dire, cela signifie bien que tout ce qui sort du PC 192.168.1.201 par le port 443 ne peut aller que sur l'adresse IP de ma banque ?.

 

oui

 

Cependant, si l'organisation de leur réseau est modifié pour une raison x ou y (serveur https transféré sur une autre machine), il se peut que tu te trouves un jour ou l'autre coincé en attente d'une connexion qui ne se fera pas.

 

//si tu veux éviter qu'un autre PC se connecte sur cette banque en prenant ton adresse IP, tu peux raffiner en rajoutant l'adresse MAC de ton interface réseau par exemple

[Berfizan]

Bonjour et merci

 

Cependant, si l'organisation de leur réseau est modifié pour une raison x ou y (serveur https transféré sur une autre machine), il se peut que tu te trouves un jour ou l'autre coincé en attente d'une connexion qui ne se fera pas.

Ok bien sur

 

Mais je ne vois pas ou je pourrais stipuler l'adresse Mac de ma carte réseau dans mon routeur.

 

Est-ce qu'un parefeu logiciel genre zone alarm ou kério permet ce genre de finesse ?

 

Bonne journée

Modifié le 23 février 2006 par berfizan

[Greywolf]

Comme le DWB tourne sur un noyau linux, j'avais modifié directement les règles en se connectant en telnet dessus avec le script que tu trouveras sur ce lien: http://www.wlanfr.net/forum.php?op=mess&pid=1959&pg=5 (12eme msg).

 

Je ne sais plus si l'interface web du routeur permet de faire ça (j'en doute)

 

il suffit de modifier un peu la règle pour HTTPS pour qu'elle ressemble à ceci:

iptables -A br0-ppp0 -m mac --mac-source XX:XX:XX:XX:XX:XX -s 192.168.1.201 -p tcp -d <adresse_du_serveur_https_de_la_banque --dport 443 -j ACCEPT 

[Berfizan]

Ouf, là c'est trop trapu pour moi.( Surtout pour revenir en arrière si problème )

 

Je sais me connecter en telnet , sur le routeur.

 

Je sais créer un fichier.

 

Il y a un fichier nommé adv_firewall.conf qui contient ceci :

 

DNS TCP any 42 any any ACCEPT LOCAL

HTTP TCP any 80 any any ACCEPT LOCAL

FTP_DATA TCP any 20 any any ACCEPT LOCAL

FTP TCP any 21 any any ACCEPT LOCAL

Domain UDP any 53 any any ACCEPT LOCAL

SMTP_TCP TCP any 25 any any ACCEPT LOCAL

POP3_TCP TCP any 110 any any ACCEPT LOCAL

POP3_UDP UDP any 110 any any ACCEPT LOCAL

NNTP TCP any 119 any any ACCEPT LOCAL

HTTPS TCP any 443 192.168.1.201 adresse_de_ma_banque ACCEPT LOCAL

HTTP TCP any 80 any xxx.xxx.xxx.xxx ACCEPT LOCAL

 

Est-ce que je pourrais modifier à ce niveau ?

 

sinon merci pour ta réponse et le lien sur ce forum que je vais "creuser"

Modifié le 23 février 2006 par berfizan

[Berfizan]

Bon, faut que je trouve autre chose, l'adresse change ts les jours ...