La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => 
Anciens FAI => Opérateurs grand public alternatifs => 
citéFibre => Discussion démarrée par: le 02 décembre 2005 à 22:46:35
-
bonsoir a tous je viens juste de faire un teste de securiter sur zebulon et sur d'autre site aussi , est j'ai constater que tous les ports sont ouvert ...
sert pas a grand chose le parafeu de eazybox et pourtant jai un firewall aussi meme comme sa port ouvert comment configurer cette becane:lol:
ou est ce normal vous fait un screenshot du teste...
(https://lafibre.info/images/free/3190-PortsOuverts.jpg)
-
Il est peut-être bien ton screenshot, mais on voit rien :lol:
-
+1 :(
-
Faut voir la config de l'easybox mais à tout les coups tous les ports sont ouverts.
-
Le problème c'est que tes ports sont visibles, quand je fais le test tous mes ports sont masqués (sauf le 113 :hum )
-
comment tu fais pour configurer l'eazybox pour pas avoir tous les port ouvert :siff
-
Perso je vois rien de bizarre...
Le probleme du firewall de la gateway ou de l'eazybox est que justement les ports n'apparaissent pas masqués (stealth) face à un portscan, mais fermés (closed). C'est toujours mieux que d'avoir tous les ports ouverts, mais la becane derrière le firewall matériel est donc visible. Quand tout est stealthed, personne ne te lancera une attaque puisque ton adresse IP apparaitra comme 'non attribuée'.
Mais grosso-modo t quand meme protegé.
La solution pour être entièrement masqué serait d'ouvrir tous les ports du firewall matériel et utiliser un firewall logiciel correct.
-
ok mais connais pas =-C comment desactiver le firewall et utiliser plutot mon firewall perso ?
-
Moi pareil.
Je suis même impardonnable =-C car je test systématiquement mes installs clients :rolleyes:
Et même pas la mienne =)
Effectivement ces trois ports sont ouverts.
C'est plus ou moins compréhensible, pour la télémaintenance, quoique, ils n'ont pas le droit de regarder les configs que j'ai mis (ports que j'ai explicitement ouvert, config de mon wireless, ...) donc ça craint quand même :mad:
De plus le fait qu'ils soient 'ouverts' peut provoquer les plantages fréquents de la rgw en cas de tentatives d'intrusions ou d'attaques par dénie de service (DOS, DDOS) et par expérience dans mon boulot c'est régulier ce genre d'attaques (des serveurs passent leur temps à chercher des serveurs mal configurés pour s'en servir ...) !!
Outre ce pb de 'vie privée', reste à savoir si ces ports acceptent les connexions de n'importe où, car il ne suffit pas de 'voir' si un port est ouvert pour en déduire qu'il est accessible (un peu comme si la porte est ouverte mais il y a une vitre quand même et il faut la passer pour aller plus loin).
Les tests de ce genre quoi que utiles pour une vue 'générale' ne disent pas s'ils ont eu une bannière ftp ou telnet par exemple.
1 - la rgw peut avoir été configurée pour faire du filtrage par ip sur ces ports, c-a-dire que seules quelques ips bien choisies (axione ...) peuvent y accéder réellement au final (j'espère que ç'est au moins ça)
2 - si 1 ne s'applique pas, il doit y avoir 'normalement' sur ces trois port, demande de login/password, certe pas 'sécurisant' au max, mais déjà ça.
Reste à savoir alors si le compte 'root' (et autres comptes 'admin', administrator, de télémaintenance... forcement il y en a !!!) ont droit à connexion par l'extérieur, car si c'est le cas, comme ceux sont des noms plutôt 'classique', il faut mieux des password béton !!! (une bonne quinzaine de minuscules, majuscules, chiffres, ponctuations, pour éviter les attaques 'classiques' sur ces comptes 'classiques')
Hors c'est déjà pas avec le password de base de root qu'on est protégé !! CHANGEZ LE VITE AVEC UN COMPLIQUÉ !!
Y a intérêt qu'ils aient pas laisser la porte ouverte à la rgw !!!
Qu'ils aient un port ftp ouvert pour télécharger le firmware, passe encore, à condition que ce ftp ne permet que ça, mais qu'ils aient accés http et telnet, c'est pas bon du tout ça !!!
Il faut tirer ça au clair !
Je vais faire des tests d'intrusion plus poussés sur la mienne de l'extérieur.
-
b dit donc bien complexe tous sa moi avec mon ancienne routeur eu jamais sa :P
-
2 - si 1 ne s'applique pas, il doit y avoir 'normalement' sur ces trois port, demande de login/password, certe pas 'sécurisant' au max, mais déjà ça.
Reste à savoir alors si le compte 'root' (et autres comptes 'admin', administrator, de télémaintenance... forcement il y en a !!!) ont droit à connexion par l'extérieur, car si c'est le cas, comme ceux sont des noms plutôt 'classique', il faut mieux des password béton !!! (une bonne quinzaine de minuscules, majuscules, chiffres, ponctuations, pour éviter les attaques 'classiques' sur ces comptes 'classiques')
Hors c'est déjà pas avec le password de base de root qu'on est protégé !! CHANGEZ LE VITE AVEC UN COMPLIQUÉ !!
Y a intérêt qu'ils aient pas laisser la porte ouverte à la rgw !!!
Qu'ils aient un port ftp ouvert pour télécharger le firmware, passe encore, à condition que ce ftp ne permet que ça, mais qu'ils aient accés http et telnet, c'est pas bon du tout ça !!!
.
C'est evident qu'il faut changer son password de root puisque n'importe qui peut acceder a nos rgw en tapant notre IP, tant est si bien qu'il sache le mot de passe.
M'enfin pas compliqué pour qui connait les mots de passe classiques des routeurs ( 4 differents seulement existent).
Un erase est si vite arrivé.....
-
et comment changer sont pass root? :/
-
ODB64 :
Si l'ip n'est pas changée sur ta rwg par rapport à la livraison (si non un ipconfig en invite de commande sous win2k/xp te donnera la valeur inscrite sous le nom 'passerelle') :
Depuis ton navigateur : http://192.168.1.1
On te demande le login : root
Password : celui par défaut
Va ensuite dans 'Access control'
Clique sur le bouton 'Change Password'
La rgw demande l'ancien password + deux fois le nouveau et valide
Enfin sélectionne 'Save' dans le menu de gauche presque tout en bas.
-
perso, une fois la RGW ma bouffé mon mot de passe. J'ai du faire un erase pendant 1 minute derrière la RGW et tout re-configurer. Mais bon ca prend pas plus de 2 minute.
Pourtant mon mot de passe noter sur l'écran du pc
-
ok mes merci les gars je fais sa demain ;)
-
C'est absolument énorme! :o
Tout le monde depuis Internet peut accéder et foutre le bordel dans la config des Sagem... Sachant qu'au moins 90% des abonnés ne doivent pas avoir changé de mot de passe! Je me demande comment on a pu déployer quelque chose d'aussi peu sécurisé! Pour avoir le nom d'utilisateur et le mot de passe, ben il suffit de regarder dans la doc du Sagem!!! (4 caractères, tout de même...) Je suis certain que des hackers s'en sont déjà donné à coeur joie: ouverture de ports, accès aux PC internes...
De nombreuses solutions pourraient exister: changement du mot de passe par défaut (!), filtrage des adresses IP aux seuls vrais Admin, plusieurs comptes utilisateur (un local, et un distant), etc...
Pour info, la config de la Freebox n'est pas accessible par Internet. Tout ce qui concerne la configuration, les mises à jour, le contrôle des chaines TV, etc... se ballade sur un VLAN différent, c'est donc parfaitement étanche, et beaucoup plus sécuritaire! Seuls les serveurs de Free ont accès à la config de la Freebox. Cela oblige les utilisateurs à se connecter à un serveur pour modifier la config, qui est par la suite (après un reboot) téléchargée par la Freebox depuis le serveur.
Ah oui, au fait, j'ai vu partout que vous appeliez votre Sagem un "firewall", mais ça n'en est pas un!!! c'est juste un routeur NAT tout ce qu'il y a de plus basique! Ca améliore un peu la sécurité, mais n'empêche en rien une application (virus, cheval de troie) sur vos PC interne, d'accéder à tout ce qu'elle veut, par tous les ports qu'elle souhaite! Un vrai Firewall coute beaucoup plus cher qu'un routeur NAT. Si on vous fait de la pub en vous vendant un "Firewall", vous avez le droit de protester!
On vous aurrai pas menti à l'insu de votre plein grès, par hasard?
Leon.
-
D'accord avec toi, leon_m, sur le terme 'firewall' ... (j'ai utilisé aussi ce terme par excés de langage)
Pour les non initiés qui nous liraient :
FIREWALL :
Un firewall, non seulement défini ce qui peut 'entrer' mais aussi ce qui peut 'sortir'
Grosso modo, par rapport à la rgw, un firewall aura bien une page equivalente à la page 'servers' de la rgw (traffic entrant), mais la même page pour le traffic sortant ...
NAT (= Translation d'adresse réseau)
Lorque le Pc envoi un paquet vers une ip externe via la rgw (ou le firewall), celle-ci remplace l'ip du pc par la sienne coté Internet et envoie le paquet à l'adresse ip externe.
Lors de la réception de la réponse, la rgw (ou le firewall) fait l'inverse, remplace son ip externe par celle interne du pc qui a fait la demande originale.
Ainsi l'externe (ici Internet) ne 'voit' pas le pc mais que la rgw (ou le firewall).
Celà permet aussi donc de partager l'accès Internet (on n'a ici qu'une adresse ip Externe) par plusieurs pcs derrrière la rgw. Reste à la rgw de garder trace des demandes des pcs pour renvoyer les réponses de l'internet au bon pc.
Coté prix, il existe toutefois maintenant des vrais firewalls matériels pas aussi chers que ça. (certe pas avec toutes les possibilités d'un firewall complet ...)
Et les solutions logicielles pas chères (certe encore sans toutes les possibilités d'un firewall complet) et même certaines gratuites, il en existe aussi ...
(sans vouloir offenser ou polémiquer), un firewall basic tel que celui de XP SP2, quoi que 'basic' je l'accorde, permet ces règles de entrant ou sortants 'basiquement' (encore pour ne pas faire hurler ...)
Idem pour le firewall intégré à la solution Trend PC-cillin (firewall 'basic' + AV + anti-spam), ou certains autres produits
Il en existe aussi des 'gratos' sous Win32, mais je n'en ai pas en tête (à part zonealarm version gratuite, mais je ne me rappèle plus s'il fait dans les deux sens ... à vérifier)
Enfin il y aussi les solutions netfilter et/ou iptables (Linux), ou ipfilter (xBSD, donc FreeBSD)
Il me semble d'ailleurs avoir vu quelque part que l'un d'eux avait été porté sous win32, il faut que je retrouve où j'ai vu ça ...
-
Pour info, la config de la Freebox n'est pas accessible par Internet. Tout ce qui concerne la configuration, les mises à jour, le contrôle des chaines TV, etc... se ballade sur un VLAN différent, c'est donc parfaitement étanche, et beaucoup plus sécuritaire! Seuls les serveurs de Free ont accès à la config de la Freebox. Cela oblige les utilisateurs à se connecter à un serveur pour modifier la config, qui est par la suite (après un reboot) téléchargée par la Freebox depuis le serveur.
Voilà au moins une solution acceptable, même s'il reste le pb de 'vie privée' en ce qui concerne mes ports ouverts, ma config wireless.
Donc s'ils optent pour cette solution vlan et seulement pour faire du téléchargement firmware et n'avoir que la possibilité de toucher et voir ce qui les regarde uniquement (config téléphonie, tv, réseau de leur coté uniquement, du style les dns, la passerelle, l'ip fournie, ...), je suis ok
-
Je suis d'accord avec vous sur la définition d'un firewall, et j'ai aussi abusé de ce terme...
Cela dit ca parle plus aux novices...
Microsoft n'appelle t'il l'espèce de truc sensé gérer la sécurité dans le SP2 de windows XP, un Firewall ??? Il ne fait pourtant que bloquer l'entrant aussi =D
Feyb, sans polémiquer comme tu dis, c'est pourtant bien le cas.
Bref, oui c'est un abus de langage, mais quand tu lis les posts de ODB64 qui pose la question principale, autant faire simple...
Pour les firewall logiciels gratuits, je ne saurait que recommander Agnitium Outpost Firewall Pro qui a le mérite d'être light, efficace et pas chiant. Kerio personal firewall est super aussi mais on ne savait pas trop s'ils allaient continuer leur solution gratuite... Des nouvelles fraiches ici (http://www.clubic.com/actualite-29722-kerio-le-pare-feu-gratuit-sauve-du-naufrage.html) !
-
Exact Kalagan, pour XP SP2, j'ai juste oublié 'avec un addon' (non officiel et en alpha ... péché je ne sais plus où d'ailleurs ...)
Pour ceux qui sont tentés dans l'aventure 'Open Source' sans devoir mettre la main dans le 'cambouis' pour installer et configurer un firewall digne de ce nom, jetez un coup d'oeil sur 'monowall' http://www.m0n0.ch/wall/
Dans sa version CD, un vieux PC Pentium (même un 133 ou un 166!! moi j'ai encore ça ;-) comme quoi faut pas jeter forcement les vieux clous), 64Mo Ram, un lecteur CD et un lecteur disquettes (pour la config), même pas besoin de disque dur ...
Et HOP, un firewall avec VLAN support, pppoe/pppoa, vpn ipsec et pptp, gestion dmz multicartes, Nat, ... une interface de config http simple
Déjà comme ça, fini la rgw pour ceux qui n'ont pas pris la téléphonie et la télévision ...
Manque juste la gestion téléphonie MGCP et VoIP (RTSP) et encore HOP, la rgw à la 'poubelle' (plus la rendre) ... pour tous ...
Faut d'ailleurs que je regarde ce qui ce fait sur FreeBSD en téléphonie ... (j'ai quelques idées la dessus mais faut vérifier possibilités et intégration à monowall ...)
-
la je me suis remits mon parafeu que javais look'n'stop 2.05 tres leger et tres efficace.
je vais tester voir si les port sont toujour ouvert
et si il sont ouvert la ya un souci quelque part:lol:
-
Tu n'as apparemment pas compris le problème. Je réexplique: les 3 ports sont ouverts par le Sagem, et non par ton PC. Ces 3 ports, accessibles depuis internet, ne menent pas à ton PC (pas de redirection de port), mais sont utilisés directement par le Sagem pour des opérations de configuration et mise à jour. Ca fait que par défaut, tout le monde à accès aux outils de configuration du Sagem depuis l'extérieur, surtout que les comptes admin ont tous le même mot de passe, pas très dur à trouver... Bref, la sécurité n'est visiblement pas une priorité sur le PBC.
Mettre un pare feu sur ton PC ne changera donc rien: tu verra toujours ces 3 ports ouverts. Le mieux que tu puisse faire est de changer le mot de passe du Sagem, c'est tout!
Leon.
-
a ok je comprends mieux pour le mots de passe je les deja changer ;)
-
Déjà que certaines équipes sont incapables d'installer le modem, tu voudrais en plus qu'elles expliquent comment changer le mot de passe, ouvrir/fermer les ports ?
=D =D =D
-
La commande windows "netstat -an" liste les ports ouverts et connectés et à qui ils le sont, si vous faites "netstat -a"