La sécurité des AliceBox : les réponses

 
Poster un nouveau sujet   Répondre au sujet    C-Alice.com > Le Cercle des Aliciens Index du Forum -> L'Atelier Thématique
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Busyspider
Adjoint-Admin
Adjoint-Admin




Inscrit le: 06 Sep 2005
Messages: 18511
Localisation: ............... >En votre compagnie<
MessagePosté le: 30 Nov 2006, 21:11    Sujet du message: La sécurité des AliceBox : les réponses Répondre en citant
₪ - La sécurité des AliceBox - ₪


Bonjour à tous,

Voici donc en retour de l' Atelier Thématique vos questions et les réponses ci-dessous apportées par un spécialiste Alice.



Merci de vos questions et voici nos réponses. Certaines de vos questions, certains d’entre vous veulent "ouvrir" leur wifi à des clients extérieurs. (hotspot communautaire). Nous vous rappelons simplement qu’il y a un rique de piratage via votre accès wifi.

Juklien
Je ne sais pas si c'est de la sécurité à proprement parlé, mais sauriez vous quand le contrôle parental sera disponible pour Mac OS X ?

-> Ce n’est pas prévu pour le moment.

Pierrick
Bonjour,
-Est-ce que la création d'un tunnel VPN entre deux AliceBox et un modem Orange est dangereux et facilement repérable, par conséquent attaquable par des pirates de l'internet ?

-> le vpn sera créé derrière l'alicebox, sur un pc/server (l'alicebox gère le vpn pass-through). Facilement repérable ??? si vous utilisez des ports non standard, c'est moins facilement repérable. Il n'y a pas de danger connu quant à l'utilisation d'un vpn à travers l’AliceBox

Quelle est la fonction du pare-feu de l'AliceBox, puisqu'il est désactivé ?

-> les ports entrants sont pas défaut fermés, les ports sortants ouverts. Ce qui signifie que l’abonné doit modifier des règles pour créer des serveurs derrière la box (ftp, serveur de jeu, etc.) mais qu'il n'a pas de problème pour surfer, envoyer des mails, (applications client), etc. Il n'est donc pas si désactivé que cela. On peut le désactiver (en mettant l'adresse ip lan du pc dans la DMZ), ce qui a pour conséquence d'exposer ce pc à toutes les attaques externes, mais facilite l'ouverture des ports pour la partie serveur (ftp, etc.) Nous préconisons l'utilisation des règles de NAT pour ouvrir uniquement les ports utilisés.

François38
A quand la possibilité d'activer ou de désactiver le Pare Feu de toutes les box via l'interface de gestion de celles-ci, sans faire tout un tas de manipulations "plus expertes". Car a priori certaines arrivent chez les clients avec le firewall désactivé...

-> par défaut le firewall est toujours activé, afin de protéger la totalité des clients.

Olive 1003
Comment sécuriser au mieux le wifi avec l alice box ?

-> par défaut nous fournissons une wep128, certaines box font aussi du wpa on peut aussi restreindre la liste des mac @ autorisée, cacher le ssid est aussi possible sur certains modems (comme l’hitachi)

Sgda
A quand une désactivation/activation de reaim dans l'interface html pour éviter de laisser traîner les ports associés ouverts ?

-> Votre question concerne probablement les règles de NAT. ReAIM est une sorte de proxy pour AIM, mais nous n’avons pas la réponse à cette question.

4lice
¤ Comment "cacher" la borne Wi-Fi de l'AliceBox Sagem Fast 3302, comme c'est le cas via la console d'administration de l'AliceBox Hitachi AH 4021 ?

-> Il n’est malheureusement pas actuellement possible de cacher la borne wifi sur le Sagem 3302

¤ Comment configurer le partage de sa connexion en limitant le débit pour les utilisateurs secondaires en Wi-Fi, afin notamment d'assurer à l'utilisateur principal (relié en Ethernet) une meilleure bande-passante pour la TVoIP, ou comment se définissent les priorités en matière de partage de bande-passante/débit entre la "cohabitation" Ethernet avec Wi-Fi ?

-> la tvoip est techniquement dans un tuyau virtuel différent que la VoIP et internet, le traffic TVoIP est priorisé (partie backbone).
il n'y a pas possibilité de faire de règle de bande passante selon le type de connexion lan (filaire eth usb ou wifi). On peut restreindre le wifi en le configurant en 802.11b (11Mbps à la place de 54 Mbps) , ou en le bridant dans le menu wifi à 1mbps.

¤ Comment établir un monitoring de contrôle avec l'AliceBox Sagem Fast 3302 afin de veiller sur le partage du réseau, et s'assurer que les utilisateurs secondaires en Wi-Fi font bon usage du réseau ?
Et + précisément : Comment sniffer les paquets (entrées/sorties) en Wi-Fi, qui transitent sur son propre réseau, afin d'en contrôler au mieux la sécurité, éventuellement mettre en place un système d'IDS (Détection d'Intrusion) ou encore, mais plus compliqué, authentifier les utilisateurs secondaires en Wi-Fi (par exemple, via certificat ou formulaire d'identification à chaque session de connexion, sinon via protocole réseau IEEE 802.1x) ?

-> La box ne peut pas « sniffer » le traffic lan (eth, usb ou wifi). En wifi wpa, on peut s'authentifier via un serveur radius (par exemple), ou bien fournir des clés wep différentes selon les utilisateurs et les désactiver si besoin.

¤ Comment contrôler/établir/gérer/vérifier le traffic du réseau ?

-> Plusieurs paramètres complexes permettent de vérifier le trafic réseau, tous ne sont pas présents dans les box, mais directement sur les équipements de notre réseau. On peut relever les compteurs dans les interfaces de la box, cependant cette info nue est inexploitable. Certains modems sont aussi accessibles en snmp. Mais attention, si vous souhaitez "ouvrir" votre wifi à des clients extérieur. (hotspots communautaires ou autre) vous serez tenu responsable en cas de piratage de votre accès (facturations WHA litigieuses par exemple !).

¤ Comment opter pour un "double-paramétrage" de l'AliceBox en dissociant les réglages en Ethernet des réglages en Wi-Fi ; et comment envisager un "double-routage" NAT ?
Par exemple : si l'on veut "ouvrir/rediriger des ports" EXCLUSIVEMENT/UNIQUEMENT en mode Ethernet MAIS SURTOUT PAS en mode Wi-Fi... Au niveau Firewall (Pare-feu) intégré, il serait intéressant d'imaginer ce "double-cas de figure" !

-> Nous avons choisi de ne pas différentier les utilisateurs ETH, USB ou wifi. Sur le modem Comtrend CT 633, ce n'est pas tout à fait le cas, on pourrait imaginer des règles de « nat » différentes, mais cela n'a pas été testé est n'est pas recommandé.
avec l'hitachi , par telnet, la commande "wlctl" permet de modifier beaucoup de paramètres wifi, comme le ssid … Wink




Nota Important : Tous les tutoriaux présents sur le forum sont la propriété de leur auteur. Il est interdit de les copier -même partiellement- sans notre autorisation. © Forum C-Alice --> Charte / Mentions Légales
_________________
Busyspider Ad-Administrateur C-Alice
Pas de questions par MP - Utilisez le forum- Merci.
> Liste Tutoriaux C-Alice > A Lire avant de Poster		La Toile de Busyspider
Aide pour les abonnés Alice
> www.busyspider.fr
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur
Chris92
Alice d'Or




Inscrit le: 14 Nov 2004
Messages: 2842
Localisation: Quelque part dans le 92 ... :o)
MessagePosté le: 01 Déc 2006, 20:21    Sujet du message: Répondre en citant
Merci à la direction de nous avoir répondu Wink
_________________
3 ans déjà ... waouh ça passe
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet       Le Cercle des Aliciens Index du Forum -> L'Atelier Thématique Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
Vous ne pouvez pas joindre des fichiers
Vous ne pouvez pas télécharger des fichiers




Powered by phpBB © 2001, 2002 phpBB Group
Traduction par : phpBB-fr.com
Mod Anti-Spam phpBB
© 2004-2005 - http://www.c-alice.com - Charte - Contact