Freebox : activation du NAT et protection contre les attaques

, par  Genma , popularité : 4%

Faisant suite au texte sur le firewall, où j’indiquais l’utilité de Firestarter et les différentes tentatives de connexions sur mon PC, article écrit au moment où j’étais en IP fixe, mais celle de ma Freebox (car elle n’était pas encore configurée en mode routeur/NAT...), je mettrai ici une synthèse de différents messages du forum de Linuxfr.org.

La Freebox configurée en routeur NAT protège efficacement les PC d’un réseau locale des attaques extérieures. Pour s’en convaincre, il suffit d’activer le firewall graphique (Firestarter) sur un des PC et de vérifier les logs : on ne doit plus voir de paquets suspects...

Si un hacker tent d’accéder au réseau privé depuis internet en utilisant comme IP source directement une adresse privée telle que 192.168.0.X, comme celles-ci (en théorie) ne sont pas routées par les routeurs d’internet, au premier routeur rencontré, le packet sera envoyé à la poubelle. Toutefois, il doit être possible de trafiquer les entêtes de paquets IP et de faire croire que l’adresse IP est une adresse source du style 192.168.0.X et en destination l’adresse de la freebox que l’on souhaite hacker, le but étant de faire croire que cela vient du réseau local. Mais là encore, même si la freebox reçoit le paquet (si il a pas été supprimé par un routeur bien paramétré avant...), comme dans sa table de correspondance elle ne verra pas de relation avec des connexions déjà existantes entre les PC du réseau local, et le paquet sera supprimé.

Il est également possible, si on le souhaite et si on le configure de rediriger des ports de la freebox vers une des machines du réseau locale (la freebox se contente alors de relayer tout ce qui arrive sur le port 80 vers le pc 192.168.1.2, par exemple). Si cette redirection n’est pas activé, tout ce qui arrivera sur l’IP de la freebox sera vu par elle comme lui étant destinée : elle ne fera rien suivre et ne réagira pas.

Le NAT de la freebox semble donc un bon moyen de protection : ce n’est pas a proprement parlé du "firewalling", mais les conséquences y ressemble pour beaucoup. La freebox faisant de la translation d’adresse (NAT), les pcs du réseau local (en théorie) ne craignent rien pour toutes les attaques venant d’Internet vers un port qui n’est pas routé explicitement par la freebox.

Qu’est-il d’un scan des port de la freebox : quels ports sont ouverts ? Si on est en NAT, un Nmap de l’adresse publique de la freebox (Rappel : cette pratique est interdite en France et est assimilée à du piratage), on aura la liste des ports ouvert sur cette Freebox (Par contre si on est en IP fixe mode non routeur, c’est sur le PC).

En conclusion : (toujours théorique), pour accéder a une machine se trouvant dans un réseau local depuis internet il y a 3 solutions :
 réussir à se se connecter sur la passerelle et faire une connexion vers le réseau local ;
 que la passerelle fasse de la redirection vers un IP ou une IP+port (forward) ;
 quelle la passerelle est un trou de sécurité...

Par contre, un firewall est utile pour surveiller les connexions sortantes : il permettra par exemple d’empêcher un trojan d’accéder à internet. (D’où l’importance de ne pas utiliser de logiciels piratés, premiers porteurs de ce genre de "virus".

Si on est dans un "grand réseau" (plusieurs postes), le plus simple est de mettre en firewall commun à tous (une machine dédiée), plutôt qu’une version logiciel sur chaque poste.

Pour en savoir plus sur la redirection de port, le site Freenews l’explique très bien.

Pour le NAT, Protection - Translation d’adresses (NAT)