Gravure-News

[Koba]

Comme expliqué dans un récent topic relatif au code de la route, j'ai acquis un modem-routeur sans fil Linksys WAG54G grâce auquel je partage ma connexion internet entre mon desktop (connecté en filaire) et mon laptop (connecté via le wifi).

La configuration de l'engin ne m'a pas trop posé de problèmes, mais un chose me chiffonne.

Dans l'interface web de configuration du WAG54G, il est possible de choisir soit l'option "Keep alive", soit l'option "Connect on demand". Si la première est activée et que les informations de connexion (login et password) sont fournies une fois pour toutes au WAG54G, la connexion s'effectue dès que le PC est mis sous tension et ne s'arrête que quand j'éteins le PC (ou le WAG54G, évidemment !). Bref, l'option "Keep alive" entraîne une connexion permanente.

Si j'opte pour cette option, il me suffit, sur mon laptop, de me connecter au réseau wifi pour pouvoir surfer.

Jusque là, vous me suivez ? O.K. !

Si j'opte pour l'option "Connect on demand", il me faut, pour pouvoir surfer, démarrer la connexion vers mon FAI, comme je le faisais jusqu'il y a peu avec mon modem Alcatel SpeedTouch Home.

Malheureusement, dans ce cas de figure, il m'est impossible, à partir de mon laptop, d'accéder à internet. Je peux sans problème me connecter au réseau wifi, mais après cela, je suis bloqué... Ouvrir Internet Explorer ou relever mon courrier ne donne logiquement rien, mais je ne peux pas, de mon laptop, initier la connexion vers mon FAI comme je le fais à partir de mon desktop. Si je crée sur mon laptop la même connexion que sur mon desktop et que j'essaie de l'initier, cela ne donne rien. J'obtiens le message "Connexion en cours via Mniport WAN (PPPOE)..." et rien d'autre...

Et il est indifférent que le desktop soit allumé et même que j'aie inité la connexion à partir de celui-ci. En toute hypothèse, si l'option "Connect on demand" est activée, l'accès au net est impossible depuis le laptop.

Or, je préférerais utiliser l'option "Connect on demand" plutôt que l'option "Keep alive" !

Quelqu'un aurait-il une solution ? Car le service technique Linksys, à qui j'ai envoyé un e-mail détaillé m'a répondu en moins de 24 heures en m'envoyant... les paramètres complets de connexions et en m'invitant à cocher "Keep alive" plutôt que "Connect on demand" ! Félicitations pour la rapidité, mais pour ce qui est de la compréhension du problème, bof...

[CptDobey]

Quand tu es en mode permanent, c'est le routeur qui se connecte, conserve l'adresse IP (seul le routeur sera visible depuis Internet). Les PC recoivent une adresse par DHPC (fournie par le routeur). Toutes les demandes de connex vers un adresse hors de ton range sont redirigées vers le routeur qui les route à son tour vers le net.

Je suppose que si tu actives le on demand, tu dois avoir sur le poste client un prog du genre RASPPOe ou Enthernet (avec un "n"). A défaut, et si tu as XP, tu as du dire quelque par que tu as un connex ADSL et fournir les info nécessaire
Exak ?

Si "oui", cela veut dire que c'est ton PC qui reçoit l'adresse IP Internet. Le routeur agit de façon transparente. Ca veut aussi dire que tu ne pourras pas aller sur le net avec les deux pc en même temps (en supposant que la connex du laptop fonctionne).

As-tu installé le même soft sur le portable ?
Le quel ?
La dernière version ?
Tu as essayé l'autre (Enthernet ou RASPPoe) ?
Tu as XP sur le portable ?
Il est aware de ta connex Internet avec un mot de passe ?
Le DHCP sur le routeur fonctionne même avec l'option on demand ?

Si tu utilises RASPPOe ou Enthernet, je subodore un blèèèm avec le wifi... ou la conf ip (pas de DHCP).

Pourquoi vouloir faire du on demand, l'autre est telement plus pratique.
Perso j'ai cracké mon Alcatel Speed Touch pour le passer en Pro et lui donner cette possibilité (avec le DHCP en prime). Que du bonheur.

[Laddyc]

Perso j'ai cracké mon Alcatel Speed Touch pour le passer en Pro et lui donner cette possibilité (avec le DHCP en prime). Que du bonheur.

moi aussi tellement plus pratique maintenant je suis passé à la livebox de la meme façon

[Koba]

O.K., la connexion permanente est plus aisée et pratique. Mais je n'ai pas tellement envie d'être connecté lorsque je n'en ai pas besoin, par exemple lorsque je copie un CD ou un DVD, lorsque j'encode un CD audio en MP3, etc.

En ce qui concerne les questions posées, un truc m'arrête, Dobey, à savoir ton affirmation que si j'opte pour le "on demand", il me sera impossible de surfer simultanément à partir des 2 machines. Si telle est la règle "on demand", alors, malgré ce qui précède, j'opterai pour une connexion permanente, car mon but est de pouvoir non seulement surfer à partir de n'importe laquelle des 2 machines lorsque l'autre est éteinte (là, pas de problème, quelle que soit l'option choisie) mais aussi de pouvoir me connecter à internet à partir des 2 machines en même temps (ce qui n'est pas possible, selon toi, si je suis "on demand", même correctement configurée).

T'ai-je bien compris sur ce point ?

[CptDobey]

Tu m'as bien compris.

Mais pour confirmer mon affirmation j'aurai besoin de savoir exactement comment tu procèdes pour te connecter quand tu es en on demand
(autrement dit: que tu répondes aux questions que je t'ai posées ).

Si ta douce paranoïa te fait avoir des craintes lors de tes diverses occupations informatiques, il existe une solution simple: installer un firewall software (comme ZoneAlarm) sur les PC. Ils ne servira pas à te protéger de l'extérieur (le routeur le fait déjà), mais il te préviendra lorsqu'un programme tente de joindre internet. A toi de dire "ok" ou non.

C'est d'ailleurs comme cela que je procède (et tu n'imagines mêmes pas tous les prog qui vont (essayent d'aller) sur le net sans rien te dire).

[Scaramanga]

Une autre solution pour nr pas être connecté quand on le souhaite ( mais très technique) consiste a débranché le câble .....

Ouias , c'est vrai ça , Koba t'es vachement parano ! Jamais vu ça qu'on veille pas être connecté tout le temps....Surtout avec un routeur parefeu !

[Koba]

M'enfin, vous romancez, les jeunes ! J'suis pas parano ! La preuve : avant de bénéficier du firewall intégré au routeur, je travaillais avec comme seule et unique protection (si c'en est une, rétorqueront certains)... Norton Anti-Virus 2003 ! Je n'avais aucun firewall logiciel, pas même celui intégré à XP. Si, si !

En l'espèce, je ne vois simplement pas l'intérêt d'être systématiquement et continuellement connecté... Et actuellement, quand je ne le souhaite pas, je ne débranche pas le câble, j'éteins le routeur ! Na !

Je tâcherai de répondre aux questions posées prochainement, mais il me faudra un peu de temps, ne serait-ce que pour bien les comprendre...

[CapJack]

Si on est parano comme Koba , et qu'on ne veut pas s'emm**, reste à installer Zone Alarm, et de cocher "Arrêter toute activité internet" quand on veut être protégé... C'est comme si on était déconnecté !

[Spilou]

A propos de ZoneAlarm, j'ai trouvé ceci :

Its not that you router will not have enough "flexibility" per-se as the
issue is how many ports you can have "mapped" based on a small amount of
memory those routers contain. Meaning... you are basically running a
mini-DHCP server on those routers. That DHCP capability requires memory (to
hold the algorithms to even perform such a task) as well as memory for
holding the "customizations" you desire. Those customizations traditionally
are "Port Mapping Tables".

If you play only a couple of games, that use limited ports, you'll be fine.
However, if your games/apps require a large number of ports (and port
ranges)... you'll reach a critical plateau of what you can do... since you
are now limited int he total number of ports you can map.

This plateau is the sole reason why the DMZ (short for DeMilitarized Zone)
concept exists on those routers. The concept is simple... we have limited
memory to house/store the port mapping tables... so we assign a small
portion of the memory for a "master rule" which basically tells the router
"If it isn't in the port mapping table... forward it to the DMZ for
processing/handling".

However, this can have grave security issues... since the DMZ is a "High
Level Rule" that basically renders your "NAT firewall properties" null &
Void. The reason behind this is simple.... your NAT "Firewall" isn't really
a firewall at all. In fact... all it does is rely on the fundamentals of how
a hacker would enter your system.

Meaning:

For a person to enter your system.. he needs to be "let in". This means he
has to first find a "Port" that is open. If the port is open, and there is a
process handling/listening for requests on that port... it will send back a
"return handshake". After the handshake is established... the hacker can
pass data to the process that is listening (he now has a process that is
willing to listen to him), and if the hacker knows a specific vulnerability
in that particular process... he can exploit the system.

So... all the NAT is doing is basically not replying, unless it is in the
port mapping table. No reply = no entry possibilities. The funnier thing
is... your computer already functions this way!

This is also why I find it somewhat comical that Zone Alarm even tells
people about outside requests on ports. I mean... @Home itself (the ISP) is
known to scan certain ports on its own customers to ensure that they are not
hosting servers (like FTP servers) which is a violation of their Licensing
Agreement. You can scan a computer until the cows come home, and even pound
on the door as hard as possible (regardless of OS)... it has no effect
unless something on your puter REPLIES, and then (only then) the hacker must
now hope that the replying program has a vulnerability that he is aware of.

All Zone Alarm does is rely on the ignorance of its users to form a false
sense of security and need. I mean... how many times in here have I heard
guys say "Oh thank goodness I have Zone Alarm... I had 50 attempts to get
into my system just last week... Zone Alarm told me so!". It is simply
purposely invoked hysteria by Zone Alarm to try to up their value/need in
the end user's eyes. Zone Alarm is about as useful as an Ice Salesman at the
North Pole. If you have given Zone Alarm permission to allow programs to
listen on ports, and those programs have vulnerabilities.... Zone Alarm is
100% useless.

Think about it... you give access to ICQ to listen on ports (because Zone
Alarm prompted you, identified it as ICQ as the requesting program to open
the port for, and you said YES)... Say now that ICQ has a vulnerability...
THAT is where the hacker attacks... the PROGRAM. Its the same thing with
email... you open ports 25 and 110 for email. After that.. anything that
comes through those ports is allowed (directed to email prog), if the email
prog has a vulnerability... Zone Alarm is useless... and the attacker gets
in.

Basically, a hacker can beat on the door all day long, and not get anywhere,
since he is not getting a "return handshake" since nothing is listening on
that port. COMPUTERS are not vulnerable to attack... PROCESSES/PROGRAMS are.

So... knowing this.. the moment you set up a DMZ (because of the memory
limitations inherit in 99% of the Home Based Routers on the market)... is
the moment that you tell the router to "ship it off to the afore-told
computer for processing" (or lack thereof). This is also why it is called a
"DeMilitarized Zone"... since that is exactly the effect it has on
security.... it is a security detour of sorts.

This is why I all hardware home routers "limited". They don't really do
much, except allow basic functionability. A software proxy on another
machine is far more robust, and still posesses all of the security features
(and more) than hardware routers.

Mon niveau d'anglais n'est normalement pas trop mauvais, cependant je ne saisis pas bien tous les détails et j'ai du mal à en tirer des conclusions pratiques.
Est-ce quelqu'un qui aurait compris ce texte pourrait résumer en quelques mots ce qu'il implique comme conclusions/conséquences ?
Merci!

[CptDobey]

En gros:
"Les routeur physiques, pour des questions de mémoire, ne vont pouvoir réellement te fournir qu'un minimum de protection, surtout si tu ouvres beaucoup de connexion simulanément (par des port différents). Quand la mémoire est plein, ils bascule la gestion des risques vers un process plus simple, qui basiquement ne fait pas grand chose.

A coté de ça, ZoneAlarm peut donner une fausse impression de sécurité, car si tu as définis des autorisations de passage de et vers internet, alors, si les programmes bénéficiant de ces autorisations présentes une faille, un hacker pourra utiliser cette faille pour passer chez toi. Le routeur physique laissant passer le machin, et ZoneAlarm aussi, vu que tu lui as dit de le faire.

Ce n'est pas l'ordi qui est vulnérable, mais les programmes qui écoutent sur certains port. Un hacker ne pouvant (essayer d') entrer que s'il trouve un port qui répond (handshake) à une solicitation. Les alarmes de ZA, ne sont jamais que les rapports de telles solicitations sur des ports ou aucun programmes autorisés n'écoutaient. Bref des trucs qui n'auraient mené à rien, car rien ne pouvait répondre. S'il y avait eu derrière ce port un programme autorisé à écouter/répondre et présentant une vulnérabilité, alors le hacker aurait pu rentrer sans que ZA ne dise quoi que ce soit."

Ce qui est marrant, c'est que le gars à l'aire de dire que tout ça ne sert pas à grand chose, mais que c'est bien d'en avoir quand même...

Perso, j'ai ZA pour une seule raison : contrôler les machins qui veulent sortir / écouter, sans me demander d'abord si je suis d'accord. De plus j'évite tous les programmes touchy, genre tête de mule, torrent de byte, enleveur-de-check-du-cd-du-jeu--que-j'ai acheté-car-j'ai-la-flemme-de-le-mettre-dans-le-lecteur, et cie. Faut pas tomber dans la parano, mais un poil de prudence c'est pas mal.

[Spilou]

Merci de tes lumières , Captain'!