APEUL - Livebox asso - Orange

Le parefeu de la livebox ProV2 propose différents niveaux de protection (Mode de sécurité).

Tout d'abord, quel que soit le réglage du mode de sécurité, toutes les connexions initiées de l'extérieur seront systématiquement bloquées par défaut. En cas de besoin, il faut impérativement les autoriser (Paramètres avancés NAT/PAT ou DMZ). C'est le cas si l'on dispose d'un serveur (web, ftp, etc.) sur un équipement de son réseau local et que l'on veut permettre à un ou des utilisateurs extérieurs d'y accéder directement.

Quand le mode de sécurité du parefeu est réglé sur faible, il permet l'utilisation de tous les ports et de tous les protocoles pour communiquer entre un ordinateur du réseau local (LAN) et l'extérieur (WAN) (connexion initiée à partir du LAN).

Le réglage sur moyen (réglage par défaut) bloque simplement, par rapport au faible, les ports Netbios 135,136,137,139 et 445 pour les protocoles UDP et TCP.

Le niveau élevé est beaucoup plus limitatif. Sont autorisés uniquement, pour communiquer avec l'extérieur, les services les plus courants à savoir http (TCP:80), https (TCP:443), ftp (tcp:21), ftp-data (tcp:20), DNS (TCP et UDP:53), Telnet (TCP:23), SSH (TCP:22), IMAP (TCP:143), IMAPS (TCP:993), POP3 (TCP:110), POP3S (TCP:995), SMTP (TCP:25), SMTP-Auth (TCP:587), NNTP (TCP:119), NTP (UDP:123), Ping (ICMP-code_0-type_8) et UNIK (UDP:500 + UDP:4500 + protocoles 50 et 51).

Enfin, le niveau personnalisé permet de rajouter (et de supprimer) un certain nombre de services prédéfinis (liste déroulante) en plus de ceux du niveau élevé. Il permet aussi de définir des services supplémentaires, avec les protocoles UDP et TCP. Le protocole "Tous" est équivalent à UDP+TCP dès lors que l'on définit des numéros de port dans une règle personnalisée. On peut cependant recréer rigoureusement l'équivalent du niveau faible : on donne un nom au "service", "Tous" dans la case "protocole" et les autres vides (dans ce cas particulier, "Tous" est interprété comme l'ensemble des protocoles : voir http://www.iana.org/assignments/protocol-numbers/). L'intérêt de cette dernière proposition est de pouvoir activer la réponse au "ping" de la livebox en conservant un réglage non restrictif (problème spécifique à la version 610328, corrigé dans les suivantes).

A moins de vouloir limiter les possibilités d'accès à l'extérieur de l'ensemble des utilisateurs de son réseau local (c'est souvent le cas en entreprise), on ne peut que conseiller de rester sur le réglage par défaut (moyen) qui permet d'utiliser tous les protocoles sur tous les ports (à l'exclusion du NetBios) pour communiquer avec l'extérieur.

Pour ce qui concerne les connexions initiées de l'extérieur, on doit avoir autorisé leur entrée vers un équipement (adresse IPLAN statique) et défini les ports externe (vu coté WAN) et interne (côté LAN, celui utilisé par l'application serveur) au niveau des règles NAT/PAT (Paramètres avancés). Une liste de services classiques est prédéfinie (liste déroulante) et dans ce cas on n'a pas besoin de reinseigner ports et protocole (c'est automatique). On peut définir des services particuliers, mais cependant cette opération ne peut être réalisée que pour les protocoles UDP et TCP.
Si cela constitue une restriction vis-à-vis d'un besoin très particulier, on doit utiliser la DMZ : un équipement placé en DMZ recevra toutes les connexions initiées de l'extérieur (quel que soit le protocole) qui ne font pas l'objet d'une règle NAT/PAT vers un autre équipement (donc un seul peut être en DMZ).
La DMZ doit être utilisée avec prudence car l'équipement subira l'ensemble des tentatives de connexion et, en particulier, celles destinées à exploiter des failles logicielles de ce dernier.

Compléments relatifs au mode personnalisé : Comme cela a été vu plus haut, ce mode est essentiellement là pour permettre des restrictions d'emploi. On peut cependant cibler ces restrictions à certains ordinateurs de son réseau local. Pour cela il suffira de préciser dans les régles, au niveau "IP source", l'adresse IPLAN de l'équipement concerné (que l'on aura configuré en mode statique). On peut aussi apporter des restrictions quand aux destinations (IP destination) et là encore, éventuellement, les cibler à certaines machines de son réseau.

A titre d'exemple, on pourrait appliquer le niveau élevé à l'ensemble des ordinateurs du réseau (c'est le réglage par défaut du mode personnalisé et il peut être encore restreint en désactivavnt des services) et autoriser une machine particulière au niveau faible par une règle ciblée sur son IPLAN (statique).

L'ordre des règles à une importance, mais il faut savoir que les règles de rejet sont toujours traitées avant les règles d'acceptation.