Bonsoir � tous,
Merci � tous ceux qui m'ont r�pondu sur ce sujet, je m'instruis beaucoup ici
:)) !
Il me reste quand m�me 2 ou 3 doutes ... je m'explique :
> FTP comme TELNET comme POP3 et d'autres v�hiculent les login mot
> de passe en clair sur le reseau.
> En gros, c est facile en "ecoutant" de facon illicite le traffic
> reseau de recuperer ces infos la
Oui OK, je l'ai d�j� fait avec l'analyseur de trames de NT Server (eh oui
j'ai honte, mais il faut bien commencer quelque part ;) ... mais bon il vaut
mieux conna�tre l'heure exacte du login pour �couter � ce moment-l�, sinon
y' a � boire et � manger pour des semaines en interceptant les paquets sur +
de 2 min. !
> TCP/IP�est au dessus d'Ethernet (puisqu on parle le MAC address)
> et donc les paquets TCP/IP qui sont encapsul�s dans des trames
> ETHERNET n'ont aucune info sur les MAC address.
Ah bon ? je pensais que les en-t�tes des paquets IP mentionnaient au moins
la MAC-Adress de l'exp�diteur, qu'on aurait pu retrouver en
filtrant/interpr�trant les en-t�tes avec un script, ou mieux en recompilant.
Je pensais aussi que les couches OSI tenaient respectivement compte des
pr�c�dentes ( couche 2 pour la MAC Adress, prise en compte dans les couches
3 et 4 pour TCP ) ... bon ben C tout, je suis ben d��u alors .
> J'ajoute que la MAC address n'existe que sur ETHERNET donc si t
> as un client sur un reseau TOKEN-RING => pas de MAC ADDRESS.
Vi je suis d'accord, tu as raison.
> Enfin, et de toutes facons sauf si les clients sont dans le meme
> sous reseau que ta propre machine, quand les trames ethernet
> arrive sur ton PC par ta carte ethernet, la trame ethernet
> contient comme destination address l'address MAC de ta carte
> ethernet, et comme source address, l'address MAC que la gateway
> d'acces � ton sous r�seau (un routeur par exemple) puisque le
> paquet IP arrive directement de la gateway.
>
> Donc pour conclure, le filtrage des acces TELNET ou FTP ou tout
> autres services TCP/IP ne peut etre bas� que sur des adresses IP,
> des ports TCP/UDP et eventuellement on peut filtrer les acces a
> des utilisateurs (voir PAM).
Ah, je n'y avais pas pens�, c'est juste ;) ... donc ca r�gle la question,
mon id�e n'est pas r�alisable, merci Fr�d�ric !
> En tout cas moi ce que j'en dis pour un PC "poste de travail" a la maison
c'est
> de bloquer TOUT services (telnetd, ftpd, fingerd, serveur pop/IMAP) on en
a pas
> besoin pour naviguer sur le net.
Si je choisis de bloquer les ports 21, 23, 25 et 110 par exemple, ca risque
de me poser des probl�mes ensuite avec les applis *clientes* qui utilisent
ces ports (messagerie, client FTP, telnet ...), non ? Et si je d�sactive les
d�mons (services) correspondants, ca pose des probl�mes aussi pour les m�mes
applis ?
>> ET � bien utilis[er] les fichiers /etc/hosts.allow et /etc/hosts.deny <<
> Si on utilise host.allow, on a d�j� beaucoup moins besoin de hosts.deny
;-)
Mon truc, C T d'interdire tout dans hosts.deny, puis d'autoriser seulement
en fonction des besoins dans hosts.allow ... bien s�r s'il y a une meilleur
m�thode, ca m'int�resse,
mais je m'�tais dit qu'appliquer strictement la d�marche inverse des gens de
Seattle ;), c'�tait forc�ment mieux pour la s�curit�, qu'en pensez-vous ??
Merci, bonne soir�e et bon week-end � tous,
Guillaume
[EMAIL PROTECTED]
