test sur parefeu comodo non valide

bonjour a tous !

apres plusieurs jours de recherches sans solutions, je viens m’informer pres de vous. J’ai installé dernierement le pare feu comodo firewall 4.0.141842.828, l’installation s’est bien passée. Toutes fois j’ai voulu faire un test de configuration grc.com. dans filesharing tout est ok, dans commo ports :Solicited TCP Packets: PASSED Unsolicited Packets: PASSED Ping Reply: RECEIVED (FAILED).
Ce failed m’intrigue un peu, je ne sais pas comment solutionner ce probleme et s’il y a des risques encourus a ce message d’erreur.
Merci d’avance pour vos informations :slight_smile:

Bonjour,

Êtes vous derrière un routeur (avec une adresse ip ressemblant à 192.168.X.Y) ?
Aussi, quel est votre FAI et votre modem / box ?

bonsoir et merci de votre 1ere reponse, je pense que pour l’adresse ip c’est le cas , mais je n’en suis pas sure.
j’ai sfr neuf box en fai avec comme modem un sagem f@st 1500

Pour en être sûr, touche Windows + R, puis tapez « cmd », enfin dans la console tapez « ipconfig », cela apparaitra dernière une des lignes Adresse ip.

Si c’est bien le cas ce qui a de grande chance de l’être, tous les scans ne servent à rien car c’est votre modem qui est scanné et non votre ordinateur et Comodo.

Pour ce qui est de la réponse au ping, par défaut tous les modems et box répondent au ping, mais il permettent aussi de désactiver cette option. Pour le f[at]st 1500, c’est possible en allant directement dans la configuration de votre modem. Pour y accéder, vous devez aller sur l’interface de ce dernier en tapant son adresse dans un navigateur. Pour la connaitre, c’est aussi votre passerelle que vous verrez aussi dans la commande ipconfig donné au dessus, généralement 192.168.0.1. Un mot de passe vous sera demandé, par défaut, cliquez simplement sur « Login » sans ajouter de mot de passe.

Une fois connecté, allez dans « Firewall » puis « Intrusion detecter », cherchez la ligne « Discard Ping to WAN » et passez la sur « Enable »
Il faudra peut être redémarrer votre routeur mais suite à cette modification, il ne devrait plus répondre au ping.

merci pour toutes ces instructions , j’espere maintenant pouvoir les realiser ! j’ai ete dans la commande ipconfig , ca se presente sous cette forme 192.168… la passerelle par defaut 192.168… puis carte ppp adresse ip completement differente (??)
qd je me rends dans la partie configuration du routeur, tout est en francais
information.configuration.systeme.reseau distant.reseau local.reseau sans fil.nat.parefeu.
dans parefeu j’ai controle de l’acces / filtre mac et blocage d’url
n’ayant pas vraiment comme vous me l’avez dicté je suis un peu perdue

J’ai utilisé le manuel disponible sur le site de sagem, http://support.sagemcom.com/site/livret/288053220-03_SAGEM_Fast1500-en.pdf

Normalement, ça devrait être ça.

Il a quel âge, ce modem?

De mémoire, ce n’est pas un modèle récent (ne voulant pas dire pour autant, si c’est le cas, qu’il ne fonctionne pas bien, mais que sa doc n’est pas forcément facile à trouver si pas fournie par neuf avec le modem lui-même: il y a probablement quelque part un fichier pdf de mode d’emploi fourni avec).

Certains FAI, et neuf en fait je crois partie, n’utilisent pas par défaut l’interface du modem telle que fournie par Sagem ou une autre marque tartempion, mais construisent leur propre interface, ce qui rendrait compte des différences observées entre ce qui est rapporté par Shaoran et Kata.

A noter que les anciens modems neuf sont codés “en dur” par un fichier crypté en base64, que l’on doit “truander” si l’on désire modifier certains paramètres par défaut, l’interface modem elle-même ne le permettant pas.
La technique se trouve sur le web, mais ne vaut pas le coup d’être mise en oeuvre par quelqu’un d’inexpérimenté simplement pour une histoire de ping, dans la mesure où elle consiste à relire une version modifiée du firmware, et peut donc “vous mettre à la porte” si mal conduite.

bonjour Shaoran et Brucine :slight_smile:
j’ai ete voir le fichier de Shaoran, je n’ai pas tout a fait comme stipuler dans le pdf, et de plus c’est en anglais (pas ma tasse de thé :-[). je n’ai donc rien trouver de ce que je pouvais faire pour solutionner.
a lire Brucine, il est peut etre difficile de realiser le blocage ping sur ce modem pour les differentes explications fournies. Selon vous je peux donc rester ainsi ?
merci pour cette intervention Brucine
(mon modem a qq années oui, 3, 4 ans)

Même si le routeur ne prévoit pas de bloquer le ping (c’est le cas de certains modem club internet/neuf sauf à trafiquer le firmware qui, également, laisse certains ports sensibles ouverts), grc ou ce qu’on voudra pingera le modem, et pas les pc dès lors que ces mêmes requêtes ping sont interdites par CIS en aval (règle globale, icmp, block echo request; autoriser en amont des règles le contraire pour le réseau local s’il y en a un…).

Quand bien même, et quoi qu’en dise grc, le routeur et les pc seraient pingables qu’on s’en f…:
Si la sécurité firewall/defense+ est correcte par ailleurs, on sera visible par ping, point barre.
Cet état de choses ne permet pas pour autant d’ouvrir une porte, et tout au plus accroît la visibilité pour les guignols qui utilisent des logiciels parcourant aléatoirement telle ou telle plage d’ip.

Il faut raison garder: si, ping ou pas, firewall/defense+ ou pas, il se trouve en face un pro ou un amateur éclairé, il y a toujours une faille, y compris dans les ordinateurs du Pentagone, et elle sera toujours trouvée.
Si cette faille n’est pas patente ou immédiate, les guignols amateurs ont mieux à faire qu’à perdre leur temps à pénétrer une machine modérément protégée et sur laquelle a priori ne se trouve rien d’intéressant, tandis que des foules de machines sans aucune protection, et donc sans aucune perte de temps, continuent à leur tendre les bras.

Tout ce qu’on peut vouloir savoir pour trafiquer une NB4 (ne s’applique probablement pas aux modèles plus anciens).
Et bien sûr, affaire de geeks, ne surtout pas y toucher si l’on ne sait pas exactement ce que l’on fait (encore une fois, juste pour une histoire de ping, pas sûr que le jeu en vaille la chandelle):

http://www.neufbox4.org/wiki/index.php?title=Accueil

La règle au sein de comodo n’est pas très utile en terme de sécurité : une fois l’ip publique et l’accès au routeur acquis il est facile de retrouver les adresses ip du réseau local (si je ne m’abuse…).

Heu, si, même sans pare-feu, tu arrive à avoir l’ip d’un réseau locale privé depuis l’extérieur, je veux bien un cours xD

Personne ne dit qu’il y a plein accès au routeur, mais seulement qu’on peut éventuellement le pinger (certaines box sont réglées par défaut pour laisser ouvert le port 135, ce qui est plus ennuyeux).

On ne peut par définition pas pinger directement de l’extérieur une adresse ip locale, puisqu’elle n’est pas routable.

La règle Comodo, si mise en place, va empêcher que la requête d’écho soit “forwardée” de ce routeur vers le poste réseau où elle est mise en place mais, encore une fois, quand bien même ne serait-ce pas le cas que cela n’a pas grande importance: le véritable enjeu est qu’il n’y ait pas autre chose que ce ping d’autorisé, et c’est le rôle des règles du logiciel de sécurité que de l’assurer autant que possible, répétant encore une fois qu’un système “zéro faille” n’existe pas; quand bien même dans ces conditions connaîtrait-on les ip locales que cela n’aurait pas grande importance, et poursuivant le raisonnement jusqu’au bout, même ne les connaissant pas et assumant que l’accès ping au routeur conférerait le plein accès au réseau (ce qui n’est pas vrai), qu’il serait facile de scanner les différentes plages d’ip locales à la recherche de ce qui répond.
On peut, à cet égard, rappeler que l’ip publique fixe de n’importe quel site institutionnel (appelez-le Microsoft, Comodo ou ce que vous voulez) est par définition visible à tous, et que ce n’est en principe pas pour autant que tout le monde peut s’y balader où il veut.

Une telle situation est bien sûr plus ennuyeuse sur un réseau local non seulement vis-à-vis du ping, mais du contrôle de tous les paquets, puisqu’elle conduira forcément à écrire des règles différentes sur chacun des postes réseaux, démarche redondante et fastidieuse: à l’extrême, seul un firewall matériel, ou logiciel performant intégré au routeur est à même dans ces conditions d’assurer une réelle sécurité mais, puisque les firewalls intégrés aux box sont toujours absents ou rudimentaires, il n’existe pour le particulier de solution que de “pis-aller” consistant à installer (de préférence le même) logiciel de sécurité sur chaque poste.

Une autre démarche consiste à connecter un seul vieux pc directement au routeur, et à connecter les autres pc réseau en aval de ce dernier en partage de connexion, seul le pc en tête de réseau disposant alors des logiciels de sécurité, et ne devant lui-même jamais être utilisé pour quoi que ce soit d’autre que ce seul rôle filtrant.

C’est impossible de forwarder un ping, et cela n’a pas de sens.
La règle de Comodo est là dans le cas où il n’y a pas de routage NAT, auquel cas l’ordinateur est directement connecté à Internet sans aucune protection autre que son propre pare-feu. Ce cas est toutefois de plus en plus rare aujourd’hui (en France en tout cas)

Le routeur apporte grâce au routage nat une protection sans aucun besoin pare-feu intégré vu que toute requête extérieur sans initialisation depuis le réseau local ne peut être routé sauf par règle préétablie ou dynamique avec l’upnp.
On peut même s’en servir plus finement en créant une DMZ vers une adresse inexistante, auquel cas, on a un black hole maison.