Note: Les images de ce document proviennent d'un firewall Linksys Model BEFSX41 mais cette configuration est très similaire à un modèle BEFSR41.
Avis important:
Ce guide est présenté à des fins éducatives seulement. Nous ne sommes pas responsables des mauvaises manipulations de votre part. Si vous êtes à l'intérieur d'une entreprise, consultez le responsable de la réseautique avant de poursuivre cette procédure.
Lire en entier avant de mettre en application.
Cette procédure s'applique autant pour ceux qui partage une connexion internet à plusieurs ordinateurs qu'à ceux qui ont un seul ordinateur.
Le shéma qui suit représente sommairement les explications présentées dans ce document. Cette architecture réseau domestique préconise un adressage statique (manuel) des cartes Ethernet de chaque ordinateur.
On ne doit donc pas obtenir une adresse IP automatiquement sur les ordinateurs. Seul le routeur LinkSys obtient une adresse IP dynamiquement de votre fournisseur Internet.
Ce shéma présente un réseau local privé ainsi qu'une zone démilitarisée (DMZ). Le réseau local est entièrement sécurisé. La zone DMZ permet d'offrir des services Internet comme un serveur Web ou un serveur de fichiers FTP mais n'est pas aussi sécure.
Peu d'utilisateurs ont besoin d'une DMZ. Pour la majorité des utilisateurs, ignorez simplement cette partie du shéma (serveur). Cela ne change en rien la méthode pour configurer son réseau privé entièrement sécurisé afin de pouvoir jouer à Falcon 4, utiliser Roger Wilco, ICQ ainsi que Battlefield 1942 et Battlefield Vietnam.
Lorsqu'on insère un aiguilleur (routeur) entre son modem DSL et son ordinateur, on scinde son réseau informatique en deux parties distinctes. Un réseau privé et un réseau public.
Une fois votre réseau scindé en deux parties distinctes à l'aide d'un aiguilleur, on attribue un adressage privé à un réseau d'un côté, puis un adressage public de l'autre et une passerelle (aiguilleur) qui permet de faire le pont entre ces deux réseaux indépendants.
L'adressage 192.168.0.0 est une classe d'adresses IP qui n'est pas transportée sur le réseau public par aucun aiguilleur utilisant le protocole TCP/IP dans le monde. Votre réseau privé est donc totalement isolé du monde Internet.
Sans un aiguilleur, il serait donc impossible de connecter un réseau privé au réseau Internet.
Ainsi, on est assuré qu'aucune connexion ne peut atteindre un ordinateur de notre réseau privé sauf si on autorise explicitement le passage de données via certains ports spécifiques (firewalling ou natting).
Le "natting" est la manière d'associer temporairement une table d'adresses IP publique à une table de correspondances d'adresses IP privées pour faire le pont entre ces deux réseaux indépendants.
Les ports sont gérés par les fonctions du mur coupe feu (firewall), alors que l'aiguillage est gérée par les fonctions de routage via natting.
Est-ce que tous les routeurs sont des firewalls ? Non. En réalité, les vrais firewall sont beaucoup plus dispendieux car non seulement ils bloquent des ports mais en plus ils sont en mesure d'analyser l'intérieur des trames de données pour s'assurer de leur conformité aux standards internationaux IEEE. Le routeur quand à lui permet de gérer le traffic entre différents réseaux.
Le routeur LinkSys BEFSR41 n'est pas un réel mur coupe feu comme peut l'être un PIX 515-E de Cisco, mais ses fonctions de "natting" et d'aiguillage agissent de manière très similaire. Son analyse est moins poussée mais demeure un choix très sécuritaire pour les réseaux domestiques.
L'un vaut une centaine de dollars, l'autre près de 25,000$, mais doit être en mesure d'analyser les trames et gérer des milliards d'octets secondes sans embouteillage réseau.
Avant d'entreprendre la configuration de votre routeur LinkSys, vous devez préalablement modifier l'adressage IP de votre carte réseau du premier ordinateur. Sur le shéma présenté en début de document, cet ordinateur est identifié par le #2
Cliquez le bouton droit de la souris sur votre icône Favoris Réseau ou sinon, se rendre dans le panneaux de configuration pour modifier les propriétés du protocole Internet (TCP/IP) :
Maintenant, on va modifier les propriétés du Protocole TCP/IP afin de spécifier manuellement une adresse IP dite "statique". Une adresse IP statique ne change jamais et permettra à votre routeur LinkSys de savoir à quel ordinateur il devra laisser passer certains types d'informations (paquets).
AVIS IMPORTANT: Prenez soin de noter votre configuration actuelle, car si jamais vous ne pouvez pas réussir votre configuration avec le routeur/firewall, vous pourrez toujours revenir à votre configuration initiale et chercher de l'aide...
Avec un Routeur/Firewall on ne doit pas utiliser un adressage automatique sur la carte réseau de l'ordinateur pour lequel on désire jouer à Falcon et permettre à Roger Wilco ou tout autre jeu de recevoir les données pour des ports spécifiques.
Vous devez donc inscrire manuellement l'adresse IP de votre carte réseau, et spécifier également l'adresse IP de votre passerelle (routeur LinkSys):
Serveurs DNS:
Ces adresses IP sont celle des serveurs DNS de votre fournisseur Internet. Consultez votre manuel qui vous a été remis initialement par votre fournisseur Internet.
Sinon, avant de modifier ces paramètres, faites cette procédure:
Démarrer, Exécuter, et inscrivez cmd puis [ENTER] sinon vous pouvez également ouvrir une fenêtre de commande MS-DOS via le menu Démarrer Programme Accessoires...
Dans la fenêtre de commande (fenêtre noir), inscrivez la commande suivante afin de voir les adresses IP des serveurs DNS de votre fournisseur Internet:
ipconfig /all [Enter]
Exemple:
Vos informations DNS seront différentes de celles-ci. Prenez-les en notes et quittez cette fenêtre en inscrivant EXIT [Enter]
Inscrivez vos adresses de serveur DNS dans les propriétés de protocole Internet de votre carte réseau puis quittez avec le bouton OK pour accepter les changements.
À partir de maintenant, vous n'avez probablement plus accès à Internet. Votre réseau local n'est plus en mesure de voir le réseau public. Vous êtes tellement sécure que plus rien ne passe... Les deux réseaux sont totalement isoler.
Allons maintenant configurer notre aiguilleur (routeur/firewall) LinkSys afin d'établir une passerelle entre le réseau local et le réseau public.
Cette passerelle (Internet Gateway) agira cependant comme chien de garde pour tous les paquets en provenance de l'Internet et qui tenteront d'entrer sur votre réseau local.
Le mur coupe feu devra donc être configuré de manière à laisser passer certains paquets sur des ports de communication spécifiques que nous allons devoir spécifier manuellement plus loin.
Branchements des câbles réseaux
Voir la documentation fournie avec votre LinkSys pour le branchement des câbles réseaux, sinon visitez le guide de l'utilisateur sur le site http://www.linksys.com
Branchez le LinkSys (prise 1) à la carte réseau de votre ordinateur à l'aide d'un câble Ethernet conventionnel (non inversé). La lumière LINK devrait apparaître sur le firewall.
Branchez le LinkSys au modem du fournisseur Internet via la prise Internet (WAN) du firewall.
Voici les captures d'écran des principales fenêtres de configuration. Celle qui ne sont pas montrées n'ont pas d'intérêt et leurs options doivent être laissées avec leurs valeurs par défaut, laissées à blanc ou les options désactivées.
Pour les autre fenêtres, voici comment configurer le routeur LinkSys pour mettre en place un réseau sécurisé et pleinement fonctionnel avec vos applications.
Ouvrez votre navigateur Internet, puis inscrivez l'adresse URL suivante: http://192.168.1.1
Cette fenêtre de LOGIN devrait apparaître. Consultez votre manuel pour les codes d'accès, mais généralement c'est admin, admin ou sinon, admin avec aucun mot de passe.
Vous voilà maintenant dans l'interface d'administration de votre aiguilleur (router/firewall).
Débutons par la configuration de base.
Normalement, au Canada, la majorité des fournisseurs Internet utilisent le mode de connection "PPPoE" (PPP over Ethernet Protocol) pour l'ADSL (Bell Sympatico) ou "Obtain an IP automatically" (Modem Câble).
TRÈS IMPORTANT !
Pour chacune des fenêtres suivantes, n'oubliez pas de faire un "SAVE SETTINGS" avant de changer de signet.
Inscrivez maintenant les informations suivantes dans le Basic Setup:
Dans le fenêtre présentée ci-haut, assurez-vous bien de désactiver le mode DHCP (disable). Le mode DHCP sers uniquement à fournir une adresse IP via une plage d'adresses IP prédéfinie à vos ordinateurs qui sont en mode "Obtenir une adresse IP automatiquement". Ce n'est pas notre cas ici, car on désire maintenir une adresse IP statique (fixe) sur la carte réseau de l'ordinateur de jeu. Donc ne pas activer le DHCP !
Cependant, si vous possédez un ordinateur portatif que vous utilisez entre le bureau et la maison, vous pourriez utiliser ce dernier pour accéder vos courriels, vos site web, etc sans avoir à reconfigurer chaque fois son adresse IP. Dans ce cas précis, utilisez le mode DHCP mais assurez-vous de placer la plage d'adresse dans un intervalle beaucoup plus élevé que vos adresses d'ordinateurs fixes. Exemple un eplge de 192.168.1.100 à 104.
Si vous utilisez le mode DHCP, ne faite pas l'erreur d'inclure les adresses de vos ordinateurs possédants des adresses IP fixes (statiques).
N'utilise jamais un ordinateur utilisant le DHCP et le simulateur Falcon, car l'adressage DHCP est dynamique et peut varier. Vos ports spécifiques pour Falcon identifie un ordinateur précis ayant une adresse fixe. Il y a donc un risque de conflit ou un risque que le serveur DHCP du firewall attribue une toute autre adresse IP à votre ordinateur qui serait en mode d'obtenir une adresse IP automatique. Ce n'est donc pas conseillé d'utiliser le DHCP avec un ordinateur sur lequel votre simulateur Falcon est installé.
Nous avons maintenant assigné l'adresse IP 192.168.1.1 de notre passerelle Internet. Cette passerelle sera notre routeur/firewall dorénavant.
Configurer les ports des applications
Pour que le firewall laisse passer les paquets de données entre le réseau public et votre ordinateur du réseau local pour le simulateur Falcon, le logiciel de radiocommunication Roger Wilco, le logiciel ICQ ainsi que tout autre jeu compatible à Internet, vous devez inscrire les ports que ces applications utilisent.
Vous trouverez ces informations dans les guides d'utilisateurs de ces logiciels. Voici les principaux ports qui nous intéresse ici. Notez également que nous devons spécifier vers quel ordinateur vous désirez transmettre ces paquets vers votre réseau local. Dans notre cas, notre ordinateur utilise l'adresse IP 192.168.1.2
Configurer la zone DMZ
La zone DMZ n'est pas sécure et est généralement utilisé pour offrir des services (web, etc) avec des serveurs. Ce n'est probablement pas votre cas. Et même si c'était le cas, je conseille plutôt de placer vos serveurs sur le réseau privé avec une configuration adéquate.
Par conséquent, il est fortement suggéré de désactiver la DMZ, sinon vous risquez de laisser les intrus atteindre un ordinateur de votre réseau local inutilement.
La DMZ est risquée et si elle est utilisée de manière inadéqaute, elle a pour effet d'annuler la présence de votre firewall et donc de votre protection réseau. Il existe différentes méthodes pour sécuriser la DMZ, mais ce n'est pas le sujet de cette documentation ici.
Mettre la DMZ à "disable" :
La gestion à distance d'un firewall est fortement déconseillée. Idéalement, il faut toujours configurer le firewall à partir de l'intérieur du réseau local et non pas via le réseau public et hostile aux attaques externes. Mettre ces options à DISABLE.
Le mode SNMP permet de faire du monitoring à distance de votre routeur. Ce protocole permet de savoir par exemple si votre routeur est fonctionnel ou s'il est tombé en panne, etc. Dans la majorité des usages domestiques, on a pas besoin d'activer cette option. Désactivez-là pour être encore plus invisible sur l'Internet.
Les attaques par dénie de service (Denial Of Service) peuvent saturer un routeur ou un firewall. Il est conseillé d'activer une alerte par messagerie qui enregistrera l'heure, la date et l'adresse IP d'où provient l'attaque. L'alerte par courrier électronique ou par pagette permet ensuite de prendre des mesures proactives. Les tentatives d'intrusions sur un réseau privé sont réglementées au Canada et passibles de poursuites criminelles.
L'adresse IP est une signature qui ne ment jamais. Il est possible pour les autorités de retracer la provenance d'une adresse IP. Activez ces options si elles sont disponibles sur votre modèle LinkSys.
Il existe également des méthodes pour contrecarrer ce genre d'attaque aujourd'hui. Mais cela est une autre histoire.
LES INFORMATIONS SUIVANTES NE S'APPLIQUENT PLUS SI VOUS UTILISEZ LA VERSION ALLIED FORCE PUISQUE CETTE DERNIÈRE NE NÉCESSITE PAS DE SPÉCIFIER L'ADRESSE IP PUBLIQUE EN PARAMÈTRE.
DONC, NE PAS UTILISER CES PARAMÈTRES AVEC ALLIED FORCE CAR CES INFORMATIONS S'APPLIQUENT AUX ANCIENNES VERSION DE FALCON (RP5, SUPERPAK, FREE FALCON).
L'adresse IP publique obtenue de votre fournisseur Internet lorsque le firewall est mis en fonction est l'adresse IP que vous devez spécifier dans votre raccourci Falcon:
Vos interlocuteurs Falcon du côté externe de votre réseau n'acceptent pas une adresse IP privée et Falcon ne sait pas qu'il se trouve sur le réseau local. Vous devez donc lui spécifier votre adresse public Internet (celle de votre firewall du côté WAN).
Si cette option est omise, on verra une connexion mais l'un ou l'autre ne recevra pas les informations du simulateur.
Certains ordinateurs ont plus d'une carte réseau ou d'autres interfaces IP pouvant fausser l'interprétation de Falcon pour établir une bonne communication réseau avec d'autres joueurs.
Si c'est votre cas, le paramètre -hostidx doit également être employé dans vos paramètres de départ de votre raccourci sur le bureau ou dans le logiciel MultiFalcon.
Pour connaître le bon hostidx à utiliser, vous devez ouvrir un invité de commande MS-Dos et vous rendre au dossier Utilities situé sous le dossier principal où est installé votre simulateur. Dans l'exemple suivant, le simulateur est sur J:\FF3 et le programme qui vérifie vos interfaces IP est situé dans le dossier Utilities et se nomme NetChk.exe
On doit ensuite démarrer cet utilitaire en tapant Netchk suivi de la touche Entrée (Enter).
Le chiffre 0: indique que vous n'avez pas besoin de spécifier un paramètre -hostidx. Dans les autres cas, vous devez placer ce paramètre avec le numéro indique dans ce test.
Comment
configurer ICQ derrière un Firewall
http://www.icq.com/icqtour/firewall/
SHIELDS UP! : Identifiez les failles de votre réseau immédiatement en ligne:
http://grc.com : Gibson Research Corporation
|
[ Accueil | Pilotes | Escadrilles | NOTAM | Liens | Fichiers | Évènements | Guides | Recrutement | Divers] |
Dernière mise à jour effectuée le 10 janvier 2006 par Jim «Spyder» Beattie
