Jump to content

Protocole GRE et modem routeur


Recommended Posts

Salut,

 

Nan, le GRE est un protocole d'encapsulation (que je deteste...trop galéré dessus...) utilisé principalement si tu utilise un VPN (réseau privé virtuel).

 

Pour une utilisation normale d'un réseau personnel ça n'a aucun intéret.

Link to comment
Share on other sites

Salut,

 

Tiens, tu viens en une phrase de donner l'explication de ce que je sous-entendais par "que je deteste".

 

Et encore, même sur les routeurs PPtP pass through, j'ai eu un nombre de galères incommensurables 3832.gif

Link to comment
Share on other sites

Le pptp pass through c'est un truc assez foireux, ca veut juste dire que tu peux passer "en sortie" mais en entrée c'est plutot un coup de chance, tout comme ca ne fonctionne pas sur toutes les box, donc depuis j'ai contourne le problème avec OpenVpn, c'est super chiadé a configurer, mais une fois bien fait, c'est super, ca marche sur tous les routeurs, avec ou sans mot de passe mais avec certificat, avec ou sans utilisation intégrale de la connexion tierce, etc etc, options a volonté, donc finalement je m'en sors pas trop mal (le démarrage de pc a distance ca aide aussi :D )

Link to comment
Share on other sites

Salut,

 

Sauf erreur de ma part, aucun routeur netgears (enfin du moins grand public) ne supporte l'édition de règles liées au GRE (qui est un protocole à part entière). Il est juste pass-trough. C'est un peu comme les routeurs qui ne ne permettent pas d'edition de règles icmp.

 

A titre indicatif, le port 12032 est un port qui n'est qu'une porte emprunté pour laisser passer les paquets GRE.

 

1+ sur pour la remarque de Axtrane. La sécurité c'est bien mais faut tout de même pas tomber dans la paranoia.

 

Après si tu es vraiment craintif, au pire, soit tu mets le port 12032 en deny si tu routeur le permet, soit au pire t'as qu'à forwarder ton port vers une IP à la con.

 

EDIT : grosse connerie en me relisant, tu pourras pas faire ça sur ton routeur vu qu'il gère pas le (filtrage) protocole GRE.

Link to comment
Share on other sites

Salut,

 

Ouaih, c'est clair mais bon, faut pas non plus tomber dans l'excès inverse...

 

D'autant que là tu peux pas faire grand chose. Fermer le port associé au GRE (enfin le port TCP ou UDP, je sais plus, utilisé par le routeur pour encapsuler les trames GRE dans le cas d'une utilisation d'un VPN) ne te permettra pas de filtrer les trames liées à ce protocole.

 

Donc bon...

 

Link to comment
Share on other sites

  • 3 months later...

Salut,

 

Te donner une liste j'en serais foutrement incapable. Je suis très loin de connaitre tous les routeurs du marché. Le routeur que nous utilisons là où je bosse n'est pas vraiment destiné au grand public.

Pour les routeurs grand public je sais pas. Ce que je sais c'est que il n'y a pas à ma connaissance de Netgear qui filtre le GRE (mais encore une fois je suis loin de connaitre tous les netgear qui existent). Pour les autres marques j'en sais rien.

 

Y a bien une solution, c'est de passer par une machine Linux. Mettre ton routeur en bridge et laisser la passerelle linux filtrer tes paquets et faire les redirections (via iptable. Mais t'as intérêt à connaitre là). Tu fous la distrib que tu veux ou carrément une distrib faite pour ça (genre une ipcop 1.4). Les versions récentes d'iptable permettent sauf erreur de ma part le filtrage du protocole GRE.

 

Sinon le plus simple c'est d'installer un firewall logiciel sur chaque machine qui gère ce type de protocoles. Look'n'stop le fait par exemple (d'autres aussi sans doute).

 

Mais bon c'est un peu se prendre la tête pour pas grand chose. Je vais pas répéter ce que moi et Axtrane t'avons dit plus haut.

Link to comment
Share on other sites

Je me demandais un truc en relisant, c'est au niveau des risques liés à GRE, n'étant pas un port comme les autres, est ce que ce dernier n'est pas exploitable que si une connexion entrante est configurée sur le pc ? j'entends par la que rentrer par le fenetre pour arriver sur une porte fermée n'est pas forcément une solution pour un pirate.

 

Ensuite, toujours dans le principe que ce n'est pas un port normal, il n'est qu'un complément à l'ouverture d'autres ports comme le 1723, donc si aucun autre port ne le guide, je doute que ca serve.

 

Dernièrement, dans la mesure ou ca serait "potentiellement" un risque pour un pc, dans la mesure ou tu utilises un routeur, une fois que le vilain pirate est rentré, comment il sait sur quel pc se diriger ?

 

 

Honnetement te prend pas la tete, a moins d'être le pentagone ou IBM, y a aucune raison de s'inquiéter, dans la mesure ou tu respectes un minimum de règles, ce que peut de gens font, jusqu'hier j'estimais que la Livebox en WPA était une des connexions les plus respectables à l'encontre des vilains squatteurs et pirates, et ben en 10 min j'ai prouvé le contraire sur les livebox de mes voisins, mais je peux pas dire comment sur un forum publique ;-) y a qu'a chercher lol

Link to comment
Share on other sites

Salut,

 

Je me demandais un truc en relisant, c'est au niveau des risques liés à GRE, n'étant pas un port comme les autres, est ce que ce dernier n'est pas exploitable que si une connexion entrante est configurée sur le pc ?

 

Y a pas de ports.

 

C'est un protocole, au même titre que TCP, UDP (qui sont les seuls protocoles à avoir des "ports") et compagnie. Après quand aux risques, on est pas dans le cas de trames ICMP ou ARP avec les risques qui vont avec en cas de non filtrage.

J'ai jamais entendu parler de corruptions de trames GRE pouvant engendrer des risques pour le PC qui les recevant. En tout cas si risque il y a, ça serait dans le cadre d'une attaque directe. Donc bon c'est relativement limité, d'autant qu'encore une fois, jamais entendu parler de protocole de hack avec des trames GRE (qui en plus sont encapsulées dans des paquets TCP,ou UDP j'sais plus) dans le cadre de connections VPN utilisant ce type de protocoles.

Link to comment
Share on other sites

Salut,

 

Ouaih, en tout cas ce qui est sûr c'est que dans le cadre d'une politique de sécurité de son réseau privé, y a bien d'autres points nettement plus importants à prendre à compte.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...