Bonjour !!
 
Voici le schéma de mon réseau local.
 

 
Le centre de mon réseau est la DartyBox.  
 
J'utilise le switch 4 ports d'intègre à la box pour relier mon imprimante et le pc de bureau. Le portable lui est en Wifi.
 
J'ai utilisé la class C pour les ip, mais j'utilise tous de même le serveur DHCP de la box tous en ayant restreint le nombre d'ip.
 
Pour le Wifi, je n'est pas de cryptage mais juste le filtrage MAC d'activer.
 
Le FireWall est mis sur la position "Fort" sans franchement savoir à quoi sa correspond  Une position "Personnalisé" existe aussi
 
mais je ne sais pas qu'elles règles je doit créer. Avast Anti Virus tournent sur les deux pc.
 
Je suis en dé-groupage totale et j'utilise la box pour la téléphonie.
 
Le DD externe relier en USB à la box nous permet de stocker tous nos fichiers, mp3, video, photo, word, etc... Il n'y a presque rien sur  
 
les DD des deux pc. Aucun partage de dossiers n'est fait sur les deux machines vu que tous ce trouve sur le DD. Je les juste connecter en temps
 
que lecteur réseau sur les deux pcs (Z:\).
 
Mes questions:
 
1) Le FW d'intègre à la box est il suffisant pour protéger efficacement mon réseau? Le mode "Fort" est il préférable face au mode "Personnalisé"?
 
2) Restriction d'Ip, filtrage Mac suffise pour le Wifi où l'activation du WPA est nécessaire?
 
3) Le DD n'est pas accessible depuis le net. Est ce une bonne façon de sauvegarder nos fichiers de façon "sûr" ou une machine dédier en serveur  
    serait elle préférable?
 
Merci d'avance pour vos commentaires    
 
Franck

1) Le FW de ta box est surtout là pour faire joli. Tu es déja protégé par le mode routeur de ta box (à savoir que tous les flux entrants sont bloqués par défaut, il faut que tu spécifies explicitement une règle NAT pour laisser des flux entrer).
 
2) Filtrage WPA avec un mot de passe fort obligatoire, le filtrage MAC se casse en quelques secondes.
 
3) Ca revient exactement au même. Mais souviens toi qu'un disque dur quel qu'il soit n'est jamais fiable a 100%. Donc il serait préférable de sauvegarder tes données importantes en plusieurs exemplaires.

1) Dans le panneau de config de ma box (entre autres...) j'ai deux onglets:  
 
Celui ci pour le FireWall:
 

 
Et celui la pour le routeur:
 

 
Dans le second, trois mode sont disponible: "Aucun", "Faible", "Fort" et "Personnalisé". La je suis en "Personnalisé" est des règles sont déjà créer par défaut.
 
Quand vous dites: "il faut que tu spécifies explicitement une règle NAT pour laisser des flux entrer, vous parlez de celles qui sont déjà créer là?
 
Pour le FireWall rien de créer pour l'instant visiblement...
 
Une autre question à venir mais j'attends votre confirmation pour celle ci
 
Edit: il ce son pas planter dans l'intituler de leur onglet?

Apparemment, la dartybox fait aussi du filtrage de flux sortants, les flux qui sont définis ici sont ceux de base pour que ton accès internet fonctionne (Si par exemple tu virais la ligne Web browsing, tu n'aurais plus accès à aucun site web).
 
le NAT est bloqué, c'est à dire que si tu voulais exposer un port d'une de tes machines sur internet (par exemple pour héberger un serveur web ou ftp), il faudrait créer une règle pour que lorsque quelqu'un tape ton adresse ip, il soit redirigé vers la machine qui héberge le serveur.

 
Ce que tu dis la, c'est que dans le première onglet: Routeur Nat / DMZ, c'est ici qu'il faut "dire" au routeur (pour un Ftp par exemple) qu'il faut rediriger le flux du port 21 sur l'Ip 10.0.0.13 (si le ftp est sur ce pc la). C'est bien sa? c'est ce qu'on appel "mapper un port"?
 
Donc le second onglet qu'il nomme: "Routeur FireWall / Modem, c'est dans celui si que l'on "ouvre" les ports de façon général pour les flux entrant et sortant pour toutes
 
les machines qui ce trouvent sur le réseau local?
 
Par défaut, peu t'on dire que tous les ports sur mes deux pcs sont tous "ouvert" si je n'active pas le FireWall de Xp?
 
Pourquoi dit tu alors que ce FireWall n'est la que pour décorer? Sans lui je ne pourrai rien faire.

C'est bien ca oui.
 
Pour la partie firewall, je parle de décoration du point de vue sécurité. si tu es infecté par un trojan, il y a fort a parier qu'il saura passer par un port déjà ouvert en sortie.

Pour tester un peu mon réseau je viens d'aller ici http://www.inoculer.com/scannerdeports.php
 
J'ai volontairement rediriger le port 21 sur l'ip 10.0.0.13 de mon pc de bureau.
 
Je penser que en toutes logique il trouverai le port 80 et 21 d'ouvert et bien même pas.
 
Il ne trouve que le port 80, je comprend pas la...
 

t'as un serveur ftp sur ce pc ?
 
Si rien n'écoute sur le port, il ne sera pas ouvert ...

 
Honte sur moi    
 
Non pas de soft ftp en écoute... j'aurais du y penser.
 
Dans mon cas de figure, puis je dire que je suis plus ou moins bien protéger d'éventuel attaque externe?
 
Si je ne crée aucune règles dans mon FW, puis je me dire que rien ne peu entrer ni sortir?
 
Je sais que les FW logiciel (comme Zone Alarm) préviennent quand un soft ou quelque chose essaye d'entrer ou sortir sur le réseau.
 
Comment faire pour avoir ce genre de chose à part bien sur utiliser un FW sur les deux machines...?
 
Je n'est pas non plus trouver sur mon routeur un ficher d'événement, un peu dans le style de ce que propose Zone alarm.
 
Je n'est donc pas possibilité de savoir si je suis sujet à des attaque ou non.
 
Une solution peu être?
 
Merci en tous cas pour ton aide.

Le niveau de sécurité par défaut d'une "box" en mode routeur est déjà tout à fait satisfaisante.
 
Si tu veux partir dans du filtrage plus élaboré, comme du filtrage applicatif, en restant dans un budget "grand public", alors il te faudra utiliser un firewall logiciel installé sur chaque machine.
 
Mais il ne faut pas tomber dans la paranoia. Une "attaque" c'est juste un pc infecté par un trojan ou un ver qui essaie de se connecter au hasard sur d'autres machines vulnérables. Savoir qu'on a tenté de se connecté 1 ou 394229834320 fois dans la journée à ton pc ne t'avancera à rien en pratique.
 
Soit ton pc est non vulnérable à la faille, et tu n'as rien a craindre. Soit il est vulnérable, et il est déjà infecté.

Juste pour comprendre. Si j'installe Zone alarm par example, et que je constat ce genre de connexion. Sa voudra dire que

le pirate aura passer mon routeur vu que le soft est installer sur les pc? En aucun cas zone alarm me donnera les entées ou

sorti sur mon routeur. C'etai bon à l'epoque où on n'avai que un modem sans routeur et une seul machine.

Autre chose:

Je viens de lancer Windows Live Messenger sur mon portable qui doit surement utiliser un port spécifique.

Outre ceux deja "ouvert" par défaut sur mon routeur, comment ce fait il que WLM puisse fonctionner alors

que je n'est pas spécifier de port à son usage ni même rediriger celui ci vers ma machine?

1 - Exact. Mais si tu n'as pas ouvert de port, c'est pas trop possible.
 
2 - Parce que messenger est capable de fonctionner sur quasi n'importe quel port, dont le 80 qui est toujours ouvert par défaut.

Soit installer ce genre de FW sur chaque machine qui me permettra d'avoir des log et de "peaufiner" un peu plus certain réglages mais dans ce cas  
 
celui de la box doit être désactiver je suppose?
 
Ou alors comme certain le font, insérer dans mon réseau entre la box et mes machines un pc dédier au routage + FireWall.
 
Merci de ton aide, j'y vois plus claire à présent
 
Franck

Autant éviter de désactiver celui de ta box, le meilleur filtrage est celui qui se fait le plus en amont.
 
Tu pourrais en effet rajouter une machine dédiée à cela, mais il faut un minimum de connaissances pour que ce soit plus efficace que ce que te permet de faire ta box (en général c'est basé sur du Linux + iptables).