Caractéristiques

Pare-feu - Inspection contextuelle des paquets

L'USRobotics Wireless ASDL2+ Router est doté d'un système d'inspection contextuelle des paquets entrants permettant de détecter les éventuelles intrusions. Le routeur suit tous les paquets de données en provenance du LAN et enregistre toutes les paires d'adresses de connexion et de ports TCP/UDP. Les adresses IP et numéros de port des paquets TCP/UDP en provenance d'Internet doivent correspondre à ceux qui se trouvent en mémoire. Sinon, le routeur abandonne le paquet.

Pour ce qui est des paquets de données ICMP, seules les requêtes sortantes ICMP en provenance du LAN sont transférées à Internet, les réponses associées en provenance du WAN étant également autorisées. Vous pouvez par exemple procéder à un ping pour tout périphérique sur Internet à partir d'un ordinateur du réseau local, mais vous ne pouvez pas le faire pour le routeur ou tout autre périphérique local à partir d'Internet.

De plus, le routeur n'accepte jamais les paquets de données ICMP redirigés car ils sont susceptibles de réacheminer des données via des ordinateurs suspects. La seule exception aux règles de pare-feu ci-dessus se produit lorsque l'accès à distance pour l'assistance technique est explicitement autorisé par l'utilisateur local. Dans ce cas, le routeur répond aux requêtes ping et autorise l'accès distant à son interface utilisateur Web. Le pare-feu du routeur empêche également les attaques LAND et les attaques qui consistent à saturer un site de requêtes SYN :

• Attaques par saturation SYN : le pare-feu du routeur abandonne automatiquement les requêtes SYN TCP non sollicitées en provenance d'Internet.
• Attaques LAND : ce type d'attaques fait entrer l'ordinateur visé dans une boucle dont il ne peut plus sortir. Le pare-feu du routeur peut empêcher de telles attaques en interdisant l'accès aux paquets de données ayant la même adresse de destination que leur adresse d'envoi.

Sécurité - Comptes d'accès local ou distant

• L'interface utilisateur Web du routeur Wireless ADSL2+ Router propose un compte admin (administrateur) local, un compte user (utilisateur) non administrateur et un compte support dédié à l'assistance technique à distance, tous trois protégés par mot de passe. Le compte support permet à l'administrateur local d'autoriser explicitement un technicien à accéder à l'interface utilisateur Web du routeur.
• Le compte user permet de consulter les paramètres de configuration mais pas de les modifier.
• Le compte support ne fonctionne pas en mode Pont, car le routeur ne dispose d'aucune adresse IP publique.
• L'utilisateur pour l'assistance technique à distance peut lire la configuration et la modifier, mais en aucun cas modifier les paramètres de sécurité. Quand l'administrateur local autorise l'accès à distance, l'utilisateur à distance peut accéder au modem par le biais de Telnet ou d'un navigateur depuis l'Internet, mais pas depuis le LAN.
• Les noms d'utilisateur et les mots de passe ne doivent pas excéder 15 caractères.

Serveur DHCP

Le routeur offre un service de serveur DHCP sur l'interface LAN quand le réseau fonctionne en mode PPPoE, PPPoA, MER ou IPoA. Quand il est activé, le serveur DHCP répond aux requêtes DHCP envoyées par les périphériques du LAN et :

• Il attribue au périphérique LAN une adresse IP inutilisée se trouvant dans le début de la plage d'adresses spécifiée par l'utilisateur.

• Il attribue au périphérique LAN l'adresse IP de l'interface LAN du routeur en tant qu'adresse de serveur DNS primaire. L'ADSL router joue le rôle de relais DNS entre le périphérique LAN et le vrai serveur DNS au niveau du site du fournisseur d'accès à distance.

• Il attribue au périphérique LAN l'adresse IP de l'interface LAN du routeur en tant que passerelle par défaut.

Client DHCP

Le routeur offre un service de client DHCP à toute interface Internet fonctionnant en mode réseau MER, PPPoA ou PPPoE. S'il est activé, le client DHCP envoie des requêtes à l'adresse IP de l'interface WAN, aux adresses du serveur DNS primaire et secondaire, et à la passerelle par défaut du serveur DHCP sur le site du fournisseur d'accès. Si le service client DHCP est désactivé (mode statique), l'utilisateur doit configurer manuellement l'adresse IP WAN, les adresses du serveur DNS et la passerelle par défaut.

Relais DNS

Le routeur n'offre un service de relais DNS que lorsque la fonction NAPT est activée. Celle-ci transfère les requêtes DNS en provenance des périphériques du LAN au serveur DNS primaire, situé au site distant et vice versa. Les paquets de réponse du serveur DNS distant sont relayés pour retourner au périphérique LAN.