Deprecated: Function get_magic_quotes_gpc() is deprecated in /home/ftp83plu/public_html/dc/dotclear/inc/libs/clearbricks/common/lib.http.php on line 436

Deprecated: Function get_magic_quotes_gpc() is deprecated in /home/ftp83plu/public_html/dc/dotclear/inc/libs/clearbricks/common/lib.http.php on line 436

Notice: Trying to get property 'spamout_rbl' of non-object in /home/ftp83plu/public_html/dc/dotclear/plugins/spamout/inc/class.spam.out.php on line 20
Cerebro Seco - Mot-clé - internet Se faciliter la vie informatique sans sacrifier ses principes! 2021-11-12T04:15:33-05:00 Cubytus urn:md5:d7db4c859a6aa1517ce6504bd9047921 Dotclear How to properly run OWASP ZAP 2.4.0 on Mac OS X 10.6.8 urn:md5:91d9d5d92c1818b426c250f16197b04c 2015-04-29T03:26:00-04:00 2015-05-03T03:48:16-04:00 Cubytus internetjavasecurityZAP <p><em><a hreflang="en" href="https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project">ZAP Proxy</a> is a penetration testing tool to test vulnerabilities in Web applications. It is written in Java, but doesn't work right away if you're using Mac OS X Snow Leopard, instead crashing ungracefully upon launch. The culprit? the Java version that comes bundled with it, 1.7.0_75. Here, and helped by ZAP's friendly IRC service, I describe how to properly execute ZAP 2.4.0. Luckily, the code is supposed to be compatible with previous JRE versions.<br /></em></p> <p><em><ins>Difficulty</ins>: easy</em></p> <h1>First step: download compatible Java JRE (Java Runtime Environment) version</h1> <p>As you should already know, Mac OS X 10.6.8 comes bundled with Java JRE 1.6.0_65, commonly called Java 6, but ZAP requires Java 7 at a minimum, and comes bundled with Java 1.7.0_75. However, sub-version 75 doesn't run on Snow Leopard, only sub-version 25 does.<img title="Captura_de_pantalla_2015-04-28_a_las_19.20.41.png, avr. 2015" style="float: left; margin: 0 1em 1em 0;" alt="Captura_de_pantalla_2015-04-28_a_las_19.20.41.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/ZAP/.Captura_de_pantalla_2015-04-28_a_las_19.20.41_m.png" /> Although it officially requires Darwin kernel 11.2 (<a hreflang="en" href="http://www.theosfiles.com/os_unix/ospg_Unix_Darwin.htm">corresponding to Mac Os X 10.7.2</a>) according to its <em>release</em> file, it will still run on Snow Leopard (Mac OS X version 10.6.8, although it uses Darwin kernel 10.8). So the solution is to download JRE 1.7.0_25 directly <a hreflang="en" href="http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html#jre-7u25-oth-JPR">from Oracle's website</a>. Prefer the <em>.tar.gz</em> version.</p> <p>Please note this instruction set is specific to Mac Os X 10.6.8 only! Java JRE 1.7.0_25 has been disabled by Apple on Mac OS X Lion because of security concerns.</p> <h1>Second step: specify to ZAP the Java version to use</h1> <p>Well, technically this command tells Java to run ZAP.</p> <p>First you have to know where you uncompressed the .tar.gz archive. In this example, I simply left it in the Downloads folder. So the matching command would be:</p> <pre>$ ~/Downloads/jre1.7.0_25.jre/Contents/Home/bin/java -jar /Applications/OWASP\ ZAP.app/Contents/Java/zap-2.4.0.jar -installdir /Applications/OWASP\ ZAP.app/Contents/Java/</pre><p>And here it runs!</p> <p>The following steps are optional, but make the experience more streamlined.</p> <h1>Third step: remove bundled version 75</h1> <p>This is done with:</p> <pre>$ rm -r /Applications/OWASP\ ZAP.app/Contents/Plugins/jre1.7.0_75.jre</pre><h1>Fourth step: move version 25</h1> <p>Still assuming that Java JRE has been uncompressed to the default downloads directory, move it to the ZAP Plugins directory.</p> <pre>$ mv ~/Downloads/jre1.7.0_25.jre /Applications/OWASP\ ZAP.app/Contents/Plugins/jre1.7.0_25.jre/</pre><h1>Fifth step: create symbolic link</h1> <p>Easier than to modify any ZAP configuration file is to make it think it is calling sub-version 75, while in fact it is calling version 25. For that, just create a <a hreflang="en" href="http://help.hardhathosting.com/question.php/95">symbolic link</a> redirecting any call to <em>jre1.7.0_75.jre</em> to the<em> jre1.7.0_25.jre</em> instead.</p> <pre>$ ln -s /Applications/OWASP\ ZAP.app/Contents/Plugins/jre1.7.0_25.jre /Applications/OWASP\ ZAP.app/Contents/Plugins/jre1.7.0_75.jre</pre><p><img title="Captura_de_pantalla_2015-04-28_a_las_20.21.56.png, avr. 2015" style="float: left; margin: 0 1em 1em 0;" alt="Captura_de_pantalla_2015-04-28_a_las_20.21.56.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/ZAP/Captura_de_pantalla_2015-04-28_a_las_20.21.56.png" /></p> <p>Done! Now, just launching ZAP from the Applications menu works in Snow Leopard 10.6.8.</p> <p><img title="Captura_de_pantalla_2015-04-28_a_las_20.18.21.png, avr. 2015" style="margin: 0 auto; display: block;" alt="Captura_de_pantalla_2015-04-28_a_las_20.18.21.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/ZAP/Captura_de_pantalla_2015-04-28_a_las_20.18.21.png" /></p> <p><img title="Captura_de_pantalla_2015-04-28_a_las_20.18.30.png, avr. 2015" style="margin: 0 auto; display: block;" alt="Captura_de_pantalla_2015-04-28_a_las_20.18.30.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/ZAP/Captura_de_pantalla_2015-04-28_a_las_20.18.30.png" height="480" width="772" /></p> <p>Yes, its window is wrongly sized, it mixes up languages, and icons are not properly centered, in three words, a typical Java software.&nbsp;</p> <p>As you may not want to subscribe to the terrible Oracle's website, here is the Java JRE 1.7.0_25 archive.</p> <p><strong>ZAP's website</strong>: <a hreflang="en" href="https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project">https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project</a></p> <p><strong>Java archive</strong>: <a title="http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html#jre-7u25-oth-JPR" hreflang="en" href="http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html#jre-7u25-oth-JPR">http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html#jre-7u25-oth-JPR</a></p> <p><strong>Local copy</strong>: <a href="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/ZAP/jre-7u25-macosx-x64.tar.gz">jre-7u25-macosx-x64.tar.gz</a></p> Lecturas sobre el uso de las redes sociales para indignarse urn:md5:f5cdd94624d978b0b95bdb99ba9d8b78 2014-02-11T23:16:00-05:00 2014-03-01T02:41:02-05:00 Cubytus internetprivacysecurityvie privée <p><em>Aquí se presentan un exceso de lecturas sobre el alarmante estado de la falta de privacidad en el Internet. Todo el mundo se pone a ello, desde las grandes corporaciones americanas hasta varios gobiernos, y cuando no para vendernos guarradas, sí por lo de trazar perfiles detallados de cada </em>net-udadano<em>. La guerra sólo está empezando. </em></p> <p>Muchos recuerdan la euforia que rodeaba varios movimientos sociales nacidos de las desastrosas consecuencias de la crisis económica de 2008. Desde 2009 en Portugal, de la primavera árabe o del 15 de mayo 2011 en España, seguido por los de Occupy desde entonces, todos fueron y todavía son manejados por jóvenes como yo y, quizás, ustedes con ganas de perseguir a políticas más justas para todos. Así pasmaron el mundo con su eficaz difusión, y hubiera podido ser lógico pensar razonablemente que por lo menos hubieran investigado la independencia de ellas mismas redes sociales que utilizaban.<br /><br />¡Qué inocencia! Desde las (heroicas) filtraciones de Snowden (al mismo tiempo, podemos decir que la historia <a hreflang="en" href="http://arstechnica.com/tech-policy/2013/06/how-a-30-year-old-lawyer-exposed-nsa-mass-surveillance-of-americans-in-1975/">se repite</a>), ahora sabemos que ningún canal solía ser seguro, o independiente de los poderosos contra los cuales se opusieron los indignados de tantos países. Tanto los agencias de espionaje de los EEUU como las del Commonwealth y de otros países supuestamente democráticos les vigilaron, y en efecto, los Anonymous recientemente <a hreflang="en" href="http://int.acampadadebarcelona.org/es/2013/10/29/anonymous-denounces-that-catalan-government-have-spied-activists-on-twitter-2/">denunciaron</a> al <em>Centre de Seguretat de la Informació de Catalunya</em> (CESICAT) por haber espiado activistas en Twitter. A continuación, una organización estatal inglés trató interrumpir las comunicaciones entre los mismos, <a hreflang="en" href="http://arstechnica.com/tech-policy/2014/02/gchq-stalked-anons-in-irc-attacked-communication-channels/">usando virus y técnicas por lo menos sucias para llegar a su objetivo</a>, mientras otro ramo de ella había pirateado juegos muy populares de smartphones para que sorban datos de localización, en medido de otras.</p> <p>También me parece de mal gusto la <a hreflang="en" href="http://news.cnet.com/8301-1009_3-57610342-83/apple-google-microsoft-unite-against-nsa-spying-program/">hipócrita</a> <a hreflang="en" href="http://www.theguardian.com/world/2013/dec/09/nsa-surveillance-tech-companies-demand-sweeping-changes-to-us-laws">reacción</a> cuya <a hreflang="en" href="http://www.theatlantic.com/politics/archive/2013/12/google-apple-and-microsoft-agree-nsa-spying-undermines-freedom/282143/">dieran prueba</a> las empresas que controlan las redes sociales cuando se revelaron los hechos, porque tampoco son limpias, y es primordial que se recuerde que casi todas suelen amontonar enormes cantidades de información con pelos y señales sobre nosotros, con fines que no divulguen. A propósito, Google, su Gmail, y su Chrome habían sido unos de los peores desde hace años, leyendo correos que recibimos y, se cree, enviar "spam" a los demás, participantes involuntarios en la inmensa cosecha. Con el desarrollo del reconocimiento facial, entre otras cosas con las Google Glass, ¿quién sé si quizás algún día deberemos llevar unas de <a hreflang="fr" href="http://www.ufunk.net/techno/pixelhead/">estas</a> <a hreflang="fr" href="http://www.ufunk.net/techno/pixelhead/">máscaras</a> para evitarla? Mientras tanto, India <a hreflang="en" href="http://arstechnica.com/tech-policy/2014/01/worried-about-snooping-india-wont-parter-with-google-for-elections/">rechazó la ayuda</a> de Google por sus elecciones.<br /><br />Del mismo modo, muchas directamente facilitaron la tarea de vigilancia instalando "backdoors", como en Skype, Blackberry o los generadores de llaves sobre los cuales nos fiamos para nuestras transacciones en línea. Claro que estas denuncias no van a apaciguar los ánimos, ¿pero que se puede hacer?<br /><br />Así pues, el riesgo está aumentado del hecho que todavía no parecen existir alternativas que alcancen tantas personas que las de las grandes corporaciones americanas. <br /><br />Así que me parece increíble que activistas suelan depender de redes y medios de comunicación que sabemos vigilados por todas partes, tan por gobiernos que por las compañías que aseguraban ayudarlos a difundir sus recriminaciones. <br /><br />Por lo menos creo que es posible y necesario repetir y que promocionemos a porfía la existencia de servicios rivales, por ejemplo hubiC en lugar de DropBox, aunque se sabe que tampoco los servicios secretos europeos sean sin reprochas. Me parece imprescindible que no dejamos de luchar por nuestra libertad democrática en la Red.</p> Un proverbio francés se traduce así: cuando la ley es injusta, la desobediencia es un deber. Hoy en día somos menos libres que nunca, bajo constante vigilancia e mientras se ríen los poderosos que ingenuamente pensábamos derribar. Nunca se debe olvidar que si cualquier cosa es gratis, <a hreflang="fr" href="http://dailygeekshow.com/2013/09/10/si-cest-gratuit-cest-vous-le-produit-la-video-qui-decrypte-comment-vos-donnees-enrichissent-certaines-entreprises/">eres tú el producto</a>. <br /><br /><h3>Unas lecturas instructivas</h3> <p><a hreflang="en" href="http://www.theregister.co.uk/2012/04/09/breaking_the_internet_no_property_no_privacy/">No estropea al Internet: como el eslogan idiota robó su privacidad</a> (The Register)</p> <p>Toda la serie sobre las filtraciones de la NSA (Ars Technica)</p> <p><a hreflang="en" href="http://www.dvice.com/archives/2011/11/see_why_googles.php">Porque las publicidades Googles te bombardean a tí, y como pararlo</a> (Dvice)</p> <p><a hreflang="en" href="http://www.nytimes.com/2013/05/06/books/who-owns-the-future-by-jaron-lanier.html?_r=1&amp;">¿A quién pertenece el futuro?</a>, un libro por Jaron Lanier.</p> <p><a hreflang="en" href="http://www.theregister.co.uk/2013/11/05/av_response_state_snooping_challenge/">A saber si los antivirus detecten <em>malwares</em> gubernamentales</a> (The Register): Si, pero solo si la máquina no se había comprometida previamente, lo que parece imposible. Ahora sabemos que la NSA tiene la capacidad de <a hreflang="en" href="http://www.theverge.com/2013/12/29/5253226/nsa-cia-fbi-laptop-usb-plant-spy">interceptar las entregas de ordenadores</a> (The Verge) para que se instalan chivatos y <a hreflang="en" href="http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/"><em>malwares</em> infectando cualquier kilo-octeto de memoria disponible (incluso el BIOS)</a> (Ars Technica).</p> <p><a hreflang="en" href="http://www.theregister.co.uk/2013/12/31/blame_silicon_valley_for_the_nsas_data_slurp_and_what_to_do_about_it/?page=2">Las compañías americanas se cachondean de su privacidad</a> (The Register)</p> <p><a hreflang="en" href="http://arstechnica.com/tech-policy/2013/12/switzerland-wont-save-you-either-why-e-mail-might-still-be-safer-in-us/">Porque tener un correo electrónico suizo no podría ser más seguro que en los EEUU</a> (Ars Technica). Consideran que la ley suiza impide a los proveedores revelar la existencia de escuchas electrónicas. No obstante, en realidad, la no-revelación, que sólo debía ser una excepción, está a punto de volver sistemática.</p> <p><a hreflang="en" href="http://arstechnica.com/security/2013/06/encrypted-e-mail-how-much-annoyance-will-you-tolerate-to-keep-the-nsa-away/">Porque la gente todavía no suele codificar sur correos</a> (Ars Technica)</p> <p>En frente de estas amenazas muy concretas, solo queda la posibilidad de asegurar sus datos usando contenedores TrueCrypt, siempre en máquinas no comprometidas. Una <a hreflang="en" href="https://www.privacy-cd.org/downloads/truecrypt_7.0a-analysis-en.pdf">análisis un poco antigua</a>, pero alentadora de esta aplicación ha sido hecha, y la única vulnerabilidad descubierta era en los <em>keyfiles</em>.</p> <p>En cambio de Edward Snowden, este ex-empleado de la NSA <a hreflang="en" href="http://arstechnica.com/information-technology/2013/12/the-national-security-agencys-oversharing-problem/2/">trató dar la alarma</a> sobre los procedimientos que veía, usando cadenas oficiales.</p> <p><a hreflang="en" href="https://www.privacy-cd.org/en">Ubuntu Privacy Remix</a></p> <p><a hreflang="en" href="https://www.privacyinternational.org/reports/switzerland/ii-surveillance-policies">Leyes sobre las escuchas electrónicas en Suiza</a> (Privacy International)</p> <p><a hreflang="en" href="http://america.aljazeera.com/opinions/2014/1/nsa-intelligencereformamericansecurity.html">Como la NSA rindió la nación menos segura</a> (Al Jazeera US)</p> <p><a hreflang="fr" href="http://www.ledevoir.com/politique/canada/398737/des-milliers-de-voyageurs-espionnes">Miles de pasajeros espiados</a> (Le Devoir)</p> <p>Y terminando con un poco de humor negro: <a hreflang="en" href="http://www.buzzfeed.com/justinesharrock/this-nsa-twitter-parody-account-is-both-hilarious-and-upsett">Un cuenta parodia de la NSA en Twitter</a></p> <br /> Compartir su conexión Internet con un iPhone 3GS y Snow Leopard, por USB urn:md5:4290aa9505ee554ff5efaa5ef8f692aa 2013-10-19T20:00:00-04:00 2014-04-18T23:44:30-04:00 Cubytus internetiphoneréseautethering <p><em>Por misteriosas razones, a veces se resulta imposible compartir la conexión Internet de un iPhone con Snow Leopard. En este post, voy a mostrar una sencillísima solución.</em></p> <p><em><ins>Dificultad</ins>: fácil<br /></em></p> <p>Un día que estaba en el autocar, acababa de reinstalar a mi MacBook Pro, tenía mi antiguo iPhone 3GS, su cable, y un ardiente deseo de responder a mis correos (Y también de perder algún tiempo y datos en Facebook, pero estas cosas no se dicen). Poniéndolo en contexto, debéis saber que mi iPhone funciona con iOS 6.1.6 y está "jailbroken", porque Apple todavía no ofrece medidas de "desimbloquear" a su carísimo iPhone, aún sea fuera de contrato.</p> <p>En el iPhone, cuando habéis seleccionado "Compartir Internet" en los "Ajustes" de iOS, se instruye de enlazar el aparato al ordenador con Bluetooth (modo de connexión muy lento y goloso) o con el cable USB, que es mucho más rápido aunque descarga la batería del ordenador más rápidamente. Compartir por wifi es imposible con el 3GS.</p> <p> Afortunadamente, el car tenía un inversor de corriente que permitió a dejarlo el ordenador enchufado. Pues, enlacé el iPhone con el MacBook Pro por Bluetooth, y lo enchufó por USB, y… Nada ocurrió. Contrariamente a lo que se dicen, la nueva interfaz de red no apareció en la sección Red de las Preferencias del sistema. Estaba sospechando el cable un poquito destrozado o el iPhone que abrí demasiada veces para reemplazar partes. Busque en el Internet por problemas de compartir, y tropecé <a hreflang="en" href="https://discussions.apple.com/message/22956359#22956359">allí</a>, indicando que era un problema conocido y debido a bugs de actualizaciones de iTunes. Debe instalar a un <em>patch</em> <a hreflang="en" href="http://carlogent.com/KextUtilityFix.zip">allí</a> o la copia local por aquí: <a hreflang="en" href="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/KextUtilityFix.zip">KextUtilityFix.zip</a>, y reiniciar el Mac, nada más. También esta pagina de <a hreflang="en" href="https://discussions.apple.com/thread/4367664">Apple discussions</a> describe un método manual. </p> Basics of security on the Internet urn:md5:a056db9302d06b54b6b0628dcc9bf62e 2013-08-28T23:37:00-04:00 2013-12-22T18:06:43-05:00 Cubytus backupinternetprivacysecurity <p><em>This closely relates to the former post about privacy, hence my using of the same keywords. According to the Webster dictionary, security is a state where one is free from danger or threat, and has to be considered from a technical standpoint. Another great and lengthy definition was written down long ago on the highly reputable <a hreflang="en" href="http://www.w3.org/P3P/mobile-privacy-ws/papers/zks.html">w3.org</a>. This post will try to balance ease-of-use with security habits to keep and act upon, not some crypto-nerd phantasm. It will further assume that you set up a reasonably difficult password on your local computer when you installed it, and that you are starting fresh.<br /></em></p> <p><em><ins>Difficulty</ins>: medium<br /></em></p> <p>By definition, Web browsing offers no security features. Everything can easily be eavesdropped, which is not big deal when you are reading a Wikipedia page on a non-controversial topic, for example. But if you want to access highly controversial or sought-after information, Wikileaks, for example, then you want to make sure you are actually dealing with the real server. Simplifying things here, this takes place over an encrypted connection, such as SSL, itself guaranteed to be authentic through the use of public key certificates.</p> <h2>Passively</h2> <h3>Securing the computer</h3> <p>Turn on the Firewall as shown. It is a no-brainer, and any application requiring network access will explicitly ask you to allow it. As you can see, I haven't enabled stealth mode, because some software rely on it for proper operation.</p> <p><img title="Capture_d_e_cran_2013-09-08_a__23.53.11.png, sept. 2013" style="float: left; margin: 0 1em 1em 0;" alt="Capture_d_e_cran_2013-09-08_a__23.53.11.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/Privacy/.Capture_d_e_cran_2013-09-08_a__23.53.11_m.jpg" /><img title="Capture_d_e_cran_2013-09-08_a__23.54.56.png, sept. 2013" style="float: right; margin: 0 0 1em 1em;" alt="Capture_d_e_cran_2013-09-08_a__23.54.56.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/Privacy/.Capture_d_e_cran_2013-09-08_a__23.54.56_m.jpg" /></p> <h3>Backups</h3> <p>We never stop repeating to "do your backups". In fact I think to make a new meme to launch in the wild, DYFB whenever one complains about an imminent HDD failure.</p> <p>So let's keep that short:</p> <ol><li>Enable Time Machine</li> <li>Subscribe to a privacy-abiding online backup provider. You don't want to lose both your backup disk and computer in a worst-case scenario, right? Usually I would have recommended SpiderOak, but with their ongoing performance issues, I currently cannot recommend any good service. And no, Dropbox is NOT a proper, remote backup.</li> <li>OPTIONAL: have a bootable clone of your machine. I historically preferred <a hreflang="en" href="http://sites.fastspring.com/bombich/product/ccc?option=show_contents">Carbon Copy Cloner</a> because it was previously free, but even now, in its current, paid-for edition, it is definitely a worthwhile purchase from a small developer.</li> </ol> <h3>Choosing the right web browser</h3> <p>Much as a car, security start from the web browser one chooses. The good news is that modern web browsers are much more secure, and whatever your choice is between Firefox, Chrome or Safari, you're pretty much safe as long as you keep it up to date. We all should know that "zero risk" doesn't exist, but those are the basics for safe browsing.</p> <p><ins>Browser add-ons</ins></p> <p>What can compromise a browser though are the multiple add-ons you can install, and we know there are tons of them available on Firefox! Discernment must be exercised when making a choice. Stay clear of Adobe Flash Player as much as you can. I can personally confirm that a computer without Flash can be perfectly liveable. Of course you will lose video playing ability on many websites, but most of them are so low in technical and intrinsic quality, ask yourself, will it change the way you browse the internet? Maybe for the better. If you don't wish to compromise on video playing ability, then at least make sure you install <a hreflang="en" href="http://hoyois.github.io/safariextensions/clicktoplugin/">ClickToPlugin</a> so as tu manually approve loading of Flash content. You're still on your own to judge whether or not to allow a given content to load. Beware though, as malicious software sometimes <a hreflang="en" href="http://www.intego.com/mac-security-blog/cross-platform-adware-poses-as-flash-player-update/">hides as a legitimate-looking Flash player update</a>. Only update using the small application from Adobe, in your Applications folder.</p> <p>Adobe Acrobat Reader is completely unnecessary on Mac OS X as well as many GNU/Linux distributions, as they feature a built-in PDF reader.</p> <h3>In a Web browser</h3> <p>This method is called <a hreflang="en" href="https://en.wikipedia.org/wiki/HTTP_Secure">HTTPS</a>, for HTTP over SSL/TLS. The website will show your browser a certificate signed by an external entity, attesting the website is actually who it claims to be, and many times without requiring any user intervention. Many websites do issue a <a hreflang="en" href="https://en.wikipedia.org/wiki/Self-signed_certificate"><em>self-signed</em> certificate</a>, meaning, the actual, authentic server signs for itself, most often requiring explicit user acceptance of the certificate. It doesn't necessarily mean they're less secure, and in fact, if you got here, then you probably accepted my hosting provider's shared certificate for all websites residing on the same machine. </p> <p>As a rule of thumb, you should never trust any transactional website that doesn't provide you with an HTTPS connection. Of course exceptions do apply, as some websites feature a plain HTTP connection while the forms you may fill will be sent through HTTPS, so you will have to use your judgement to evaluate if you should trust a certificate or an HTTPS connection.</p> <p>To make it easier to keep good browsing habits, you can actually install <a hreflang="en" href="https://www.eff.org/files/https-everywhere-latest.xpi">a Firefox extension</a> to automatically look for the secure version of servers you're connecting to. As far as I know, this doesn't exist yet in Safari.</p> <h3>Through the command line</h3> <p>SSL connection is also featured at the command line level. If you want to access a server through SSH (Secure SHell), the first connection will as if you want to accept the «fingerprint» returned by the distant server, used much the same way as certificates are used during web browsing. If a fingerprint doesn't match the saved fingerprint for a given server, connection will fail. The workaround is to delete the saved fingerprint and retry connection, but only if you are really sure of the identity of the remote computer you want to access. Such legitimate situation include when you changed your router's firmware <a hreflang="en" href="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/index.php?post/2013/08/15/Prolonger-la-vie-de-son-Linksys-WRT54GL-choisir-un-firmware-tierce-partie">for a different version</a>, for example. You can actually verify the authenticity of a given fingerprint following <a hreflang="en" href="http://askubuntu.com/questions/156620/how-to-verify-the-ssl-fingerprint-by-command-line-wget-curl">this method</a>; although written fro Ubuntu, it will work in Mac OS X.</p> <h3>In emails</h3> <p>Web-based emails are almost a non-issue nowadays as most of them will provide you with an HTTPS interface to connect. However, email clients are a different beast, and by default, you will have to specify the secured server address (can be different from the regular address), or tell it to use an SSL/TLS connection. In case of a self-signed certificate being issued, it will ask you to explicitly allow it.</p> <p>Maybe you noticed that I haven't covered viruses, the reason being, at the date of this post, there are virtually no viruses in the wild attacking Mac OS X, even less GNU/Linux.</p> <h2>Actively</h2> <p>Repeating pays! I still wonder how so many people can fall victim to phishing attempts and malware transported through emails. How hard is it NOT to open any unrequested attached file from unknown senders? Phishing attempts may be a bit more difficult to spot, as scammers became masters at imitation, and only a close look will reveal a non-authentic email. In doubt, DON'T ACT.</p> <h3>Your computer itself</h3> <p>Somewhere between passive and active ways to stay secure on the Internet, you should remember to never, ever trust your computer. Understand first that <a hreflang="en" href="http://security.stackexchange.com/questions/40850/who-tells-that-truecrypt-is-secure">no computer</a> is immune to being compromised, and the least you can do is not trusting the machine with any kind of personal information, striking a balance between performance and security. Forget about your machine being immune to NSA, they have ways to make you talk anyway or enough horsepower to brute-force data.</p> <p>When you first install or turn on a brand new Mac (and other OSes as well), you will see a window similar to this one:</p> <p><img title="Capture_d_e_cran_2013-09-08_a__22.41.35.png, sept. 2013" style="float: left; margin: 0 1em 1em 0;" alt="Capture_d_e_cran_2013-09-08_a__22.41.35.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/Privacy/.Capture_d_e_cran_2013-09-08_a__22.41.35_m.jpg" /></p> <p>Next, if you followed the <a href="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/index.php?post/2013/08/23/Basics-of-privacy-on-the-Internet">previous post</a> about privacy, what pops into your head right away would be "do I need to provide all this information to be using the computer?"</p> <p>Some people may argue that it is helpful for example when you want to retrieve the computer should it be stolen. It is not. Apple currently has a non-interventionist policy when dealing, say, at the Genius Bar with a machine that they can still see was stolen. And we already know police doesn't do anything against petty crime. In any case, not registering doesn't prevent you from using, for example, Find My iPhone (despite its name, it also includes your Lion and more recent versions of OS X, if you're not too concerned about a US company holding your data), or writing down your machine's serial number.</p> <p>So short answer is no, your machine doesn't need to know that information, and even if Mac OS X insists on trying to know, you can perfectly bypass this assistant.</p> <p>Files are a different beast, and while you should never trust your machine with personal information, one can't reasonably be expected to deal with private information solely on paper. So as soon as you are over working on, say, an immigration or financial form, it is good practice to place it in a secured container. I chose <a hreflang="en" href="http://www.truecrypt.org/">TrueCrypt</a> as it works on multiple platforms, then you can't be stuck if your OS goes south, as long as one can retrieve the container. While it is technically possible to compromise TC in a variety of ways (off the top of my head, liquid-nitrogen cooling of RAM chips, <a hreflang="en" href="http://security.stackexchange.com/questions/32418/truecrypt-compromised">gaining</a> access to the machine having an opened encrypted container, <a hreflang="en" href="http://theinvisiblethings.blogspot.ca/2009/10/evil-maid-goes-after-truecrypt.html">infection</a> by a trojan installing a keylogger, you name it), with good habits you can reduce the likelihood of a "casual" hacker to gain access to your personal data.</p> <p>You could also enable FileVault, but in my experience encrypting the whole disk takes a <a hreflang="en" href="http://osxdaily.com/2011/08/10/filevault-2-benchmarks-disk-encryption-faster-mac-os-x-lion/">considerable</a> <a hreflang="en" href="http://www.anandtech.com/show/4485/back-to-the-mac-os-x-107-lion-review/18">toll</a> on overall performance and, by extension, battery life. Is is a bit less secure in absolute terms than TC, but has the major advantage of being completely transparent.</p> <p>Of course, keep your OS and software as up-to-date as possible!</p> <p>Of course this post is not intended for the chronically paranoid as I haven't addressed the problem of unencrypted Time Machine backups, for example. Wait… If you followed here, having your really sensitive data hosted in TrueCrypt containers won't reveal any valuable information should the machine or its external backup be stolen. But overall, it seems impossible to have a truly locked-down computer that would remain truly flexible and powerful.</p> Prolonger la vie de son Linksys WRT54GL - Partager une clé USB à travers internet urn:md5:74d6c344489dcba894e80aab71bcbf3c 2013-08-13T21:56:00-04:00 2013-08-22T02:33:09-04:00 Cubytus internetréseauwrt54gl <p><em>C'est toujours pratique d'avoir accès à du stockage à la maison. Ce post va montrer comment partager une clé USB (ou disque dur), sans autre matériel que votre routeur modifié.</em></p> <p>Après avoir <a href="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/index.php?post/2013/08/13/Prolonger-la-vie-de-son-Linksys-WRT54GL-Ajout-de-deux-ports-USB">greffé des ports USB</a> sur son vaillant WRT54GL v1.1 (Maintenant que nous sommes intimes, appelons-le 54GL), bien vu que ça marchait bien sur le réseau interne, voilà le temps de compliquer un peu les choses et de rendre la clé accessible à partir d'Internet. La mauvaise nouvelle, c'est qu'il n'y a pas, dans l'édition de Tomato utilisée sur le 54GL, de serveur SFTP. La bonne nouvelle, c'est que si vous avez bien suivi le guide de configuration, tous les éléments sont déjà en place, il ne reste plus qu'à les activer. Vous l'aurez compris, on ne se connectera pas selon le protocole SFTP, mais <em>on fera passer le FTP dans un tunnel crypté SSH</em>.</p> <h3>Étape zéro: limiter l'accès FTP au réseau local seulement</h3> <p>Pas de commentaire, je viens de me rendre compte qu'il manquait un détail avant de créer le tunnel SSH. C'est fou ce qu'on oublie quand on a fait la configuration il y a un moment! Dans la première case, sélectionnez «LAN only», et sauvegardez.</p> <p><img title="Capture_d_e_cran_2013-08-13_a__20.22.26.png, août 2013" style="float: left; margin: 0 1em 1em 0;" alt="Capture_d_e_cran_2013-08-13_a__20.22.26.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/.Capture_d_e_cran_2013-08-13_a__20.22.26_m.jpg" /></p> <h3>Première étape: créer un tunnel SSH</h3> <p>Ouvrir le Terminal, et copiez la ligne suivante (vous pouvez aussi la taper, ça fait de l'exercice):</p> <pre><code><code>ssh -ND 8887 -p 2222 root@votre_adresse_DNS_dynamique</code></code></pre><p>Tapez ensuite le mot de passe. Un tunnel est maintenant disponible sur votre machine locale sur le port 8887. Ne quittez pas le Terminal, vous en aurez besoin pour fermer le tunnel. </p> <p>À noter qu'il y a d'autres méthodes, <a hreflang="fr" href="http://free.korben.info/index.php/Tunnel_SSH#Sous_Mac_OS_X">décrites <img alt="chez Korben" src="http://free.korben.info/index.php/Tunnel_SSH#Sous_Mac_OS_X" />.</a></p> <h3>Deuxième étape: informer FileZilla de l'existence du tunnel</h3> <p>Ici je dis FileZilla, mais le principe est identique sur les autres clients FTP que vous utiliserez. Suivez les indications en images.</p> <p>Tomato doit être configuré pour accès FTP par LAN seulement, et avoir un utilisateur. J'ai mis "root" par souci d'unification, mais vous pouvez réellement indiquer celui que vous voulez, avec les droits lecture et écriture.</p> <p><img title="Capture32.png, août 2013" alt="Capture32.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/Capture32.png" height="400" width="643" /></p> <p>Côté FileZilla:</p> <p><img title="Capture_d_e_cran_2013-08-13_a__21.42.17.png, août 2013" alt="Capture_d_e_cran_2013-08-13_a__21.42.17.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/Capture_d_e_cran_2013-08-13_a__21.42.17.png" /></p> <h3>Troisième étape: se connecter</h3> <p>On fait comme ça (en bonus, de la pub gratuite pour du matériel à vendre!). Vous pouvez voir que le répertoire de la clé USB est visible, et pouvez donc y accéder comme bon vous semble. La date n'est pas valide, mais qu'importe.</p> <p><img title="Capture07.png, août 2013" alt="Capture07.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/Capture07.png" height="457" width="629" /></p> <p>N'est-ce pas plus agréable que le primitif <a title="SCP" hreflang="fr" href="https://fr.wikipedia.org/wiki/Secure_copy">SCP</a> ?</p> Prolonger la vie de son Linksys WRT54GL - Accélérer le bouzin! urn:md5:e631495f9237d6eda592dd976dd68ec8 2013-08-13T17:44:00-04:00 2015-01-10T05:18:22-05:00 Cubytus internetréseauwrt54gl <p><em>Je sais, je sais ce que vous allez dire, «&nbsp;pourquoi s'intéresser en 2013 à un routeur qui a déjà presque huit ans? ». Eh bien, d'abord par intérêt personnel, comme pratiquement tout le contenu que vous lirez ici, mais aussi parce que, budget étudiant oblige, on ne peut pas toujours acquérir la dernière technologie. Et puis c'est toujours plaisant de bidouiller!<br /></em></p> <p><em><ins>Difficulté</ins>: moyen<br /></em></p> <p>Bien sûr, lorsqu'on sort de la fac, on ne peut s'empêcher de remarquer le «lag» relatif de ce routeur lorsqu'on appelle une page Internet. Non pas que Linksys ait fait un mauvais travail, seulement, ils n'ont inclut que le strict minimum. Et puis n'oublions pas que ce routeur a presque dix ans d'âge technologique.</p> <p>La bonne nouvelle, c'est que le Linksys WRT54GL est un modèle hautement modifiable, et encore efficace. La première étape est de se débarrasser du firmware d'origine. Non pas qu'il ne fonctionne pas, loin de là (on n'est pas chez D-Link après tout!), mais il ne propose pas les options que nous utiliserons. Le choix est relativement large, mais je trouve que <strong>Tomato</strong> a l'avantage d'être très simple d'utilisation pour les novices, sans pour autant sacrifier de fonctionnalités avancées. Plusieurs versions sont disponibles, et, un peu arbitrairement je l'avoue, <a href="http://gemini.net.pl/~slodki/tomato-sdhc.html" hreflang="en">sélectionné le mod de slodki</a>. Ce n'est pas le plus récent, mais fera le travail. J'y reviendrai plus tard. La manipulation décrite fonctionne, que je sache, sur toutes les versions de Tomato.</p> <p>Pour rendre le chargement des pages un peu plus rapide, soit le temps entre le moment où vous tapez sur la touche <a href="https://www.ftp83plus.net/dc/dotclear/index.php?post/2013/08/13/Enter" title="Enter">Enter</a> et le moment où la page est complètement affichée, sur un Tomato correctement configuré, ouvrez le Terminal de votre Mac, et tapez:</p> <pre>$ ssh root@192.168.1.1 -p 22 </pre> <p>Tapez ensuite le mot de passe que vous avez réglé dans Tomato, puis:</p> <pre># nvram get clkfreq </pre> <p>Ce qui vous donne la vitesse actuelle du processeur, normalement de 200 (MHz) Pour augmenter ça:</p> <pre># nvram set clkfreq=240 # nvram commit # reboot </pre> <p>Ce routeur peut prendre jusqu'à 250MHz de façon stable (<a href="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/index.php?post/2015/01/09/Prolonger-la-vie-de-son-WRT54GL-r%C3%A9cup%C3%A9rer-d-un-crash">discutable</a>!) sans changer le CFE, mais d'expérience, si le routeur est dans un endroit plutôt chaud, il tend à planter de temps en temps. Ce n'est pas catastrophique, mais à prévoir si vous n'avez pas fait le <em>mod</em> pour refroidissement actif.</p> <p><strong>Attention, il ne peut pas prendre n'importe quelle fréquence!</strong> Sous peine de “bricker” votre routeur, n'utilisez que les suivantes: 183, 188, 197, 200, 206, 212, 216, 217, 225, 238, 240, 250MHz. Il y a toujours possibilité de monter jusqu'a 263MHz (stable) ou 275MHz (peu stable), mais ça demande des <a hreflang="en" href="http://www.bitsum.com/openwiking/owbase/WRT54G_overclocking/">modifications avancées</a>. Ça représente un gain de plus de 30%!</p> <p>(<a hreflang="en" href="http://www.techpowerup.com/forums/threads/unlocking-the-power-of-the-wrt54gl-and-a-few-other-routers-with-linux.134844/">Source 1</a>, <a hreflang="en" href="http://tomatousb.org/tut:overclocking-the-wrt54gl">source 2</a>, <a hreflang="en" href="http://www.linksysinfo.org/index.php?threads/wrt54gl-v1-1-overclocking-via-command-line.31267/#post-152645">source 3</a>)</p> <p>Et voilà, après redémarrage, les pages se chargent plus rapidement qu'avant.</p> <p>On peut aussi gagner en performance en réduisant le nombre de connexions autorisées: par défaut Tomato en prend 8192, ce qui est à mon sens beaucoup trop optimiste pour ce petit CPU et surtout la faible mémoire disponible. Pour indice, le modem lui-même n'en prend que 2048. Inutile, donc, de laisser si haute la limite, et il serait même plutôt avisé de réduire le timeout par défaut pour ne pas laisser le routeur plier sous la charge.</p> <p><img title="Captura_de_pantalla_2015-01-09_a_las_03.22.46.png, janv. 2015" style="margin: 0 auto; display: block;" alt="Captura_de_pantalla_2015-01-09_a_las_03.22.46.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/.Captura_de_pantalla_2015-01-09_a_las_03.22.46_m.png" /></p> <p>La pause rigolade à propos de la stabilité du routeur:</p> <p><em>Shame on you, <strong>Toastman</strong>! I can tell you that in addition to what <strong>noodles</strong> said (which is entirely true), it's of extreme importance to take the feng shui of the router into account. I have mine placed exactly according to the ancient rules by a vietnamese priest and now it can do more that 20 MB/s WAN to LAN as opposed to only 4-5 MB/s before. That is because the qi of the Earth (or Gaia) is amplifying the signal getting to the router, virtually increasing the bandwidth flow by up to 5 times!!!111one Furthermore, the logical gates in the CPU discharge their karma more quickly now because of the qi, and are able to handle the semi-conductor diodes SMD transistors more efficiently, thus keeping pace with the bandwidthial flow. (<a hreflang="en" href="http://www.linksysinfo.org/index.php?threads/wrt54gl-v1-1-overclocking-via-command-line.31267/#post-152669">Source</a>)<br /></em></p> Prolonger la vie de son Linksys WRT54GL - Convenablement configurer son firmware tiers urn:md5:e1619700e3ef68b97bf8714d5132eb29 2013-07-01T13:08:00-04:00 2015-01-11T00:41:58-05:00 Cubytus internetrouteursécuritéwrt54gl <p><em>Le choix de la date de publication de ce billet n'est pas arbitraire, et je l'ai faite coïncider avec la fête des déménagements! Nouveau logement, nouvelle connexion, c'est le moment de prendre de bonnes habitudes dès le départ. <br /></em></p> <p>Bon, c'est pas tout ça d'avoir installé un firmware tierce partie sur son routeur, encore faut-il le configurer correctement. Je ne parlerai pas ici des «box», ces modems-convertisseur TV-routeur-NAS tout-en-un qui sont et d'une assez pointilleux et complexes à configurer correctement, et d'autre part, bien moins flexibles qu'un routeur indépendant. Au prix de quelques câbles de plus, donc...</p> <p>Il serait présomptueux de savoir tout de suite ce que vous ferez par la suite avec votre routeur, donc allons-y pour la flexibilité et la sécurité, et n'oubliez pas de sauvegarder après chaque étape.</p> <h3>L'adresse IP de base du routeur</h3> <p>Cette partie n'est utile que si vous comptez monter plus d'un sous-réseau derrière le modem. Par défaut, les routeurs Linksys attribuent une adresse commençant par 192.168.1.<em>x</em>, <em>x</em> étant un chiffre quelconque, chez D-Link, c'est 192.168.0.<em>x</em>, etc.</p> <p>Dans «Basic &gt; Network», partie LAN, remplissez la première case, IP du routeur, avec l'IP à attribuer au routeur lui-même, en suivant l'exemple ci-dessus, 192.168.1.1, <em>à moins qu'un autre périphérique réseau l'utilise déjà</em>. Ne touchez pas aux DNS statiques pour le moment, et reconnectez-vous au routeur en utilisant la nouvelle adresse ainsi créée.</p> <p><img title="Capture_d_e_cran_2013-08-20_a__17.54.04.png, août 2013" style="float: left; margin: 0 1em 1em 0;" alt="Capture_d_e_cran_2013-08-20_a__17.54.04.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/.Capture_d_e_cran_2013-08-20_a__17.54.04_m.jpg" /></p> <h3>Le mot de passe administrateur</h3> <p>Dans la section Administration &gt; Admin Access, changer le mot de passe par défaut. « admin / admin », ce n'est pas très sûr. Un moyen très simple est d'utiliser le générateur de mot de passe intégré à OS X. Dans <em>/Applications/Utilitaires</em>, ouvrez Trousseau d'accès, et, dans <em>session</em>, cliquez sur le +, puis la clé</p> <p><img alt="" src="http://fairerplatform.com/wp-content/uploads/2012/08/os-x-password-generator.jpeg" /></p> <p>ce qui ouvre l'assistant de création de mot de passe. Une longueur de 21 caractères pour un mot de passe mémorisable donne une sécurité maximale. Bien sûr, le test n'est pas fait selon les normes de sécurité les plus pointues, mais devrait tenir à distance les intrus. Par exemple:</p> <p><img title="Capture_d_e_cran_2013-08-20_a__16.06.59.png, août 2013" style="float: left; margin: 0 1em 1em 0;" alt="Capture_d_e_cran_2013-08-20_a__16.06.59.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/Capture_d_e_cran_2013-08-20_a__16.06.59.png" /></p> <p>Le nom d'administrateur reste toujours «admin». Reconnectez-vous après avoir sauvegardé.</p> <h3>Régler l'heure correctement</h3> <p>Garder le routeur à l'heure peut être très utile lorsque vient le temps de débugger un comportement imprévu, ou simplement de garder trace de sa consommation de bande passante. Dans « Basic &gt; Time », sélectionnez votre zone d'heure, si l'heure d'été est en vigueur dans votre pays, puis&nbsp; «auto-update time», et sélectionnez un serveur de temps NTP. À mon avis il n'est pas utile de récupérer l'heure trop souvent, si votre routeur est stable, une fois par 24h devrait suffire.</p> <h3>Le wifi</h3> <p>En supposant que vous avez déjà proprement configuré votre connexion (par exemple, chez beaucoup de fournisseurs il n'est toujours indispensable d'activer le IPv6), il va de soi que vous ne devez jamais crypter la connexion au réseau interne avec du WEP, tout le monde sait que ça se craque le temps de le dire. WPA2 obligé, avec AES. Le TKIP si vos périphériques ne les supportent pas. Si vous n'êtes pas sûr, faites des essais. Tomato inclut un générateur de clé pseudoaléatoire que je vous conseille vivement, dans «Basic &gt; Network». Vous pouvez aussi utiliser le générateur intégré à OS X. Mettez cette clé dans un fichier texte sur une clé USB, pour le partager plus facilement entre vos différentes machines.</p> <h3>L'accès à distance</h3> <p>Ça devient très utile, notamment lorsque vous êtes sur le point de faire une présentation très importante à vos clients, et là, oh merde, il vous manque la version de votre présentation que vous avez soigneusement sauvegardé sur votre NAS. Pour accéder à distance à votre réseau interne, il vous faudra un serveur de DNS dynamique. Je vous conseille <a href="http://www.no-ip.com" hreflang="en">No-IP</a>, pour sa facilité d'accès, sa gratuité, et la présence de clients de mise à jour pour les trois systèmes d'exploitation majeurs. Suivez les instructions pour vous inscrire, c'est très simple.</p> <p>Réglez donc votre routeur, comme montré sur cet émulateur mis en ligne par Victek, et cochez la case «Force next update»: .</p> <p>Vous pouvez même régler un second DNS dynamique, idéalement chez un autre fournisseur au cas où le premier tomberait en panne. </p> <h3>Un accès sûr</h3> <p>Ce n'est pas tout d'avoir une adresse fixe pour rejoindre sa machine, encore faut-il ne pas laisser la porte ouverte au tout venant!</p> <p><ins>HTTPS</ins></p> <p> Cliquez donc sur «Administration», puis «Admin Access», et configurez comme indiqué, ce qui rendra le routeur accessible, du réseau interne, sur le port 443, et sur le réseau externe, sur le port 8080, par exemple pour vérifier si vous n'avez pas dépassé votre limite de bande passante ce mois-là, ou si votre débit moyen est bien celui qu'on vous a vendu à prix d'or (Voir le post de Geeknet à ce sujet), ou simplement vérifier l<em>'uptime</em> de votre connexion, considération geek par excellence. <img src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/.Capture_d_e_cran_2013-08-20_a__15.28.17_m.jpg" alt="Capture_d_e_cran_2013-08-20_a__15.28.17.png" style="float:left; margin: 0 1em 1em 0;" title="Capture_d_e_cran_2013-08-20_a__15.28.17.png, août 2013" /></p> <p><ins>SSH</ins> Un accès HTTPS, c'est bien, mais SSH, c'est mieux! En effet, vous avez accès à davantage de paramètres du routeur, dont la possibilité d'overclocker ou au contraire, de réduire la vitesse CPU si vous constatez de l'instabilité. On fait donc comme montré, ce qui rend le routeur accessible du LAN sur le port 22, et de l'extérieur sur le port 2222, ce qui permet de garder libre le port 22 et ainsi éviter les conflits avec une éventuelle machine sur le réseau interne qui utiliserait ce port:</p> <p><img title="Capture_d_e_cran_2013-08-20_a__15.42.38.png, août 2013" style="float: left; margin: 0 1em 1em 0;" alt="Capture_d_e_cran_2013-08-20_a__15.42.38.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/.Capture_d_e_cran_2013-08-20_a__15.42.38_m.jpg" /></p> <p>À noter que, puisqu'on parle de sécurité, dans la section du dessous, n'oubliez pas de <em>désactiver </em>le daemon Telnet. Encore une fois, il pourrait être nécessaire de vous reconnecter en utilisant cette fois l'adresse en https://.</p> <h3>Mesurer votre bande passante</h3> <p>Ce n'est pas indispensable puisque votre fournisseur, s'il compte la bande passante, vous fournira l'adresse où aller vérifier, mais on aime pouvoir garder ça en note localement aussi. Ça se trouve dans « Bandwidth &gt; Real-Time », cliquez sur <em>Configure</em>, puis suivez l'illustration. Comme indiqué, l'historique d'utilisation sera sauvegardé dans la carte SD (si vous avez fait la modification) tous les deux jours, crée des sauvegardes, et le premier jour de facturation est le premier</p> <p><img title="Capture_d_e_cran_2013-08-20_a__16.19.57.png, août 2013" style="float: left; margin: 0 1em 1em 0;" alt="Capture_d_e_cran_2013-08-20_a__16.19.57.png" src="https://www.ftp83plus.net/~ftp83plu/dc/dotclear/public/WRT54GL/.Capture_d_e_cran_2013-08-20_a__16.19.57_m.jpg" /></p> <h3>Le firewall</h3> <p>Dans « Advanced &gt; Firewall », quelques modifications à faire selon ce que vous voulez obtenir. En prenant pour acquis que vous voulez accéder à vos machines de l'extérieur, la bonne habitude à prendre est de les laisser allumées. Cependant, si vous ne l'utilisez pas souvent, il se peut que vous l'ayez laissée branchée en ayant activé le <a hreflang="en" href="https://en.wikipedia.org/wiki/Wake-on-LAN"><em>Wake-on-LAN</em></a>. En fait, nous verrons plus tard que ça fonctionne non seulement en LAN, mais aussi de extérieur.</p> <p>Le Allow multicast vous permet une meilleure performance dans le streaming vidéo.</p> <p>Suivez la configuration:</p> <p><br /><img alt="" src="http://www.justinmontgomery.com/wp-content/uploads/2011/07/tomato_advanced_firewall_settings-289x300.png" /></p> <p>Source et détails supplémentaires : <a hreflang="en" href="http://www.justinmontgomery.com/tomato-advanced-firewall-settings">http://www.justinmontgomery.com/tomato-advanced-firewall-settings</a></p> <h3>Attribution d'adresses DHCP statiques</h3> <p>En ayant plusieurs machines sur le même réseau, c'est toujours plus simple de la voir recevoir la même adresse IP d'une connexion à l'autre. La plupart des systèmes d'exploitation supportent le protocole <a hreflang="fr" href="https://fr.wikipedia.org/wiki/Zeroconf">Zeroconf</a>, mais en cas de panne (ce qui n'est pas rare quand on bidouille beaucoup) ou de simple tests, il est bon de pouvoir se souvenir aisément de l'adresse numérique d'une machine.</p> <p>Commencez donc par connecter toutes les machines que vous avez sous la main, soit en wifi soit en câblé, et allez dans «Status &gt; Device List ». Cliquez sur [static], puis, sur la page suivant, entrez l'adresse IP interne que vous voulez attribuer à cette machine, ainsi que son nom, si la case est vide. Enregistrez avant de revenir à la première page, et répétez l'opération pour chaque machine présente.</p> <h3>Ouverture des ports</h3> <p>L'attribution d'adresses DHCP statiques va faciliter cette étape. Maintenant, il vous faut ouvrir les ports utilisés par vos logiciels pour communiquer avec Internet. Dans « Port Forwarding &gt; Basic», vous devez sélectionner le protocole utilisé, UDP, TCP ou les deux, l'IP source autorisée vers laquelle ouvrir le port, le port sur lequel la machine communique publiquement, le port interne réel, l'adresse IP interne réelle de la machine, et enfin la description du port ouvert. Ça semble bien compliqué, mais seuls le protocole, le port externe et l'IP interne sont réellement nécessaires. On comprend mieux ici tout l'intérêt, si vous avez un même logiciel tournant sur deux machines distinctes, de changer leur port de communication. Si le protocole n'est pas clairement indiqué dans la documentation des logiciels, faites des essais en sélectionnant «Both».</p> <p>Le DMZ permet d'exposer une seule machine, ou sous-réseau interne, à Internet sans restriction. Pour raison de sécurité, je déconseille fortement de l'activer.</p> <p>La section «Triggered» est surtout destinée aux jeux. N'étant pas joueur, je laisse les détails à d'autres.</p> <p>Ah, maintenant le fameux «UPnP / NAT-PMP» ! Contrairement à beaucoup de gens sur Internet, pour votre sécurité, il faut laisser les deux cases «Enable» décochées! Le UPnP est très vulnérable aux attaques venant de l'extérieur, comme en témoigne la foison de documents, dont:</p> <p> <a href="https://blog.bit9.com/2013/02/01/how-to-handle-upnp-vulnerabilities/">https://blog.bit9.com/2013/02/01/how-to-handle-upnp-vulnerabilities/</a></p> <p><a hreflang="en" href="https://leaksource.wordpress.com/2013/02/01/upnp-vulnerability-exposes-50-million-network-enabled-devices-to-be-hacked-controlled-remotely/">https://leaksource.wordpress.com/2013/02/01/upnp-vulnerability-exposes-50-million-network-enabled-devices-to-be-hacked-controlled-remotely/</a></p> <p>Pour vérifier la vulnérabilité de votre réseau à ces attaques, c'est par là, sur le lien <a hreflang="en" href="https://www.grc.com/default.htm">Shields Up1! Test</a>. </p> <p>Ça rend la configuration automatique des ports inopérante, mais quelques manipulations de plus sont le prix à payer pour la sécurité.</p> <p>Voilà, en espérant que ce post sur la configuration de base de votre routeur n'aie pas été trop long!</p> <p><ins>Remerciements</ins>:</p> <p>¡Gracias a <a hreflang="es" href="http://victek.is-a-geek.com">Victek</a> por su espléndido simulador de Tomato RAF! </p>