SYSTEM

En cliquant sur le menu Configuration les menus suivants seront présentés:

• TimeZone

• Remote Access

• Firmware Upgrade

• Backup/Restore

• Restart Routeur

• User Management

3.6.2.3.1 Time Zone

Le routeur n'a pas d’horloge en temps réel, à la place il emploie le Simple Network Time Protocol (SNTP) pour obtenir l’heure du serveur de SNTP. Choisissez votre fuseau horaire et sauvegardez en cliquant sur Apply.

3.6.2.3.2 Remote Access

En activant cette fonction il est possible activer la configuration remote de l’appareil via http (avec

« 0 » la configuration remote est toujours valide, jusqu’au reboot du Routeur):

3.6.2.3.3 Firmware Upgrade

Pour améliorer le firmware (microprogramme) du routeur, vous devez télécharger ou copier le firmware sur votre réseau local d’abord, de préférence sur la machine servant à configurer le routeur.

Appuyez sur Sfoglia et indiquez le chemin d'accès au firmware. Puis, cliquetez le bouton Upgrade pour commencer la mise à jour du firmware.

Pendant la phase d'upgrade le Routeur indiquera l'état d'achèvement de la réécriture du firmware en vous montrant un indicateur graphique.

Une fois la mise à jour effectuée, le Routeur se réinitialisera automatiquement (fera un reboot) pour prendre en compte les changements.

3.6.2.3.4 Backup / Restore

L’I-Fly Wireless Routeur ADSL permet d’effectuer un backup sur (ou à partir de) le disque dur de votre PC. Grâce à cette fonction, il sera possible de sauvegarder des configurations complexes et rendre à nouveau opérationnel le Routeur en peu de temps.

Pour effectuer le backup cliquez sur le bouton Backup (dans le cas d’apparition d’un message d’erreur cliquez sur OK et en suite sur Here) Il vous reste seulement à sélectionner le chemin ou vous voulez sauvegarder les données de configuration (le fichier crée aura une extension .ICF)

Pour effectuer la récupération cliquez sur le bouton Sfoglia en indiquant le chemin qui contient le fichier de configuration et après cliquez sur Restore.

3.6.2.3.5 Restart Routeur

Si par nécessité, on doit reconfigurer le routeur ADSL avec la configuration par défaut (en perdant tout les réglages personnalisés), il suffira d’accéder via le menu Configuration-System à la commande Restart Routeur et cocher Factory default settings. Cliquez ensuite sur le bouton Restart Routeur.

(pour des informations complémentaires veuillez consulter la section 3.6)

Au contraire, en cliquant seulement sur le bouton Restart le routeur effectuera un redémarrage (reboot) en rechargeant la configuration initiale. Après chaque changement veuillez cliquer le bouton Save config to Flash pour rendre permanent (et donc sauver sur eprom) le changement.

Allez au menu Configuration-System et d’ici à la fonction User Management il apparaîtra le choix suivant:

Il est possible d’y voir tous les profils habilités ou pas à la configuration du Routeur.

Pour créer un nouvel utilisateur cliquez sur Create et il apparaîtra le menu suivant dans lequel vous pourrez insérer Username et Password puis les activer ou non à travers Valid.

Dans le cas ou vous avez oublié le Password d’accès, il est possible de ramener le Routeur aux conditions initiales en exécutant la procédure suivante (on rappelle qu’il est toujours préférable d’essayer le Password à la création d’un nouveau utilisateur, essayer le password et seulement ensuite procéder à la suppression du précédent utilisateur :

Après l’allumage du dispositif, presser le bouton Reset ou le Restore. Les opérations sont les suivantes :

• 0-3 seconds: réinitialise le dispositif (tout en conservant le contenu sauvé sur le eprom)

• 3-6 seconds: aucune action

• 6 seconds ou plus: effectue un retour au réglage par défaut

3.6.2.4 Firewall

Ce menu permet de configurer un certain nombre de paramètres de sécurité du routeur. Les sous menus sont les suivants :

• General Settings/Packet Filter

• Intrusion Detection

• Mac Filter

• URL Filter

• Firewall Log

3.6.2.4.1 General Settings/Packet Filter

Le filtrage de paquets détermine si le paquet (qui traverse le Routeur) doit est transmis ou refusé.

Le Routeur contrôle la première règle et si elle est satisfaite, il l'exécute (Drop ou Forward), si elle n'est pas satisfaite il va à la suivante.

Si un paquet ne satisfait aucune règle il est éliminé.

Voyons en détail comment configurer la section General Settings/Packet Filter.

Pour activer le Firewall il suffit de choisir Enable et le niveaux de sûreté.

Il est possible choisir entre 4 sélections possibles:

• All blocked/User-defined: Tout le trafic entrant ou sortant est bloqué. L'utilisateur doit insérer ses propres règles dans la section Packet Filter.

• High/Medium/Low security level: en choisissant ce niveau de protection, le Routeur charge une série précise de règles pré-établies

En sélectionnant les options Enable Blocking Log et Enable Intrusion Log, il est possible d'avoir des traces détaillées sur ce que le firewall est en train de faire. Il est ainsi possible de les visualiser dans la section Status - Event Log.

Tableau des niveaux de sûreté en fonction des niveaux prédéfinis.

N° Port Firewall (High) Firewall(Medium) Firewall (Low) Application Protocole

Debut Fin Entrant Sortant Entrant Sortant Entrant Sortant

HTTP(80) TCP(6) 80 80 NO YES NO YES NO YES

Pour modifier ces réglages il suffit d'accéder à la section Configuration, Firewall, Packet Filter.

Cliquez sur Address Filters pour bloquer quelques adresses IP ou Port Filters pour entrer dans le détail des règles.

Vous pouvez modifier (en pressent sur Edit) chaque règle.

En cliquant sur Delete la règle entière est éliminée.

Pour ajouter de nouvelles règles il suffit de cliquer sur l’option désirée :

En choisissant Add TCP Filter vous pouvez ajouter les règles qui utilisent le protocole TCP.

En choisissant Add UDP Filter vous pouvez ajouter les règles qui utilisent le protocole UDP.

En choisissant Add RAW IP Filter vous pouvez ajouter les règles qui utilisent les protocoles.

Par contre en choisissant ALL blocked/User-defined vous devez créer une nouvelle configuration en fixant toutes les règles.

3.6.2.4.2 Intrusion Detection

• Land Attack (Same source / destination IP address)

• IP with zero length

• Sync flooding

• Smurf Attack (ICMP Echo with x.x.x.0 or x.x.x.255)

• Snork Attack Pour activer cette fonction:

• Enable: pour activer l’Intrusion Detection.

• Victim Protection Duration: choisir en secondes, la durée de cette protection. Quand il y a des attaques suspectes, le Routeur protégera les ordinateurs du réseau.

• Scan Attack Block Duration: choisir en secondes, la durée de cette protection (après une attaque SCAN)

• DoS Attack Block Duration: choisir en secondes, la durée de cette protection. Tout les paquets provenant de l'adresse IP qui a déclenché l'attaque DOS sont mis dans la liste des adresses bloquées pour la durée choisie.

• Maximum TCP Open Handshaking Count: choisir le nombre de « Maximum TCP Open Handshaking ». Si cette quantité est atteinte le routeur considère la suivante comme une attaque SYN Flood.

• Maximum Ping Count: choisir le nombre de « Maximum Ping Count». Si cette quantité est atteinte le routeur considère la suivante comme une attaque Echo Storm.

• Maximum ICMP Count: choisir le nombre de « Maximum ICMP Count». Si cette quantité est atteinte le routeur considère la suivante comme une attaque ICMP Flood.

Le tableau suivant détaille le comportement du routeur selon le type d'attaque.

Attack Detect Parameter Blacklist Type of Block Duration

Win Nuke TCP, Port=135, 137-139

Flag:URG Src IP DoS Yes Yes Net Bus Scan TCP No Existing session

DstPort = Net Bus 12345,12346, 3456

Src IP Scan Yes Yes

Back Orifice Scan UDP, DstPort=Orifice Port

(31337) Src IP Scan Yes Yes

SYN Flood Max TCP Open Handshaking Count(Def=100 s)

3.6.2.4.3 MAC Address Filter

Permet de filtrer le trafic à partir des adresses MACs des cartes réseaux. Il sera ainsi possible de bloquer l'accès à une liste d’adresses ou permettre seulement l'accès à certaines adresses de la liste.

Pour activer cette fonctionnalité choisir Enable, comme dans l'illustration, et choisir les modalités opérationnelles:

Allowed= Seules les adresses MACs de la liste peuvent accéder au Routeur, les autres sont bloquées.

Blocked= Toutes les adresses MACs peuvent accéder au Routeur, les autres sont bloquées.

3.6.2.4.4 URL Filter

Permet de filtrer le trafic en sortie en le limitant soit par heure et/ou jour soit à une séquence de caractères établie. Permet aussi de filtrer le trafic à partirde l'URL. Vous pouvez limiter l'usage du routeur à des horaires déterminés.

Pour activer cette fonctionnalité choisir Enable, comme dans l'illustration.

3.6.2.5 VPN

Cette fonction vous permet d’utiliser le routeur comme client VPN dans le cadre de solutions basées sur PPTP et IPSec.

PPTP

PPTP (Point-to-Point Tunneling Protocol) est un protocole de type client-serveur permettant d'encapsuler des trames PPP dans des paquets IP. Il a été défini dans la RFC 2637 (cf.

Documentation), et sert à la mise en place de réseaux privés virtuels (VPN). Le protocole PPTP définit une connexion de contrôle entre le client et le serveur (port 1723/tcp par défaut).

Ce protocole est natif dans les systèmes Microsoft Windows 2000 et Windows XP.

• REMOTE ACCESS: il permet d'avoir accès au réseau local d'un ordinateur distant, en utilisant le client PPTP logiciel, (Dial-in). Vous pouvez accéder à un server PPTP par le client contenu dans le routeur (Dial-Out)

• LAN-TO-LAN: pour mettre en communication sécurisée 2 réseaux différents par le biais de deux Routeurs

IPSec

Les données transitant sur un réseau doivent être sécurisées et protégées contre toutes attaques extérieures, écoutes réseaux, accès non autorisés, interceptions de paquets IP, etc. Les principaux protocoles qui constituent IPSec sont les suivants:

• AH (Authentication Header): Ce mode gère l’intégrité des données, mais ne crypte pas le contenu du paquet IP

• ESP (Encapsulating Security Payload): Ce mode gère l’intégrité et le cryptage des données

• IKE (Internet Key Exchange): Il permet l'échange automatique de clés Le standard IPSec soutient deux modalités opérationnelles différentes:

• TRANSPORT MODE: Le paquet de données est envoyé sur le réseau, mais il n'est pas encapsulé dans un autre paquet. L'header du paquet IP est laissé inaltéré, donc il est possible de découvrir l'adresse IP de l'expéditeur et destinataire.

• TUNNELL MODE: Lorsqu’un paquet de données est envoyé sur le réseau, le tunneling l’encapsule dans un autre paquet, ainsi le paquet est sécurisé contre toutes attaques extérieures.

3.6.2.5.1 PPTP VPN – Remote Access (Dial-In)

Un poste distant établit une liaison VPN PPTP avec le Routeur A02-WRA4-54G. Ce protocole est natif dans les systèmes Microsoft Windows 2000 et Windows XP.

Cliquez sur Configuration -VPN -PPTP.

Cliquez sur Create et après sur NEXT, choisir enfin Remote Access.

Choisir Dial In et renseignez les champs Private IP Adrress Assigned to Dialin User avec l’adresse IP de l’ordinateur client. Cette adresse sera assignée à l'ordinateur client PPTP.

Choisir Auth. Type entre CHAP et PAP.

1. Cliquer sur Network and Dial-up Connection et choisir Make new connection

2. Choisir “Connect to a private network through the Internet”. Si l’on ne dispose pas d’une connexion Internet active il sera nécessaire de la seléctionner et de l’activer pour rejoindre le routeur remote.

3. Introduisez l’adresse IP fixe du Routeur A02-WRA4-54G. Si le Routeur remote ne dispose pas d’un adresse IP statique, il sera possible d’utiliser le service Dynamic DNS. Pour de plus amples informations, consulter aussi la section Dynamic DNS du manuel.

4. On créera ainsi une icone sur le bureau qui permettra de se connecter en modalité PPTP vers le routeur A02-WRA4-54G, cliquez sur l’icône FIN.

5. Cliquer sur Virtual Private Connection dans Dial-up Networking Group . Inserez UserName et Password déjà utilisés pour la configuration VPN PPTP du routeur et cliquez sur Connect.

Maintenant le PC fait parti du LAN de l’entreprise.

On peut vérifier le statut de la connexion PPTP en cliquant sur Status del menù puis sur le choix PPTP Status, l’image suivante est un exemple :

En cas de problème pendant la création de la session VPN avec le Routeur, vérifier dans les propriétés de la connexion PPTP que le champ type de VPN soit bien configuré sur le valeur PPTP VPN.

3.6.2.5.2 PPTP VPN – Remote Access (Dial-Out)

Dans ce scénario, les utilisateurs d’une LAN doivent accéder aux données contenues dans un File Server remote qui intègre un PPTP Server pour la transmission cryptée des données, selon schéma suivant.

Pour configurer le routeur pour la modalité VPN PPTP – Remote Acces (Dial-Out), il faut accéder à l’

interface web de configuration, cliquer sur le choix Configuration du menu et ensuite sur VPN ou PPTP. Dans la partie droite de la page de configuration, cliquez sur Create et sur l’ écran suivant sur Remote Access. Cliquez enfin sur le bouton NEXT pour accéder à la page.

Insérez dans le champ Connection Name un nom qui sert à identifier la connexion, sélectionner Dial-Out comme type de connexion et insérer l’IP ou le Nom Host du PPTP Server remote. Insérez Username et Password avec lesquels le routeur acceptera le service et cliquez sur le bouton Apply pour valider les modifications.

La nouvelle connexion se configure automatiquement en Disable, modifier donc en Enable, cliquez sur le bouton Apply et enregistrer en cliquant dans le menu Save config to flash suivi du bouton Save.

Pour modifier la nouvelle connexion, il est nécessaire de modifier le status de Enable à Disable et de cliquer sur Apply, la commande Edit sera ainsi activée.

Maintenant le LAN est connecté avec le File Server remote, on peut vérifier le status de la connexion PPTP en cliquant sur la voix Status du menu, puis sur le choix PPTP Status, l’image suivante donne un exemple :

3.6.2.5.3 PPTP VPN – Lan to Lan

Dans ce scénario deux sièges remote se verront connectés en utilisant une VPN PPTP, les utilisateurs de la LAN 1 devront partager ressources et services avec la LAN 2. Schéma ci-dessous:

Remote LAN Office LAN

Product Code A02-RA3+ A02-WRA4-54G

Picture

Public IP 80.17.56.78 69.121.1.32

NAT Yes Yes

LAN IP 192.168.1.X 192.168.2.X

Subnet Mask 255.255.255.0 255.255.255.0

PPTP Client PPTP Server PPTP

Voyons donc comment configurer les deux routeur A02-RA3+ et A02-WRA4-54G pour mettre en communication les deux réseaux:

• Remote LAN( A02-RA3+): Pour configurer le routeur pour la modalité VPN PPTP–Lan to Lan, il faut accéder à l’interface web de configuration, cliquer sur Configuration du menu, puis sur VPN, sélectionner ensuite PPTP. Dans la partie droite de la page de configuration cliquez sur Create puis sur LAN to LAN. Cliquez ensuite sur NEXT pour accéder à la page PPTP Lan to Lan.

Insérez dans le champ Connection Name un nom qui servira à identifier la connexion, sélectionnez Dial-Out comme type de connexion et insérez l’IP ou le “Nom Host” du PPTP Server remote.

Indiquez maintenant l’adresse du réseau LAN remote, Username et Password avec lesquels le routeur accédera au service et cliquez sur le bouton Apply pour rendre effectives les modifications. La nouvelle connexion se configure automatiquement en Disable, modifier donc en cliquez sur le bouton Apply et enregistrer en cliquant dans le menu Save config to flash suivi du bouton Save. Pour modifier la nouvelle connexion, il est nécessaire de modifier le status de Enable à Disable et de cliquer sur Apply, la commande Edit sera ainsi activée.

• Office Lan(A02-WRA4-54G): Pour configurer le routeur pour la modalité VPN PPTP–Lan to Lan il faut accéder à l’interface web de configuration, cliquer sur Configuration du menu, puis sur VPN, sélectionner ensuite PPTP. Dans la partie droite de la page de configuration cliquez sur Create puis sur LAN to LAN. Cliquez ensuite sur NEXT pour accéder à la page PPTP Lan to Lan.

Insérez dans le champ Connection Name un nom qui servira à identifier la connexion, sélectionnez Dial-IN comme type de connexion et insérez l’adresse IP de l’ordinateur client.

Cette adresse sera assignée à l'ordinateur client PPTP.

Indiquez maintenant l’adresse du réseau LAN remote, Username et Password avec lesquels le routeur accédera au service et cliquez sur le bouton Apply pour rendre effectives les modifications. La nouvelle connexion se configure automatiquement en Disable, modifier donc en cliquez sur le bouton Apply et enregistrer en cliquant dans le menu Save config to flash suivi du bouton Save. Pour modifier la nouvelle connexion, il est nécessaire de modifier le status de Enable à Disable et de cliquer sur Apply, la commande Edit sera ainsi activée.

Maintenant les deux réseaux peuvent s’échanger les informations cryptées.

IMPORTANT : il faut que les deux LAN appartiennent à deux sous-réseaux différents

On peut vérifier le statut de la connexion PPTP en cliquant sur la voix Status du menu, puis sur le choix PPTP Status.

3.6.2.5.4 IPsec VPN

Dans ce scénario les deux sièges remote seront connectés en utilisant une VPN IPSec, les utilisateurs de la Remote LAN doivent partager ressources et services avec l’Office LAN. Schéma ci-dessous:

Remote LAN Office LAN

Code du Produit A02-RA3+ A02-WRA4-54G

Image

WAN IP 69.121.1.31 69.121.1.32

NAT Yes Yes

LAN IP 192.168.1.X 192.168.2.X

Mask de Sous-réseau 255.255.255.0 255.255.255.0

VPN IPSec ESP ESP

Encryption DES(or 3DES/AES) DES(or 3DES/AES)

Authentication MD5 (or SHA1) MD5 (or SHA1)

Perfect Forward Secrety None None

IKE Pre Shared Key 123456789 123456789

Voyons donc comment configurer les deux routeurs A02-RA3+ et A02-WRA4-54G pour mettre en communication les deux sièges :

• Remote LAN(A02-RA3+): Pour configurer le routeur en modalité VPN IPSec, il faut accéder à l’interface web de configuration, cliquez sur la voix Configuration du menu et ensuite sur la voix VPN et sélectionnez donc la voix IPSec. Dans la partie droite de la page de configuration cliquez sur la voix Create et ensuite sur la bouton Apply.

Insérez dans le champ Connection Name, un nom qui servira à identifier la connexion. Dans la section Local, sélectionner la voix Subnet, insérer une adresse IP et le masque de sous-réseau local.

Dans la section Remote, insérer l’adresse IP publique du routeur, dans le champ Secure Gateway Address, sélectionner la voix Subnet et insérer l’adresse de réseau et le masque de sous-réseau de la Lan remote. La section Proposal contient les informations de modalité de cryptage, sélectionner donc la typologie désirée et insérer une clef numérique, alphabétique ou alphanumérique dans le champ Pre-Shared Key.

Il faut que la section Proposal contienne les mêmes informations dans les deux routeurs.

Cliquez sur le bouton Apply pour confirmer les valeurs choisies puis les enregistrer en cliquant sur le choix du menu Save config to flash suivi par le bouton Save.

• Office LAN(A02-WRA4-54G): Pour configurer le routeur pour la modalité VPN IPSec, il faut accéder à l’interface web de configuration, cliquer sur le choix Configuration du menu puis sur le choix VPN, sélectionner ensuite le choix IPSec. Dans la partie droite de la page de configuration cliquez sur le choix Create et ensuite sur la bouton Apply.

Insérez dans le champ Connection Name un nom qui servira à identifier la connexion. Dans la section Local, sélectionner la voix Subnet, insérer une adresse IP et de sous-réseau de la Lan locale.

Dans la section Remote, insérer l’adresse IP publique du routeur remote dans le champ Secure Gateway Address, sélectionner la voix Subnet et insérer l’adresse IP et de sous-réseau de la Lan remote. La section Proposal contient les informations de modalité de cryptage, sélectionner donc la typologie désirée et insérer une clef numérique, alphabétique ou alphanumérique dans le champ Pre-Shared Key.

Il faut que la section Proposal contienne les mêmes informations dans les deux routeurs.

Cliquez sur le bouton Apply pour confirmer les valeurs choisies et les enregistrer en cliquant sur le choix du menu Save config to flash suivi par le bouton Save.

Maintenant les deux réseaux peuvent s’échanger des informations cryptées. Il faut que les deux LAN appartiennent à des réseaux différents comme le montre, la configuration ci-dessus (un réseau

Maintenant les deux réseaux peuvent s’échanger des informations cryptées. Il faut que les deux LAN appartiennent à des réseaux différents comme le montre, la configuration ci-dessus (un réseau

Dans le document I-FLY WIRELESS ROUTER ADSL (Page 40-64)