Auteur Sujet: comment rendre la BBox ADSL "full stealth" svp?  (Lu 12598 fois)

0 Membres et 1 Invité sur ce sujet

juggernuts

  • Abonné Bbox adsl
  • *
  • Messages: 11
comment rendre la BBox ADSL "full stealth" svp?
« le: 14 septembre 2013 à 00:08:15 »
Hello, avant j'avais une box dont on pouvait désactiver le mode routeur et donc j'avais un firewall "full stealth" sur le PC.....il semblerait qu'on ne puisse pas le désactiver sur la BBox ADSL Sagem et qd je fais ce test  avec son firewall en mode "standard" sur les 1000 premiers ports: https://www.grc.com/x/ne.dll?bh0bkyd2

Ca me répond pour ce port https://www.grc.com/x/portprobe=161 qu'il est "Closed" et non "Stealth"  :-\

Donc j'ai tenté de trouver un tuto sur comment configurer le firewall et j'ai essayé de bloquer le port 161 mais il répond tjs qu'il est "closed" et non "stealth".

De plus cette vidéo youtube m'a fait pas mal peur, la raison pour laquelle je voulais éviter d'avoir un routeur:

Donc j'ai suivi ses conseils et bloqué l'accès à l'IP fixe de la BBox sur le firewall du PC, j'ai aussi limité le DNS aux deux serveurs BT, désactivé le DHCP et bloqué une IP fixe avec MAC adresse pour mon seul PC, mis un mdp de 32 caractères, changé l'IP de la Bbox et de mon PC, etc etc....reste mon souci d'avoir tous les ports de la BBox en "stealth" mais à priori j'ai pas bien configuré le firewall de la BBox.

J'ai même tenté de rajouter une règle qui interdit tout TCP/UDP pour la mettre tout en bas pdv priorité et qu'elle bloque tout ce qui n'est pas dans les autres règles au dessus mais ce maudit port 161 répond tjs qu'il est "closed" >:(

Ou alors le port 161 est celui que la BBox utilise pour télécharger sa config qd on la reset? Je n'ai pas encore testé les ports au dessus de 1000 mais qd je veux faire du NAT sur ce port, ça me dit "Vous ne pouvez pas utiliser les ports renseignés. Ces ports sont réservés au service Bbox". Donc la BBox ne sera jamais full stealth huh? :-[

Et est-il possible de connaître les règles du profil "standard" du firewall de la BBox? J'aimerais m'en servir comme base et les affiner.

Merci d'avance pour votre aide,
« Modifié: 14 septembre 2013 à 02:59:29 par juggernuts »

Boris de Bouygues Telecom

  • AS5410 Expert Bouygues Telecom
  • Abonné Bbox fibre
  • *
  • Messages: 2 763
  • Technopôle de Bouygues Telecom sur Meudon (92)
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #1 le: 18 septembre 2013 à 09:22:01 »
La VoIP et la TV sont sur l'IP publique de la Bbox donc certains ports sont utilisés par ces services et sont inutilisable pour le client.

Deux solutions :

- Soit transférer tout ce que la Bbox n'utilises pas pour son usage interne vers votre PC/Firewall / routeur => Ouvrir tous les ports vers un PC (DMZ) sur une Bbox

- Soit mettre un modem classique à la place de la Bbox pour avoir directement l'IP publique. Il sera impossible d'utiliser la VoIP de la Bbox. Pour la TV, c'est possible avec de la bidouille.

Boris.

juggernuts

  • Abonné Bbox adsl
  • *
  • Messages: 11
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #2 le: 18 septembre 2013 à 11:13:15 »
Merci de la réponse, mais sauriez-vous quelle règles le firewall de la BBox utilise en mode "standard" svp? J'aimerais me baser sur ces règles et les affiner mais impossible de connaître leur contenu...

et encore un lien qui me fait peur pdv équipement réseau: http://blog.pentbox.net/index.php?controller=post&action=view&id_post=4

enfin bon, à priori la console admin n'est pas visible du net et j'ai bloqué mon IP publique sur le firewall du PC donc ça limite les dégats.....mais dans les faits, la BBox tourne sur un firmware Linux et il peut avoir des "exploits" potentiels...surtout s'il y a des ports ouverts :(

Oui, si je branche un modem je n'aurai plus de VoIP...je ne comprends pas ce choix de refuser le droit à vos clients de désactiver le mode routeur, ça empêche le "full stealth" et attire les script kiddies et autres scanners automatiques :(

Boris de Bouygues Telecom

  • AS5410 Expert Bouygues Telecom
  • Abonné Bbox fibre
  • *
  • Messages: 2 763
  • Technopôle de Bouygues Telecom sur Meudon (92)
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #3 le: 18 septembre 2013 à 14:35:43 »
Désactiver le mode routeur impose de perdre la VoIP quand tout est sur la même IP.

Chez certains FAI, mettre un DMZ fait également perdre la VoIP... (pas chez Bouygues Telecom ou la DMZ exclu les ports utilisés par la Bbox)

Je n'ai pas les règles par défaut mais pour votre usage, il est peut être préférable de mettre un autre routeur / wifi derrière la Bbox avec DMZ activé vers votre routeur.

Cordialement,
Boris de Bouygues Telecom.

juggernuts

  • Abonné Bbox adsl
  • *
  • Messages: 11
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #4 le: 18 septembre 2013 à 14:44:37 »
OK merci de la réponse.

Que ce soit chez SFR ou FREE, on peut tout à fait désactiver le mode routeur, être en "full stealth" sur le WAN et avoir la VoIP.

Et en ce moment votre système automatique me donne vraiment des synchros calamiteuses:

Marge SNR montant 8.000000 dB
Marge SNR descendant 16.000000 dB

J'avais 550 ko/s en download chez FREE, je suis à 350 la :(

OK fair enough, je vais bosser sérieusement ma config du firewall interne de la BBox et un ami qui est aussi BBox'eur ADSL scannera mes ports......et si souci majeur, je ne manquerai pas de vous demander votre avis si cela ne vous ennuie pas trop.

Merci encore,

corrector

  • Invité
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #5 le: 18 septembre 2013 à 15:13:18 »
Ca me répond pour ce port https://www.grc.com/x/portprobe=161 qu'il est "Closed" et non "Stealth"  :-\
Et c'est important?

De plus cette vidéo youtube m'a fait pas mal peur, la raison pour laquelle je voulais éviter d'avoir un routeur:
Boris a à de multiples reprises confirmé que ce mode d'attaque (appeler la box attacker.com) était applicable à la BBox, puisqu'elle répond sur son adresse IP quel que soit le nom d'hôte.

Donc la BBox semble bien exposée à l'ensemble du Web.

Et est-il possible de connaître les règles du profil "standard" du firewall de la BBox? J'aimerais m'en servir comme base et les affiner.
Ben ça c'est ma question depuis toujours :
- règles de routage
- règles iptables
- modules utilisés : les conntrack et autres "helper"
- configuration réseau, en particulier les /proc/sys/net/
- services accessibles par réseau
ces informations ne sont documentées nul part!

juggernuts

  • Abonné Bbox adsl
  • *
  • Messages: 11
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #6 le: 18 septembre 2013 à 16:12:20 »
ne pas être "full stealth" indique aux scanners mal intentionnés qu'on existe...la BBox ne fait pas le mort.

il suffit de bloquer l'IP publique de la BBox sur le firewall du PC et ce type d'attaque ne fonctionne plus, on peut aussi bourriner le mdp, désactiver le DHCP et passer en lock MAC, changer toutes les IP par défaut etc etc.

tant que le panneau d'admin n'est pas accessible du net et qu'il n'y pas de ports linux "exploitables" par un hacker d'ouverts, après il suffit de bosser les règles des firewalls PC et BBox.

reste qu'il y a tjs plus malin que soi et mon dernier lien pour le rootage du NAS le prouve....d'où le gros avantage d'être "full stealth".

même s'il ne peuvent pas entrer dans le PC, ils peuvent utiliser la box comme proxy..

j'ai l'impression que le firewall en règles persos ne permet pas tous les réglages du mode "standard"(je ne connais rien en nunux).....je vais continuer à me prendre la tête avec ça.

corrector

  • Invité
Programmer comme un porc
« Réponse #7 le: 18 septembre 2013 à 17:34:30 »
et encore un lien qui me fait peur pdv équipement réseau: http://blog.pentbox.net/index.php?controller=post&action=view&id_post=4

Utiliser system, ça craint un max!

C'est vraiment si dur d'utiliser execv/execp?

Boris, vous pouvez confirmer que la BBox n'envoie pas directement dans un shell les données fournies par l'utilisateur?
« Modifié: 18 septembre 2013 à 17:56:15 par corrector »

juggernuts

  • Abonné Bbox adsl
  • *
  • Messages: 11
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #8 le: 18 septembre 2013 à 18:05:53 »
et aussi savoir si le mdp admin de BT est béton et non leaké car à priori les clefs par défaut du wifi BBox ont leaké et bcp de gens se font squatter leur wifi. Pourquoi ne pas coller un sticker sur la box "/!\ changer les clefs wifi par défaut /!\"

il serait aussi de bon aloi de pouvoir changer le nom du login car "admin" c'est tout sauf sécurisé.....j'ose espérer que le login de BT est plus sérieux.

enfin bon, je suis censé faire confiance à un routeur dont je n'ai pas la moindre idée de la config =/

corrector

  • Invité
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #9 le: 18 septembre 2013 à 21:09:38 »
enfin bon, je suis censé faire confiance à un routeur dont je n'ai pas la moindre idée de la config =/
C'est bien pour ça que je déteste la "sécurité" d'une box NAT dont je ne connais pas les réglages.

juggernuts

  • Abonné Bbox adsl
  • *
  • Messages: 11
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #10 le: 19 septembre 2013 à 00:03:12 »
idéalement tous les ports utilisés par BT pour les updates et VoIP devraient être bloqués pdv firewall pour ne répondre qu'à leurs serveurs......ça permettrait à la box d'être "full stealth" pour ceux qui n'ont rien à y faire.

yep, bon bah je pense que je vais me pogner un vrai routeur/firewall et le configurer moi-même en "full stealth" si le scan de mes ports par un pote est désastreux....enfin bon comment vais-je pouvoir devenir les IP ranges des serveurs BT d'update et VoIP, encore des maux de tête en vue. Merci la VP à 5€/mois sinon j'aurais pas venu ^^

Boris de Bouygues Telecom

  • AS5410 Expert Bouygues Telecom
  • Abonné Bbox fibre
  • *
  • Messages: 2 763
  • Technopôle de Bouygues Telecom sur Meudon (92)
comment rendre la BBox ADSL "full stealth" svp?
« Réponse #11 le: 19 septembre 2013 à 08:06:38 »
Vous avez évoqué un grave problème de sécurité pour le WiFi. Cela ne concernait que notre premier modèle de Bbox, acheté sur étagère et cela a été résolut pour tous les box produite après la remontée de ce bug.

L’architecture de la box est bien blindée au niveau sécurité de l’accès extérieur :

Pour contacter la Bbox, il faut le faire en SSL et la seule information qu'il est possible de lui donner c'est "contacte l'ACS sur l'IP que tu connais" (impossible d'indiquer l'IP qu'elle doit contacter). Donc même si un attaquant arrive a passer les différentes barrières de sécurité, il ne pourra faire que déclencher un "coucou" de la box sur l'ACS de Bouygues qui ne va rien faire.

Après imaginons que vous arrivez a passer ces sécurités, les mises-à-jour sont signées et si vous pensez mettre une veille version qui a un trou de sécurité, c'est dommage car seul l'upgrade est possible pour empêcher ce type de risque.

Après si vous n'avez pas confiance, le mieux pour vous est de mettre derrière votre matériel et de considérer la Bbox comme un routeur du réseau Bouygues Teleocm (une boite noir auquel vous n'avez pas accès).

On a souvent des remarques sur les fonctionnalités limitées face a des firmware de routeurs open source, sur le fait qu'on ne propose pas d’accès SSH sur la box,... Le principal moteur, c'est la sécurité.