La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Bouygues Telecom => 
ADSL / VDSL => Discussion démarrée par: juggernuts le 14 septembre 2013 à 00:08:15
-
Hello, avant j'avais une box dont on pouvait désactiver le mode routeur et donc j'avais un firewall "full stealth" sur le PC.....il semblerait qu'on ne puisse pas le désactiver sur la BBox ADSL Sagem et qd je fais ce test avec son firewall en mode "standard" sur les 1000 premiers ports: https://www.grc.com/x/ne.dll?bh0bkyd2 (https://www.grc.com/x/ne.dll?bh0bkyd2)
Ca me répond pour ce port https://www.grc.com/x/portprobe=161 (https://www.grc.com/x/portprobe=161) qu'il est "Closed" et non "Stealth" :-\
Donc j'ai tenté de trouver un tuto sur comment configurer le firewall et j'ai essayé de bloquer le port 161 mais il répond tjs qu'il est "closed" et non "stealth".
De plus cette vidéo youtube m'a fait pas mal peur, la raison pour laquelle je voulais éviter d'avoir un routeur: https://www.youtube.com/watch?v=Zazk0plSoQg (https://www.youtube.com/watch?v=Zazk0plSoQg)
Donc j'ai suivi ses conseils et bloqué l'accès à l'IP fixe de la BBox sur le firewall du PC, j'ai aussi limité le DNS aux deux serveurs BT, désactivé le DHCP et bloqué une IP fixe avec MAC adresse pour mon seul PC, mis un mdp de 32 caractères, changé l'IP de la Bbox et de mon PC, etc etc....reste mon souci d'avoir tous les ports de la BBox en "stealth" mais à priori j'ai pas bien configuré le firewall de la BBox.
J'ai même tenté de rajouter une règle qui interdit tout TCP/UDP pour la mettre tout en bas pdv priorité et qu'elle bloque tout ce qui n'est pas dans les autres règles au dessus mais ce maudit port 161 répond tjs qu'il est "closed" >:(
Ou alors le port 161 est celui que la BBox utilise pour télécharger sa config qd on la reset? Je n'ai pas encore testé les ports au dessus de 1000 mais qd je veux faire du NAT sur ce port, ça me dit "Vous ne pouvez pas utiliser les ports renseignés. Ces ports sont réservés au service Bbox". Donc la BBox ne sera jamais full stealth huh? :-[
Et est-il possible de connaître les règles du profil "standard" du firewall de la BBox? J'aimerais m'en servir comme base et les affiner.
Merci d'avance pour votre aide,
-
La VoIP et la TV sont sur l'IP publique de la Bbox donc certains ports sont utilisés par ces services et sont inutilisable pour le client.
Deux solutions :
- Soit transférer tout ce que la Bbox n'utilises pas pour son usage interne vers votre PC/Firewall / routeur => Ouvrir tous les ports vers un PC (DMZ) sur une Bbox (https://lafibre.info/bbox-tutoriels/ouvrir-tous-les-ports-vers-un-pc-dmz-sur-une-bbox-adsl-thomson/)
- Soit mettre un modem classique à la place de la Bbox pour avoir directement l'IP publique. Il sera impossible d'utiliser la VoIP de la Bbox. Pour la TV, c'est possible avec de la bidouille.
Boris.
-
Merci de la réponse, mais sauriez-vous quelle règles le firewall de la BBox utilise en mode "standard" svp? J'aimerais me baser sur ces règles et les affiner mais impossible de connaître leur contenu...
et encore un lien qui me fait peur pdv équipement réseau: http://blog.pentbox.net/index.php?controller=post&action=view&id_post=4 (http://blog.pentbox.net/index.php?controller=post&action=view&id_post=4)
enfin bon, à priori la console admin n'est pas visible du net et j'ai bloqué mon IP publique sur le firewall du PC donc ça limite les dégats.....mais dans les faits, la BBox tourne sur un firmware Linux et il peut avoir des "exploits" potentiels...surtout s'il y a des ports ouverts :(
Oui, si je branche un modem je n'aurai plus de VoIP...je ne comprends pas ce choix de refuser le droit à vos clients de désactiver le mode routeur, ça empêche le "full stealth" et attire les script kiddies et autres scanners automatiques :(
-
Désactiver le mode routeur impose de perdre la VoIP quand tout est sur la même IP.
Chez certains FAI, mettre un DMZ fait également perdre la VoIP... (pas chez Bouygues Telecom ou la DMZ exclu les ports utilisés par la Bbox)
Je n'ai pas les règles par défaut mais pour votre usage, il est peut être préférable de mettre un autre routeur / wifi derrière la Bbox avec DMZ activé vers votre routeur.
Cordialement,
Boris de Bouygues Telecom.
-
OK merci de la réponse.
Que ce soit chez SFR ou FREE, on peut tout à fait désactiver le mode routeur, être en "full stealth" sur le WAN et avoir la VoIP.
Et en ce moment votre système automatique me donne vraiment des synchros calamiteuses:
Marge SNR montant 8.000000 dB
Marge SNR descendant 16.000000 dB
J'avais 550 ko/s en download chez FREE, je suis à 350 la :(
OK fair enough, je vais bosser sérieusement ma config du firewall interne de la BBox et un ami qui est aussi BBox'eur ADSL scannera mes ports......et si souci majeur, je ne manquerai pas de vous demander votre avis si cela ne vous ennuie pas trop.
Merci encore,
-
Ca me répond pour ce port https://www.grc.com/x/portprobe=161 (https://www.grc.com/x/portprobe=161) qu'il est "Closed" et non "Stealth" :-\
Et c'est important?
De plus cette vidéo youtube m'a fait pas mal peur, la raison pour laquelle je voulais éviter d'avoir un routeur: https://www.youtube.com/watch?v=Zazk0plSoQg (https://www.youtube.com/watch?v=Zazk0plSoQg)
Boris a à de multiples reprises confirmé que ce mode d'attaque (appeler la box attacker.com) était applicable à la BBox, puisqu'elle répond sur son adresse IP quel que soit le nom d'hôte.
Donc la BBox semble bien exposée à l'ensemble du Web.
Et est-il possible de connaître les règles du profil "standard" du firewall de la BBox? J'aimerais m'en servir comme base et les affiner.
Ben ça c'est ma question depuis toujours :
- règles de routage
- règles iptables
- modules utilisés : les conntrack et autres "helper"
- configuration réseau, en particulier les /proc/sys/net/
- services accessibles par réseau
ces informations ne sont documentées nul part!
-
ne pas être "full stealth" indique aux scanners mal intentionnés qu'on existe...la BBox ne fait pas le mort.
il suffit de bloquer l'IP publique de la BBox sur le firewall du PC et ce type d'attaque ne fonctionne plus, on peut aussi bourriner le mdp, désactiver le DHCP et passer en lock MAC, changer toutes les IP par défaut etc etc.
tant que le panneau d'admin n'est pas accessible du net et qu'il n'y pas de ports linux "exploitables" par un hacker d'ouverts, après il suffit de bosser les règles des firewalls PC et BBox.
reste qu'il y a tjs plus malin que soi et mon dernier lien pour le rootage du NAS le prouve....d'où le gros avantage d'être "full stealth".
même s'il ne peuvent pas entrer dans le PC, ils peuvent utiliser la box comme proxy..
j'ai l'impression que le firewall en règles persos ne permet pas tous les réglages du mode "standard"(je ne connais rien en nunux).....je vais continuer à me prendre la tête avec ça.
-
et encore un lien qui me fait peur pdv équipement réseau: http://blog.pentbox.net/index.php?controller=post&action=view&id_post=4 (http://blog.pentbox.net/index.php?controller=post&action=view&id_post=4)
(https://lafibre.info/images/bistro/201309_nas_network_mgr.png)
Utiliser system, ça craint un max!
C'est vraiment si dur d'utiliser execv/execp?
Boris, vous pouvez confirmer que la BBox n'envoie pas directement dans un shell les données fournies par l'utilisateur?
-
et aussi savoir si le mdp admin de BT est béton et non leaké car à priori les clefs par défaut du wifi BBox ont leaké et bcp de gens se font squatter leur wifi. Pourquoi ne pas coller un sticker sur la box "/!\ changer les clefs wifi par défaut /!\"
il serait aussi de bon aloi de pouvoir changer le nom du login car "admin" c'est tout sauf sécurisé.....j'ose espérer que le login de BT est plus sérieux.
enfin bon, je suis censé faire confiance à un routeur dont je n'ai pas la moindre idée de la config =/
-
enfin bon, je suis censé faire confiance à un routeur dont je n'ai pas la moindre idée de la config =/
C'est bien pour ça que je déteste la "sécurité" d'une box NAT dont je ne connais pas les réglages.
-
idéalement tous les ports utilisés par BT pour les updates et VoIP devraient être bloqués pdv firewall pour ne répondre qu'à leurs serveurs......ça permettrait à la box d'être "full stealth" pour ceux qui n'ont rien à y faire.
yep, bon bah je pense que je vais me pogner un vrai routeur/firewall et le configurer moi-même en "full stealth" si le scan de mes ports par un pote est désastreux....enfin bon comment vais-je pouvoir devenir les IP ranges des serveurs BT d'update et VoIP, encore des maux de tête en vue. Merci la VP à 5€/mois sinon j'aurais pas venu ^^
-
Vous avez évoqué un grave problème de sécurité pour le WiFi. Cela ne concernait que notre premier modèle de Bbox, acheté sur étagère et cela a été résolut pour tous les box produite après la remontée de ce bug.
L’architecture de la box est bien blindée au niveau sécurité de l’accès extérieur :
Pour contacter la Bbox, il faut le faire en SSL et la seule information qu'il est possible de lui donner c'est "contacte l'ACS sur l'IP que tu connais" (impossible d'indiquer l'IP qu'elle doit contacter). Donc même si un attaquant arrive a passer les différentes barrières de sécurité, il ne pourra faire que déclencher un "coucou" de la box sur l'ACS de Bouygues qui ne va rien faire.
Après imaginons que vous arrivez a passer ces sécurités, les mises-à-jour sont signées et si vous pensez mettre une veille version qui a un trou de sécurité, c'est dommage car seul l'upgrade est possible pour empêcher ce type de risque.
Après si vous n'avez pas confiance, le mieux pour vous est de mettre derrière votre matériel et de considérer la Bbox comme un routeur du réseau Bouygues Teleocm (une boite noir auquel vous n'avez pas accès).
On a souvent des remarques sur les fonctionnalités limitées face a des firmware de routeurs open source, sur le fait qu'on ne propose pas d’accès SSH sur la box,... Le principal moteur, c'est la sécurité.
-
OK merci de la réponse complète :)
reste qu'AMHA il eut été judicieux de ne lui faire répondre qu'aux IP des serveurs BT et d'ignorer les requêtes d'autres plages IP....comme pour ce fameux port 161. Il devrait faire le mort pour tout l'internet et non répondre qu'il est fermé. Vous parlez de sécurité mais rien n'est plus sécurisé que le "full stealth" avec des règles de firewall draconiennes.
Il est aussi aberrant qu'en 2013 il existe encore des routeurs qui puissent se faire attaquer par l'astuce de ma première vidéo youtube, dans laquelle l'interlocuteur explique qu'avec une simple ligne de commande linux on empêche l'attaque de fonctionner. On peut aussi bien sûr le faire en bloquant l'IP publique sur le firewall du PC mais votre routeur devrait le faire de lui-même.
je ferai scanner mes ports par un ami, j'espère ne pas avoir de mauvaises surprises.
pour le wifi, qq1 s'est venté de ça sur un forum récemment:
"Je suis en train de poster grâce à cette faille Bbox, le voisin/voisine n'a pas pris soin de modifier sa clé WPA donc j'ai facilement eu le code de son wifi via le programme bbkeys
J'ai accès à l'interface de gestion, je peux même redémarrer la box à distance, désactiver le wifi...c'est dire."
Tiens tiens: http://www.papygeek.com/hacking/pirater-le-wifi-dune-bbox-en-30-secondes/ (http://www.papygeek.com/hacking/pirater-le-wifi-dune-bbox-en-30-secondes/)
La sécurité est peut-être une préocuppation chez BT mais les faits parlent d'eux-mêmes.
-
Pour le WiFi, les modèles fabriqués avant la découverte sont vulnérable...
-
Il est aberrant que vous ne poussiez pas une maj de firmware qui forcerait à changer les clefs leakées à cause du keygen.
-
Et pousser un MàJ des étiquettes aussi?
-
Ils ont été pwnés par un keygen, c'est leur problème......laisser couler un problème de sécurité aussi grave est affligeant, enfin bon ça permet aux hadopistes malgré eux de rejeter la faute sur BT et à des milliers/millions de squatteurs d'avoir un accès au net gratos :)
la solution n'est pas bien compliquée:
"changer son mot de passe et le nom de son réseau en se rendant sur la page d’administration Bbox sur http://192.168.1.254 (http://192.168.1.254) ..sauf si un autre utilisateur l’a déjà fait avant vous."
je vois pas le souci de forcer un nouveau firmware qui demande de faire un reset complet(pour jarter les squatteurs potentiels) et changer ces infos, enfin bon la sécurité réseau est le mot d'ordre chez BT à priori, j'ai failli l'oublier :D
-
Oui, mais il faut que le service client soit prêt à gérer les appels des clients qui n'y comprennent rien...
-
Impossible de changer la clé car cela couperais l’accès Internet des clients.
Nous avons par contre pris contact avec les clients pour leur expliquer le changement de mot de passe WiFi.
Le nombre de clients impactés est bien inférieur a ce que vous annoncez.
Boris.
-
OK fair enough, sinon moi je galère tjs avec ce maudit routeur en bois..
je veux ouvrir un port en TCP et en UDP: (http://thumbnails103.imagebam.com/27857/da4932278563393.jpg) (http://www.imagebam.com/image/da4932278563393)
mais ça n'ouvre qu'en TCP, alors que j'ai bien choisi "les deux": (http://thumbnails106.imagebam.com/27857/2f29dd278563394.jpg) (http://www.imagebam.com/image/2f29dd278563394)
et si je veux faire la même règle en UDP, ça refuse: (http://thumbnails108.imagebam.com/27857/6acde4278563395.jpg) (http://www.imagebam.com/image/6acde4278563395)
j'imagine qu'il faut que je passe en DMZ à cause de votre code buggé? mais je dois garder le firewall en mode standard car sinon la box ouvre tous ses ports WAN, prise de tête en vue...
et j'avais 550ko/s en DL chez FREE, je suis à 350 ko/s chez vous.
après on se demande pourquoi il y a autant de fanboys FREE, c'est parce que ça marche....pas de routeur moisi impossible à désactiver et excellente vitesse(à part sur youtube, mais c'est un détail vu que je m'en tape un peu).
vous avez attaqué fort avec votre VP à 5€/mois, mais sans nul doute bcp de gens repartiront d'ici 1 an.
-
ahlala, c'te vieille bidouille des bois: faut ouvrir deux fenêtres, faire deux règles distinctes pour TCP et UDP et les valider ensemble le plus rapidement possible pour ouvrir TCP et UDP sur le même port.....in bug we trust, j'ose espérer que votre firewall en mode "standard" est moins trollé que l'UI.
-
bonsoir
l'impossibilite de desactiver le wps est extremement dangereux
ca pourrait d'ailleurs entrainner un co responsabilite de bu en cas de hack
-
OK fair enough, sinon moi je galère tjs avec ce maudit routeur en bois..
je veux ouvrir un port en TCP et en UDP: (http://thumbnails103.imagebam.com/27857/da4932278563393.jpg) (http://www.imagebam.com/image/da4932278563393)
mais ça n'ouvre qu'en TCP, alors que j'ai bien choisi "les deux": (http://thumbnails106.imagebam.com/27857/2f29dd278563394.jpg) (http://www.imagebam.com/image/2f29dd278563394)
et si je veux faire la même règle en UDP, ça refuse: (http://thumbnails108.imagebam.com/27857/6acde4278563395.jpg) (http://www.imagebam.com/image/6acde4278563395)
j'imagine qu'il faut que je passe en DMZ à cause de votre code buggé? mais je dois garder le firewall en mode standard car sinon la box ouvre tous ses ports WAN, prise de tête en vue...
et j'avais 550ko/s en DL chez FREE, je suis à 350 ko/s chez vous.
après on se demande pourquoi il y a autant de fanboys FREE, c'est parce que ça marche....pas de routeur moisi impossible à désactiver et excellente vitesse(à part sur youtube, mais c'est un détail vu que je m'en tape un peu).
vous avez attaqué fort avec votre VP à 5€/mois, mais sans nul doute bcp de gens repartiront d'ici 1 an.
ce n'est pas le routeur qui est mauvais mais les firm "maison" utilises
-
Ils ont été pwnés par un keygen, c'est leur problème......laisser couler un problème de sécurité aussi grave est affligeant, enfin bon ça permet aux hadopistes malgré eux de rejeter la faute sur BT et à des milliers/millions de squatteurs d'avoir un accès au net gratos :)
la solution n'est pas bien compliquée:
"changer son mot de passe et le nom de son réseau en se rendant sur la page d’administration Bbox sur http://192.168.1.254 (http://192.168.1.254) ..sauf si un autre utilisateur l’a déjà fait avant vous."
je vois pas le souci de forcer un nouveau firmware qui demande de faire un reset complet(pour jarter les squatteurs potentiels) et changer ces infos, enfin bon la sécurité réseau est le mot d'ordre chez BT à priori, j'ai failli l'oublier :D
ca leur posera un sacre probleme quand un internaute les trainnera en justice afin d'engager leur responsabilite
-
quand meme bien triste tout ca....
une box 787 qui fonctionne tres bien ...... à l'origine en firm thomson
un tweak bu mal programme au vu des bogues, des possibilités qui s'envolent....
a l'heure de la lutte contre le gaspillage et de l'ecologie une box impossible a utiliser ailleurs car non configurable ca qui veut dire pour de nombreux utilisateurs plus chez bouygues => box a la poubelle
quel gachis......
:P
-
pour info ce que permet le 787 avec un firm thomson
https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&ved=0CGYQFjAJ&url=http%3A%2F%2Fwww.technicolorbroadbandpartner.com%2Fgetfile.php%3Fid%3D7124&ei=LULmU5OVK-nW0QXFmoFw&usg=AFQjCNG8Dg1wAWpVUMCDpKNnECQwX0K7wA&bvm=bv.72676100,d.d2k&cad=rja (https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&ved=0CGYQFjAJ&url=http%3A%2F%2Fwww.technicolorbroadbandpartner.com%2Fgetfile.php%3Fid%3D7124&ei=LULmU5OVK-nW0QXFmoFw&usg=AFQjCNG8Dg1wAWpVUMCDpKNnECQwX0K7wA&bvm=bv.72676100,d.d2k&cad=rja)