Auteur Sujet: Neutralité d'Internet: Bouygues Telecom bloque le port 445 sur ses Bbox  (Lu 15092 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Par contre je me suis rendu compte que le réseau bouygues refuse d'acheminer les paquets sortant sur le port 445 vers leur destination, et ça c'est pas configurable ....  J'en comprends la raison mais quand même)

Bref sur ces points-là, Bouygues, que par ailleurs j'aime bien, me saoule au plus haut point en m'obligeant à utiliser des VPN partout pour ce genre de détails .
Le port 445 te sert à quoi ?

La raison du blocage doit être la recommandation de Microsoft :

Les utilisateurs malveillants peuvent utiliser le protocole SMB (Server Message Block) à des fins malveillantes.

Les pratiques recommandées du pare-feu et les configurations de pare-feu peuvent améliorer la sécurité du réseau en contribuant à empêcher le trafic potentiellement malveillant de pénétrer dans le périmètre de l'entreprise.

Les pare-feu du périmètre de l'entreprise doivent bloquer les communications non sollicitées (provenant d'Internet) et le trafic sortant (à destination d'Internet) sur les ports SMB suivants :

137
138
139
445

Source : Recommandations relatives au blocage de ports de pare-feu spécifiques pour empêcher le trafic SMB de quitter l'environnement d'entreprise

Cela serait plus propre de proposer une option pour désactiver ce blocage, mais je comprends le blocage par défaut.

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
port 445
« Réponse #1 le: 28 mars 2018 à 21:35:27 »
Le port 445 te sert à quoi ?

Rien, erreur de config de ma part... j'ai voulu mettre 4445, et je me suis raté sur la redirection :-/
Ya juste un serveur apache derrière.

Citer
Cela serait plus propre de proposer une option pour désactiver ce blocage, mais je comprends le blocage par défaut.

J'ai le même point de vue :)
D'autre part j'ai du mal a comprendre que le port 25 soit configuré (par défaut) en tant que règle de firewall dans la box, alors que le 445 est bloqué en coeur de réseau ... 
(Dans les 2 cas je peux imaginer des cas d'usages impliquant l'usage de ces ports. Même netbios, parfois...

edit : Pareil, on peut plus changer les serveurs DNS chez plusieurs FAI, on peu plus non plus passer en bridge (*) ... c'est juste un peu plus galère (car il suffit de placer un routeur intermédiaire ou changer sur les stations), mais ça complique encore un peu plus la vie... :-(

* sauf sur la Freeteuse, ce qui me sauve bien par exemple pour faire des tunnels ipip....

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
port 445
« Réponse #2 le: 28 mars 2018 à 21:47:54 »
Le port 445 n'est pas bloqué en cœur de réseau, mais peut être dans des règles non visibles du firewall.

Il faudrait mettre un modem tiers pour vérifier cette hypothèse.

Le changement de DNS est impossible pour des raison de sécurité : Il y a eu des abus de mémoire chez Orange avec des logiciels en profitent pour configurer la box pour mettre des DNS qui redirigent vers des sites de pishing ou qui rajoutent de la publicité.

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
port 445
« Réponse #3 le: 28 mars 2018 à 21:51:31 »
Le port 445 n'est pas bloqué en cœur de réseau, mais peut être dans des règles non visibles du firewall.

Il faudrait mettre un modem tiers pour vérifier cette hypothèse.

Tu as raison je vais essayer ça (des modems ADSL c'est pas ce qui manque chez moi :-) )
Si c'est le cas c'est déjà très important - la déficience de la box n'est pas bloquante.

Sais-tu comment sont distribué les préfixes IPv6 sur les zones en collecte Orange ? Si ça se trouve ce n'est que la BBox qui n'est pas compatible... (j'ai la version "bloc secteur")

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Neutralité d'Internet: Bouygues Telecom bloque le port 445 sur ses Bbox
« Réponse #4 le: 28 mars 2018 à 21:54:01 »
Il me semble qu'il n'y a pas eu d'annonce pour de l'IPv6 en collecte.

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Neutralité d'Internet: Bouygues Telecom bloque le port 445 sur ses Bbox
« Réponse #5 le: 28 mars 2018 à 21:59:38 »
Il me semble qu'il n'y a pas eu d'annonce pour de l'IPv6 en collecte.

OK, bon ben ça explique.
C'est pas bien grave, un tunnel remédie à cela rapidement, mais bon...

tivoli

  • Toulouse (31)
  • Abonné Bbox fibre
  • *
  • Messages: 1 944
  • Toulouse (31)
port 445
« Réponse #6 le: 29 mars 2018 à 17:00:55 »
Le port 445 n'est pas bloqué en cœur de réseau, mais peut être dans des règles non visibles du firewall.

Il faudrait mettre un modem tiers pour vérifier cette hypothèse.

Le changement de DNS est impossible pour des raison de sécurité : Il y a eu des abus de mémoire chez Orange avec des logiciels en profitent pour configurer la box pour mettre des DNS qui redirigent vers des sites de pishing ou qui rajoutent de la publicité.

Tu es sur que ce sont vraiment les raisons de securites ? je vois deux "bonnes raisons"
1) Les DNS menteurs pour les problemes de type PirateBay
2) Les DNS menteurs pour les services interne des box genre VOD, IPTV

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
port 445
« Réponse #7 le: 29 mars 2018 à 17:45:14 »
Tu es sur que ce sont vraiment les raisons de securites ? je vois deux "bonnes raisons"
1) Les DNS menteurs pour les problemes de type PirateBay
2) Les DNS menteurs pour les services interne des box genre VOD, IPTV

non Bytel a rien a cirer si ces clients font du P2P ou des services internes de Vod, IPTV.

Le problème ce sont les centaines voir milliers de PC contaminés que l'on retrouve derrière les box. Bytel essai de mitiger cela avec les DNS et le port 445 (vecteur de Wannacry notamment). PC contaminés qui se retrouvent pour beaucoup dans un botnet.

Il faut savoir que quand une société se fait attaquer par un botnet (DDoS) elle envoi la liste des IPs attaquantes aux autorités concernés des pays de ces IPs. Pour la France c'est l'ANSSI. Celle-ci propage ensuite l'info aux FAI concernés. Ces derniers sont censés prendre les mesures qui s'imposent pour 'terminer' ou mitiger les activités suspectes de ces IPs. Cela a coût pour l'opérateur en plus de leur faire un sale réputation auprès des clients attaqués (Bytel contrairement a Free a une clientèle pro). En verrouillant les DNS et le port 445, l'opérateur minimise le nombre d'infections donc le nombre d'IPs susceptibles de leur être reportées par l'ANSSI.

Il faut pas chercher la 'théorie du complot' des ayant-droits audio-visuels dans ces mesures.


un peut d'info sur les DDoS : https://www.ssi.gouv.fr/uploads/2015/03/NP_Guide_DDoS.pdf ( ca date un peu mais y'a des bons elements).

tivoli

  • Toulouse (31)
  • Abonné Bbox fibre
  • *
  • Messages: 1 944
  • Toulouse (31)
Neutralité d'Internet: Bouygues Telecom bloque le port 445 sur ses Bbox
« Réponse #8 le: 29 mars 2018 à 17:58:46 »
Je ne parlais pas d'un complot des ayants droits ma vision etait plutot la suivante :

- en tant que FAI j'utilise un DNS menteur pour l'email (orange par exemple), mon IPTV et mes services VOD
- Le fait que TPB par exemple soit menteur dans mon DNS apres une requete legale va faire que 50% des gens vont changer "MON" DNS par 8.8.8.8 par exemple va "casser" email et TV et generer des appels au helpdesk

Resultat : c'est plus simple pour moi de bloquer le changement de DNS

J'entends ton argument qui est aussi valable, on verra si pour chaque attaque de cette ampleur une modification a lieu pour eviter aux clients d'attaquer a leur insu l'exterieur

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Neutralité d'Internet: Bouygues Telecom bloque le port 445 sur ses Bbox
« Réponse #9 le: 29 mars 2018 à 18:00:41 »
Je ne sais pas si on peut retrouver, mais pour moi le changement a été fait après qu'un script se connectait sur les livebox pour changer les DNS.

Depuis deux actions ont été effectuées :
- Supprimer la possibilité de mettre d'autre DNS que ceux du FAI en primaire / secondaire (certaines box permettent de mettre un 3ème DNS, pour des résolution de nom qui ne seraient pas dans les DNS publics)
- Plus tard, sécurisation de l’accès aux box : terminé le login "admin" et le mot de passe "1234" ou "Password"

Pour le port 445, je me suis posé la question de le mettre dans un test de neutralité comme les 30 autres ports que je propose sur https://1.testdebit.info/ mais à la réflexion, je vois mal l’intérêt d'héberger un service spécifiquement sur ce port qui a un lourd passif et où on ne compte plus les bulletins de sécurité qui demandent de le bloquer. Exemple : https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2003/ms03-049


Leaving port 445 open will leave you vulnerable to some worms, such as W32.Deloader and IraqiWorm (aka Iraq_oil.exe ), W32.HLLW.Moega, W32.Sasser.Worm, W32.Korgo.AB (09.24.2004), Backdoor.Rtkit.B (10.01.2004), Trojan.Netdepix.B (01.16.2005), as well as the Windows Null Session Exploit.

MS Security Bulletin [MS03-026] outlines a critical RPC vulnerability that can be exploited via ports 135, 139, 445, 593 (or any other specifically configured RPC port). You should filter the above mentioned ports at the firewall level and not allow RPC over an unsecure network, such as the Internet. See also: Microsoft Security Bulletin [MS03-049] and Microsoft Security Bulletin [MS03-043]

W32.Zotob.C@mm (08.16.2005) - a mass-mailing worm that opens a backdoor and exploits the MS Plug and Play Buffer Overflow vulnerability (MS Security Bulletin [MS05-039]) on port 445/tcp. It connects to IRC servers and listens for remote commands on port 8080/tcp. It also opens an FTP server on port 33333/tcp.
Note: Same ports are used by the W32.Zotob.A and W32.Zotob.B variants of the worm as well.

W32.Zotob.D (08.16.2005) - a worm that opens a backdoor and exploits the MS Plug and Play Buffer Overflow vulnerability (MS Security Bulletin [MS05-039]) on port 445/tcp. Conects to IRC servers to listen for remote commands on port 6667/tcp. Also opens an FTP server on port 1117/tcp.

W32.Zotob.E (08.16.2005) - a worm that opens a backdoor and exploits the MS Plug and Play Buffer Overflow vulnerability (MS Security Bulletin [MS05-039]) on port 445/tcp. It runs and spreads using all current Windows versions, but only infects Windows 2000.
The worm connects to IRC servers and listens for remote commands on port 8080/tcp. It opens port 69/udp to initiate TFTP transfers. It also opens a backdoor on remote compromised computers on port 8594/tcp. Port 445/tcp also used by the W32.Zotob.H variant of the worm.

W32.Conficker.worm - a worm with multiple variants. It exploits a buffer overflow vulnerability in the Server Service on Windows computers. McAfee has named the most recently discovered variant of this worm as W32/Conficker.worm.gen.d. The original W32.Conficker.worm attacks port 445, the port that Microsoft Directory Service uses, and exploits Microsoft Windows vulnerability [MS08-067].

Buffer overflow in a certain driver in Cisco Security Agent 4.5.1 before 4.5.1.672, 5.0 before 5.0.0.225, 5.1 before 5.1.0.106, and 5.2 before 5.2.0.238 on Windows allows remote attackers to execute arbitrary code via a crafted SMB packet in a TCP session on port (1) 139 or (2) 445.
References: [CVE-2007-5580] [BID-26723] [SECUNIA-27947] [OSVDB-39521]

LANMAN service on Microsoft Windows 2000 allows remote attackers to cause a denial of service (CPU/memory exhaustion) via a stream of malformed data to microsoft-ds port 445.
References: [CVE-2002-0597] [BID-4532] [OSVDB-5179]

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
Neutralité d'Internet: Bouygues Telecom bloque le port 445 sur ses Bbox
« Réponse #10 le: 29 mars 2018 à 20:09:34 »
Je ne sais pas si on peut retrouver, mais pour moi le changement a été fait après qu'un script se connectait sur les livebox pour changer les DNS.

C'est vrai que c'est problématique.
Ils ont effectivement résolu la question depuis , même si c'est hautement chiant d'avoir à trouver la clé WPA de la box à chaque nouvelle intervention :-)
(Un truc que j'aurais trouvé plus pertinent, c'est interdire le login à moins d'appuyer avant sur un des bouton)


Citer
- Supprimer la possibilité de mettre d'autre DNS que ceux du FAI en primaire / secondaire

Et ça , pour le coup, je trouve ça assez insupportable, vu que ça empêche les utilisateurs avancés de faire ce dont ils ont besoin, tout en incitant les néophytes à changer le DNS de leurs PC... Si encore ils avaient laissé le mode bridge (Bon, avec une DMZ on s'en sort... pas très classe mais bon)


Pour le port 445, je me suis posé la question de le mettre dans un test de neutralité comme les 30 autres ports que je propose sur https://1.testdebit.info/ mais à la réflexion, je vois mal l’intérêt d'héberger un service spécifiquement sur ce port qui a un lourd passif et où on ne compte plus les bulletins de sécurité qui demandent de le bloquer.
[/quote]

En fait, pour *moi* ça reste intéressant à mettre : Pas comme "atteinte à la neutralité" mais comme protection des usagers (et des autres).
Néanmoins, pouvoir le débloquer à la demande, même via une option bien cachée, resterais utile à mon avis. (Oui, je déteste ne pas avoir le choix et être infantilisé par le FAI, même si je comprends bien sur la nécessité des protections par défaut).

f4k1r

  • Abonné Bbox fibre
  • *
  • Messages: 22
port 445
« Réponse #11 le: 06 septembre 2019 à 11:15:12 »
Le port 445 n'est pas bloqué en cœur de réseau, mais peut être dans des règles non visibles du firewall.

Il faudrait mettre un modem tiers pour vérifier cette hypothèse.
[...]

Je trouvais un tel filtrage curieux et j'ai testé.

$ sudo traceroute -n --tcp --port=445 sd-xxxxx.dedibox.fr
traceroute to sd-xxxxx.dedibox.fr (163.172.26.xxx), 30 hops max, 60 byte packets
 1  192.168.0.254  1.249 ms  1.144 ms  1.120 ms
 2  176.135.254.2  4.927 ms  5.680 ms  5.665 ms
 3  212.194.171.4  6.695 ms  6.684 ms  6.658 ms
 4  * * *
 5  37.49.237.27  8.238 ms  6.551 ms  7.239 ms
 6  195.154.1.29  7.224 ms 51.158.8.185  6.105 ms  6.043 ms
 7  195.154.2.195  6.010 ms  5.107 ms 195.154.1.25  4.307 ms
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *

$ sudo traceroute -n --tcp --port=446 sd-xxxxx.dedibox.fr
traceroute to sd-xxxxx.dedibox.fr (163.172.26.xxx), 30 hops max, 60 byte packets
 1  192.168.0.254  1.095 ms  1.034 ms  1.010 ms
 2  176.135.254.2  3.455 ms  3.438 ms  3.418 ms
 3  212.194.171.4  5.321 ms  5.307 ms  5.288 ms
 4  * * *
 5  37.49.237.27  7.946 ms  7.911 ms  7.894 ms
 6  195.154.1.29  7.882 ms 51.158.8.185  6.894 ms 195.154.1.29  6.831 ms
 7  195.154.1.25  6.789 ms  4.419 ms 195.154.2.195  5.150 ms
 8  163.172.26.xxx  4.319 ms  6.008 ms  5.961 ms

J'ai ensuite fait la même avec des adresses IP qui ne correspondaient pas à des serveurs chez Online et les paquets arrivent bien.

Ma conclusion : le filtrage sur les ports TCP 445, 137, 138 et 139 est en réalité un filtrage sur le trafic entrant sur le réseau de Online .

N'ayant trouvé aucune communication de la part de Online à ce sujet, je trouve cela dérangeant.