Auteur Sujet: IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?  (Lu 42572 fois)

0 Membres et 1 Invité sur ce sujet

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #24 le: 29 mars 2018 à 20:13:08 »
.... avec une bonne interface
... bien sécurisée pour éviter qu'un simple coup de javascript puisse pourrir les réglages :-)

patrick_01

  • Abonné MilkyWan
  • *
  • Messages: 328
  • 01
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #25 le: 30 mars 2018 à 13:34:43 »
Ma réponse à la question d'origine : à choix, avec trois options :
- tout bloqué (pour ceux qui n'y connaissent rien)
- bloqué par défaut, avec la possibilité par une interface basique d'ouvrir des ports/destinations (pour ceux qui y connaissent quelque chose, mais qui ne sont pas certains de savoir ce qu'ils font)
- aucun blocage, le client sécurise ses machines et/ou installe son firewall (pour ceux qui connaissent vraiment)

Le parallèle avec la bagnole a quand même ses limites :

Il y a des lois qui m'obligent à rouler au-dessous de 130 sur autoroute et prévoient une punition même si mon dépassement de vitesse est sans conséquences.
Il n'y a pas de loi qui m'oblige à protéger mon équipement informatique et qui me punira en cas de négligence, tant que cette négligence ne nuit à personne d'autre que moi. Ce n'est que dans des cas - rares - où le défaut de sécurisation a des conséquences qui, elles, tombent sous le coup de la loi, qu'on va retenir ma négligence contre moi.
Je ne suis pas juriste, mais il me semble que ça change quand même un peu la donne...
Et puis, la différence de niveau de maîtrise de l'équipement informatique entre des clients sans connaissances et les gens qui visitent ce forum - par exemple - est quand même plus large que la différence ce maîtrise de leur voiture entre deux conducteurs.

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
IPv6: Le firewall
« Réponse #26 le: 31 mars 2018 à 04:42:59 »
Si tu laisse tout ouvert, ton réseau devient un vecteur de DoS, tes users se font trouer... Et ça te retombe dessus.
Essaye ca en IPv6.....

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #27 le: 31 mars 2018 à 04:50:27 »
- tout bloqué (pour ceux qui n'y connaissent rien)
- bloqué par défaut, avec la possibilité par une interface basique d'ouvrir des ports/destinations (pour ceux qui y connaissent quelque chose, mais qui ne sont pas certains de savoir ce qu'ils font)
Il me semble assez raisonnable de supposer qu/une personne qui n'y connais rien ne peut pas ouvrir des "ports/destinations" dans son firewall. Ce qui rend l'option "tout bloque (point)" inutile.
En effet l'option "tout bloque (point)" ne devais pas exister en tant que tel.

Kingsize

  • Abonné Orange Fibre
  • *
  • Messages: 24
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #28 le: 15 mai 2018 à 00:34:33 »
Il paraît même que des gens utilisent des voitures sans être expert en mécanique et électronique ;).

Plus sérieusement si je peux ajouter un mot sur la discussion : on ne maîtrise pas tout sur son LAN... Imprimante, caméra, tv, console de jeu, smartphone ... Le pc finalement c'est un élèment minoritaire
Alors faudra faire un choix entre "je veux pas être bloqué de force par mon fai" et "j'ai aucun contrôle sur la moitié (les 3/4?) de mon lan..."

Perso je préfère que personne ne parle à mo  n imprimante ou ma caméra... Voire j'aime autant qu'une caméra ne parle aussi à personne en dehors de mon lan...

patrick_01

  • Abonné MilkyWan
  • *
  • Messages: 328
  • 01
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #29 le: 16 mai 2018 à 22:18:10 »
Il paraît même que des gens utilisent des voitures sans être expert en mécanique et électronique ;).
C'est vrai. C'est mon cas, d'ailleurs, et mon garagiste se frotte les mains à chaque fois que je dois lui amener ma voiture...

Plus sérieusement si je peux ajouter un mot sur la discussion : on ne maîtrise pas tout sur son LAN... Imprimante, caméra, tv, console de jeu, smartphone ... Le pc finalement c'est un élèment minoritaire
(...)
C'est aussi vrai. Le vrai problème, c'est souvent plus ce qui sort que ce qui rentre.

Il n'y a pas besoin d'avoir des "ports ouverts" pour choper des saloperies généralement les connections viennent de l'intérieur.
Et de plus en plus de gadgets connectés, en plus de "téléphoner maison" dès qu'ils sont connectés à quelque chose, sont une vaste rigolade en termes de sécurité.

La configuration idéale, c'est des réseaux séparés pour les machines d'utilisation sérieuse sur lesquelles on fait un peu gaffe, celles éventuelles de jeu en ligne ou autres trucs qui sont moins sécurisés, et les gadgets où on n'a pas du tout la maîtrise de l'OS/du firmware, j'inclus d'ailleurs dans cette catégorie les smartphones et tablettes d'un bord ou de l'autre.
Plus naturellement une DMZ pour les trucs qui doivent vraiment être accessibles depuis le wild internet, mais c'est généralement pas là qu'il y a le plus de risques si on sait tenir à jour ses serveurs.
Évidemment, avec ce genre de config on se retrouve vite avec cinq ou six LANs, donc il faut le matos qui va bien et savoir le configurer, c'est le cas de beaucoup qui traînent sur ce forum, mais pas forcèment dans la vraie vie.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #30 le: 16 mai 2018 à 22:27:21 »
Il n'y a pas besoin d'avoir des "ports ouverts" pour choper des saloperies généralement les connections viennent de l'intérieur.

Oui, aujourd'hui le ports sont fermés et pourtant il existe des objets connectés qui sont utilisés dans des botnet sans ports ouverts.

Mais si tous les objets co / smarphones avaient une IP publique visible de l'intégralité de l'Internet, je t'assure qu'on aurait bien plus de cas...

D'ailleurs une bonne partie des objets co en botnet sont ceux avec un port ouvert (type caméra de vidéosurveillance)

Nh3xus

  • Réseau Deux Sarres (57)
  • Abonné MilkyWan
  • *
  • Messages: 3 247
  • Sarrebourg (57)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #31 le: 16 mai 2018 à 23:26:20 »
Citer
D'ailleurs une bonne partie des objets co en botnet sont ceux avec un port ouvert (type caméra de vidéosurveillance)

Merci l'Upnp qui est une cochonnerie dont abusent les caméras et les consoles de jeux.

Kingsize

  • Abonné Orange Fibre
  • *
  • Messages: 24
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #32 le: 17 mai 2018 à 00:00:45 »


La configuration idéale, c'est des réseaux séparés pour les machines d'utilisation sérieuse sur lesquelles on fait un peu gaffe, celles éventuelles de jeu en ligne ou autres trucs qui sont moins sécurisés, et les gadgets où on n'a pas du tout la maîtrise de l'OS/du firmware, j'inclus d'ailleurs dans cette catégorie les smartphones et tablettes d'un bord ou de l'autre.
Plus naturellement une DMZ pour les trucs qui doivent vraiment être accessibles depuis le wild internet, mais c'est généralement pas là qu'il y a le plus de risques si on sait tenir à jour ses serveurs.
Évidemment, avec ce genre de config on se retrouve vite avec cinq ou six LANs, donc il faut le matos qui va bien et savoir le configurer, c'est le cas de beaucoup qui traînent sur ce forum, mais pas forcèment dans la vraie vie.


Hello!
C'est peut-être ideal pour la sécurité mais c'est pas terrible pour utiliser son lan :)
Connecter un camera au nas ?
Utiliser une appli domotique sur son smartphone avec son serveur orange pi ?
Transferer des fichier de la tablette au tel ?
Lire la musique du nas depuis une playstation ?

Quelques exemples qui deviennent vite compliqués si on segmente tout
Personnellement j'ai pas grand chose sur mon lan qui peut vivre seul dans son coin.
Mais bon chacun a une situation différente !

Pour revenir au sujet, non un firewall n'assure pas une protection totale, mais c'est deja ça + le petit bonus de pouvoir bloquer certaines connexions sortante (les  "téléphoner maison")
A l'époque où j'avais un pc Windows (c'était xp... Ca vous donne une idée de l'époque), je me souviens de quantités d'applications qui voulaient une connexion sortante (j'avais un firewall qui me posait la question).

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 644
  • WOOHOO !
    • OrneTHD
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #33 le: 17 mai 2018 à 07:36:51 »
A l'époque où j'avais un pc Windows (c'était xp... Ca vous donne une idée de l'époque), je me souviens de quantités d'applications qui voulaient une connexion sortante (j'avais un firewall qui me posait la question).

ZoneAlarm ? :p

patrick_01

  • Abonné MilkyWan
  • *
  • Messages: 328
  • 01
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #34 le: 17 mai 2018 à 09:23:43 »
C'est peut-être ideal pour la sécurité mais c'est pas terrible pour utiliser son lan :)
Oui, c'est certain, le plus sûr n'est pas le plus simple à utiliser ni à mettre en place.
C'est comme dans la vie physique. J'aimerais bien pouvoir laisser toutes les portes ouvertes chez moi, au travail, ne pas devoir cadenasser mon vélo et ne pas me promener avec une dizaine de clés en permanence dans la poche.

Connecter un camera au nas ?
Utiliser une appli domotique sur son smartphone avec son serveur orange pi ?
Transferer des fichier de la tablette au tel ?
Lire la musique du nas depuis une playstation ?
Ce n'est jamais que des règles d'accès sur un routeur ou un firewall.

Personnellement j'ai pas grand chose sur mon lan qui peut vivre seul dans son coin.
Moi non plus, d'ailleurs par définition un truc qui vit tout seul dans son coin n'a pas besoin d'être en réseau. Mais ne pouvoir atteindre que ce qui est justifié, ce n'est déjà plus être tout seul dans son coin.

Oui, aujourd'hui le ports sont fermés et pourtant il existe des objets connectés qui sont utilisés dans des botnet sans ports ouverts.
C'est sûr, c'est pour ça qu'il ne faut, dans la mesure du possible, soit pas leur donner accès à autre chose qu'à un truc local (cas de la caméra qui enregistre sur le NAS), soit les laisser libres d'accéder à l'extérieur mais dans ce cas leur interdire les connexions vers l'intérieur du réseau.

Les fabricants de matos connectés, téléphones et autres préfèrent qu'on mette tout sur le même LAN, et que ce LAN ait un accès complet à Internet, évidemment. Les opérateurs de botnet aussi. Et les opérateurs livrent des "box" qui sont plus ou moins faites pour ça, et tout le monde s'en contente...

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #35 le: 18 mai 2018 à 21:53:10 »
Cote securite end-user:
Ca fait deja 8 and que chez moi je tourne avec IPv6 sans firewall. Quand je dis sans firewall je veux dire que les connexions entrantes sont autorises au niveau du routeur. Plusieurs equipements : PC Linux et Windows (commence avec du XP, puis 7, 8, 8.1, 10), plusieurs telephones et tablettes (Apple et Android), imprimante et encore 2-3 autre choses qui utilisent de l'IPv6. Cahcun avec sa facon de s'autosecuriser (ou pas).

Pendant quelques annees (surtout a l'epoque du XP) je faisais encore des scans reguliers, je regardais ce qui se passe sur v6. Resultat des courses : JAMAIS RIEN. Ca fait un bon bout de temps que j'ai arrete.

Explication: un seul subnet en IPv6 c'est par default 64 bits. Ca fait 4 milliards de fois tout l'espace d'adressage IPv4 pour un seul pauvre subnet. Combien avec les "privacy adresses" (default sur tous les OS recents), et le fait d'utiliser pas mal des 64 bits disponibles, meme en adressage statique, il devient totalement impossible de tomber sur un equipement actif au hasard. Il y a certes des choses beaucoup plus avances pour detecter les hosts dans un /64, mais la on passe dans des attaques ciblees. Il faut trouver un raisonnement bien plus interessant que trouver quelques hosts mal/non-securises pour ajouter a un botnet.

Donc meme si le fait de vouloir mettre un niveau de securite cote routeurs/IAD/CPE est un chose louable, techniquement c'est un chose parfaitement inutile. Comme je disais, il y a des saloperies qui se propagent tres bien vers des PC v4-only derriere NAT/firewall/whatever.

Repetez donc apres moi: IPv6 est naturellement plus secure en raison de la taille de l'espace d'adressage.