Auteur Sujet: IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?  (Lu 42584 fois)

0 Membres et 2 Invités sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #60 le: 20 mai 2018 à 15:50:21 »
Mettre une clé SSH et un firewall pour accéder au port d’administration, c'est un exemple concret de double sécurité redondante : une seule sécurité est cesser suffire sauf quand une a un bug.

On peut trouver de nombreux exemple dans les failles multiples utilisées à l’occasion du concours Pwn2own, pour passer plusieurs protections : il faut exploiter plusieurs failles zero-day pour pouvoir réussir à sortir d'une machine virtuelle VMware depuis un navigateur : "Elle a ainsi obtenu la somme de 105 000 dollars pour avoir exploité une vulnérabilité de dépassement de tas dans le navigateur Microsoft Edge qui a été enchaînée avec une vulnérabilité de confusion de type dans le noyau Windows, puis en tirant parti d'un tampon non initialisé dans VMware Workstation." ou "110 000 dollars lui ont été attribué pour avoir exploité une vulnérabilité dans les versions stables et bêta de Google Chrome, via une élévation de la mémoire tampon de ce dernier, le tout en utilisant un point faible au niveau du noyau Windows pour accéder au sein même du système." ou "Les membres de l’équipe ont également réussi à obtenir des privilèges système avec leur attaque. Pour y parvenir, ils ont exploité avec succès quatre vulnérabilités : une dans Chrome, deux dans Flash et une autre dans le noyau Windows." ou "L'exploit combinait deux vulnérabilités, l’une dans Safari et l’autre dans un processus permettant une escalade de privilège." ou  "ils ont utilisé une faille UAF dans Safari qu’ils ont combinée à trois bogues logiques et une dérogation de pointeur null qu’ils ont exploitée sur Safari pour élever leurs privilèges en root sur macOS

Bref, sécuriser de façon redondante limite les risques.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #61 le: 20 mai 2018 à 15:53:39 »
Vu qu'on est parti sur la gloire des firewall et leurs impacts bienveillant sur le monde actuel, voici un autre cas magnifique : le mail (et le spam)

Chez free, ils prennent le problème du spam très au sérieux : le port TCP 25 est bloqué par défaut #team-firewall
Et toujours chez free:
root@debian:~# telnet smtp.free.fr 587
Trying 2a01:e0c:1::25...
Connected to smtp.free.fr.
Escape character is '^]'.
220 smtp4-g21.free.fr ESMTP Postfix
EHLO est.fr
250-smtp4-g21.free.fr
250-PIPELINING
250-SIZE 78643200
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH CRAM-MD5 DIGEST-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM: vivien@lafibre.info
250 2.1.0 Ok
RCPT TO: testing@jack.fr.eu.org
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: un super test !
 
Blablabl mon body est cool et complétement legit

.
250 2.0.0 Ok: queued as 7C58919F5C6
^]
telnet> q
Connection closed.

Et sur mon serveur:
May 20 15:50:42 jack postfix/smtpd[4762]: NOQUEUE: reject: RCPT from smtp4-g21.free.fr[212.27.42.4]: 550 5.7.1 <testing@jack.fr.eu.org>: Recipient address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=vivien%40lafibre.info;ip=212.27.42.4;r=jack.fr.eu.org; from=<vivien@lafibre.info> to=<testing@jack.fr.eu.org> proto=ESMTP helo=<smtp4-g21.free.fr>

Niquel, merci pour votre participation dans la lutte du spam :)


M'enfin

Tu peux avoir un firewall sur les terminaisons, cela n'a d'impact que pour toi
Avoir un firewall sur un node médian est une catastrophe

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #62 le: 20 mai 2018 à 23:24:57 »
le firewall c'est comme la démocratie, c'est le moins pire par rapport a un existant. Dans la théorie et dans l'absolue oui on ne devrait pas avoir de fw et faire tout au niveau 7. Mais la pratique est tout autre du moins sur l'existant actuel et la tonne de trucs 'legacy' a supporter encore.

La sécurité c'est toujours une question de compromis malheureusement.
Vouloir un absolue parfais ou chaque élèment du réseau est parfais c'est en l'état actuel complètement utopique. D'autant que souvent le problème est humain (erreur de paramètres , mauvaise config (le copier/coller idiot de stackexchange est très a la mode de nos jours), bugs de soft, etc).

y'a des trucs tellement 'unsafe' et pas a jour qu'on trouve sur des LAN que seul un fw en bordure permet de protéger (plus ou moins d'ailleurs). Y'a plein de truc qui n'ont pas d'options au niveau 7 pour la sécurité. Si t'as webcam n'a pas de notion de compte utilisateur faut bien limiter l'accès d'une certaine manière (y'a toujours le reverse proxy mais ca necessite de subnetter  ou autre bidouille).

Apres il faut reconnaître la flemme des admins, l'emprise des vendeurs de firewall sur certains DSI, la pensée unique qui sévit pas mal, etc.

J'ai donné quelques cours sur IPv6 a un moment , 90% des gens ont du mal a raisonner autrement que par rapport a IPv4. C'est très long de faire comprendre que le meilleur moyen d'apprendre IPv6 proprement c'est d'oublié complètement IPv4 avant.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 425
  • Lyon (69) / St-Bernard (01)
    • Twitter
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #63 le: 20 mai 2018 à 23:31:37 »
J'ai donné quelques cours sur IPv6 a un moment , 90% des gens ont du mal a raisonner autrement que par rapport a IPv4. C'est très long de faire comprendre que le meilleur moyen d'apprendre IPv6 proprement c'est d'oublié complètement IPv4 avant.
Complètement. Et le truc qui me gave le plus, c'est les experts (autoproclamés) qui te disent "c'est juste plus d'IPs"
Pour vulgariser au quidam, oui. Pour les admins réseau, c'est une logique totalement différente. Une IP n'est plus un device, un sous réseau est virtuellement infini... Plein de détails... Faudrait en faire un post a l'occasion tiens !
 

xillibit

  • Abonné Sosh fibre
  • *
  • Messages: 611
  • Au fin fond de la Haute-Savoie (74)
IPv6: Le firewall
« Réponse #64 le: 10 août 2019 à 11:11:54 »
Tout à fait.

- Vision Free : tous les périphériques IPv6 sont accessibles directement depuis Internet, vu qu'il n'y a pas de NAT.

- Vision Orange : Pour offrir la même sécurité que le NAT, par défaut tous les ports entrants sont bloqués en IPv6, il faut donc ouvrir un par un les port souhaités, comme si on était derrière e un NAT, sur le firewall de la box.

- Vision Bouygues (sur le mobile comme sur la Bbox) : Tous les ports entrants sont bloqués en IPv6 et il n'est pas possible d'autoriser les flux entrants.

Qui a raison ?
Et chez SFR ça se passe comment ?

Oyodo

  • Professionnel des télécoms
  • Abonné Orange Fibre
  • *
  • Messages: 372
  • Lyon - 69
IPv6: Le firewall
« Réponse #65 le: 10 août 2019 à 12:25:18 »
Et chez SFR ça se passe comment ?

IPv6 toujours en attente chez eux :D

/s

tomfibre

  • Abonné Sosh fibre
  • *
  • Messages: 323
IPv6: Le firewall
« Réponse #66 le: 10 août 2019 à 14:54:51 »
Et chez SFR ça se passe comment ?
D'après ma box (après activation manuel de l'ipv6)

Strangelovian

  • Abonné Orange Fibre
  • *
  • Messages: 58
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #67 le: 31 août 2019 à 13:20:00 »
Ma position c'est oui, par défaut.
Je me suis amusé à logguer dans un kibana avec module geo-ip les sollicitations "spontanées" venu depuis le WAN orange.
Au bout de 2 semaines, j'avais tous les pays du monde représentés, sans exception.
Au top, Ukraine, Russie, USA, Chine... (port au top 22 lolilol, mais aussi netbios...  ::))

Avec toutes les merdes IoT qu'on a aujourd'hui, à mon avis c'est plus sur d'autoriser les connexions externes uniquement sur le strict nécéssaire, c'est à dire rien pour monsieur et madame tout le monde.

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #68 le: 31 août 2019 à 17:26:10 »
Non.

C'est à l'hôte d'avoir un pare-feu correcte.

Autrement ça ne doit pas avoir le droit de s'appeler accès à l'Internet.

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #69 le: 31 août 2019 à 17:44:13 »
Chacun campe sur ses positions...

Pour un LAN, je préfère avoir un pare-feu général, surtout si on a pas trop l'envie de passer sur toutes les machines.

Après dans un contexte hébergeur, chacun doit s'occuper de la protection de ses serveurs, ça me parait évident. Ce n'est pas à l'hébergeur de mettre en place un pare-feu.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #70 le: 31 août 2019 à 17:52:14 »
Ma position c'est oui, par défaut.
Je me suis amusé à logguer dans un kibana avec module geo-ip les sollicitations "spontanées" venu depuis le WAN orange.
Au bout de 2 semaines, j'avais tous les pays du monde représentés, sans exception.
Au top, Ukraine, Russie, USA, Chine... (port au top 22 lolilol, mais aussi netbios...  ::))

Avec toutes les merdes IoT qu'on a aujourd'hui, à mon avis c'est plus sur d'autoriser les connexions externes uniquement sur le strict nécéssaire, c'est à dire rien pour monsieur et madame tout le monde.

en IPv6 ? c'est curieux.

en IPv4 il y a plein de boites & services de sécurité qui scannent tout l'espace IPv4 en permanence (shodan.io par exemple) donc toutes les IPv4 au monde vont recevoir régulierement des tentatives de connections sur les ports sensibles (22, netbios, etc).

Strangelovian

  • Abonné Orange Fibre
  • *
  • Messages: 58
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #71 le: 31 août 2019 à 17:52:51 »
Non.

C'est à l'hôte d'avoir un pare-feu correcte.

Autrement ça ne doit pas avoir le droit de s'appeler accès à l'Internet.
Tu as raison, bravo. Je m’incline