Auteur Sujet: IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?  (Lu 42548 fois)

0 Membres et 1 Invité sur ce sujet

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #84 le: 30 septembre 2019 à 18:18:45 »
En fait IPv6 Privacy Extensions ne protège pas si l'attaquant peu écouter ton réseau (ou simplement le résolveur DNS) : Il aura rapidement la liste des adresses IP utilisées.

Par contre on d’accord sur le fait que IPv6 Privacy Extensions réduit le risque.

La merde sera compromise d'une manière ou d'une autre.

Puis, plus la merde sera compromise plus elle disparaîtra rapidement.

Quand on regarde ce que contrôle un botnet, la grande majorité des machines compromises exécutent pourtant le super « antivirus rootkit » qui contrôle toute la machine.

Je vois pas où est le soucis à partir du moment que tu peux désactiver le firewall...

De base Mme Michu est protégée et n'as pas besoin d'y toucher.

Car ne sachant pas comment fonctionne le système, elle aura une expérience dégradée qui requerra l'utilisation de logiciels utilisant des serveurs tiers pour établir des connexions, même pour faire du téléphone...

Elle n'est certainement pas protégée, dans ce cas là vaut mieux lui fournir un accès au minitel contrôlé par une organisation bienveillante.

On achemine bien de la connectivité IPv6 chez quidams qui n'ont même pas idée de ce qu'est l'IPv6 et il y a zéro problème.

raf

  • Expert France-IX
  • Expert
  • *
  • Messages: 645
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #85 le: 01 octobre 2019 à 10:05:11 »
En fait IPv6 Privacy Extensions ne protège pas si l'attaquant peu écouter ton réseau (ou simplement le résolveur DNS) : Il aura rapidement la liste des adresses IP utilisées.

Si l'attaquant peut ecouter ton reseau, il y a une forte probabilite qu'il est DEJA derriere le firewall lui aussi. Quand au DNS, sauf aberrations style DoH/application DNS, c'est le resolver qui fait la demande. Si l'attaquant controle le resolver, encore une fois, il y a des problemes plus importants a resoudre avant.

vivien

  • Administrateur
  • *
  • Messages: 47 075
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #86 le: 06 novembre 2019 à 16:48:06 »
Merci l'Upnp qui est une cochonnerie dont abusent les caméras et les consoles de jeux.
Je cherche une liste des firewall IPv6 de box compatible avec UPnP.

On devrait pouvoir utiliser UPnP pour ouvrir un port sur le firewall IPv6, non ?

Je trouve peu de choses sur Internet, les pages qui parlent d'Universal Plug and Play mentionnent presque jamais IPv6.

Pour pfSense :
UPnP & NAT-PMP and IPv6

As of this writing, the UPnP and NAT-PMP service on current versions of pfSense supports IPv6, but client support is still spotty.

Source : docs.netgate.com/pfsense

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #87 le: 06 novembre 2019 à 18:49:28 »
Je cherche une liste des firewall IPv6 de box compatible avec UPnP.


tu peux tester toi-meme avec upnpc pour voir si ta box support IDG:2 ( https://openconnectivity.org/developer/specifications/upnp-resources/upnp/internet-gateway-device-igd-v-2-0/ ).

upnpc installable dans ubuntu directement http://manpages.ubuntu.com/manpages/eoan/man1/upnpc.1.html

sinon depuis leur site: http://miniupnp.free.fr/index_fr.html pour d'autres OS.

La 1ere étape est de contrôler si la box répond a IDG:2 avec 'upnpc -S':

voila ce que ca donne derriere une bbox fibre depuis Windows 10 (qui malheureusement n'a pas encore IPv6):
C:\Users\******\Downloads\upnpc-exe-win32-20150918>upnpc-static.exe -S
upnpc : miniupnpc library test client, version 1.9.
 (c) 2005-2014 Thomas Bernard.
Go to http://miniupnp.free.fr/ or http://miniupnp.tuxfamily.org/
for more information.
List of UPNP devices found on the network :
 desc: http://192.168.1.1:50763/rootDesc.xml
 st: urn:schemas-upnp-org:device:InternetGatewayDevice:1

Found valid IGD : http://192.168.1.1:50763/ctl/IPConn
Local LAN ip address : 192.168.1.*
FirewallEnabled: 1 & Inbound Pinhole Allowed: 1
GetFirewallStatus:
   Firewall Enabled: Yes
   Inbound Pinhole Allowed: Yes
Bytes:   Sent: 2790128054       Recv: 3041906074
Packets: Sent: 687349267        Recv: 2097505313

La bbox supporte donc IGD:2 et  devrait en théorie permettre d'ouvrir des flux pour IPv6.

aparté: IGD:2 indique le volume upload/download donc le cross-traffic entre 2 appels a upnpc sans besoin d'un comité avec l'ARCEP & les FAI & les speedtesteurs /s

Si la box est compatible IGD:2, on peut ensuite créer des 'pinhole' (percer des trous) pour ouvrir des flux:

upnpc [options] -A remote_ip remote_port internal_ip internal_port protocol lease_time
-A correspond a 'AddPinhole()' dans la spec: http://upnp.org/specs/gw/UPnP-gw-WANIPv6FirewallControl-v1-Service.pdf (bas de la page 16).

par exemple:

upnpc -6 -A "" 0  2001:1234:1234::5678 80 tcp 300
demande l'ouverture de n'importe quelle IP source  ,n'importe quel port source vers 2001:1234:1234::5678 port 80 en tcp pendant 300 secondes. Par sécurité, la commande ne marche que si émise par 2001:1234:1234::5678.

Si ca réussi un ID du pinhole crée est retourné.

Il y a d'autres commandes:
-U ID time: change le lease time du pinhole
-K ID : renvoi le compteur de paquets ayant traversé le pinhole
-D ID: supprime le pinhole
-C ID: contrôle si le pinhole fonctionne

vivien

  • Administrateur
  • *
  • Messages: 47 075
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #88 le: 14 novembre 2019 à 12:06:49 »
Je vais animer un atelier sur ce thème demain.
Voici le résumé des 8 pages et des deux points de vue...

Vision de ceux qui refusent qu’un firewall IPv6 soit activé par défaut :
- C'est aux périphériques de se sécuriser.
- Avec les Privacy Extensions, la surface d'attaque est tellement énorme que je ne suis pas spécialement inquiet (un seul subnet en IPv6 c'est par défaut 64 bits soit 18 446 744 billion d’IP. Ca fait 4 milliards de fois tout l'espace d'adressage IPv4, pour un seul pauvre subnet /64).
- « IPv6 est naturellement plus sécure en raison de la taille de l'espace d'adressage. »
- « IPv6 en mode open bar n'apporte pas plus d'Insécurité»
- « si le fait de vouloir mettre un niveau de sécurité cote box est un chose louable, techniquement c'est un chose parfaitement inutile »
- « Je n'ai pas envie qu'on me protège de force. Si je veux mettre un firewall, c'est moi qui le met. »

Vision de ceux qui sont pour le firewall IPv6 soit activé par défaut :
- Pour offrir la même sécurité que le NAT, par défaut tous les ports entrants sont bloqués en IPv6 « statefull firewall ». Pour autoriser les flux entrants, il faut donc ouvrir un par un les port souhaités, comme si on était derrière un NAT, sur le firewall de la box.
- « Tu peux pas demander à M. tout le monde d'assumer lui-même sa sécurité »
- « On ne maîtrise pas tout sur son LAN... Imprimante, caméra, tv, console de jeu, smartphone... Le pc finalement c'est un élément minoritaire »
- « Les PC Windows qui partagent des fichiers en ouvrant tout parce que l'utilisateur n'a pas fait les bonnes manips sont fréquents et même si on ne peut 'deviner' leur IPv6, on peut facilement en récupérer par fishing via emails ou sites attrape pigeons. Les Privacy Extensions ont été conçues pour la 'privacy' pas pour la sécurité »
- « Je vois tout les jours des webcam laissées avec le mot de passe par défaut. Le fait que les IPv6 soient difficiles a trouver ou non permanentes est une illusion de sécurité et protection. »
- «  La serrure connectée de ton appartement ou ton imprimante , si elle récupère un IPv6 sans Firewall, elle sera directement exposée sur Internet et à la moindre faille, elle peut être contrôlée à distance. »


Même avis tranchés, pour les "zones safe" en entreprise, protégées par un firewall :

« La sécurité n'a aucun sens au niveau réseau "middlebox", seulement au niveau des terminaisons. Les zones 'safe‘ sont une catastrophe : il apparait qu'un élément étranger, parvenant à s'introduire, il prend le rôle de loup dans la bergerie: tout le monde étant à poil, il n'y a plus qu'à se servir. Il "suffit" qu'un type parviennent à abuser d'un défaut dans le réseau local (qui a parlé de wifi ?) ou qu'un PC se fasse trouer pour que l'exploitation soit totale »

vs

« si on suit cette logique les firewall d'entreprise n'ont aucun sens. Il faut juste blinder chaque poste de travail, serveurs, imprimantes, etc... ? »créer des zones 'safe' ou chaque équipement dans ces zones peut considérer qu'il n'a pas gérer lui-même la sécurité ou même le contrôle d'accès. Tant qu'on a pas un standard pour administrer de façon centraliser la sécurité embarqué dans chaque device du réseau on est un peu obligé d'avoir une centralisation dans un firewall en bordure, sinon c'est juste un cauchemar à gérer. Si j'ouvre un serveur web sur ma webcam, c'est que dans l'OS de ma webcam que je dois gérer les IP qui ont accès ? et si j'ai 10 webcam je dois passer sur les 10 pour faire la manip ? »


kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #89 le: 14 novembre 2019 à 12:39:39 »
Ma réflexion sur le sujet a changer un peu.

Je pense qu'en IPv6 les box devraient bloquer que TCP uniquement (statefull firewall sur TCP  avec ouverture via UPnP-IGD:2 et/ou l'interface web de la box- et bien sur possibilité pour l'utilisateur désactiver complement le firewall).

et laisser UDP et tout les autres protocoles passer sur IPv6.

L'avenir (20 ans+) est la disparition d'IPv4 et de TCP de toute façon.

Free_me

  • Abonné Free fibre
  • *
  • Messages: 3 071
  • Marseille
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #90 le: 14 novembre 2019 à 13:11:04 »
L'avenir (20 ans+) est la disparition d'IPv4 et de TCP de toute façon.

de tcp ?
pourquoi ? et quoi a la place ?

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #91 le: 14 novembre 2019 à 13:40:47 »
UDP, j'imagine

C'est une vision particulière de kgersen, qui est un peu enthousiaste sur ce genre de sujet

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 973
  • Saint-Médard-en-Jalles (33)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #92 le: 14 novembre 2019 à 13:46:12 »
Même si TCP disparaissait d'un point de vue protocolaire à terme, j'ai du mal à suivre le blocage de TCP uniquement, d'un point de vue sécurité :  pourquoi un service à l'écoute en UDP aurait moins de vulnérabilités qu'un service à l'écoute en TCP ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #93 le: 14 novembre 2019 à 16:19:23 »
Même si TCP disparaissait d'un point de vue protocolaire à terme, j'ai du mal à suivre le blocage de TCP uniquement, d'un point de vue sécurité :  pourquoi un service à l'écoute en UDP aurait moins de vulnérabilités qu'un service à l'écoute en TCP ?

C'est plus une question de statistiques, le risque zéro n'existant pas. Les trucs éventuellement vulnérables (caméro, IoT, etc) le sont principalement via TCP.

Donc dans un cadre grand public et que grand public, bloquer TCP suffit largement , statistiquement a couvrir les risques les plus importants (caméra/IoT avec login/mdp par défaut, etc).

C'est purement statistique et ca ne couvre pas tout les risques.

de tcp ?
pourquoi ? et quoi a la place ?
UDP, j'imagine

C'est une vision particulière de kgersen, qui est un peu enthousiaste sur ce genre de sujet

Pas qu'UDP mais peut-être aussi j’espère d'autres protocoles. Le pré-requis est qu'une fois IPv6 dominant donc le NAT supprimé on pourra vraiment commencer a utiliser d'autres protocoles qu'UDP et TCP.

Tout le monde s'accorde sur le fait que TCP n'est pas été conçu pour les réseaux actuels (fibre, 5G, etc) et pose pas mal de soucis. TCP doit évolué ou être remplacé. Le NAT d'IPv4 empêche cela.

L'évolution de HTTP/2 c'est HTTP/3 qui n'utilise plus TCP mais UDP. Le taux d'adoption faramineux d'HTTP/2 (40% a ce jour) est très encourageant pour HTTP/3.

Ce choix d'UDP pour HTTP/3 est en partie due a la situation actuelle a cause d'IPv4 qui impose le NAT qui lui impose UDP ou TCP.
 
Quand on leve ce manque de choix grace a IPv6 , on retourne a l'origine d'Internet (lien de niveau 3 IP pur entre 2 machines n'importe ou dans le monde) alors on peut envisager l'utilisation de toute sorte de protocoles de niveau 4.

L'autre partie est l'optimisation des drivers et stacks IP pour TCP et UDP (offloading & co) mais cela se traite aux extrémités, au cas par cas, sans contraire sur les nœuds intermédiaires contrairement au NAT d'IPv4.

Dans 20 ans y'aura surement encore du TCP qui circulera mais ca ne sera peut-être plus le protocole dominant.

tl;dr: IPv4 impose du NAT au milieu du réseau donc des contraintes sur ce qu'on peut utiliser au 2 bouts. IPv6 leve ces contraites et permet d'inventer et d'utiliser de nouveaux protocoles de niveau 4 qui a long terme remplaceront TCP et UDP. ps: donc faut pas bloquer ca par défaut dans les firewall des box.

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #94 le: 15 novembre 2019 à 10:27:39 »
De mon point de vue d'utilisateur final, et ceci a déjà peut-être été écrit, j'aimerais qu'il soit possible:
- de recevoir un /56 que l'on pourrait découper en /60
- d'appliquer des politiques de filtrage différentes sur chaque /60 où pour certains préfixes aucun filtrage ne serait appliqué tandis que pour d'autres les entrées seraient filtrées
- les machines recevant un ou plusieurs /64

Mes 2 centimes.
« Modifié: 15 novembre 2019 à 12:53:30 par mirtouf »

vivien

  • Administrateur
  • *
  • Messages: 47 075
    • Twitter LaFibre.info
IPv6: Le firewall doit il bloquer par défaut le trafic entrant ?
« Réponse #95 le: 19 novembre 2019 à 13:56:45 »
Deux citations de l'Anssi que j'ai bien aimé dans le groupe de travail sur le filtrage IPv6 :

Ne pas filtrer le trafic entrant non sollicité et demander aux périphériques de se sécuriser, c’est comme laisser la porte de chez soi ouverte avant de partir et de tout ranger dans des tiroirs fermés à clefs.

Expliquer on ne pourra pas retrouver le terminal du fait du grand nombre d’IPv6, c’est comme avoir de l’argent que l’on cache chez soi et faire le pari que le voleur ne trouvera pas la cachette. Si vous roulez à 130 Km/h dans une voiture connectée, vous préférez que l’attaquant ait peu de chance de trouver votre IPv6 ou que le firewall vous protège ?