La Fibre

Télécom => Logiciels et systèmes d'exploitation => Firefox Navigateurs web => Discussion démarrée par: hwti le 11 septembre 2019 à 03:07:57

Titre: Firefox Private Network
Posté par: hwti le 11 septembre 2019 à 03:07:57
https://blog.mozilla.org/blog/2019/09/10/firefoxs-test-pilot-program-returns-with-firefox-private-network-beta/

Firefox propose en test, officiellement uniquement aux USA, une extension qui chiffre tout le trafic en le faisant passer par un proxy Cloudflare.

En passant par un proxy web, on peut contourner le test de localisation sur https://private-network.firefox.com/dist/secure-proxy.xpi et installer l'extension.
Elle se connecte en TCP sur 162.159.192.20 (Cloudflare FranceIX) sur le port 2486.

Citer
curl -v -k https://162.159.192.20:2486
...
> GET / HTTP/2
> Host: 162.159.192.20:2486
> User-Agent: curl/7.58.0
> Accept: */*
>
...
< HTTP/2 404
< cf-warp-error: 1
< content-type: text/plain; charset=utf-8
< content-length: 3
< date: Wed, 11 Sep 2019 00:54:17 GMT
<

Il s'agit probablement d'un proxy HTTP (mais impossible de l'utiliser tel quel, il y a probablement une identification d'une manière ou d'une autre), et le "cf-warp-error" suggère un lien avec le "VPN" Cloudflare Warp, annoncé le 01/04 mais toujours pas lancé, et qui lui est censé utiliser le protocole Wireguard en UDP.

On ressort à FranceIX, avec un support IPv6  :D
    Connectivité IPv4 (via requête DNS) OK : IPv4 publique = 8.40.31.149
    Connectivité IPv4 (via IPv4 littérale) OK : IPv4 publique = 8.40.31.155
    Connectivité IPv6 (via requête DNS) OK : IPv6 publique = 2a09:bac0:19::828:1f8a
    La version du protocole IP utilisée par défaut est IPv6

Les serveurs doivent être très peu utilisés, mais je suis impressionné côté test de débit :
(https://pic.nperf.com/r/3211596535823086-jJgUUjqZ.png)
Je ne sais pas pourquoi nPerf pense que l'opérateur est Level 3, puisqu'il identifie bien que les IP appartiennent à AS13335 (Cloudflare).

speedtest.net indique aussi Level 3  :o
Côté download, même si c'est légèrement moins bon que nPerf, ça fonctionne toujours.
En revanche, le test d'upload peut soit fonctionner normalement, soit donner des débits beaucoup plus bas, soit même bloquer tout en continuant de consommer du CPU.
Il y a quelques soucis avec les WebSockets on dirait : "Firefox ne peut établir de connexion avec le serveur à l’adresse wss://massy.testdebit.info:8080/ws".
Titre: Firefox Private Network
Posté par: kazyor le 11 septembre 2019 à 12:03:25
Impossible de le configurer en casacade avec un autre proxy déjà existant.
EDIT : ok en utilisant Proxifier

Le FDQN utilisé : firefox.factor11.cloudflareclient.com.
Titre: Firefox Private Network
Posté par: hwti le 11 septembre 2019 à 14:01:38
Le FDQN utilisé : firefox.factor11.cloudflareclient.com.
Ah, je n'avais vu que le "*.factor11.cloudflareclient.com" dans le certificat.

Avec le FQDN (donc le SNI), la réponse est légèrement différente :
curl -v https://firefox.factor11.cloudflareclient.com:2486
...
> GET / HTTP/2
> Host: firefox.factor11.cloudflareclient.com:2486
> User-Agent: curl/7.61.1
> Accept: */*
>
...
< HTTP/2 407
< cf-warp-error: 1
< proxy-authenticate: Bearer realm="Cloudflare Warp for Firefox"
< content-type: text/plain; charset=utf-8
< content-length: 3
< date: Wed, 11 Sep 2019 11:55:33 GMT
<
Donc :
 - 404 => 407 (Proxy Authentication Required)
 - proxy-authenticate: Bearer realm="Cloudflare Warp for Firefox"
Il s'agit donc bien d'un proxy http (TLSv1.3, HTTP/2, TLS_AES_128_GCM_SHA256), avec authentification.
Titre: Firefox Private Network
Posté par: vivien le 11 septembre 2019 à 15:42:59
Le VPN est gratuit aujourd'hui pour les tests, mais il sera payant à terme.

Cela devrait faire partie du "Firefox Premium" annoncé il y a quelques mois, des services payant intégrés au navigateur de Mozilla et annoncés pour fin 2019.
Titre: Firefox Private Network
Posté par: DamienC le 11 septembre 2019 à 16:04:27
Il y aussi le navigateur "Braves" qui propose une navigation "Tor", c'est très pratique et c'est intégré gratuitement au navigateur.

Je crois qu'Opera propose également cela.

Cdt,
DamienC

Titre: Firefox Private Network
Posté par: hwti le 11 septembre 2019 à 19:38:47
Le VPN est gratuit aujourd'hui pour les tests, mais il sera payant à terme.

Cela devrait faire partie du "Firefox Premium" annoncé il y a quelques mois, des services payant intégrés au navigateur de Mozilla et annoncés pour fin 2019.
Il s'appuie sur une variante de Cloudflare Warp, qui est censé être gratuit dans sa version de base.

https://blog.cloudflare.com/1111-warp-better-vpn/ n'évoque pas de limites sur Warp (mais en pratique je pense que ça dépendra forcèment du succès, si ça leur coûte trop chez sans leur apporter indirectement des clients côté CDN...).
La version payante Warp+ est censée être plus rapide grâce au routage et "backbone virtuel" Cloudflare, je suppose que ça veut dire que le point de sortie pourrait être dans un datacenter plus proche de la destination.

Mais difficile d'avoir des certitudes sur un service en test, pouvant à terme faire partie d'un nouveau modèle économique, qui s'appuie sur un produit qui est encore en beta privée...
Titre: Firefox Private Network
Posté par: Marco POLO le 11 septembre 2019 à 22:35:34
...Je crois qu'Opera propose également cela...
Je confirme.  (https://lafibre.info/images/smileys/@GregLand/ay.gif)
Titre: Firefox Private Network
Posté par: darkmoon le 16 septembre 2019 à 14:09:42
Ça fonctionne plutôt bien en effet au niveau vitesse.
Impossible de faire un nperf, le test d'upload fait crasher mon FF69 (W10 x64).
Par contre DSL report voit bien un proxy mais les vitesses sont le max de la ligne.
Titre: Firefox Private Network
Posté par: PhilippeMarques le 16 septembre 2019 à 16:32:35
Firefox s'engage dans une voie commerciale, très liée à Cloudfare ( DoH, VPN )  , ce n'est pas certain que ce soit une bonne chose pour tous.
Titre: Firefox Private Network
Posté par: renaud07 le 16 septembre 2019 à 22:59:42
Je viens de tester DoH, et j'ai noté un comportement assez intelligent :

J'ai un serveur web sur un site relié par VPN et je veux que mon DNS me renvoie l'ip privée et non la publique puisque je suis "en local". J'ai naïvement pensé : vu que tout passe par cloudflare sera donc l'ip publique. Et si jamais les ports sont fermés sur le routeur, je vais avoir droit à une connexion échouée.

Et bien non ! Firefox remarque que le site ne répond pas et hop, il envoie la requête à mon DNS et le site s'affiche. J'ai refait la même procédure en rouvrant les ports et cette fois je n'ai plus de requête sur mon DNS local signe que c'est bien cloudflare qui est utilisé.

C'est pareil pour les domaines locaux en .lan eux aussi renvoyés sur le DNS. Finalement ça ne va poser problème que pour les domaines de pub que je bloque avec pihole.

Après le fait de tout faire reposer sur CF me gêne également. Vivment qu'il y ai d'autres acteurs, comme FDN (d'ailleurs j'ai vu qu'il travaillent sur le DNS over TLS)
Titre: Firefox Private Network
Posté par: Hugues le 16 septembre 2019 à 23:00:42
On va surement implèmenter un DoT et un DoH chez nous aussi :-)
Titre: Firefox Private Network
Posté par: hwti le 16 septembre 2019 à 23:22:29
Tant qu'on parle de DoH, quand il est activé FireFox demande le champ ESNI au DNS, et en cas de réponse active l'encrypted SNI sur les serveurs TLSv1.3 en question.
Test: https://www.cloudflare.com/ssl/encrypted-sni/

FireFox ne semble pas demander le champ sur un DNS classique (alors que ce serait possible), donc pas d'encrypted SNI dans ce cas.

De même, rien avec FireFox Private Network : c'est un proxy, le DNS est fait côté serveur.
Donc le SNI sort en clair de Cloudflare. Certes à ce moment le lien avec l'utilisateur est plus difficile à établir, mais les équipements des États ou opérateurs qui font du DPI peuvent récupérer des informations (et potentiellement bloquer la connexion dans certains pays si le site est interdit).
Titre: Firefox Private Network
Posté par: renaud07 le 17 septembre 2019 à 00:26:13
Pour le ESNI il faut l'activer explicitement. CF renvoie que l'option n'est pas activée et c'est le cas par défaut, elle est à false.
Titre: Firefox Private Network
Posté par: renaud07 le 17 septembre 2019 à 00:58:51
Une fois activé tout est ok :
Titre: Firefox Private Network
Posté par: hwti le 17 septembre 2019 à 01:40:40
En effet, j'ai l'option activée, j'avais dû faire des tests à un moment.

En revanche, il est toujours vrai que ça ne fonctionne qu'avec le DoH de FireFox, pas quand il utilise le DNS système : https://bugzilla.mozilla.org/show_bug.cgi?id=1500289.
Titre: Firefox Private Network
Posté par: hwti le 17 septembre 2019 à 04:16:22
Incident pour Cloudflare ?

Tout le trafic semble aller à Londres via Level3 pour SFR, et Amsterdam via NTT pour Sosh.

Le traffic sort vers 8.42.172.27, 8.42.172.225, 2a09:bac0:21::82a:acd2, localisées aux USA dans les base de données, mais qui semblent à Londres.
Titre: Firefox Private Network
Posté par: hwti le 24 septembre 2019 à 21:49:19
Pour comparer, Cloudflare Warp sur Android : c'est un tunnel Wireguard (implèmentation userspace, MTU 1280).
Puisque c'est sur un téléphone en wifi, les performances sont difficiles à comparer, mais en download j'obtiens soit 50Mbps soit 200Mbps (pas loin du débit wifi), mais en upload à part une fois, c'est 4 à 5Mbps.
A noter que l'IPv6 est disponible, mais n'est utilisée par défaut ni par Chrome ni par Firefox, que la connexion derrière soit IPv4-only (SFR FTTH), IPv4+IPv6 ou IPv6-only (4G Orange).

Warp+, à 4€/mois, "évite les congestions" (je suppose : si votre opérateur à un bon peering avec Cloudflare, mais sature ou a de mauvaises routes vers certaines destinations).
Titre: Firefox Private Network
Posté par: Nh3xus le 24 septembre 2019 à 22:59:14
Firefox s'engage dans une voie commerciale, très liée à Cloudfare ( DoH, VPN )  , ce n'est pas certain que ce soit une bonne chose pour tous.

Je viens de commencer à regarder les logs du Palo Alto de ma boîte :

Nos utilisateurs du Wifi gratuit commencent tout doucement à utiliser DoH et DoT.

Je suis en train de faire des tests pour voir l'efficacité du blocage de DoH et DoT au niveau du Palo : cela semble fonctionner.

Je vais sûrement bloquer cette "nouvelle" techno de proxy demain matin... 
Titre: Firefox Private Network
Posté par: hwti le 24 septembre 2019 à 23:18:50
Je vais sûrement bloquer cette "nouvelle" techno de proxy demain matin...
Simple curiosité : pourquoi le bloquer à priori ?
Pour faire respecter des blocages par DNS existants sur le réseau ?
Pour surveiller les usages potentiellement illégaux, et avoir plus de logs sur l'activité des utilisateurs au cas où ?
Titre: Firefox Private Network
Posté par: Nh3xus le 26 septembre 2019 à 10:35:57
On commence à avoir des contraintes de l'état.