La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Orange / Sosh => Incidents Orange => Discussion démarrée par: floflo le 23 juillet 2022 à 07:54:08
-
Bonjour à tous, je souhaitais vous faire part de mon aventure encore d’actualité suite à un piratage assez épais.
Aujourd’hui il ne reste plus que la livebox6 de connectée.
Avant réinitialisation je désactive la sauvegarde de la configuration.
Je me reconnecte sur une box en théorie toute fraîche.
Je désactive le wifi par défaut, ipv6 et upnp.
Je débranche la connexion fibre et me rend dans la section pare-feu et sélectionne « personnalisé » je supprime toutes les règles par défaut.
J’ajoute :
DNS UDP(protocol) 192.168.1.0(network origin) 255.255.255.0(netmask origin) 53(port destination) ACCEPT
HTTPS TCP(protocol) 192.168.1.0(network origin) 255.255.255.0(netmask origin) 443(port destination) ACCEPT
THEN DENY TOUT(protocol) DENY
Contrairement à iptables les règles doivent être insérées à l’envers.
J’active le Wi-Fi invité et c’est tout.
Le but ici est de forcer la restauration du MacBook sur le Wi-Fi invité via le port 443 ce qui permet d’être certain d’atteindre les servers officiels. Et donc éviter de booter sur une image pleine de « privateFramework ».
La restauration du Mac commence , écran de la livebox qui flash une fois comme une modification de configuration livebox. Apparition d’un second réseau wifi nommé Livebox-XXXX-WPA3-TM(persistant).
Après boot sur l’image je scan le port 80 sur lip d’Apple par exemple. Résultat open. Idem avec un téléphone sans carte SIM via le wifi invité.
J’ai remarqué que une fois sur l’image de restauration oscdn.apple.com pointe vers des ip qui lookup vers « akamaitechnologies.com cf MarkMonitor. Je trouve vraiment pas MarkMonitor très legit pour faire simple. Puis le domaine lookup sans commentaires.
J’ai essayé de refaire la configuration avec plusieurs pc ET téléphones fraîchement reset (au cas où je pouvais insérer quelques chose malgré moi via websocket en accédant à l’interface admin). Sans succès.
J’ai un rendez-vous téléphonique lundi de 8h à 9h avec le service réclamation.
Je devais en avoir un vendredi 22 entre 15h et 16h mais il n’a pas été honoré et la commerciale m’a dit que maintenant c’était lundi le prochain rdv lors de mon rappel.
Ça fait environs 6 rdv sur 7 qui n’ont pas été honorés depuis le 4 juillet…
Ils m’ont fait changer 3 fois la livebox5 et 2 fois la livebox6.
——-
Du coup je réfléchis à installer un routeur sur lequel à termes je pourrais installer un système open source.
Cependant j’ai un câble fibre en direct cf. Photo.
Ne pouvoir rien faire sur un équipement qui se comporte bizarrement et se faire balader par le support orange c’est frustrant. puis je me dis que à l’avenir pouvoir maîtriser ses équipements c’est certainement mieux.
Je trouve le RB5009 super sympa. Avec le sfp onu gpon de chez SF (https://www.fs.com/fr/products/133619.html) en direct ça peut être top. J’ai demandé au support mikrotik ce qu’ils en pensent et la réponse est la suivante :
« Please make sure that it is possible to connect 5009 SFP+ (that comes with the cage, you need to use SFP+ module) to your ISP, then I do not see any problem.
Note, MikroTik devices do not support GPON modules »
(À savoir que en théorie je devrais être en fibre dédiée 2gbps) donc le module SFP n’irait pas malgré vos retours positifs sur certains de leurs produits ?
(@gnubyte https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/)
Je voudrais pas me tromper de matériel car c’est vraiment un budget pour moi.
En vous remerciant déjà de m’avoir lu jusqu’au bout <3
-
Akamai est un CDN utilisé effectivement par Apple pour pouvoir absorber le traffic et surtout faire en sorte que leurs clients téléchargent depuis un serveur au plus proche de chez eux…
Bon sinon, en FTTH grand public une fibre dédiée ça n’existe pas, à partir de l’armoire de rue chez Orange c’est 64 clients sur je meme fibre qui se partagent un débit de 2.5 Gbps.
A part ça je n’ai pas compris le problème….
-
J’ai pas tout compris, mais la config un peu « originale » qui saute, pour moi c’est pas un piratage c’est un bug de box ::)
D’ailleurs je ne comprends pas bien toutes ces manips pour réinitialiser un mac, perso je fais cmd-r, je connecte au wifi et c’est parti!
-
A part ça je n’ai pas compris le problème….
;D moi non plus, je ne vois pas l'object de ce post, en quoi il y a une galère, si ce n'est qu'il a choisi de se la créer lui-même. et certaines choses m'ont fait tilter comme :
Système opensource --> RB5009 :o à moins de projeter d'y installer OpenWRT dessus ?
-
J’avoue que akamai.net est aussi enregistré via MarkMonitor mais je n’exclue pas une utilisation malicieuse d’un cdn.
Concernant la fibre, la commerciale m’a confirmé hier que c’était 2gbps dédiés. Alors comment vérifier ? (À la limite ça c’est secondaire)
Le problème est que la box ne respecte pas la restriction que je lui impose essentiellement le refus de communiquer sur le port 80 en sortie afin d’obliger la restauration sur le port 443 et ainsi être certain d’atteindre les serveurs officiels.
L’activation de ce deuxième réseau wifi lors de l’initiation de la restauration du mac n’est pas OK. Ce n’est pas ma configuration. Une configuration non respectée et altérée contre mon gré c’est pas OK.
-
;D moi non plus, je ne vois pas l'object de ce post, en quoi il y a une galère, si ce n'est qu'il a choisi de se la créer lui-même. et certaines choses m'ont fait tilter comme :
Système opensource --> RB5009 :o à moins de projeter d'y installer OpenWRT dessus ?
À termes par exemple oui
-
La Livebox et le réseau respectent ce que Apple pousse en fonction de la requête, c'est à dire via les peers directs entre Apple et Orange mais aussi via les CDN utilisés par Apple et ce via les ports 443 et 80 conformément à tel que ça nous est envoyé.
Tes "problèmes" sont imaginaires.
-
Rappel : « Le problème est que la box ne respecte pas la restriction que je lui impose essentiellement le refus de communiquer sur le port 80 en sortie afin d’obliger la restauration sur le port 443 et ainsi être certain d’atteindre les serveurs officiels. »
Si la box ne respecte pas ma restriction pourquoi ne pas avoir peur des dns fournis par le dhcp de la box et ainsi atteindre un fake Apple server sur le port 80 ?
-
Sur le port 80 pas de certificat == easy avec des dns altérés.
Sur le 443, en cas de dns altéré == erreur
-
le port 443 ne garantie en rien que tu es sur le bon serveur d'apple.
l'utilisation du https garantie le chiffrage des données entre le client et le serveur. je sens qu'on va rentrer dans un long débat ;D
-
le port 443 ne garantie en rien que tu es sur le bon serveur d'apple.
l'utilisation du https garantie le chiffrage des données entre le client et le serveur. je sens qu'on va rentrer dans un long débat ;D
Ah bon ? Serais-tu en capacité de te faire délivrer un certificat si tu n’est pas propriétaire du domaine ? (Valide bien entendu)
-
De toute façon les images de restoration (celles utilisées lors du cmd-r) sont signées par Apple et donc il est impossible de diffuser une mise à jour frauduleuse.
Accessoirement, je doute que le wifi « invité » de la box soit concerné par les restrictions du firewall puisqu’aux dernières nouvelles il ne sort pas avec l’IP publique du client mais passe dans un tunnel vers un serveur Orange.
Les 2 Gbps dédiés c’est du bullshit commercial.
-
Concernant la fibre, la commerciale m’a confirmé hier que c’était 2gbps dédiés. Alors comment vérifier ? (À la limite ça c’est secondaire)
Orange relie 64 Clients sur l'arbre PON (au maximum, toutes les positions ne sont pas forcément utiliser en permanence).
L'arbre GPON dispose de 2,5 GBits down et 1,25 Up. Ce débit est partagé entre tous les clients. Après la probabilité que tous les clients "tire" sur la connexion à la même seconde est faible donc c'est pour çà que globalement chacun a le débit souscrit.
Après à l'instant t, tu peux très bien télécharger à 1 Gbits sur 2 ports ethernet de ta livebox sans que ça sature.
Je précise que c'est pareil chez les autres opérateurs. Il y a de la contention sur les arbres PON ET sur la collecte du NRO. Mais c'est comme pour tous les réseaux (électricité, eau, ...) Si tout le monde consomme au max à la même seconde, beh c'est saturé.
-
Ah bon ? Serais-tu en capacité de te faire délivrer un certificat si tu n’est pas propriétaire du domaine ? (Valide bien entendu)
alors moi non, bien évidement. mais dans la mesure ou n'importe qui peut générer lui même un certificat, et avec l'imagination sans limite des hackers chinois/russes/koréens on n'est à l'abris de rien.
Mozilla il y a quelques années c'était fait volé ses clé SSL, et avait gardé cela secret (https://www.computerworld.com/article/2507251/mozilla-regrets-keeping-quiet-on-ssl-certificate-theft.html).
et google : https://www.lemondeinformatique.fr/actualites/lire-un-certificat-ssl-vole-vise-google-34512.html
Même chez les autorités de certifications les certificats se volent : https://www.clubic.com/antivirus-securite-informatique/actualite-444400-vols-certificats-ssl-experts-tirent-sonette-alarme.html
il ne faut pas non plus vivre dans la paranoia, mais on voit bien qu'on ne peut pas avoir une confiance aveugle, à 100%, de l'usage des certificats. C'est pour ca que de mon point de vue, l'utilisation du https sur un site web ca ne va pas plus loin que chiffrer les échanges entre client/serveur.
-
…
Accessoirement, je doute que le wifi « invité » de la box soit concerné par les restrictions du firewall puisqu’aux dernières nouvelles il ne sort pas avec l’IP publique du client mais passe dans un tunnel vers un serveur Orange.
…
WTH .. à développer par un officiel du coup
-
Orange relie 64 Clients sur l'arbre PON (au maximum, toutes les positions ne sont pas forcément utiliser en permanence).
L'arbre GPON dispose de 2,5 GBits down et 1,25 Up. Ce débit est partagé entre tous les clients. Après la probabilité que tous les clients "tire" sur la connexion à la même seconde est faible donc c'est pour çà que globalement chacun a le débit souscrit.
Après à l'instant t, tu peux très bien télécharger à 1 Gbits sur 2 ports ethernet de ta livebox sans que ça sature.
Je précise que c'est pareil chez les autres opérateurs. Il y a de la contention sur les arbres PON ET sur la collecte du NRO. Mais c'est comme pour tous les réseaux (électricité, eau, ...) Si tout le monde consomme au max à la même seconde, beh c'est saturé.
C’est ce que j’ai appris cette semaine sur le blog FS Community en gros. Après au final ça c’est vraiment un détail à voir en fonction de ce que stipule l’offre plus tard. :pray:
-
WTH .. à développer par un officiel du coup
Ben, il suffit de regarder l'IP des équipements connectés via le wifi invité, ils ne sont pas dans la plage de ton DHCP 192.168.1. xx mais sur ma LB5 en 192.168.144.xx
Donc les règles de ton parefeu ne sont pas appliquées
-
alors moi non, bien évidement. mais dans la mesure ou n'importe qui peut générer lui même un certificat, et avec l'imagination sans limite des hackers chinois/russes/koréens on n'est à l'abris de rien.
Mozilla il y a quelques années c'était fait volé ses clé SSL, et avait gardé cela secret (https://www.computerworld.com/article/2507251/mozilla-regrets-keeping-quiet-on-ssl-certificate-theft.html).
et google : https://www.lemondeinformatique.fr/actualites/lire-un-certificat-ssl-vole-vise-google-34512.html
Même chez les autorités de certifications les certificats se volent : https://www.clubic.com/antivirus-securite-informatique/actualite-444400-vols-certificats-ssl-experts-tirent-sonette-alarme.html
il ne faut pas non plus vivre dans la paranoia, mais on voit bien qu'on ne peut pas avoir une confiance aveugle, à 100%, de l'usage des certificats. C'est pour ca que de mon point de vue, l'utilisation du https sur un site web ca ne va pas plus loin que chiffrer les échanges entre client/serveur.
Dans ces cas là on est déjà à une étape supérieure et « exceptionnelle ». Mais à la limite c’est vrai qu’on va pas polémiquer sur ça effectivement ça peut être long du coup
-
Ben, il suffit de regarder l'IP des équipements connectés via le wifi invité, ils ne sont pas dans la plage de ton DHCP 192.168.1. xx mais sur ma LB5 en 192.168.144.xx
Donc les règles de ton parefeu ne sont pas appliquées
Effectivement et dans ce cas là mes règles devraient plutôt refuser tout traffic invité SAUF dans le cas d’un VPN magique Orange via 443. À confirmer
-
mes règle devraient plutôt refuser tout traffic invité
Et à quoi servirait le wifi invité, si les invités ne peuvent pas surfer sur le web ? ;D
-
Et à quoi servirait le wifi invité, si les invités ne peuvent pas surfer sur le web ? ;D
À juste isoler 192.168.1.0/24
-
Pour ce qui est de remplacer la box par un son propre système, il y a des sections dédiées sur ce forum. Je vous suggère d'aller y demander si le RB5009 est apte à recevoir un module GPON négociant 2.5Gb/s côté routeur et non pas un seul Gb/s, si toutefois c'est la solution que vous envisagez.
Il y a quelques semaines, lorsque Mikrotik a commencé à déverrouiller 2500BASE-X sur certains éléments de sa gamme, le RB5009 n'en faisait pas partie.
Edit: 2.5BASE-X -> 2500BASE-X
-
À juste isoler 192.168.1.0/24
OK, donc isolé du réseau local et du web, si on tient compte de ta volonté
mes règles devraient plutôt refuser tout traffic invité
-
OK, donc isolé du réseau local et du web, si on tient compte de ta volonté
Je suis en situation de « debug » on va dire donc oui ça ne me dérange pas que mes règles refusent le réseau invité en sortie temporairement afin d’ajuster. Cependant le réseau invité traverse. Donc vpn Orange ou pas tel est la question. Si oui je devrais utiliser le réseau standard pour continuer car je ne souhaite pas de sortie sur le port 80.
-
Pour ce qui est de remplacer la box par un son propre système, il y a des sections dédiées sur ce forum. Je vous suggère d'aller y demander si le RB5009 est apte à recevoir un module GPON négociant 2.5Gb/s côté routeur et non pas un seul Gb/s, si toutefois c'est la solution que vous envisagez.
Il y a quelques semaines, lorsque Mikrotik a commencé à déverrouiller 2500BASE-X sur certains éléments de sa gamme, le RB5009 n'en faisait pas partie.
Edit: 2.5BASE-X -> 2500BASE-X
Ça marche j’ai vu qu’il y avait que quelques modèles concernant le giga manquant qui supporte HSGMII d’après ce que j’ai compris sur le post de @Gnubyte. Ce qui m’a fait bizarre dans la réponse de mikrotik c’est le fait qu’ils disent qu’ils ne supportent pas les modules passifs GPON tout court :/ mais on en reparlera là bas volontiers
-
J'ai beaucoup de mal à comprendre ta démarche.
Si tu veux maitriser, pourquoi choisir le wifi invité !
Regarde ton ip publique depuis le wifi invité et l'ip publique de ta box.
Passe le mac sur ton wifi !
-
J'ai beaucoup de mal à comprendre ta démarche.
Si tu veux maitriser, pourquoi choisir le wifi invité !
Regarde ton ip publique depuis le wifi invité et l'ip publique de ta box.
Passe le mac sur ton wifi !
Avant d’en arriver là il faudrait plutôt officialiser le comportement du réseau invité avec un officiel dans un premier temps.
-
Avant d’en arriver là il faudrait plutôt officialiser le comportement du réseau invité avec un officiel dans un premier temps.
A ta place, je couperai toutes mes liaisons radio, fibre, électricité, téléphone et même le gaz ;D 8)
-
A ta place, je couperai toutes mes liaisons radio, fibre, électricité, téléphone et même le gaz ;D 8)
No comment
-
Bah en vrai il n'a pas tort, pourquoi vouloir essayer de "brider" le wifi invité sachant qu'il est régit par des règles autres, que tu ne peux pas changer?
Si tu veux mettre TES règles, tu ne peux pas passer par le wifi invité...
[edit] et AMHA, vu la quantité de bugs sur les livebox, ce n'est pas la box qu'il faut pour sortir des sentiers battus[/edit]
Ensuite ce que je ne comprends pas, c'est pourquoi tant de craintes? Mauvaise aventure personnelle?
Dans tous les cas, ce n'est pas une offre GP qu'il te faut, c'est à minima une offre chez un opérateur "à bidouilles" (par exemple Milkywan), où tu pourras mettre le matos que tu veux, configuré comme tu veux.
-
Concernant la fibre, la commerciale m’a confirmé hier que c’était 2gbps dédiés. Alors comment vérifier ? (À la limite ça c’est secondaire)
Bonjour,
Il y a 2 offres 2Gbits chez Orange :
- Offre 2Gbits Partagés, c'est à dire que le débit de 2Gbits est à utiliser entre les 4 ports 1Gbits RJ45 de la box + wifi, l'offre vient avec une LiveBox 5
- Offre 2Gbits full/dédiés/exclusif/permanent/etc, les 2Gbits sont pleinement accessible depuis le port 2.5Gbits RJ45, l'offre vient avec une LiveBox 6
Comme précisé par buddy, le réseau Orange est construit en G-PON, c'est à dire qu'une fibre venant d'un OLT dans un PM accueille 2.5Gbits descendant, cette fibre peut être éclatée pour collecter 64 clients max, Orange fait arriver plusieurs de ces fibres dans un PM.
C'est construit de cette façon dans l'idée que l'ensemble de ces 64 clients tirent en réalité une faible bande passante descendante et que de temps en temps, 2-3 clients tirent la bourre pour leurs téléchargements et MAJ.
Concernant le souci de restauration en forçant le port 443 pour récupérer une version officielle, je suppute qu'Apple dans sa paranoïa a foutu un MD5 et un sha256 pour contrôler l'intégrité de ses fichiers téléchargés avant installation, surtout depuis ses propres outils de restauration (dans cas contraire, grosse faille et il faut prévenir le monde qu'Apple n'est pas sécurisé).
Information: le port 443 est utilisé pour le https, ce qui ne garanti pas que le fichier récupéré n'est pas vérolé, c'est juste l'échange entre le client et le serveur qui l'est ("sécurisé"), c'est comme un VPN, si tu vas sur un site XXX vérolé, tu l'as choppe quand même la vérole, tu as juste un tunnel qui rend "invisible" la navigation à ton FAI ;)
Il me semble qu'il est possible de créer une clé d'amorçage avec ce qu'il faut dessus depuis les serveurs d'Apple -> https://support.apple.com/fr-fr/HT201372
A voir ;)
-
Bah en vrai il n'a pas tort, pourquoi vouloir essayer de "brider" le wifi invité sachant qu'il est régit par des règles autres, que tu ne peux pas changer?
Si tu veux mettre TES règles, tu ne peux pas passer par le wifi invité...
[edit] et AMHA, vu la quantité de bugs sur les livebox, ce n'est pas la box qu'il faut pour sortir des sentiers battus[/edit]
Ensuite ce que je ne comprends pas, c'est pourquoi tant de craintes? Mauvaise aventure personnelle?
Dans tous les cas, ce n'est pas une offre GP qu'il te faut, c'est à minima une offre chez un opérateur "à bidouilles" (par exemple Milkywan), où tu pourras mettre le matos que tu veux, configuré comme tu veux.
Pardon ?!
-
Nouvelles,
Je suis allé en boutique demander un double du contrat, pas possible.
J’ai appelé le 3900, pas possible. Il me dit peut être par l’application Orange et moi.
Sur la ligne à mon beau père j’ai un avenant qui date de Mars.
Sur la ligne de ma mère liée à l’offre fibre et option sérénité (souscrit il y a moins d’un mois par téléphone) Il faut le demander par écrit.
Je demandé au conseiller Orange (3900) est-ce que le wifi invité passerait un vpn leur appartenant ? Il m’a répondu que ma question n’était pas bien formulée.
Je lui ai donc demandé est-ce que avec l’option sérénité (qui fournit 3 répéteurs pour la maison) vous faites passer le traffic invité sur un vpn à vous ? Il m’a répondu qu’il fallait lire le contrat.
Alors je suis allé sur votre site web et à aucun moment vous parlez de VPN.
Vous me prenez pour une chèvre c’est terrible ..
Il m’a tout de même félicité et nous avons bien rigolé en passant
-
Dans l’attente d’une précision et description commerciale officielle <3
-
Dans l’attente d’une précision et description commerciale officielle <3
OK ;D
(https://i.imgur.com/IFMxGa7.jpg)
-
C'est un détail technique qui n'a pas d'impact sur le fonctionnement. Aucune surprise qu'au support il ne sachent pas.
-
Bonjour,
Il y a 2 offres 2Gbits chez Orange :
- Offre 2Gbits Partagés, c'est à dire que le débit de 2Gbits est à utiliser entre les 4 ports 1Gbits RJ45 de la box + wifi, l'offre vient avec une LiveBox 5
- Offre 2Gbits full/dédiés/exclusif/permanent/etc, les 2Gbits sont pleinement accessible depuis le port 2.5Gbits RJ45, l'offre vient avec une LiveBox 6
Comme précisé par buddy, le réseau Orange est construit en G-PON, c'est à dire qu'une fibre venant d'un OLT dans un PM accueille 2.5Gbits descendant, cette fibre peut être éclatée pour collecter 64 clients max, Orange fait arriver plusieurs de ces fibres dans un PM.
C'est construit de cette façon dans l'idée que l'ensemble de ces 64 clients tirent en réalité une faible bande passante descendante et que de temps en temps, 2-3 clients tirent la bourre pour leurs téléchargements et MAJ.
Concernant le souci de restauration en forçant le port 443 pour récupérer une version officielle, je suppute qu'Apple dans sa paranoïa a foutu un MD5 et un sha256 pour contrôler l'intégrité de ses fichiers téléchargés avant installation, surtout depuis ses propres outils de restauration (dans cas contraire, grosse faille et il faut prévenir le monde qu'Apple n'est pas sécurisé).
Information: le port 443 est utilisé pour le https, ce qui ne garanti pas que le fichier récupéré n'est pas vérolé, c'est juste l'échange entre le client et le serveur qui l'est ("sécurisé"), c'est comme un VPN, si tu vas sur un site XXX vérolé, tu l'as choppe quand même la vérole, tu as juste un tunnel qui rend "invisible" la navigation à ton FAI ;)
Il me semble qu'il est possible de créer une clé d'amorçage avec ce qu'il faut dessus depuis les serveurs d'Apple -> https://support.apple.com/fr-fr/HT201372
A voir ;)
Oui je suppose aussi mais ce contrôle n’est valable que depuis l’implémentaient de puce du style T2 à mes yeux et encore dans une certaine limite. C’est à dire que dans un parc informatique d’entreprise comme sous Windows vous avez un serveur qui fournit les règles additionnelles sur os signé. Les additions (du style privateFramework pour Mac) restent possibles et non vérifiables en soi car chaque entreprise à ses propres restrictions et services/logiciels additionnels. Cependant le système de base reste OK aux yeux de la puce. (IMO)
En utilisant le port 443 tu garantis la source.
L’histoire du vpn sur le réseau invité ne tient pas debout confirmé par un honnête homme d’Orange. Ni dans l’open max, ni dans l’option sérénité qui inclue seulement les répéteurs wifi. C’est juste de la désinformation pour s’égarer. Si vous constatez ceci welcome to zombie nation.
Le problème des grands groupes c’est que c’est compliqué de mettre la main sur les nuisibles.
Je reste désespéré car je suis persuadé que le problème vient de l’intérieur..
Pour les futurs zombies vous pouvez dire merci au ignorants qui acquiescent le saint vpn et trouvent normal de traverser en 80 quand on le refuse.
HF
-
J’oubliais, sur un téléphone fraîchement formaté, abonnement Orange en partage de connexion, la première connexion et tentative de recovery fini toujours par échouer (certainement la tentative ssl). La deuxième fini sur une image bootable pleine de privateframework, connexion http cf netstat sur des ips non répertoriés par Apple en passant. Mais c’est un détail.
-
On pourrais avoir des captures où tu vois les privateFramework après téléchargement de l'image bootable ? ;)
Parce que si le logiciel de recovery officiel Apple va chercher des images sur des serveurs inconnus, là il y a déjà un sérieux problème de sécurité :-X
-
La signature des images de recovery date de bien avant la puce T2 et a effectivement été renforcée depuis son intégration dans les Macs.
L’installation d’images custom est évidemment possible (c’est indispensable en entreprise), mais en BOOTP, pas en mode recovery où toute image non officielle est rejetée.
Bref’ je pense qu’il y a beaucoup de parano ici, qui voudrait faire les efforts nécessaires pour pirater les macs d’une personne lambda… A moins que floflo soit membre d’un gouvernement, agence gouvernementale ou activiste quelconque…
Bref, bon courage au sav d’Orange, je m’arrête personnellement là.
-
Quand on est parano à ce point, on récupère et monte sa propre image vérifiée et certifiée localement hors ligne…
Sinon, j’ai sorti les popcorn
-
Quand on est parano à ce point, on récupère et monte sa propre image vérifiée et certifiée localement hors ligne…
Sinon, j’ai sorti les popcorn
Pour toi c’est être parano de préférer une restauration sur le 443 au lieu du 80 ? Sincèrement et honnêtement ?
C’est être parano de constater que ma livebox ne respecte pas ma préférence ?
-
En utilisant le port 443 tu garantis la source.
Par quel miracle ?
Vraie question :)
L’histoire du vpn sur le réseau invité ne tient pas debout confirmé par un honnête homme d’Orange. Ni dans l’open max, ni dans l’option sérénité qui inclue seulement les répéteurs wifi. C’est juste de la désinformation pour s’égarer. Si vous constatez ceci welcome to zombie nation.
J'ai l'impression que ce que tu cherches à faire est pollué par ce réseau invité que tu penses sécurisé par le firewall, sache qu'il n'en est rien, il est simplement placé dans une "sandbox réseau (locale)" pour sécuriser le réseau domestique de l'hôte -> fausse route/cul de sac.
En gros, du WiFi invité tu ne peux joindre le réseau 192.168.1.0 fourni par la box pour éviter d'accéder aux machines de ton hôte, le firewall joue aucun rôle la dedans puisqu'il agit que pour les IP 192.168.1.1->254
Je n'est plus de LiveBox sous la main mais le Firewall ressemble à ça :
(https://cdn.woopic.com/c10f167280f2414abb346a5347e1ecd9/prod/binaries/images/16670715-livebox-play-interface-configuration-avancee-configuration-pare-feu-regles-personnalisees-enregistrer_full-view-image.png)
Source image : https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/le-parametrage-du-firewall-de-votre-livebox/livebox-configurer-le-firewall-pour-votre-logiciel-de-messagerie_225280-767742#onglet2
Les IP ne sont même pas à remplir.
Tente un DENY sur 80 et un ACCEPT sur 443 et 53 et roule mais sur le wifi normal pas invité pour voir ;)
-
C’est être parano de constater que ma livebox ne respecte pas ma préférence ?
Quand comprendras-tu que ta préférence ne concerne pas le wifi invité ?
-
Pour toi c’est être parano de préférer une restauration sur le 443 au lieu du 80 ? Sincèrement et honnêtement ?
C’est être parano de constater que ma livebox ne respecte pas ma préférence ?
Et t’as pensé aux dns aussi? Parce que bon, fake un domaine et te faire télécharger une fausse image en 443 ça se fait aussi hein!
-
Par quel miracle ?
Vraie question :)
J'ai l'impression que ce que tu cherches à faire est pollué par ce réseau invité que tu penses sécurisé par le firewall, sache qu'il n'en est rien, il est simplement placé dans une "sandbox réseau (locale)" pour sécuriser le réseau domestique de l'hôte -> fausse route/cul de sac.
En gros, du WiFi invité tu ne peux joindre le réseau 192.168.1.0 fourni par la box pour éviter d'accéder aux machines de ton hôte, le firewall joue aucun rôle la dedans puisqu'il agit que pour les IP 192.168.1.1->254
Je n'est plus de LiveBox sous la main mais le Firewall ressemble à ça :
(https://cdn.woopic.com/c10f167280f2414abb346a5347e1ecd9/prod/binaries/images/16670715-livebox-play-interface-configuration-avancee-configuration-pare-feu-regles-personnalisees-enregistrer_full-view-image.png)
Source image : https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/le-parametrage-du-firewall-de-votre-livebox/livebox-configurer-le-firewall-pour-votre-logiciel-de-messagerie_225280-767742#onglet2
Les IP ne sont même pas à remplir.
Tente un DENY sur 80 et un ACCEPT sur 443 et 53 et roule mais sur le wifi normal pas invité pour voir ;)
Je vais faire ça demain du coup merci de suite la discussion est plus constructive qu’un vpn from orange ou se dire oublies le 80 ça change rien ..
-
Par contre en invité au moment où j’initie la connexion pour la restauration je cherche à comprendre pourquoi j’ai un second réseau wifi qui s’active nommé Livebox-xxxx-WPA3-TM.
-
Par quel miracle ?
Vraie question :)
J'ai l'impression que ce que tu cherches à faire est pollué par ce réseau invité que tu penses sécurisé par le firewall, sache qu'il n'en est rien, il est simplement placé dans une "sandbox réseau (locale)" pour sécuriser le réseau domestique de l'hôte -> fausse route/cul de sac.
En gros, du WiFi invité tu ne peux joindre le réseau 192.168.1.0 fourni par la box pour éviter d'accéder aux machines de ton hôte, le firewall joue aucun rôle la dedans puisqu'il agit que pour les IP 192.168.1.1->254
Je n'est plus de LiveBox sous la main mais le Firewall ressemble à ça :
(https://cdn.woopic.com/c10f167280f2414abb346a5347e1ecd9/prod/binaries/images/16670715-livebox-play-interface-configuration-avancee-configuration-pare-feu-regles-personnalisees-enregistrer_full-view-image.png)
Source image : https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/le-parametrage-du-firewall-de-votre-livebox/livebox-configurer-le-firewall-pour-votre-logiciel-de-messagerie_225280-767742#onglet2
Les IP ne sont même pas à remplir.
Tente un DENY sur 80 et un ACCEPT sur 443 et 53 et roule mais sur le wifi normal pas invité pour voir ;)
Pour finir d’après toi du coup on ne peut pas filtrer le réseau invité sur livebox ? C’est franchement pas sexy
Il y a 10 ans déjà on pouvait déjà appliquer des règles différentes sur différentes interfaces sur pfsense..
Si c’est vrai c’est horrible
-
Pour toi c’est être parano de préférer une restauration sur le 443 au lieu du 80 ? Sincèrement et honnêtement ?
Oui
C’est être parano de constater que ma livebox ne respecte pas ma préférence ?
Ça c’est sûrement un bug de la box, regarde dans la partie Actus Orange du forum les plaintes des gens sur cette box ;)
C’est un peu ce que j’ai dit page d’avant d’ailleurs (mais visiblement tu n’avais pas compris même si mon message était assez clair je pense)
-
Le wifi invité cela a déjà été dit doit être dans une zone distincte dont tu n’as pas la maîtrise… pour l’isoler du l’an utilisateur… déjà qu’on maîtrise pas grand chose sur une livebox…
c’est une zone et un 2e lan très certainement naté derrière ta propre box, sûrement pas dans un vpn orange, ça serait une usine à gaz totalement inutile pour tout le monde.
Sans aller au routeur de remplacement, si tu tiens à faire ça en wifi pourquoi ne pas simplement utiliser ton propre point d’accès pour gérer ton wifi et ses règles et non la box ? Je n’ai jamais utilisé les wifi des box…
-
Par contre en invité au moment où j’initie la connexion pour la restauration je cherche à comprendre pourquoi j’ai un second réseau wifi qui s’active nommé Livebox-xxxx-WPA3-TM.
Le TM c'est pour Transition Mode, ça doit être un automatisme quand il détecte un périphérique qui gère le WP3 pour sécuriser plus la connexion.
-
Pour finir d’après toi du coup on ne peut pas filtrer le réseau invité sur livebox ? C’est franchement pas sexy
Non, c'est exprès que c'est fait ainsi, c'est un wifi limité NATé sans possibilité de modification et le port 80 est forcément open :-X
Il y a 10 ans déjà on pouvait déjà appliquer des règles différentes sur différentes interfaces sur pfsense..
Si c’est vrai c’est horrible
Les LiveBox n'ont pas vocation à être des routeurs ultra configurables malheureusement :-\
C'est sensé être du plug&play et tu touches à rien :P
-
xD en 2022 on sait pas filtrer un réseau invité ok d’accord
-
xD en 2022 on sait pas filtrer un réseau invité ok d’accord
On n'éprouve pas le besoin....
-
Ne confond pas le réseau invité d’une box gp avec un réseau d’un hôtel où qq chose comme ça où là effectivement tu peux régler précisément ce qui y est autorisé ou non ;)