Auteur Sujet: Livebox virtuel  (Lu 8518 fois)

0 Membres et 1 Invité sur ce sujet

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Livebox virtuel
« Réponse #24 le: 13 juin 2017 à 22:20:43 »
Avec IPv6, les capacités de traitement de paquets des box vont tendre à diminuer (à débit égal cela dit) : Plus de translation d'adresses, plus de translation de ports, plus de table de conntrack.
Si on veut toujours un firewall qui bloque les connexions entrantes par défaut, il faut toujours une table de conntrack.

Par ailleurs, dans la livebox routeur actuelle on trouve déjà des éléments de ce type, notamment https://www.opendaylight.org/ (y'a des fichiers qui référencent NEMO et ODL dans la livebox).
Rien à voir  :D
Ce sont des éléments SoftAtHome : NeMo est un des composants chargés de la gestion du réseau, et les odl sont des fichiers de description et/ou configuration du datamodel (cf https://github.com/rene-d/sysbus pour voir quelqu'un qui a regardé ce qui était accessible via les webservices utilisés par les pages web de configuration).

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 425
  • Lyon (69) / St-Bernard (01)
    • Twitter
Livebox virtuel
« Réponse #25 le: 13 juin 2017 à 22:27:42 »
Si on veut toujours un firewall qui bloque les connexions entrantes par défaut, il faut toujours une table de conntrack.

Non, tu peux faire un firewall stateless sans conntrack ;-) : https://strongarm.io/blog/linux-stateless-firewall/

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Livebox virtuel
« Réponse #26 le: 13 juin 2017 à 23:20:01 »
Non, tu peux faire un firewall stateless sans conntrack ;-) : https://strongarm.io/blog/linux-stateless-firewall/
Cette technique fonctionne pour le TCP, mais ce n'est pas 100% équivalent, on laisse potentiellement passer des paquets entrants indésirables (qui sont éliminés par la pile TCP de la machine qui les reçoit, mais attention au wake on lan intempestif).
Je vois mal comment l'appliquer à l'UDP, sauf comme dans l'exemple en restreignant les usages : même si on autorise le DNS (port source 53), QUICK (ports source 80/443), il y a par exemple le WebRTC qui utilise des ports dynamiques.

dmfr

  • Abonné Orange adsl
  • *
  • Messages: 275
Livebox virtuel
« Réponse #27 le: 14 juin 2017 à 02:46:47 »
...et si Orange a abandonné le PPP qui reposait un petit peu là dessus, y'a p-e des raisons liées à ça (j'en ai aucune idée, mais une infra DHCP me semble plus simple)

D'autant plus que vu l'ampleur de la migration récente vers DHCP, ce serait étonnant de se relancer aussitôt dans un tel "bond en avant" !

Techniquement c'est surement faisable, économiquement (économies hardware vs dépenses SI) c'est déjà moins clair.
Au passage il faudra alors séparer totalement l'infra Orange Pro.

Et ensuite quel est le bénéfice concret en terme "d'expérience" ?
Chez l'utilisateur lambda la box remplit bien sa fonction, chez le technophile on veut garder la main sur le routage.
Quant à imaginer une sorte de VPN permanent entre le/les mobiles (orange 3/4G) et le domicile (fibré) du titulaire, pourquoi pas, mais plus vraiment d'intérêt si tout les services sont désormais dans le cloud.

Bref, peu réaliste à court terme je pense, pas très utile non plus.

letsar

  • Abonné Orange vdsl
  • *
  • Messages: 579
  • Ille-et-Vilaine - Accès à la fibre en 2023 - 2030
Livebox virtuel
« Réponse #28 le: 14 juin 2017 à 06:55:22 »
Cela va peut-être pouvoir apporter des précisions.

" Le plan d'Orange pour « virtualiser » sa Livebox

Avec la virtualisation de la Livebox, Orange souhaite proposer plus de fonctionnalités à ses clients : magnétoscope numérique en ligne, contrôle parental, pare-feu plus performant, service client renforcé, etc. Reste maintenant à savoir qui pourra en profiter, quand et dans quelles conditions.

Lors de son dernier Show Hello (voir notre compte rendu), Stéphane Richard annonçait la « virtualisation de la box ». Ce service permet, selon les mots de l'opérateur, de « déplacer l’intelligence logicielle et la capacité de calcul de la Livebox vers des serveurs distants dans le réseau d’Orange ». Une annonce floue qui peut correspondre à tout... ou rien.

Nous avons donc contacté le FAI afin d'avoir de plus amples informations. Thibault de la Fresnaye, responsable innovation chez Orange, répond à nos questions.

Cette « virtualisation » qui aurait pu (dû ?) s'appeler Family VPN

Plus que de la virtualisation, le mot juste pour définir cette nouveauté d'Orange serait un VPN (réseau privé virtuel). D'ailleurs, notre interlocuteur nous explique qu'il était pendant un temps question de « Family VPN » pour nommer ce service. Une appellation qui aurait été plus logique comme nous allons le voir, mais certainement jugée moins frappante par les équipes marketing.

L'opérateur n'en est pas à son coup d'essai puisqu'il déjà transformé le Wi-Fi 802.11ac en « Super Wi-Fi ». Thibault de la Fresnaye nous donne sa vision de la virtualisation de la box : « effectuer dans le réseau des fonctions qui sont actuellement, ou qui seraient dans un avenir marketing, effectués à la maison. Le travail est déplacé depuis les différentes box vers nos serveurs ». Dans la pratique, « tout ce qui sera vu par la Livebox pourra être touché, modifié et calibré depuis le réseau, terminal par terminal, à partir du moment où ils sont connectés à la Livebox ».

Il ajoute que « c'est exactement la logique du VPN qu'on décline [...] Sur la Livebox, on effectue un pont (bridge) qui fait que le routage est réalisé dans le réseau d'Orange ».

Connectez-vous à distance à votre réseau local, laissez le service client y accéder

De votre côté, vous pouvez donc utiliser cette « virtualisation », ou plutôt ce VPN, pour vous connecter à distance à votre réseau local (en passant par les serveurs d'Orange évidemment). Pour rappel, cela n'a rien de nouveau : certains NAS et le boîtier Server des Freebox Révolution et mini 4K intègrent nativement un serveur VPN.

Pouvoir se connecter à distance à votre réseau local représente un avantage certain pour le service client qui, avec accord de l'utilisateur, peut avoir une vision de votre installation « beaucoup plus fine et à l'intérieur de la maison, derrière la Livebox ». Les diagnostics devraient ainsi s'en trouver facilités.

Vous pouvez également utiliser ce VPN pour vous connecter au réseau local d'un de vos contacts ou d'un membre de votre famille afin de l'aider à le configurer, transférer des fichiers, ou lancer des vidéos directement sur sa TV, comme si vous étiez chez lui via son réseau Wi-Fi. Pour les professionnels, c'est la gestion des sites multiples qui est simplifiée.

Interrogé sur la question de la sécurité de la connexion et la confidentialité des données, Orange nous précise simplement que le but est d'arriver au même niveau qu'un VPN d'entreprise, mais sans nous en dire d'avantage pour l'instant.

De nombreuses possibilités, vers une place de marché pour services tiers


Pour le FAI, les domaines d'application sont vastes, aussi bien pour le grand public que les professionnels. Pêle-mêle, Orange évoque la mise en place d'un contrôle parental géré depuis ses serveurs, de déployer un antivirus terminal par terminal, de gérer une maison connectée à distance, etc.

Il est aussi question de lancer des jeux avec un GPU dans le cloud, une tendance forte en ce moment sous l'impulsion de services comme GeForce Now de NVIDIA. Pour les professionnels, il est également question d'un commutateur téléphonique privé (PABX) directement hébergé sur les serveurs de l'opérateur.

La virtualisation promet une grande flexibilité : « des actions qu'on faisait à la marge et avec beaucoup de précautions dans la Livebox, car c'est lourd et pas forcèment sécurisé, pourront se faire directement dans le réseau d'Orange ». Ainsi, déployer un service supplèmentaire ne nécessitera plus de passer par une mise à jour du firmware.

Thibault de la Fresnaye nous affirme qu'une ouverture aux services tiers est prévue, et qu'il s'agirait d'un point « important ». Avec la virtualisation, il y a en effet la possibilité d'ouvrir un marketplace, qui pourrait s'appeler le LiveboxStore : « On offrira à des partenaires, de façon sécurisée et agile, tout d'un coup, un parc de clients qui est a minima notre parc Livebox » affirme notre interlocuteur.

Des offres d'essai gratuites seront proposées pour certains services payants. Pour la société, le bénéfice pourrait donc être financier, en prélevant un pourcentage sur les ventes de ses partenaires.

Avec le NPVR, enregistrez vos programmes sur les serveurs d'Orange

Dans tous les cas, la star de la virtualisation pour les équipes marketing est pour le moment le magnétoscope numérique en ligne, ou NPVR (Network Personnal Video Recorder). Au lieu d'être intégré au décodeur multimédia chez le client, il s'agit d'une application : lorsque vous enregistrez un programme, celui-ci n'est plus stocké sur le disque dur de la box, mais sur les serveurs d'Orange.

Une manière de faire qui n'est pas sans rappeler ce que propose déjà Molotov, par exemple. Si la société nous indique regarder de près ce service, dont le fonctionnement est jugé « extrêmement intéressant », elle affirme n'avoir « aucune relation avec eux ».

Avec le NPVR, il sera possible de programmer un enregistrement à distance, même avec sa Livebox éteinte. Autre avantage : on peut « théoriquement » sauvegarder autant de chaines que l'on souhaite en simultané, sans être limité par le débit de sa ligne. Les programmes doivent ensuite être accessibles partout, dans les limites légales évidemment.

Ce service est déjà en place en Roumanie, avant une extension en Espagne puis en France d'ici la fin de l'année, d'abord sous la forme d'un test. Dans l'Hexagone, cette fonctionnalité soulève une question : quid de la redevance copie privée et du barème qui sera appliqué ?

La solution technique fonctionne, reste à définir le cadre législatif

Si la situation en Roumanie et en Espagne est relativement simple, ce n'est pas le cas chez nous puisqu'il faut passer par « des négociations avec les chaines ». La loi Création demande en effet au distributeur qui ouvre un NPVR de passer une convention avec les éditeurs des services de télévision afin de définir les fonctionnalités de ce service de stockage, essentiellement sur la protection des flux et fichiers stockés.

Orange se refuse à faire le moindre pronostic, les discussions étant toujours en cours. Quant à savoir qui de l'opérateur ou du client supportera le coût de cette redevance, cela dépendra des cas : « Il faut qu'on s'y retrouve entre ce que l'on paye aujourd'hui comme disque dur chez les clients, la redevance copie privée qui va avec, l'abonnement intégré dans les offres premium qui prévoient la fonction de NPVR et les économies qu'on peut faire en basculant cette fonction dans le réseau ».

Bref, l'opérateur attend d'avoir toutes les cartes en mains avant de décider de son modèle économique et de la quantité de stockage qui sera proposé à ses clients. L’ensemble de ces opérations est tributaire des avancées réalisées en Commission copie privée. Celle-ci ébauche actuellement le barème provisoire des NPVR valable pour un an. Suivra ensuite un barème définitif, déterminé selon des études d’usages à venir.

Quels sont les délais de mise en place ? Quelles Livebox sont compatibles ?

Dans tous les cas, Orange nous explique que la mise en place de la virtualisation et des services qui vont avec ne sera pas un big bang. Progressivement, certaines fonctionnalités des box seront rapatriées sur les serveurs du FAI, en commençant par un public très ciblé, avant de monter en puissance. Des expérimentations ont d'ores et déjà commencé et elles devraient se renforcer au cours de l'année.

« À partir de mi-2018, on pourrait commencer pour certaines cibles à offrir quelques services clés, en particulier tout ce qui touche au service client », nous affirme Thibault de la Fresnaye. Les fonctionnalités proposées dépendront des choix de chacun des pays où Orange est présent, et rien ne semble arrêté pour le moment.

Le déploiement pourra se faire directement sur les Livebox 4 actuellement en service. Elles sont nativement compatibles avec la virtualisation selon Orange. Si cette box est sa priorité, le FAI ne laisse pas complètement de côté la Play (3e génération). Notre interlocuteur espère que la virtualisation pourra fonctionner dessus, au moins pour le service client.

Quant à savoir quelles offres (Zen, Play, Jet, Open) pourront en profiter et ce qu'il en sera pour les clients Sosh, ce sera aux équipes marketing de trancher le moment venu. Probablement pas avant l'année prochaine.

Les Livebox vont-elles disparaitre avec la virtualisation ?

Bien évidemment, les Livebox ne vont pas complètement disparaitre : il faudra toujours assurer une connexion avec les serveurs d'Orange, proposer du Wi-Fi dans la maison, du DECT pour la téléphonie, une prise USB pour brancher une clé ou un disque dur, etc. La partie modem évoluera certainement, mais « la Livebox restera ».

Même chose pour le décodeur TV (boîtier multimédia) : « Il y a un certain nombre de services qu'il faudra continuer d'assurer, en fonction des négociations avec les ayants droit, au plus près du client. Pour tout ce qui est transcodage, 4K et haute définition, ça serait compliqué et cher de le faire dans le réseau ». Les prochaines générations de box seront pensées pour la virtualisation et devraient donc intégrer une partie matérielle adaptée en conséquence.

La présentation de la Clé TV v2 durant le Show Hello n'est d'ailleurs pas anodine. En effet, celle-ci a été construite dans l'optique d'être un des instruments de la virtualisation : elle est pensée « pour des usages plus délinéarisés et un accès au flux Internet ». Elle sera disponible à la fin de l'année, une période qui correspond aux premières expérimentations du NPVR, selon le planning d'Orange. "


Le lien de l'article : https://www.nextinpact.com/news/104190-le-plan-dorange-pour-virtualiser-sa-livebox.htm

jeremyp3

  • Abonné Orange Fibre
  • *
  • Messages: 716
  • Pau (64)
Livebox virtuel
« Réponse #29 le: 14 juin 2017 à 08:47:18 »
salut,

même lien que la réponse #10 :)

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Livebox virtuel
« Réponse #30 le: 14 juin 2017 à 21:40:53 »
Rien à voir  :D
Ce sont des éléments SoftAtHome : NeMo est un des composants chargés de la gestion du réseau, et les odl sont des fichiers de description et/ou configuration du datamodel (cf https://github.com/rene-d/sysbus pour voir quelqu'un qui a regardé ce qui était accessible via les webservices utilisés par les pages web de configuration).

Ah bien vu. Marrant quand même la similarité des noms. J'accordais trop d'avance technique a la Livebox ;) c'est un peu décevant tout ca

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Livebox virtuel
« Réponse #31 le: 14 juin 2017 à 21:50:21 »
Non, tu peux faire un firewall stateless sans conntrack ;-) : https://strongarm.io/blog/linux-stateless-firewall/

pas mal ça, je ne connaissais pas l'idée d'exploiter le SYN.

Par contre cela veut dire qu'on peut "crafter" des paquets spécifiques pour 'percer' ce stateless firewall ?

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 425
  • Lyon (69) / St-Bernard (01)
    • Twitter
Livebox virtuel
« Réponse #32 le: 15 juin 2017 à 00:23:42 »
J'imagine que oui :/

On utilise ça au boulot, conntrack est un gouffre à performances quand tu dépasse un certain trafic !

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Livebox virtuel
« Réponse #33 le: 15 juin 2017 à 01:02:25 »
Normalement le firewall ou au pire la pile TCP de la machine de destination va les ignorer, puisqu'ils ne correspondront à aucune connexion TCP connue.
Ça ouvre la voie à quelques "attaques" :
 - profiter d’éventuelles failles dans la pile TCP pour faire au moins du DoS
 - une surconsommation des téléphones / tablettes connectés au wifi, qui pourraient être la cible d'un flux régulier de paquets IPv6 (y compris vers l'adresse temporaire)
 - potentiellement du réveil WoL (à voir si en TCP ça passe) surtout qu'une machine qui n'aurait pas les privacy extensions d'activées va exposer son adresse MAC via l'IPv6