Auteur Sujet: Votre Livebox dans Docker (Lu 3313 fois)

zoc · « **Réponse #36 le:** **Aujourd'hui** à 15:07:12 »

Bah comme tout routeur sous Linux en fait (donc 90% des routeurs GP et semipro). S'il y a une faille noyau exploitable en remote, docker ou pas la faille est là.

Orefie · « **Réponse #37 le:** **Aujourd'hui** à 15:39:08 »

Non, quand je parle de faille, c'est au sens général, pas du noyau.
Un OS de routeur à une politique du "tout fermé", la c'est plutôt "tout ouvert"
La moindre erreur de configuration et c'est open bar.
Aussi bien sur l’hôte que sur le docker, vu qu'ils sont imbriqués, qu'il n'y a pas d'isolation et que docker à des privilèges .
Et niveau configuration cette option doit être plutôt complexe car il faut penser à toutes les éventualités.

Paul · « **Réponse #38 le:** **Aujourd'hui** à 18:16:23 »

On peut tout à fait faire faire un refus implicite à iptables et à nftables. À moins que ça n'ait changé et sur les distributions que je connais, la stratégie de base des chaînes INPUT et FORWARD est sur ACCEPT. Et en effet, je trouverais pertinent de la mettre sur DROP pour imiter une box opérateur, pour ne garder autorisées que les connexions établies ou liées. Ainsi, plus de problèmes de vulnérabilité de noyau en tapant directement sur le routeur. Il peut toujours y avoir une exploitation depuis une machine du LAN ou un moyen détourné mais ça réduit déjà la surface d'attaque.

nftables remplaçant iptables, ça pourrait être une amélioration de n'utiliser que le premier à l'avenir.

Fyr · « **Réponse #39 le:** **Aujourd'hui** à 20:54:29 »

Citation de: Orefie le Aujourd'hui à 11:13:17

[...]
pour ce que je comprend, vous êtes en frontale sur internet, sans le pare feu de la livebox, (même si je ne sais pas ce qu'il fait).
[...]

En fait ça change rien. Une livebox a deux fonctions majeures :
1 - router les paquets de ta famille vers Internet et le trafic réciproque (le camionneur)
2 - filtrer et lessiver les paquets entrants et sortant (la concierge)
3 - des bricoles comme la téloche et le téléphone. On en parlera pas c'est juste des applications au dessus des 2 autres fonctions primaires.

Le docker proposé réalise les même fonctions principales.

Que ce soit une livebox ou un docker : y a un système d'exploitation pour lancer les applications de routage ou de lessivage. De base un Unix c'est une brique. Tu peux le mettre dans l'acideˆw sur Internet il ne se passe rien. Faut des drivers, ouvrir des choses, écouter sur une carte réseau, monter les paquets dans la pile IP, laver les paquets dans la lessiveuse, you put it in the water, you wash it you wash it, you rince, Hm it smells like a flower YOU PUT IT in the water si ça smell pas bon pour le noyer pour de bon.

Et corollaire : on peut parfaitement remplacer la livebox par n'importe quel bousin qui fait la même chose et parle de façon compréhensible à Orange et Internet.

Citation de: Orefie le Aujourd'hui à 15:39:08

Non, quand je parle de faille, c'est au sens général, pas du noyau.
Un OS de routeur à une politique du "tout fermé", la c'est plutôt "tout ouvert"
[...]

L'OS a zéro politique c'est la pile IP -augmentée- d'une application de lavage de paquet qui le permet (nftable, ipfw, pf...). Par defaut la pile IP y a rien qui écoute sur le port bah c'est une brique elle répond sauf contre ordre un ICMP port unreach.

Après pour aller dans le docker faut quand même traverser l'OS + les drivers et la pile IP de l'hôte et oui si y a une vulnérabilité bah bobo au popotin. Juste que ça sera un vlan ou une interface réseau dédiée qui rentrera dans le docker. Oui l'hôte a son propre firewall/filtrage aussi. Et c'est des portions de code tellement utilisée et déboqguée... qu 'on est plus à l'âge de faire tomber des ciscos avec un ping de la mort.

On sait deja que la livebox embarque des gros morceaux de Linux, comme d'autres box de FAI. On a vu au début du conflit en Ukraine une attaque qui a briqué des box satellites. Effectivement tout reste possible en terme de sécu.

TheHecateII · « **Réponse #40 le:** **Aujourd'hui** à 22:27:48 »

Bonsoir

Effectivement, comme l'indique @Fyr, par défaut un port sans écoute derrière est droppé, donc pas trop trop de souci à ce niveau.
Pour ce qui est de la sécurité, c'est à l'utilisateur de faire le nécessaire (De la même manière que l'on configure un VPS finalement )
Par défaut, on voulait une version Linux pour pouvoir tout custom nous-mêmes et développer nos propres solutions, puis on a dérapé sur Docker.

Là où une solution type PfSense/OPNsense vient packagée avec un Web GUI, ici la philosophie c'est vraiment "Less is more".
En revanche, si vous avez des idées de solutions à intégrer, on est preneurs ^^ Perso j'essaye d'intégrer la TV out-of-box car ça fonctionne en réalité faut juste automatiser le setup d'IGMP Proxy (Pas comme certain l'ont avancer )

@Orefie

Citer

Je suis sur que les auteurs y ont déjà pensé d’où ma question.

Effectivement on y a penser

On hésite à push automatiquement un fail2ban ect... quand tu lance le container

Retenez bien un truc, Docker sert juste à executer comme un bon esclave toutes les commande ip/nftables, Il n'y a que le DHCP qui est instancier dans le container le reste c'est propre à l'hôte.
(En gros, ça vous permet de ne pas avoir à compiler/install 1 par 1 les différents packages nécessaires, si vous voulez cloner les scripts et lancer le .sh maître ça marchera pareil hahaha)