Auteur Sujet: Photos de la SFR Box 7 / Box Plus de SFR et copies d'écran de son interface web  (Lu 62266 fois)

0 Membres et 2 Invités sur ce sujet

Anonyme

  • Invité
Le firewall, cela me semble dans le cœur du rôle d'une box : C'est lié directement à l’accès à Internet. Bloquer les flux entrants IPv6 non sollicités (ce que fait le NAT en IPv4) c'est une fonction recommandé par l'ANSSI.
Les machines emportent un Firewall dans leur OS et c'est plus à ce niveau que cela devrait être implémenté.
A quoi cela sert de créer un espace d'adresses publiques et locales, si c'est pour les bloquer au niveau de la Box ?
Tu vois bien que Free alloue plusieurs /64 avec un linklocal (cela pose d'ailleurs des problèmes de configuration cf Questions posées sur le Forum).
Par ailleurs, je vois des routeurs grand public reprenant le même esprit V4 par NAT, et c'est vraiment l'esprit de ce pourquoi V6 avait des fonctionnalités complémentaires de V4, pour éliminer le NAT mais aujourd'hui en pire.
Tu reçois un /64 directement et derrière en V6 il translate, sans que tu puisses toucher à quoi que ce soit, ni 1:1 ou 1:N.
Si c'est pas bloquer les degrés de liberté des utilisateurs !!

testing5555

  • Abonné Bbox fibre
  • *
  • Messages: 546
  • Lyon 3 (69)
Les machines emportent un Firewall dans leur OS et c'est plus à ce niveau que cela devrait être implémenté.
Sur les PC je veux bien, sur le reste c'est plus compliqué.
Tu vas pas mettre un firewall dans chaque objet ayant du wifi chez toi (je n'ose même pas parler des ampoules connectées par ex).
C'est clairement plus logique de mettre le gros du filtrage à l'entrée du LAN (quitte à affiner sur certaines machines) plutôt que d'avoir du trafic non désiré jusqu'à la machine.
Il ne faut pas oublier non plus que beaucoup d'appareil grand public ne sont pas ou peu mis à jour ce qui niveau sécu est un risque.
Ton raisonnement semble trop orienté pro du réseau et loin de la réalité du GP.

vivien

  • Administrateur
  • *
  • Messages: 47 084
    • Twitter LaFibre.info
L'absence de firewall IPv6 est régulièrement la raison invoquée par des fabricants d'objet connecté pour ne pas prendre en charge IPv6. Les équipements connectés n'ont pas le CPU et les mises à jour régulières pour être directement sur internet. En IPv4 le NAT protège bien, il faut juste faire l'équivalent pour IPv6.

Orange / SFR / Bouygues : Flux IPv6 non sollicités filtrés par la box
Free : pas de filtrage par défaut (et le firewall proposé en IPv6 est non configurable : on / off)

Il y a déjà un sujet dédié à ça sur le forum.

Quelques résumés des différentes positions :

Vision de ceux qui refusent qu’un firewall IPv6 soit activé par défaut :
- C'est aux périphériques de se sécuriser.
- Avec les Privacy Extensions, la surface d'attaque est tellement énorme que je ne suis pas spécialement inquiet (un seul subnet en IPv6 c'est par défaut 64 bits soit 18 446 744 billion d’IP. Ca fait 4 milliards de fois tout l'espace d'adressage IPv4, pour un seul pauvre subnet /64).
- « IPv6 est naturellement plus sécure en raison de la taille de l'espace d'adressage. »
- « IPv6 en mode open bar n'apporte pas plus d'Insécurité»
- « si le fait de vouloir mettre un niveau de sécurité cote box est un chose louable, techniquement c'est un chose parfaitement inutile »
- « Je n'ai pas envie qu'on me protège de force. Si je veux mettre un firewall, c'est moi qui le met. »

Vision de ceux qui sont pour le firewall IPv6 soit activé par défaut :
- Pour offrir la même sécurité que le NAT, par défaut tous les ports entrants sont bloqués en IPv6 « statefull firewall ». Pour autoriser les flux entrants, il faut donc ouvrir un par un les port souhaités, comme si on était derrière un NAT, sur le firewall de la box.
- « Tu peux pas demander à M. tout le monde d'assumer lui-même sa sécurité »
- « On ne maîtrise pas tout sur son LAN... Imprimante, caméra, tv, console de jeu, smartphone... Le pc finalement c'est un élément minoritaire »
- « Les PC Windows qui partagent des fichiers en ouvrant tout parce que l'utilisateur n'a pas fait les bonnes manips sont fréquents et même si on ne peut 'deviner' leur IPv6, on peut facilement en récupérer par fishing via emails ou sites attrape pigeons. Les Privacy Extensions ont été conçues pour la 'privacy' pas pour la sécurité »
- « Je vois tout les jours des webcam laissées avec le mot de passe par défaut. Le fait que les IPv6 soient difficiles a trouver ou non permanentes est une illusion de sécurité et protection. »
- «  La serrure connectée de ton appartement ou ton imprimante , si elle récupère un IPv6 sans Firewall, elle sera directement exposée sur Internet et à la moindre faille, elle peut être contrôlée à distance. »


Même avis tranchés, pour les "zones safe" en entreprise, protégées par un firewall :

« La sécurité n'a aucun sens au niveau réseau "middlebox", seulement au niveau des terminaisons. Les zones 'safe‘ sont une catastrophe : il apparait qu'un élément étranger, parvenant à s'introduire, il prend le rôle de loup dans la bergerie: tout le monde étant à poil, il n'y a plus qu'à se servir. Il "suffit" qu'un type parviennent à abuser d'un défaut dans le réseau local (qui a parlé de wifi ?) ou qu'un PC se fasse trouer pour que l'exploitation soit totale »

vs

« si on suit cette logique les firewall d'entreprise n'ont aucun sens. Il faut juste blinder chaque poste de travail, serveurs, imprimantes, etc... ? »créer des zones 'safe' ou chaque équipement dans ces zones peut considérer qu'il n'a pas gérer lui-même la sécurité ou même le contrôle d'accès. Tant qu'on a pas un standard pour administrer de façon centraliser la sécurité embarqué dans chaque device du réseau on est un peu obligé d'avoir une centralisation dans un firewall en bordure, sinon c'est juste un cauchemar à gérer. Si j'ouvre un serveur web sur ma webcam, c'est que dans l'OS de ma webcam que je dois gérer les IP qui ont accès ? et si j'ai 10 webcam je dois passer sur les 10 pour faire la manip ? »


Deux citations de l'Anssi que j'ai bien aimé dans le groupe de travail sur le filtrage IPv6 :

Ne pas filtrer le trafic entrant non sollicité et demander aux périphériques de se sécuriser, c’est comme laisser la porte de chez soi ouverte avant de partir et de tout ranger dans des tiroirs fermés à clefs.

Expliquer on ne pourra pas retrouver le terminal du fait du grand nombre d’IPv6, c’est comme avoir de l’argent que l’on cache chez soi et faire le pari que le voleur ne trouvera pas la cachette. Si vous roulez à 130 Km/h dans une voiture connectée, vous préférez que l’attaquant ait peu de chance de trouver votre IPv6 ou que le firewall vous protège ?


Anonyme

  • Invité
Il sert à quoi le linklocal ?

vivien

  • Administrateur
  • *
  • Messages: 47 084
    • Twitter LaFibre.info
Mais comment fait l'équipement pour faire des mise à jour (en se connectant sur Internet) si il a une adresse Link-Local ?

L'idée est de filtrer uniquement le flux IPv6 entrant non sollicité (le premier paquet [syn] en TCP provient d'internet) tout en permettant à l'équipement de pouvoir échanger avec des serveurs sur Internet (le premier paquet [syn] en TCP provient du réseau local).

Exemple : Chez moi j'ai un thermostat connecté Netatmo pour contrôler ma chaudière gaz. Il n'a pas besoin d'avoir de flux entrant non sollicité, mais il a besoin de se connecter très régulièrement sur un serveur pour mettre à jour les informations sur la température et prendre des ordres de changements de température cible.

vocograme

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 151
Ne je vois pas le problème d'avoir un firewall activé par défaut (que ça soit en v4, v6 ou vX). Seulement et seulement si il est désactivable facilement par l'utilisateur (coucou Free). Je ne comprends pas que ça ne contente pas tout le monde :

- Mr et Mme tout le monde est protéger "à minima" du trafic entrant (Internet est rempli d'attaque automatisé visant les périphériques faiblement sécurisé, caméra et divers objets connectés)
- Les personnes qui savent ce qu'elles font on la possibilité via un très simple menu de désactiver totalement cette protection, et gérer la sécurité où bon lui semble (avec un firewall derrière ou au niveau des périphériques)

Ne pas vouloir cette protection par défaut, c'est s'enlever une simple étape en plus (celle de désactiver le firewall) en échange d'exposer des centaines de milliers de Mr et Mme tout le monde, je ne comprends vraiment pas ce point de vu. Qu'y a t-il de si dérangeant pour vous ?

vivien

  • Administrateur
  • *
  • Messages: 47 084
    • Twitter LaFibre.info
En IPv4 pas besoin de firewall : le NAT fait le travail : si un flux entrant non sollicité arrive il est jeté, car le NAT ne sais pas à quel PC le transférer (sauf quand il y a une règle rajoutée).

En IPv6 on a un seul équipement derrière une IPv6, contrairement à l'IPv4 qui est partagée par un foyer via le NAT de la box. Il faut donc, pour avoir une protection de base similaire au NAT en IPv4, avoir un firewall qui bloque les flux IPv6 entrants non sollicités.

Anonyme

  • Invité
Mais comment fait l'équipement pour faire des mise à jour (en se connectant sur Internet) si il a une adresse Link-Local ?

L'idée est de filtrer uniquement le flux IPv6 entrant non sollicité (le premier paquet [syn] en TCP provient d'internet) tout en permettant à l'équipement de pouvoir échanger avec des serveurs sur Internet (le premier paquet [syn] en TCP provient du réseau local).

Exemple : Chez moi j'ai un thermostat connecté Netatmo pour contrôler ma chaudière gaz. Il n'a pas besoin d'avoir de flux entrant non sollicité, mais il a besoin de se connecter très régulièrement sur un serveur pour mettre à jour les informations sur la température et prendre des ordres de changements de température cible.
Il y a une contradiction, mais je comprends :)
Je comprends parfaitement, que on n'ai pas envie que une requête extérieure, vienne piloter ton "objet connecté".

Et donc ton équipement a une adresse publique, ou un linklocal ? Il a un bind sur un service local, ou fait appel à un bind sur un serveur ?
Je comprends le postulat, le grand public, ne saura pas se protéger seul, parce qu'il n'y connait rien.
Un Smart-phone, cela se passe comment ?

En IPv4 pas besoin de firewall : le NAT fait le travail : si un flux entrant non sollicité arrive il est jeté, car le NAT ne sais pas à quel PC le transférer (sauf quand il y a une règle rajoutée).

En IPv6 on a un seul équipement derrière une IPv6, contrairement à l'IPv4 qui est partagée par un foyer via le NAT de la box. Il faut donc, pour avoir une protection de base similaire au NAT en IPv4, avoir un firewall qui bloque les flux IPv6 entrants non sollicités.
Cela implique que ce sera toujours nécessaire au niveau du Device, et pas globalement au Niveau de la Box.

miky

  • Abonné FAI autre
  • *
  • Messages: 10
Personnellement, je ne vois pas l’intérêt de laisser des paquets non désirés entrer a l’intérieur du réseau. Les bloquer en edge me parait bien plus logique, que ce soit pour des raisons de perf ou de sécu, et ce pour du GP ou du pro/entreprise. Quel intérêt a ne pas filtrer en edge?

Anonyme

  • Invité
Personnellement, je ne vois pas l’intérêt de laisser des paquets non désirés entrer a l’intérieur du réseau. Les bloquer en edge me parait bien plus logique, que ce soit pour des raisons de perf ou de sécu, et ce pour du GP ou du pro/entreprise. Quel intérêt a ne pas filtrer en edge?
Peut-être parce que l'opérateur filtre déjà tous les "Bogons" sur son réseau comme opérateur ?
Et que du reste c'est du ressort de l'utilisateur d'accepter ou pas le reste du trafic et non de la responsabilité de l'opérateur ?

Parce que ensuite, cela touche à la Neutralité du Net ?

miky

  • Abonné FAI autre
  • *
  • Messages: 10
Ah mais on est d'accord, filtrage edge coté utilisateur, pas coté opérateur. Donc FW débrayable ou modifiable sur la box, c'est très bien. Bien mieux que pas de FW sur la box par défaut :)

vocograme

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 151
Peut-être parce que l'opérateur filtre déjà tous les "Bogons" sur son réseau comme opérateur ?
Et que du reste c'est du ressort de l'utilisateur d'accepter ou pas le reste du trafic et non de la responsabilité de l'opérateur ?

Parce que ensuite, cela touche à la Neutralité du Net ?

Je ne vois pas de problème qu'un firewall soit mis à disposition de l'utilisateur, par le biais des box opérateurs. Pour moi il n'y a pas de problème tant que :

- C'est totalement désactivable
- La désactivation est simple et accessible

EDIT : Cela ne remet évidement pas en cause le modèle de sécurité, nous ne sommes pas en train de dire que de délégué complètement la sécurité à un firewall de bordure est une bonne chose, mais cumuler les deux n'est pas un problème en soit, tant que le firewall est désactivable