Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

oui, tout à fait, d’accord, ne parlons même pas des IP HADPOPI.

oui, tout à fait d’accord aussi

Quelle interface pour ajouter les IP au filtre?

+1
Super important !!!!

+1

+1

Et pour ceux dont l’IP n’est pas dans la liste, vous faites quoi?

C’est un gadget.

Pour éviter de trop se faire repérer, un petit truc à faire est de désactiver la réponse au ping...
Ca permet de passer (un peu) au travers de scans peu scrupuleux...

On va tout de même pas demander à Free de tenir à jour un base dynamiques contenant les addresses des serveurs TMG et capable de mettre à jour les IP tables dynamiquement quand même .... quoique ))

La seedbox intégrée n’est pas une mauvaise idée en soi mais inutilisable en france. Rien de vaut une bonne seedbox hébergée dans un autre pays (avec du débit) et un bon vieux tunnel IPSec pour causer avec ...))

C’est clair mais ce que tu dis a un coût et cette “fonction” seedbox n’est qu’une version édulcorée à n’utiliser qu’à ses risques et périls (qui a dit Hadopi???) Pour ma part, cette fonction m’aurait intéressée si on avait eu la possibilité de pointer vers un autre endroit sur le réseau pour les téléchargements:
- 250 Go de stockage sont clairement insuffisants pour peu que l’on soit un peu au taquet niveau download ⇒ pointer vers un NAS ou une autre machine du réseau aurait été un bon plan000
- C’est de la place en moins pour les enregistrements TV....et ça peut aller très vite si on enregistre pas mal la TV

J’ai un NAS perso sur mon réseau mais qui ne sait pas gérer le protocole BTorrent (Thecus N5200) et j’aurais aimer pouvoir faire monter ce chemin dans la Seedbox de la V6...

Pour éviter de trop se faire repérer, un petit truc à faire est de désactiver la réponse au ping...

Ça évite effectivement d’être scanné par ceux qui tiennent à avoir la réponse à un ping normal (echo-request/echo-reply) avant d’aller plus avant.

Mais :
- il y a plein de méthodes de “ping” : ICMP, TCP, UDP... n’importe quoi qui provoque une réaction de la cible
- si tout le monde se met à désactiver le ping, alors plus personne ne fera un ping avant un scan de ports

De toute façon, quelqu’un qui veut scanner n’est en rien obligé de commencer par faire un ping, normal ou autre.

L’important, c’est de ne pas avoir de services vulnérables, pas d’éviter le scan de ports.

Il ne faut pas se faire trop d’illusions sur l’utilité de la désactivation du ping!

+1 ;)

Date d’échéance Non décidé
Pourcentage effectué 0%

C’est pas pour demain la veille je pense ...

@ beaverois
Plutôt que d’attendre cette fonction très peu utile, tu devrais te débrouiller pour ne pas en avoir besoin.

En effet , il est toujours possible d’ajouter un vrai routeur entre la freebox et son réseau domestique interne ..... enfin disons que ce sera possible quand free ajoutera la possibilité d’ajouter des routes statiques sur la freebox afin de pouvoir router en interne )))

@ ccambon
À défaut d’un routeur, tu peux pas mettre un NAT-routeur (en DMZ éventuellement)?

@ccambon Je ne demande pas qu’ils maintiennent à jour la liste des serveurs TMG, mais juste de pouvoir bannir des IP (c’est pas forcément contre Hadopi)

@ N0n0
Des attaques peuvent venir de n’importe quel PC recruté par un botnet, c’est à dire de n’importe où.

La plupart des FAI attribuent des adresses IP dynamiques, donc un gêneur va pouvoir revenir avec une nouvelle IP; parfois, il suffit de rebooter la box pour changer d’IP.

Ma conclusion : la blacklist d’adresses IP est une perte de temps (comme presque toutes les blacklist en fait).

Il faut accepter de se faire bombarder par une ou des IP, et avoir des logiciels qui ne se DoS pas eux-même quand c’est le cas. (Générer une entrée de log par “attaque” détectée, c’est un self-DOS.)

@corrector Quelle vision étroite tu as!!!

Pour ton info, il est tout à fait possible de laisser sur un de tes serveurs/PC derrière la freebox un port ouvert qui déclenche en cas de scan (N’importe quelle méthode) dessus un script qui viens bannir l’IP en question. Il s’agit dans ce cas d’un action préventive car parfois les patchs mettent un peu de temps à arriver.

Autre cas classique un attaquant qui tente un brute force ssh, puis HTTP, etc ...

Autre cas, bannir les robots type google, ou d’autre qui récupèrent des statistiques sur les services ouverts et qui sont connus.

Autre cas, je suis un simple péquin moyen qui n’utilise aucun soft qui agit comme un serveur, mais qui a besoin d’avoir un logiciel de prise à distance pour que quelqu’un puisse l’aider en cas de problème. Exemple typique le PC de tes grand-parents. Tu bannis les connections entrantes à l’exception de celles provenant de ton adresse IP. Merci Free pour l’IP statique.

Tu as besoin d’autres cas ou ça te suffit?

Et quand à ton assomption :
“Il faut accepter de se faire bombarder par une ou des IP, et avoir des logiciels qui ne se DoS pas eux-même quand c’est le cas. (Générer une entrée de log par “attaque” détectée, c’est un self-DOS.)” Je te réponds que non, car en plus de t’embêter ça te bouffe aussi des ressources sur ton routeur, et même si tu n’as pas de soft sensible aux DoS, tes perfs réseau peuvent en être grandement affaiblies!

@corrector Quelle vision étroite tu as!!!

J’essaie de tout envisager. Mais je ne retiens que les solution de “sécurisation” qui sont réellement utilisables en pratique et fiables.

Pour ton info, il est tout à fait possible de laisser sur un de tes serveurs/PC derrière la freebox un port ouvert qui déclenche en cas de scan (N’importe quelle méthode) dessus un script qui viens bannir l’IP en question.

Bien sûr, à condition de détecter le scan.

Est-ce que tu peux détecter un scan hyper-lent?

Il s’agit dans ce cas d’un action préventive car parfois les patchs mettent un peu de temps à arriver.

C’est pour cela qu’il faut limiter la “surface d’attaque”.

Autre cas classique un attaquant qui tente un brute force ssh, puis HTTP, etc ...

Pourquoi pas plutôt un tarpit alors?

Autre cas, bannir les robots type google, ou d’autre qui récupèrent des statistiques sur les services ouverts et qui sont connus.

robots.txt?

Autre cas, je suis un simple péquin moyen qui n’utilise aucun soft qui agit comme un serveur, mais qui a besoin d’avoir un logiciel de prise à distance pour que quelqu’un puisse l’aider en cas de problème.

Contradiction. Ce logiciel est un serveur. Et j’espère qu’il permet un contrôle d’accès autrement que par IP source.

Je te réponds que non, car en plus de t’embêter ça te bouffe aussi des ressources sur ton routeur,

Alors que gérer la liste de contrôle d’accès ne bouffe rien sur le “routeur” (NAT-routeur)?

Commentaire de corrector (corrector) - lundi 31 janvier, 2011 18:37:06

@ beaverois
Plutôt que d’attendre cette fonction très peu utile, tu devrais te débrouiller pour ne pas en avoir besoin.

Oui certes via iptables c’est pas bien compliqué à faire ;), et j’avoue que c’est juste une feature vraiment superficiel.

@corrector Quelle vision étroite tu as!!!

J’essaie de tout envisager. Mais je ne retiens que les solution de “sécurisation” qui sont réellement utilisables en pratique et fiables.

Visiblement tu en connais assez peu. Tu peux commencer par Halte aux Hackers Linux (http://livre.fnac.com/a1436314/J-Lee-Halte-aux-hackers-Linux), ça devrait élargir un peu ta vision

Pour ton info, il est tout à fait possible de laisser sur un de tes serveurs/PC derrière la freebox un port ouvert qui déclenche en cas de scan (N’importe quelle méthode) dessus un script qui viens bannir l’IP en question.

Bien sûr, à condition de détecter le scan.
Aucun souci:
* scanlogd
* psad

Est-ce que tu peux détecter un scan hyper-lent?
Oui, car il suffit qu’il est tapé sur un des ports (au hazard 22 et 23)

Il s’agit dans ce cas d’un action préventive car parfois les patchs mettent un peu de temps à arriver.

C’est pour cela qu’il faut limiter la “surface d’attaque”.
C’est le job du firewall. Mais même en limitant la surface d’attaque, quand tu as des services d’ouvert, ils sont disponibles.

Autre cas classique un attaquant qui tente un brute force ssh, puis HTTP, etc ...

Pourquoi pas plutôt un tarpit alors?
Tu peux le distribuer sur l’ensemble des PC de ton réseau. Il n’y a pas qu’un PC derrière le boitier qui offre des services.
de plus c’était un cas pour l’exemple

Autre cas, bannir les robots type google, ou d’autre qui récupèrent des statistiques sur les services ouverts et qui sont connus.

robots.txt?
Uniquement pour les moteurs de recherche qui respect le robot.txt
De plus il existe des projets dont le but est de relever des statistique sur les outils utilisés sur le WEB (J’ai plus les noms en tête) et qui ne se contentent pas que du HTTP.

Autre cas, je suis un simple péquin moyen qui n’utilise aucun soft qui agit comme un serveur, mais qui a besoin d’avoir un logiciel de prise à distance pour que quelqu’un puisse l’aider en cas de problème.

Contradiction. Ce logiciel est un serveur. Et j’espère qu’il permet un contrôle d’accès autrement que par IP source.
Aucune contradiction. Car c’est pas eux qui l’ont installé mais la gentille personne qui les aides quand ça va pas.
Et oui heureusement que VNC ou autre permettent un auth par mot de passe. Mais as-tu le temps de faire de la veille techno et d’embêter ta charmante grand mère pour qu’elle allume son PC car y a une faille de sécu qui est sortie?

Je te réponds que non, car en plus de t’embêter ça te bouffe aussi des ressources sur ton routeur,

Alors que gérer la liste de contrôle d’accès ne bouffe rien sur le “routeur” (NAT-routeur)?
Beaucoup moins de ressources qu’une ouverture de session IP :) Surtout que connaissant free, ça doit être un Linux dessous le serveur et donc c’est déjà fait :)