Freebox Server (Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Évolution
  • Catégorie LAN → NAT (redirections, DMZ)
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Moyenne
  • Priorité Normale
  • Basée sur la version 4.0.4
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#27268 - filtrage des flux IPV6 en entrée de la freebox.

périmêtre : Freebox-serveur, IPV6, routeur.

bonjour,

depuis peu, IPV6 a pris le pas sur IPV4 au sein de nos Freebox. C’est plutôt une très bonne chose. Chose nouvelle, cette fonctionnalité n’est pas désactivable sur l’interface d’administration de la box.

ma Freebox est configurée en mode routeur. Je constate dans ce mode, que toutes les connexions entrantes sur mon réseau domestique en flux IPV6 arrivent directement sur chacun des périphériques connectés. Il n’y a aucun filtrage. D’aucun me diront que c’est un peu le principe-même d’IPV6. Cependant, j’aurai bien vu des options au sein du routeur Freebox permettant une gestion un peu plus fine du routage IPV6 :

  • autoriser tous les flux en entrée quelque soit l’IP source ou destination
  • autoriser tout ou partie des flux sur une liste d’adresses IPV6,
  • interdire tout trafic entrant.

bon nombre d’utilisateurs ayant une connaissance minimale en réseau informatique risquent de se retrouver avec d’éventuelles vulnérabilités internes. Sans compter, certains malwares activant un service sur IPV6 transformant n’importe quel équipement informatique doté d’IPV6 en petite bombe logiciel télécommandée.

La transition entre la configuration IPV4 plutôt protectrice permettant d’avoir un réseau domestique réellement privé et le réseau IPV6 totalement ouvert, est une transition particulièrement abrupte. La gestion des flux entrants en IPV4 est assez complète pour l’utilisateur averti souhaitant mettre en service des fonctionnalités sur son réseau interne. Je n’ai pas trouvé d’équivalent concernant les flux IPV6.

étant néophyte en matière d’IPV6, peut-être quelque chose m’a échappé. Auquel cas, il conviendrait de faire une communication afin de renforcer la sécurité des installations domestiques de plusieurs millions de foyer français.

cordialement, Marc Quinton.

Cette tache ne dépend pas d'autre tache

Marc Quinton (marcquinton)
Friday 10 May, 2019 20:14:34

on peut voir une discussion sur ce sujet ici : https://lafibre.info/ipv6/ipv6-le-firewall/

Marc Quinton (marcquinton)
Friday 10 May, 2019 20:35:30
nicolas nba (nbanba)
Friday 10 May, 2019 22:30:37

Bonjour,

C est joliment dit , merci . Oui, vous avez 100% raison.

En étant plus direct, il est INDISPENSABLE que la Freebox fasses FIREWALL en IPv6 !!

Un particulier normal ayant plusieurs devices (pc, des tablettes, smartphones, caméra ...) souhaitant utiliser son réseau en ipv6 avec un niveau de sécurité équivalent à ipv4 doit aujourdhui faire des choix :

-1) se priver d ipv6 (TARPIT tous les next hop), mais vu qu on ne peut plus désactiver l option, ce n est visiblement pas la tendance et ce sera impossible à terme.
-2) acheter 1 firewall supportant les débits de sa connexion:
+ au moins 10000 à 15000 euros pour 1 delta en ftth pon à 10g
+ configuration à faire par 1 professionnel
-3) apprendre le réseau et se monter un vrai firewall supportant le 10G (pour les deltas) :
+ faisable soit même pour 1200 euros :
Il faut : 1 carte sfp+ 2 ports + 1 CM avec sortie vidéo ou kvm + 1 bon CPU / SoC (il faut un cpu assez costaud pour router a 10gb/s de l ipv6 sans asic NPU ou carte spécialisés additionnelle) + ram + châssis + 2 ssd en raid pour le système et les logs à 10gb/s + descendre une image d un produit firewall gratuit comme pfsense et le configurer

... bref ! Aujourd'hui, chez free si on souhaite utiliser sa connexion normalement (donc avec ipv6) et avoir le même niveau de débits et de sécurité que derrières un routeur ipv4, il faut faire des frais... ! Et pas de petits frais !! Avec une delta, ça peut vite coûter très cher à qui ne connais pas suffisamment l ipv6 + l ipv4 pour configurer et maintenir un firewall professionnel !! (Je ne connais pas de vrai firewall grand public, encore moins supportant plus de 10gigabit/s de commutation )

Il est donc indispensable que free inclue un firewall dans la Freebox.

Cordialement,
nbanba

Neustradamus (Neustradamus)
Saturday 11 May, 2019 05:46:11

Merci pour votre ticket de rappel aux devs :)

Il faut quand même voter sur le ticket d'origine → pare-feu (firewall) IPv6 : https://dev.freebox.fr/bugs/task/4110

Et sans oublier pour le reverse IPv6 : https://dev.freebox.fr/bugs/task/12749

A noter un problème de DHCPv6 et de DNSv6 depuis peu : https://dev.freebox.fr/bugs/task/27265

Marc Quinton (marcquinton)
Sunday 12 May, 2019 06:38:09
SagaciousServal (SagaciousServal)
Monday 20 May, 2019 17:18:50

https://www.busyspider.fr/Convention-Mai19-des-communautes-Free-15eme-edition-compte-rendu.php

"Réponse de Free - Maxime Bizon : On pourra mettre en place un pare feu qui sera activable individuellement. (pas par défaut)"

Neustradamus (Neustradamus)
Monday 20 May, 2019 23:42:20

@SagaciousServal : Depuis le temps que j'ai signalé l'urgence, ça fait plaisir d'avoir une partie de la réponse.


C'est assez urgent comme pour les règles LAN → WAN à commenter et à voter d'urgence : https://dev.freebox.fr/bugs/task/25271

Neustradamus (Neustradamus)
Wednesday 5 June, 2019 16:09:38

Attention : Ce n'est pas bon, le pare-feu (firewall) n'est pas complet du tout lorsqu'il est activé.
"Cochez cette case si vous souhaitez que votre Freebox filtre le traffic entrant inconnu."
Aucun paramétrage de réglages.
Ne pas clôturer ce ticket

4 juin 2019 à 11:05 : Arrivée d'un firewall IPv6
https://dev.freebox.fr/blog/?p=5416

"Firewall IPv6. Désactivé par défaut, en fonction des retours il est possible qu’il soit activé par défaut dans le futur (seulement pour les abonnés qui n’auront pas modifié leur configuration)."

Marc Quinton (marcquinton)
Wednesday 5 June, 2019 16:24:29

bonjour,

pour ma part, je considère que le job est fait : "donner la possibilité de filtrer tout ou partie des flux IPV6 entrants." Sinon, on est d'accord, le paramétrage manque de flexibilité.

DCL (DCL)
Wednesday 5 June, 2019 21:01:50

Non, les ports entrants ne fonctionnent pas.

Soit l'interface actuelle (Gestion des ports / Redirection des ports) prend en compte les adresses ipv6, soit il faut une nouvelle interface.

Les sélections actuelles d'un équipement dans cette interface ne semblent pas connaitre les adresses ipv6 hors local-link, qui ne sont de toutes les façons pas utilisables pour un filtrage de port entrant.

Marc Quinton (marcquinton)
Wednesday 5 June, 2019 21:32:47

peut-etre en regardant cette doc : https://learningnetwork.cisco.com/thread/97647 (ipv6 next hop).

DCL (DCL)
Wednesday 5 June, 2019 21:35:32

Mais je veux pas de nexthop...

frenk (frenk)
Monday 10 June, 2019 14:22:33

Plus d'accès au serveur openvpn, de la Freebox, après activation du firewall IPv6, de la Freebox,

frenk (frenk)
Monday 10 June, 2019 14:23:05

En IPv6 je précis, pas de problème en v4

Neustradamus (Neustradamus)
Monday 10 June, 2019 18:51:37

Faut dire qu'un VPN non sécurisé comme actuellement qui ne fonctionne plus en IPv6 est une bonne chose.
Il faut des mises à jour d'OpenSSL/OpenVPN/strongSwan et bien sûr un vrai pare-feu (IPv4/IPv6) lié à iptables/ip6tables, l'ajout du menu pour les règles NAT manquantes...

Neustradamus (Neustradamus)
Monday 10 June, 2019 18:53:29

Par ailleurs, après activation du pare-feu (firewall) IPv6, il y a toujours les différents équipements et players connectés en IPv6...
Ce que nous ne souhaitons pas.

Marc Quinton (marcquinton)
Monday 10 June, 2019 19:04:32

Par ailleurs, après activation du pare-feu (firewall) IPv6, il y a toujours les différents équipements et players connectés en IPv6...
Ce que nous ne souhaitons pas.

le filtrage porte sur les flux entrants, pas sur les flux sortants. Il n'y a pas de raison que les équipements compatibles IPV6 ne communiquent pas avec Internet.

Neustradamus (Neustradamus)
Tuesday 11 June, 2019 02:18:06

Avez-vous demandé une IPv6 pour votre ou vos players ou bien d'autres équipements ?
Personne non.
Équipements IPv4/MAC Binding ont toujours une IPv6 comme par magie, pare-feu IPv6 activé, DHCPv6 désactivé et DNS IPv6 désactivé.
C'est donc illogique.

Chargement...