Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Évolution
  • Catégorie LAN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V7 (Delta)
  • Sévérité Basse
  • Priorité Normale
  • Basée sur la version 4.3.4
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non

FS#35081 - Firewall intégré

Bonjour,

Je voudrais émettre une demande d’amélioration au niveau de la sécurité de la Freebox et son réseau.
Le serveur permet de faire tourner des VMs.
Pourquoi le serveur ne serait-il pas capable de faire tourner en application native un firewall digne de ce nom. Pas juste un firewall de filtrage, mais plus un vrai comme pfSense, ipFire, Endian,...
Je dis cela car je subit régulièrement des scans et des attaques (force brute par dictionnaire sur mon Raspberry, essais de connexion sur mon NAS,...)
J’ai dû protégé mon LAN en me mettant derrière un routeur wifi intégrant un mini firewall.
Mais en faisant cela, j’ai dû désactiver mon wifi et perdre le lien entre le réseau Freebox et mon LAN privée. Avec ce mode, le répéteur wifi Pop est inexploitable.
Ma demande a tout son sens quand on sait que le piratage des données est en forte expansion.
Merci de me dire si l’idée vous parait envisageable ?
Cordialement.

Cette tache ne dépend pas d'autre tache

D.-C.M. (Freemagician)
jeudi 22 juillet, 2021 21:35:57

C’est une demande récurrente, la marronier de ce tracker, le truc qui apparait une à deux fois par saison
Très peu de gens savent se servir d’un pare feu, le souci étant qu’un parefeu mal configuré c’est aussi pire que de ne pas avoir de pare feu.

La Delta reste une box grand public, lui adjoindre des fonctionnalités pare feu réseau paramétrable serait une grossière erreur, et aucun FAI ne s’y est risqué à ce jour (pour un produit grand public)

- cela ne ciblerait que les geeks, et parmi ces geeks une très faible minorité sachant réellement se servir d’un pare feu (le problème est que beaucoup de geeks pensent connaître... et en réalité leur niveau de connaissance en matière réseau est juste catastrophique, et c’est du grand n’importe quoi, ou on en revient à des soi-disants connaisseurs qui se rabattent sur des configurations minimalistes... ce qui revient en fait à la solution Freebox de base.

Les Pros vont en général s’appuyer sur des solutions toutes faites via des passerelles professionnelles qui contiennent ce genre de pare feu, la Freebox ne jouant que le rôle de “modem”, où ils peuvent se construire leur propre passerelle : Linux ou BSD sur une petite station avec une carte réseau multiport.

- Ce serait une faille de sécurité béante car cela ouvrirait la porte à des “misconfigurations” en cascade, la hotline qui se déchargerait sur ce forum qui n’en est pas un, serait TRES TRES vite dépassée par de multiples questions

- La solution raisonnable est de fournir une solution de filtrage globale qu’un utilisateur moyen aura du mal à foutre en l’air, en proposant le minimum requis soit le port forwading nécessaires pour certains gamers

Si l’utilisateur veut aller plus loin, il le fait avec son propore matos, mais sous sa seule responsablité.
Pour un vrai pare feu réseau, il faut plutôt voir du côté de la toute nouvelle Freebox Pro... mais il faut un numéro siret pour pouvoir souscrire cette offre.
Bref on tape dans des fonctionnalités de type “professionnel’ et pas ‘particulier’, donc c’est un peu hors sujet

Mais au final, est-ce que votre question est pertinente ?

Pas tout à fait.

Lorsque vous mettez en oeuvre une VM, il y a un parefeu basé sur nftable ou IPtable, avec une surcouche faisant office d’interface, et censée grandement simplifier le paramètrage d’IP/NF table qui sont de vraies usines à gaz très opaques. Ca varie selon les distro, pour OpenSUSE, Fedora on utilise Firewalld, mais il y en a d’autre

Si vous êtes en mesure de faire mumuse avec une VM, vous êtes censé être en mesure d’ajuster ce pare-feu... autrement je vous conseillerais de ne pas faire mumuse avec ces VM, ou de vous décider à apprendre quelques bases de paramétrage compémentaire.

J’appartiens à la base au monde BSD, et j’utilise le fameux pare-feu de Packet Filter. Puissance phénoménale conjuguée à une simplicité d’utilisateur et un contrôle totale par l’utilisateur qui peut vraiment le paramétrer de A à Z (paramétrer de A à Z IPTAble semble compliqué sauf à mettre en péril les futures “update” de la distro Linux), y compris en faisant des conneries... mais on ne met pas BSD dans les mains de n’importe qui.

Donc le ténébreux IPTable de Linux, ça me donne des boutons... néanmoins en prenant en main OpenSUSE je me suis décidé en me forçant à fouiller un peu les bases de Firewalld
Disons que j’ai quelques bases qui me suffisent pour le moment à faire ce que je veux en attendant de vraiment me plonger dans cette GROSSE MERDE d’IPTABLE.

Il se dit que la communauté Linux cherche à développer un successeur à IPTable qui serait largement inspirée de Packet Filter....

Théoriquement, vous seriez en mesure de créer ce parefeu via cette VM en prenant en main de façon plus approfondie votre distribution Linux

Aux dernières nouvelles, le très récent FreeBSD 13 est désormais disponible sous ARM64 (auparavant le version ARM64 restait une version de développement avec un support limitée)
Je n’ai pas encore essayé, mais à priori on devrait pouvoir l’installer en VM sur le Delta.

FreeBSD + Packet Filter = c’est la base de PFSENSE
Mais attention FreeBSD ce n’est pas Linux, il fonctionne et se paramètre différemment. FreeBSD n’est pas une distribution. FreeBSD fournit un système de base sans aucun applicatif, et c’est à chacun de se construire sa propre distribution.

Je n’ai jamais manifesté le besoin pour PFSENSE, car Packet Filter est si intuitif à paramétrer qu’il est plus profitable de se faire son propre parefeu de A à Z sans s’ennuyer avec une surcouche tierce. Pour l’interface graphique... les utilisateurs de BSD s’en fichent

Mais il faut accepter de mettre les mains dans le cambouis et apprendre les bases... et anglais lu nécessaire, l’aide pointue concernant BSD se trouve sur des forums anglophones.

A titre personnel, tous mes PC Windows ont un parefeu personnel très complexe basé sur Comodo, car conçu pour tout filtrer... et cette configuration est commune à tous les PCs

Sur Linux je fais la même chose, j’établis un ensemble de règles que je porte sur tous les PCs du réseau
Donc au final.... il faut être assez clair, PFSense c’est parfaitement inutile pour un usage de particuliers

Fouillez déjà les possibilités de Comodo Firewall, les possibilités offertes par ce parefeu à paramétrage convivial sont déjà CONSIDERABLES, bien supérieures à toute la concurrence et couvre 99% des besoins des particuliers.
Il n’y avait qu’un seul concurrent à Comodo, c’était Outpost mais qui a été arrêté.... pour le reste, les parefeu grand public Kasperky, AVG et cie.... c’est de la grosse m....

Notez aussi que la mise en place d’un pare feu réseau ne dispense en aucun cas la présence d’un pare feu personnel.
Le parefeu réseau est par nature limité car bien entendu ce n’est pas un pare feu applicatif, comme c’est la norme sur Windows, et dans tous les cas il faut affiner certainse règles au niveau de la station. Donc en fait, dès lors que l’utilisateur s’appuie sur des parefeu personnel très bien paramétrés, le pare feu réseau ne sert pas vraiment à grand chose.

Le Parefeu réseau est intéressant dans un cadre professionnel avec beaucoup d’utilisateurs que l’on veut contrôler.
La plupart des geeks qui font mumuse avec PFSense, perdent clairement leur temps, ou jouent les gros bras bien inutilement.... ils feraient mieux d’apprendre à paramétrer leurs pare feu individuels, c’est la première priorité.

Il y a assez longtemps j’avais projeté de me fabriquer une passerelle basée sur FreeBSD, mais avec le temps je me suis rendu compte que c’était TOTALEMENT inutile, notamment lorsque j’ai pris en main Outpost (arrêté depuis) puis Comodo Firewall sur Windows qui détruisaient toute la concurrence existante. Avant, en effet je n’étais pas satisfait car aucun logiciel permettait de me donner vraiment la main comme je le souhaitais sur mes postes individuels, sauf à investir dans des logiciels professionnels coûteux qui réclament en plus des licence Windows Server, dans ce cas en effet l’idée d’un pare feu réseau complémentaire avait un sens, et sous BSD je me suis rendu compte à la longue combien il était aisée de se bâtir une configuration Packet Filter personnelle réplicable sur plusieurs postes individuels, sans s’emmerder à devoir gérer une passerelle réseau tierce.

Comodo Firewall pourrait même servir de base comme parefeu d’une petite passerelle domestique basée sur Windows 10 via le partage de connexion internet (dans le cas, Windows se comporte comme un routeur).

A la différence de la concurrence il capte et peut donc filtrer le trafic de proximité, fonctionnalité verrouillée sur les autres produits grands public qui ne puevent donc servir de Parefeu de passerelle. Le Parefeu Comodo possède deux couches distinctes. Un Pare feu applicatif et un pare feu réseau paramétrables indépendamment.

NB : Comodo Firewall est totalement gratuit, il n’y a même pas de pub, cette dernière ayant totalement disparu avec le temps, même pas de harcèlement par mail, il ne vous le réclame pas, rien nada

Chargement...