Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

Faites attentions avec vos analyses NMAP, il y a beaucoup de gens qui ne savent pas réellement se servir de ces outils ou bien interpréter les résultats et qui balancent ici des bugs sans objet.

1) Vous lancez NMAP à partir de votre PC, ce sont les ports de votre PC qui sont scannés, ce ne sont pas les ports de la Freebox, et c’est donc votre PC qui ouvre ces ports, ça n’a donc pas de lien avec la Freebox, car dans ce cas il faudrait lancer une session NMAP à partir de la Freebox, donc à part si vous êtes un développeur et que vis avez un accès bas niveau au niveau de la box …..

2) Vous ne semblez pas faire le distinguo entre trafic local et trafic routable sur internet. Selon la configuration de votre PC, il peut être tout à fait possible qu’il autorise ce traffic uniquement sur le traffic local suite à une autorisation requise par un logiciel quelconque.

Sur mes PC, dès lors que le système détecte la MAC address de ma Freebox, j’autorise ce type de traffic en local. Un certain nombre de logiciel peuvent se servir de ce type de port EN LOCAL UNIQUEMENT comme un serveur multumedia VLC, Freemi, Kodi etc etc

2) 3 remarques toutefois

IPV4 :

- par défaut la Freebox active bien un parefeu qui autorise tout trafic sortant vers internett, et bloque tout traffic entrant depuis internet sauf les règles de port forwarding et les règles d’accès distant à la box ça c’est pour le trafic routable sur internet 82.x.x.x
- Au niveau local a priori la Freebox se comporte de façon neutre, c’est à dire qu’elle autorise tout traffic d’hôte local à hôte local, à charge pour chaque hôte d’établir des règles plus spécifiques au niveau de son parefeu personnel. Si la Freebox établissait des règles plus restrictives, ce serait le foutoire pour le commun des mortels qui pour un oui ou pou un non serait obligé d’aller ouvrir des ports ce qui n’est pas à la portée des utilisateurs moyens

Sauf erreur de ma part, je n’ai jamais eu de mémoire à faire de port forwarding à un niveau local strictement local…

A côté de cela, Windows sait très bien gérer de façon automatique l’ouverture des ports pour un usager moyens. C’est lors de l’installation d’un logiciel que celui-ci vous avertit le cas échéant qu’il crée une règle en ouvrant un port MAIS UNIQUEMENT POUR CETTE APPLICATION, d’une manière générale une appli ne va que très rarement ouvrir en grand un port. Donc tant que l’appli n’est pas active le port est fermé, et si l’appli est active le port est ouvert et Windows ne dirige le flux que vers cette application.

Mais la question est de savoir si vous savez vraiment ce qu’est un pare feu applicatif… Si vous êtes sous Linux, il n’y a pas de parefeu applicatif (hormis quelques parefeu expérimentaux), en revanche Windows jouit de base d’un très puissant parefeu applicatif bien pratique.

IPV6 : l’activation du parefeu est à ce jour optionnel.

Ca signfie que si vous n’avez pas coché la case Pare Feu IPv6, la box laisse tout passer en IPv6, à charge pour vos PC de prendre en charge en local le filtrage IPv6
En IPv6, sauf à utiliser des paramètres très particuliers afin d’utiliser le bloc d’adresse fd00::/8 que seuls des utilisateurs avancés peuvent paramétrer, la notion d’adresse locale n’existe pas, en IPv6 il n’y a pas de NAT
En IPv6 le pare feu est obligatoire au niveau de TOUS LES APPAREILS (du fait qu’il n’y a pas de NAT), y compris vos tablettes sauf si vous avez bidouillé vos systèmes et désactivé ces pare feux… mais là c’est votre problème, donc c’est au niveau des pare feu de chaque appareil que les choses se paramètres et par défaut les pare feux ipv6 sont paramétrés pour bloquer tout traffic entrant sauf règle particulière

Si vous activez le pare feu IP6 la Box autorise tout traffic sortant vers internet et bloque tout traffic entrant depuis internet… ça c’est pour le traffic routable
A priori la box à mon avis autorise tout traffic au sein de votre Prefix Free qui sera considéré comme traffic local même si de façon topologique votre prefix IPv6 est routable sur internet, c’est juste le parefeu qui réalise une isolation.

Toutefois, si on a un serveur IPv6 que l’on veut rendre accessible de l’extérieur, la box ne propose pas de port forwarding
De plus, il n’est pas exclu que le pare feu IPv6 filtre parfois du trafic qu’il ne devrait pas engendrant des problèmes sur certains sites (peut être des soucis liées au statefull packet inspection)

Donc au final… il n’est pas conseillé à ce stade d’activer le pare feu IPv6 de la Freebox, du moins TANT QUE LES DEVS N’AURONT PAS IMPLEMENTE à minima un port forwarding

ACCES HTTPS FREEBOX

Le HTTPS Freebox moi je ne l’ai jamais activé et vous seriez bien inspiré d’en faire autant. Surprenant qu’une personne apparemment paranoique comme vous l’ai ouvert.

Port HTTPS ouvert signifie que je tape votre adresse et je tombe sur votre interface Freebox.
Je fait tourner une moulinette et comme les 3/4 des mots de passe de Freebox sont BIDONS, avec un système d’attaque par dictionnaire ça casse en quelques minutes, d’autant que cette interface est d’autant plus faible qu’elle n’offre pas de champ de “login”, or le Login est capital car il complexifie énormément toute attaque par dictionnaire puisqu’il faut deviner deux champs.

j’ai déjà râlé dans la passé auprès des devs de Free car je trouve ça absoluement honteux. Ils ont résolu une partie du problème en instaurant le HTTPS (en HTTP c’était un vrai suicide mais ça n’empêchait pas les gens d’être inconscient et d’activer quand même l’accès distant Freebox), mais il reste qu’il n’y a qu’une seule zone à découvrir ce qui est bien sûr très très tentant car la manoeuvre semble simplissime… tourner une attaque par dictionnaire sur un seul champ…. c’est le r^ve de tout pirate

J’ai aussi dans le passé proposé aux devs d’introduire un double facteur d’authentifcation via jeton SMS… qui résoudrait tous nos problèmes. Avec un double facteur d’authentification on peut passer l’éponge sur l’absence de champ login
Au niveau de l’accès distant je n’utilise que l’accès via l’appli android Freebox compagnon sur un port dédié (pas le port standard HTTPS), l’avantage et qu’a priori le système s’authentifie par un certificat (du moins je suppose)

L’autre problème de ce port HTTPS ouvert au public c’est qu’il peut focaliser des attaques en masse sur votre connexion
Des problèmes ont déjà été rapportés par des utlisateurs Free qui ont vu leur connexion inutilisables suite à des attaques massives qui ont fait disjoncter le DSLAM/NRO Free.
Ces gens sont des gens imprudents qui ouvrent des site Web en accès grand public… sauf que Free ne fournit pas une prestation d’hébergeur et n’offre donc pas de mécanisme de redondance de changement d’adresse IP, ça c’est le boulot d’un hébergeur.

Au pire des cas, il est fortement conseillé d’utiliser un ports HTTPS personnalisé, bien qu’un scan

On ne propose jamais un site Web d’accès grand public sur sa connexion personnelle, jamais… ou par une règle de pare feu, on n’ouvre le site Web qu’à des personnes autorisées.

3) Expérience personnelle

Personnellement, je n’utilise que très rarement NMAP et compagnie. Linux ou Windows mes PC sont verrouillés à double clé au niveau des parefeu locaux

Sous Windows j’utilise Comodo, le trafic est bloqué par défaut en bidirectionnel. Entrant ou sortant tous les trafics IPv4 ou ipv6 font l’objet de règles.
C’est ce qu’on appel un pare feu restrictif que très peu de gens savent réellement paramétrer mais que tout bonne administrateur devrait être tenu de faire sur son réseau local… mais en réalité très peu le font.

Cela donne un ensemble de règles assez complexe mais le tout est verrouillé à double tour toujours en vertu de cette règle qui bloque par défaut tout trafic entrant ET sortant non connu

A partir de là je n’ai pas à m’emmerder à stresser avec des outils comme NMAP

Bref… de prime abord vous posez une question non pertinente car d’une vous scannez au niveau local de votre PC, pas de la Freebox, et de deux comme indiqué ci-dessus sur du trafic local (comme 192.168.x.x, 10.x.x.x) à priori la Freebox est neutre et laissera passer le trafic d’hôte à hôte pour les raisons que je vous ai exposées : exiger d’un utilisateur moyen d’aller paramétrer des règles sur la Freebox ce n’est pas possible, c’est du ressort de l’OS client.

La Freebox ne vous protège que du monde extérieur, pour le réseau local, c’est à chaque PC de se prendre en charge. L’ouverture “eventuel de ces ports” relèvent exclusivement du fait de votre PC, à vous d’inspecter les règles de parefeu crées et quelle est l’application qui en est à l’origine et pour quel type de trafic

Scanner avec NMAP ou Wireshark est loin d’être suffisant, il faut que vous appreniez les bases du réseau
NMAP et Wirshark sont des outils faits pour des utilisateurs chevronnés qui sont capable d’interpréter les résultats, qui ont un minimum de bagage en terme de connaissance réseau.
Si l’utilisateur n’a pas le niveau requis dans 99% des cas il va saturer les forums avec des faux bugs… vous n’êtes pas le premier, et sans doute pas le dernier… les développeurs ne répondent jamais à ce type de message, vous en imaginez bien la raison.

Précision :

Le fait même d’activer l’accès HTTPS revient donc à activer un serveur Web accessible publiquement et en retour à susciter des attaques massives sur une connexion qui n’est pas prévu pour l’hébergement.
Les développeurs de Free devraient simplement bannir cette fonctionnalité QUI EST UNE ABERRATION, et et n’offrir l’accès distant à Freebox OS que dans deux conditions :

- via Freebox compagnon sur un port dédié obligatoirement différent de HTTP/HTTPS - via l’accès VPN bridgé qui donnera alors accès au réseau local de la Freebox