Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

Bonjour

À ce jour d'après Google, 96 % du trafic internet transitant par Google est en TLS :
https://transparencyreport.google.com/https/overview?hl=fr

Pour être en mesure de filtrer les connexions vers différents sites, ce ne sera pas possible sans inspecter les flux TLS = faire faire de la 'deep packet inspection' par la Freebox

Alors déjà, sans les ASIC présent dans les firewalls professionnels du marché (à X milliers ou dizaines de milliers d'euros), avec le SnapDragon des 2 dernières box haut de gamme (Ultra et Delta), on peut inspecter ~600Mb/s mais pas plus, après le SoC clip au niveau AES… Fini les plus que 1G de débit sur le net…

Aussi, il faudrait ajouter une gestion des PKI au sein de la Freebox pour resigner les échanges et il faudrait déployer les certificats de cette PKI sur tous les devices du réseau…

Aussi, il faudra se passer de la majeur partie des applications mobiles comme Youtube, MyCanal, Amazon Prime … ou autre 'Ecole Directe' … car la majeur partie des applications smartphone utilisent leurs propre PKI et on ne peut pas y renseigner les certificats des PKI signant les échanges sur un réseau privé, même en injectant les Root CA dans Android ou iOS…

Donc à mon avis votre demande de webfiltering ne pourras pas être implémenté dans la FreeBox (les DNS passent également en TLS de nos jours)

Concernant le WIFI, celui de la BOX est à la fois trop bien pour monsieurtoutlemonde mais beaucoup trop réducteur quand on souhaite faire des trucs un peu avancés (auth (free)radius / open ldap / WPA2 Enterprise, WPA3 Enterprise, authentification par certificat machine, 802.1x , roamming multi SSID, MAB onboarding, quarantine … )

Pour faire tout ça, pas d'autre choix que de passer sur du matériel de gamme Enterprise et qui permet d'inspecter le trafic TLS à la vitesse du débit descendant des Delta et Ultra : 8gb/s (coût supérieur à 10 000 € !)

Cordialement
nbanba

Je ne suis pas un expert réseau comme vous, je ne comprends pas tout.

Le besoin est de pouvoir isoler plusieurs réseaux Wifi, pour une meilleure sécurité.
Avec des réseaux IOT et invité qui n'ont pas accès aux autres équipements du réseau.
Déjà ce point serait un grand pas pour la sécurité, est-ce faisable, je ne sais pas ?

Actuellement pour le filtrage de contenu sur les tablettes et PC de mes enfants, j'ai simplement utilisé des DNS dédiés pour cela. Est-il possible d'avoir des DNS par défaut différents entre chaque réseau wifi et l'Ethernet ?
Ou un pare-feu avec une liste noir ?

Bonjour

Je comprends votre besoin.

Dans votre poste initial il y a 3 besoins :
- filtrer le trafic Web à un niveau applicatif
- créer différents réseaux wifi pour isoler le trafic
- pouvoir faire des règles de firewall sur les différents réseaux

Je vous expliquait juste les limitations rencontrés :
Filtrer efficacement le trafic nécessite d inspecter le TLS, impossible à faire avec les freebox aux debits qu elles proposent.
Et les applications grands publics ne sont majoritairement pas compatibles avec l inspection TLS ⇒ filtrer le trafic reviendrai à priver les utilisateurs de la plupart des applications ios / Android (streaming, vod,…)

Concernant les DNS, aujourd'hui ils est de plus en plus frequent qu ils soient également en TLS, donc non filtrables sans inspecter le trafic TLS.
Aussi, si un client remplace les dns de sa session par 8.8.8.8 ou 1.1.1.1, le filtrages appliqué globalement sur les dns du réseau est contourné.

Créer différents ssid (sur le même réseau L2) est déjà possible sur les box ayant plusieurs AP (lire cartes wifi) comme les delta. Après c'est assez limité, par exemple on ne peut pas s authentifier depuis un annuaire.

Faire un firewall niveau 3/4 au niveau de la box serait top, c'est déjà un peu le cas des redirections nat en ipv4 public depuis internet, mais il faudrait effectivement que chaque ssid ait un subnet qui lui soit propre et différents du lan pour pouvoir faire des règles de filtrages.
Il resterait cependant impossible de faire du webfiltering efficace (porno, jeux…) car pour ça il faut inspecter les flux TLS.

Ça rejoint certains anciens tickets ou je demandais entre autre le support des vlans sur le switchs / switchs wifi (lire AP wifi) et la capacité de configurer les ports dans tel ou tel réseau.

Il semble que ces demandes soient trop avancées pour le grand public et Free n'a pas déployé ce type de fonctionnalités pour le moment.

Pour faire tout ça (et même plus), à date il faut d'autre matériel.

Après je vous rejoins sur le fait qu'il serait bien que Free ajoute des fonctionnalités réseaux sur le wifi comme le support du multi ssid avec 1 réseau différents par ssid et la possibilité de faire des règles de filtrages basiques entre les différents réseaux : Source, destination, port destination, nat, schedule , en ipv4 et en ipv6.

Cordialement
nbanba