Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Nouveau
  • Pourcentage achevé
    0%
  • Type Évolution
  • Catégorie WAN
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Haute
  • Priorité Très Basse
  • Basée sur la version 4.7.9
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 1
  • Privée

FS#39658 - Log Firewall

Bonjour,

j'avais déjà émis l'hypothèse de pouvoir consulter les logs de la FBX.

je reviens avec ce meme sujet, parce que rien est fait.
mais les attaques sur le net augmentes de jours en jours.

ne serait il pas possible d'avoir la lecture des logs du firewall de la FBX.
Il me semble quand cette période d'attaque permanente sur le net on devrais pouvoir analysé si l'on subi des test de penetrations ou autres.

il me semble que pour un minimum de sécurité cela serait important.
surtout ceux qui mettent en place des services en internes.

vous aller me dire de voir les logs au niveau applicatif.
mais au niveau du FW cela sera surement plus intéressent pour avoir une vue globale et pas seulement sur les port utilisé.

PS: si d'autres logs peuvent être mis a disposition ce ne serait qu'un plus.

Merci,
JoBar.

loggoi a commenté le 02.08.2024 11:52

sauf erreur, il n'y pas de firewall sur la freebox.

Ce que vous appelez firewall, c'est juste du NAT.

nbanba a commenté le 03.08.2024 10:22

Bonjour

Avoir accès aux logs de la box serait bien, par exemple:
Les logs du routeur
Les logs du kernel (dmesg) notamment quand on mets ses propres disques dans les box
Les logs des services (samba, etc…)

Cordialement
nbanba

JoBar a commenté le 03.08.2024 10:45

Salut A tous,

je suis d'accord avec toi @nbanba, un minimum de log serai très utile dans certaines circonstances.

j'espère qu'ils seront mis a dispo (au moins un minimum) pour que l'on puisse suivre le fonctionnement de la box.

personnellement, celui du FW m'interèse plus, mais les autres sont tout autant utile.

Bon Week end,
JoBar.

nbanba a commenté le 03.08.2024 12:57

Bonjour

Malheureusement Free ne prends pas ou plus en compte les demandes d'évolution des abonnés même quand elles sont fondées et légitimes.
Ce n'est d'ailleurs pas la première fois que cette demande est faite ici depuis de nombreuses années… par de nombreux utilisateurs…

D'expérience Free ne réagit que lorsque c'est imposé légalement.

Donc je crains que ça ne soit jamais fait, sauf si on arrive à le faire inscrire dans la loi.

Pour que ce point avance il faut réussir à ce que ce soit imposée par l'ARCEP à tous les opérateurs (au titre de la CNIL par exemple pour les logs du trafic / router)

Sans obligation légale je pense qu'il ne se passera rien, en tout cas j'ai perdu tout espoir et toute confiance en Free pour ce type d'évolutions.

Cordialement
nbanba

JoBar a commenté le 03.08.2024 13:49

Bonjour,

je ne suis pas tout a fait d'accord, pour moi, comme dans tout développement, la decision sur les evolution sont classé par priorité.

je ne pense pas que l'arcep soit un choix pertinent pour imposé des fonctionnalités.
la fonction public doit rester dans ces attributs, ils n'ont pas (a mes yeux ) a s'immiscés dans les choix technique ou autre d'un produit.

de plus, il serait capable de vouloir l'acces au log comme il est fait pour les réseaux Wifi en libre services.

perso, je préfères que free tranche.

JoBar.

nbanba a commenté le 03.08.2024 15:51

Bonjour

Je comprends votre retour et c'est un sujet qui me tiens à cœur.
Fouillez un peu sur ce forum et vous trouverez d'autres postes demandant l'accès aux logs depuis des années… Les réponses de Free sont rares ou négatives. Free "tranche" donc depuis des années par son silence et son ignorance de ce type de tickets

Si j'avais encore espoir que Free implemente de son plein gré ce type de demandes, je répondrai la même chose que vous.
Après je peux me tromper et ce serait même bien que Free me donne tord sur ce point.

Sinon pourquoi l'ARCEP ?
Ce sont les seuls qui ont du pouvoir sur les FAI. Aujourd'hui si votre box se fait hacker "proprement" et qu'ensuite elle sert à l'attaquant pour faire des dégâts bien plus grave à des tiers, sans les logs du trafic (et la capacité à les stocker dans un syslog externe en temps réel), vous n'avez aucun moyen de prouver que ce n'est pas vous et que la box s'est faite hacker et que d'autres l'utilisent à votre insue… C'est d'autant plus délicat aujourd'hui avec les IPv4 partagés pour 4 abonnés (CGNAT sauce Free) et des histoires comme les affaires de pédopornographies ou la police coffre des innocent pour des durées plus ou moins longues le temps que des enquêtes approfondies soient faites car leur IP a été utilisée, alors qu'en fournissant les logs les utilisateurs innocents victimes de la circonstances seraient disculpés, au moins le temps de l'enquête …

Je pense qu'il est de notre devoir commun de forcer les FAI (tous FAI compris) à fournir les logs au end-user en temps réel et en toute circonstances. À mes yeux ce n'est pas un 'nice to have' mais un 'must have'.

PS: Je pense que Internet s'est construit et evolue très (trop) vite depuis moins d 1 génération et que l'outillage juridique des pays occidentaux n'a pas eu le temps de suivre ni de répondre à toutes les questions
En conséquence, à titre personnel j'essaye d'exposer la box le moins possible car je n'en maîtrise pas sa sécurité (limitation au maximum de l'usage des services et fonctionnalités propres à la box ou en placant ces services derrière un firewall que je contrôle) et je delegue tout ce qui est possible (wifi, …) à des équipements dont j'ai le plein contrôle placés eux même derrière des firewalls. Je n'ai pas encore réussi à bypass complètement la freebox (lire monter la connexion 10G-EPON directement depuis mes firewalls, sans freebox), mais c'est mon but à terme, surtout depuis l'arrêt des fonctionnalités domotiques, fonctionnalités qui me forçait à conserver une freebox delta.

Cordialement
nbanba

JoBar a commenté le 04.08.2024 03:27

Ca fait longtemps que je fouille les forum et autre sources d'info.
je connais très bien le sujet.

mais, a mes yeux l'obligation n'est pas une solution.
je déteste toutes les obligations.

je préfère le choix, au moins c'est réfléchit.

le reste, ne m'interresse pas.

Free et les autres, a mon sens ont intérêt de mettre a disposition des logs de traffics et peut être d'autres.

Free a toujours innové sur c'est produits. il n'y a pas de raison qu'il ne continu pas.

JoBar.

nbanba a commenté le 04.08.2024 05:17

Bonjour

J'espère qu'en cas de dégâts grave fait avec votre ip par un tiers à votre insue, on vous laissera le choix de suivre ou non les autorités quand celles-ci debarqueront…

Et même si je n'y crois pas, j'espère sincèrement que l'avenir vous donnera raison.

Cordialement
nbanba

JoBar a commenté le 04.08.2024 05:51

merci de vous souciez de mon cas, mais je suis en full stack, et j'ai une bonne experience sur le sujet.
je ne suis en aucun cas inquiet des services que je mets en place.
dont, j'ai déjà les logs.

l'interet des logs de la box, est d'avoir une vision des possibles attaques que l'on peut subir.

quelqu'un qui n'utilse rien, dans l'absolu ne risque rien, a moins qu'il y est une faille dans le FW de la box.

JoBar.

nbanba a commenté le 04.08.2024 12:43

Bonjour

Pour rappel la freebox n'a pas de firewall : ne pas confondre une table (D)NAT et une "vrai" matrice de filtrages comme dans les "vrai" firewalls
La Freebox a également des failles majeurs by design comme la dualité publique/privée qui est forcée côté LAN sur le segment OSI-L2 derrière la freebox: IPv4 privée + IPv6 publiques sur le même L2 côté lan ⇒ votre réseau ipv4 privé est en fait physiquement un bout d'internet en ipv6.

Seul le end-user peut être garant de sa propre sécurité et pour ça, il lui faut les données relatives au service qu'il souscrit, données que les ISP ne transmettent pas aujourd'hui.

Votre confiance limite aveugle en votre freebox me semble risquée, surtout pour qqn qui à la teneur de nos précédents échanges, semble averti !

Cordialement
nbanba

JoBar a commenté le 04.08.2024 13:48

je ne serai pas aussi affirmatif que vous sur le sujet, mais je doute que la box n'est pas de FW, il faut être dingue pour mettre un produit sur le net sans ce minimum.

de plus, il est présent pour l'IPv6, je ne vois pas pourquoi ils auraient fait la moitié de travail.

Ma sécurité, effectivement, je m'en charge. ce n'est pas le sujet de mon ticket.

Je ne vois pas comment je pourrais souscrire un abonnement sur un produit quel qu'il soit sans un minimum de confiance au fournisseurs/fabriquant.
elle n'est peut être pas parfaite, mais qui l'est aujourd'hui?
des failles doivent bien sur existé, mais quel OS peut ce vanté de n'en avoir aucune?

je vis dans ce monde (l'informatique) la depuis très longtemps, je ne suis pas du genre a stresser mais a gérer.

JoBar.

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche