Freebox Server (Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Évolution
  • Catégorie LAN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V6 (Révolution)
  • Sévérité Basse
  • Priorité Normale
  • Basée sur la version 1.0.1
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#4110 - Fonctionnalité de firewall en ipv6

Vu sur le bug http://bugs.freeplayer.org/task/3625, la “freebox server” est destinée à évoluer en fonctionnalité pour être un routeur complet et rendre le mode bridge inutile.

Dans ce cas, des fonctionnalités de firewall ipv6 seraient utiles pour pouvoir protéger les ordinateurs en ipv6 qui sont connectés derrière la freebox.

Cette tache ne dépend pas d'autre tache

Malkuth33 (Malkuth33)
Wednesday 19 January, 2011 16:29:56

+1

Pitchoun (Pitchoun)
Wednesday 19 January, 2011 18:43:24

Déja faudrait que free soit complètement en ipv6 alors qu’on a encore besoin de l’ipv4 pour se connecter à free (wifi ou autre)

On devrait pouvoir se connecter avec l’un ou l’autre. Alors que pour l’instant ca ne se connecte qu’avec une adresse ipv4 (ipv6 est juste rajoutée, mais sans l’ipv4 pas de connexion...)

corrector (corrector)
Monday 24 January, 2011 07:04:57

“Dans ce cas, des fonctionnalités de firewall ipv6 seraient utiles pour pouvoir protéger les ordinateurs en ipv6 qui sont connectés derrière la freebox.”

Quelles fonctionnalités?

De quelle protection parles-tu?

@ Pitchoun
Concrètement, qu’est-ce qui se passe si pas d’IPv4?

Peux-tu décrire ton protocole de test?

Malkuth33 (Malkuth33)
Monday 24 January, 2011 07:17:00

Protection des ip et ports du réseau local par exemple, tu sais comme un firewall...

siilyaorno (siilyaorno)
Friday 28 January, 2011 18:59:07

+1

C’est vraiment une fonction indispensable pour l’utilisation de l’ipv6 !

Le minimum serait de pouvoir filtrer tout le traffic entrant puis de pouvoir autoriser des ports.

corrector (corrector)
Friday 28 January, 2011 19:07:04

Si vous comptez mettre des machines avec des services en écoute :
- pourquoi pas les désactiver?
- pourquoi pas les restreindre au réseau local?
ou toute autre solution de filtrage choisie machine par machine et service par service.

Chaque machine, chaque serveur sait bien pourquoi telle socket doit accepter des connexions et qui a le droit de s’y connecter. Alors qu’un machin central, non.

Concrètement, qu’est-ce qu’apporte un pare-feu?

Sur quel critère *objectif* autoriser ou pas un port?

Malkuth33 (Malkuth33)
Friday 28 January, 2011 20:05:38

@corrector : je crois pas avoir à t’expliquer en quoi je préfère tel ou tel solution ni sur quel critères objectifs je me base pour envisagé la solution qui me semble la plus pertinente.

en IPV6 Toutes les machine sont visible depuis internet. Je n’ai pas de serveur chez moi toutefois j’ai des enfants, une femme, etc... et 5 PC en réseau, sans parler de caméras IP, détecteur/effecteur domotique et tout le toutim ucune envie de géré indépendamment les 15 machines réseau 1 par une, un pare feu ferais le même résultat en 2 minutes.

Tu l’auras compris, le trait est forcé volontairement afin de bien me faire comprendre.

Mais encore une fois, il s’agit ici d’une demande de fonctionnalité supplémentaire, pas de connaitre ton avis sur la question...

siilyaorno (siilyaorno)
Friday 28 January, 2011 20:15:42
Si vous comptez mettre des machines avec des services en écoute :
> - pourquoi pas les désactiver?
> - pourquoi pas les restreindre au réseau local?

Ce sont bien sûr des solutions, mais ça ne répond pas au besoin qu’on exprime.

ou toute autre solution de filtrage choisie machine par machine et service par service.

Un firewall qui gère l’IPV6 dans une freebox server ?

Chaque machine, chaque serveur sait bien pourquoi telle socket doit accepter des connexions et qui a le droit de s’y connecter. > > Alors qu’un machin central, non.

Tu pense vraiment que la machine est intéligente ?
Blague à part, le firewall je lui dit ce qu’il doit faire il n’a surtout pas à réfléchir et c’est ce que je lui demande.

Sur quel critère *objectif* autoriser ou pas un port?

Par exemple: tu sais que ton serveur web est sur tel port sur tel IP ⇒ autoriser.

Le minimum que je demande c’est d’avoir la “sécurité” NAT comme pour l’IPv4. Comme ça les gens ne pourront plus dire que l’ipv6 c’est pas securisé parce que t’as une adresse publique. Mais je souhaite bien sûr que se soit beaucoup plus paramétrable pour des besoins plus spécifique.

corrector (corrector)
Friday 28 January, 2011 20:35:19

@ Malkuth33

Tu ne veux pas expliquer précisément quel est le problème que tu essaies de résoudre, ni ce dont tu as besoin... pourquoi pas.

Mon avis sur la question dont tu n’as pas envie mais que je donne quand même :

Tu es incapable de définir ce dont tu as besoin au juste. Tu dis “pare-feu” comme une formule magique pour ne pas avoir à y penser.

ucune envie de géré indépendamment les 15 machines réseau 1 par une, un pare feu ferais le même résultat en 2 minutes.

Si tu ne veux prendre le temps de gérer chaque machine, aucun pare-feu ne va le faire à ta place, hein.

Le minimum que je demande c’est d’avoir la “sécurité” NAT comme pour l’IPv4.

Quelle sécurité au juste?

siilyaorno (siilyaorno)
Friday 28 January, 2011 21:11:52

@corrector: on est vendredi les trolls sont permis ?

corrector (corrector)
Friday 28 January, 2011 21:33:22

C’est un troll de dire que les “firewall” ne servent à peu près à rien?

De dire que ceux qui disent qu’il leur en faut impérativement un n’ont pour la plupart pas la moindre idée de ce que leur “firewall” chéri est censé faire, des menaces qu’il doit éliminer, des autres solutions plus simples et plus fiables qui aboutiraient au même résultat?

Par exemple: tu sais que ton serveur web est sur tel port sur tel IP ⇒ autoriser.

Tu as réellement des serveurs Web sur les autres machines de ton LAN?

Le minimum que je demande c’est d’avoir la “sécurité” NAT comme pour l’IPv4.

Les guillemets autour de sécurité, c’est pour dire que tu sais que ça n’en est pas?

chninkel (chninkel)
Friday 28 January, 2011 23:34:41

Bonsoir corrector,

Si tu ne ressens pas le besoin d’un firewall ipv6, ne te sens pas obligé de commenter ce bug. Je pense que Free saura très bien gérer ses priorités sans que tu aies besoin d’argumenter l’inutilisé d’un firewall ipv6 (et je te rassure, cela m’étonnerait que ce soit dans leur top list).

Par rapport à tes remarques:

- Malkuth33 te l’a déjà dit, un firewall permet de gérer de manière centralisé les restrictions de port sans avoir à configurer indépendamment toutes les machines, qui peuvent d’ailleurs fonctionner avec des logiciels de filtrage différents.

 Et tu vas bien prendre le temps de définir les règles de chaque serveur mais d'une part sur une interface unique, d'autre part tu ne vas pas te préoccuper de gérer les restrictions d'accès au réseau local puisque tout est bloqué avant.

- C’est une manière plus sûr d’appliquer la politique de laisser passer uniquement les flux autorisés, car quel que soit le composant qui est branché sur le réseau:

  • si un ami de passage veut utiliser ton réseau, tu n’as pas à aller vérifier sa configuration de sécurité,
  • si j’installe un nouvel élément sur le réseau, je n’ai pas à me préoccuper de configurer tout de suite les restrictions d’accès ipv6 avant de pouvoir le connecter,
  • demain de plus en plus d’éléments pourront se brancher sur le réseau en ipv6 sans que leur capacité de filtrage soit forcément bien configurée / configurable.

Et oui, des personnes ont des serveurs Web sur le LAN, il y en a même sûrement plus chez les personnes qui ont activé l’ipv6 car pour activer l’ipv6, il faut généralement déjà s’intéresser à l’informatique.

bip91 (bip91)
Monday 31 January, 2011 22:57:30

Chninkel +1
Je suis en IPV4/IPV6 avec des serveurs locaux perso ouvert de temps à autres, j’ai actuellement un routeur filtrant derrière la box pour IPV6 pour autoriser certains accès entrants et pas d’autres. L’idée d’un firewall sur chaque machine est assez saugrenue et en tout état de cause contraire à toute politique de sécurité élémentaire de toute organisation, même familiale.

Ce que j’attends d’un Firewall famillial sur FBX me permettant de recycler mon routeur :

  1. filtrage horaire pour certaines machines ⇒ +1 pour free sur FBX V6
  2. A minima filtrage de l’init de flux entrant par nom de protocole (trop compliqué sinon pour les newbies) vers une adresse interne (par ex. FTP sur machine 2010::0:1) et eventuellement depuis une adresse externe.
  3. filtrage black-list et/ou white-list sur pattern d’url

(le must serait de pouvoir donner une URL et de pouvoir appliquer le filtrage à une classe d’adresse interne typiquement “juniors”)

corrector (corrector)
Tuesday 1 February, 2011 13:15:08
L’idée d’un firewall sur chaque machine est assez saugrenue et en tout état de cause contraire à toute politique de sécurité élémentaire de toute organisation, même familiale.

Ah bon, depuis quand? C’est une nouvelle théorie?

On peut en savoir plus?

corrector (corrector)
Tuesday 1 February, 2011 13:30:39
- Malkuth33 te l’a déjà dit, un firewall permet de gérer de manière centralisé les restrictions de port sans avoir à configurer indépendamment toutes les machines, qui peuvent d’ailleurs fonctionner avec des logiciels de filtrage différents.

Entre “l’extérieur” et “l’intérieur”.

* si un ami de passage veut utiliser ton réseau, tu n’as pas à aller vérifier sa configuration de sécurité,

La sécurité du PC de ton ami face aux menaces venant extérieur c’est la responsabilité de ton ami pas la tienne. Je ne vois pas pourquoi tu la prends en charge, ni ce qui te fait penser que tes règles de filtrage lui conviendront. Je rappelle qu’un port est un numéro intrinsèquement sans signification.

La sécurité de tes PC par contre c’est ton problème : là le PC de ton ami va pouvoir attaquer les autres machines de ton réseau. Chouette!

* demain de plus en plus d’éléments pourront se brancher sur le réseau en ipv6 sans que leur capacité de filtrage soit forcément bien configurée / configurable.

Si leur comportement sur le réseau est incontrôlable alors il ne faut pas les raccorder au réseau, c’est évident.

Et oui, des personnes ont des serveurs Web sur le LAN, il y en a même sûrement plus chez les personnes qui ont activé l’ipv6 car pour activer l’ipv6, il faut généralement déjà s’intéresser à l’informatique.

Oui, et alors?

Avec tout ça, je ne vois pas le début d’une description des menaces que le pare-feu central est censé bloquer.

L’idée que la sécurité (en général) d’un ensemble PC peut s’obtenir par un boitier intermédiaire est parfaitement grotesque. La plupart du temps, les “pare-feu” font parti du problème et pas de la solution.

corrector (corrector)
Tuesday 1 February, 2011 13:43:22
- A minima filtrage de l’init de flux entrant par nom de protocole

Concrètement, comment la boite filtrante est censée faire cela?

- filtrage black-list et/ou white-list sur pattern d’url
> (le must serait de pouvoir donner une URL et de pouvoir appliquer
> le filtrage à une classe d’adresse interne typiquement “juniors”)

Les “juniors”, c’est ceux qui ne savent pas contourner ce filtrage?

Malkuth33 (Malkuth33)
Tuesday 1 February, 2011 13:59:58

T’est lourd mec, c’est pas un forum de discution, on as bien compris ton avis d’expert de renommé international sur les pares-feu. Toutefois nous -bande d’ignare qui nous complaisons dans notre ignorance crasse- persistons dans notre débilité profonde et continuerons a pensé que la sécurité des réseau passe par une stratégie complète qui se met en œuvre tant au niveau de chaque machine que par la sécurisation des nœuds d’interface interne/externe. Toutefois, j’attire ton attention sur le fait que personne ici n’ai dis que le pares-feu était LA solution a TOUS les problèmes de sécurité et que sa mise en place rendrais caduque tout autre méthode de protection. Nous n’avons pas sans doute ta toute puissante connaissance, toutefois nous n’avons pas non plus le ton arrogant et ne soufrant aucune critique que tu emploi sans même savoir quels sont les compétence réel des personnes auxquels tu t’adresse.

Encore une fois, je me fous pas mal de ton avis sur la question surtout lorsqu’il est exprimé d’une maniére aussi obtuse et vindicative.

corrector (corrector)
Tuesday 1 February, 2011 14:01:44

@ siilyaorno

Tu pense vraiment que la machine est intéligente ?

Je pense qu’elle fait ce qu’on lui demande de faire.

Si on lui dit de mettre une socket en écoute, c’est bien pour recevoir des requêtes sur cette socket.

Si on active un serveur FTP, c’est pour accepter des connexions FTP.

Je pense aussi que l’utilisateur est assez intelligent pour désactiver le serveur FTP quand il n’en a plus besoin plutôt que de le laisser activé avec un pare-feu qui bloque toutes les connexions au serveur FTP.

Blague à part, le firewall je lui dit ce qu’il doit faire il n’a surtout pas à réfléchir et c’est ce que je lui demande.

Le problème est d’arriver à dire au pare-feu ce qu’il doit faire pour parvenir à l’objectif initial.

La plupart du temps c’est impossible, ne serait-ce parce que l’objectif initial est ambiguë et contradictoire.

Je me demande ce que les partisans du boitier filtrant pensent d’UPnP IGD (version Freebox, pas version je-redéfinis-les-DNS-par-UPnP).

corrector (corrector)
Tuesday 1 February, 2011 15:17:00
T’est lourd mec, c’est pas un forum de discution,

Alors c’est quoi?

on as bien compris ton avis d’expert de renommé international sur les pares-feu.

T’as rien compris c’est pas croyable.

Je n’ai JAMAIS utilisé d’argument d’autorité. Je ne sais pas où tu as vu ça.

Je pose des questions. La question principale étant : de quoi avez-vous besoin précisément?

Toutefois nous -bande d’ignare qui nous complaisons dans notre ignorance crasse- persistons dans notre débilité profonde et continuerons a pensé que la sécurité des réseau passe par une stratégie complète qui se met en œuvre tant au niveau de chaque machine que par la sécurisation des nœuds d’interface interne/externe.

Ah, maintenant tu as une “stratégie complète”; avant tu disais :

ucune envie de géré indépendamment les 15 machines réseau 1 par une, un pare feu ferais le même résultat en 2 minutes.

Ma réponse :
Pour être tranquillisé en 2 secondes, prends un Xanax.

Toutefois, j’attire ton attention sur le fait que personne ici n’ai dis que le pares-feu était LA solution a TOUS les problèmes de sécurité et que sa mise en place rendrais caduque tout autre méthode de protection.

Si, c’est bien ce qui était sous-entendu par les différents commentaires.

Nous n’avons pas sans doute ta toute puissante connaissance,

Juste un peu d’esprit critique.

toutefois nous n’avons pas non plus le ton arrogant et ne soufrant aucune critique que tu emploi

N’importe quoi.

Apprends à lire.

sans même savoir quels sont les compétence réel des personnes auxquels tu t’adresse.

Vu le niveau des réponses, elles ne doivent pas être très élevées.

Encore une fois, je me fous pas mal de ton avis sur la question surtout lorsqu’il est exprimé d’une maniére aussi obtuse et vindicative.

Je crois que tu es vraiment limité intellectuellement, alors tu réponds de la seule façon à ta portée.

muii (muii)
Wednesday 6 April, 2011 13:38:59

corrector a écrit:
> La sécurité du PC de ton ami face aux menaces venant extérieur c’est la responsabilité de ton ami pas la tienne
C’est FAUX, si ton ami a un serveur pas à jour susceptible d’être attaqué, qu’il se branche à partir de ton réseau, et que son poste est pris en contrôle de l’extérieur pour effectuer des actions illégales depuis chez toi, c’est la responsabilité du détenteur de la ligne qui sera mise en cause devant la justice.
Alors que ceci n’arriverait pas si le service de ton ‘ami’ n’était pas exposé publiquement.

corrector (corrector)
Wednesday 6 April, 2011 14:39:15

Si c’est le PC de ton ami, on est d’accord que c’est lui qui est responsable juridiquement?

bip91 (bip91)
Monday 27 June, 2011 10:19:02

Très bien, pour avancer un peu dans la discussion sur les fonctions de routeurs et firewall :

  1. il est évident que chaque machine doit être sécurisée par elle-même, ceci n’est pas du ressort de la freebox
  2. Un routeur possède généralement plusieurs zones pour permettre de definir différents niveaux de sécurité par zones
    1. Les “amis” pourront par exemple acceder à internet, mais pas forcement à toutes les ressources locales

(ils peuvent toutefois avoir accès aux imprimantes(qui n’ont pas de capacités de filtrage d’adresse))

  1. Le reseau local permet un partage plus large des services

(accès à des disques partagés, voir des serveurs partagés, accès aux imprimantes, ...)

  1. Dans un contexte IPV6 ou toutes les adresses sont disponibles, il est egalement utile de définir des serveurs internes accessibles explicitement depuis l’extérieur. Il s’agit de la meme problematique qu’en entreprise, ou tout accès interne est interdit sans être explicitement autorisé.
  2. Si je veux pouvoir faire un peu de reservation de bande passante à certaines heures sur certains protocoles, il est également nécessaire d’avoir la possibilité de parametrer le routeur/firewall freebox

Pour realiser cela, je dois pour l’instant avoir “routeur/frewall” en interne en amont de la freebox.

corrector (corrector)
Tuesday 28 June, 2011 02:49:58
- Les “amis” pourront par exemple acceder à internet, mais pas forcement à toutes les ressources locales

Permettre d’avoir plusieurs sous-réseaux derrière la box?

Bonne idée!

Jsl1 (Jsl1)
Saturday 25 February, 2012 16:01:06

Bonjour,

Pas de nouvelles de l’implémentation d’un firewall ipv6?
J’attend aussi cette fonctionnalité avec impatience :)

corrector (corrector)
Saturday 25 February, 2012 16:07:42

@Jsl1
Quelles fonctionnalités?

Jsl1 (Jsl1)
Saturday 25 February, 2012 17:49:50

@corrector :
Les fonctionnalités minimales que je demande sont :
- Blocage du trafic ipv6 entrant
- Autoriser uniquement la connexion à certaines machines sur certains ports
Fonctionnalités supplémentaires qui m’intéressent (mais rien a voir avec un firewall)
- Gestion des vlan
- Avoir du QoS pour filtrer/limiter/prioriser certains protocoles réseau

bip (bip)
Monday 19 March, 2012 22:25:58

La freebox est un outil extraordinaire qui permet de limiter les équipements supplementaires dans le réseau internet routeur, ...
Avec ipv6, l’autoconfiguration permet de simplifier encore la topologie mais ne facilite pas la mise en ouvre de filtrage au niveau routeur.

La seule fonctionnalité manquante se trouve donc être le FW,
et la première fonction à apporter est sans nul doute le filtrage des flux entrants, avec un ouverture discretionnaire par ip des protocoles les plus communs.

Cette première fonction garantirait un peu plus la sécurité des passoires existant chez tout un chacun.

drooky (drooky)
Friday 11 May, 2012 11:24:28

+1 a cette demande

le minimum demandé:

offrir le meme niveau de securité qu’en ipv4 donc comme si on etait derriere un PAT donc et upnp pour ouvrir les entrées (ou manuellement via la console freebox)

on a pas besoin de la richesse (et lourdeur) d’un vrai firewall je pense.

corrector (corrector)
Saturday 12 May, 2012 23:06:08
offrir le meme niveau de securité qu’en ipv4 donc comme si on etait derriere un PAT donc et upnp pour ouvrir les entrées (ou manuellement via la console freebox)

Et donc se retrouver avec un accès non neutre?

Je trouve cette idée vraiment détestable.

drooky (drooky)
Sunday 13 May, 2012 06:41:08

un accès non neutre ?! ca veut rien dire dans ce contexte. precisez?

Je parle dans le contexte de “monsieur tout le monde” pas des geeks bidouilleurs.

Tout comme la box actuelle peut etre mis en mode bridge pour les bidouilleurs , elle est par defaut en mode routeur+PAT+dhcp local pour “monsieur tout le monde”: ce qui est tout a fait normal et souhaitable.

On demande juste le meme niveau de securité pour l’IPv6 avec possibilité de desactiver cette “securité” dans la console. et on demande pas un vrai PAT comme en IPv4 (ca serait idiot de PATer du v6 de toute facon), juste le meme niveau de securité qu’offre le PAT de la v4 (donc tout les ports fermés par defaut si pas ouvert suite a une demande interne, comme un statefull firewall quoi).

l’idee est que, par defaut, l’equipement de monsieur tout le monde ne soit pas plus “exposé” en v6 quand v4 , rien de plus. c’est pas compliquer a faire en plus.

corrector (corrector)
Sunday 13 May, 2012 06:45:25

> Je parle dans le contexte de "monsieur tout le monde" pas des geeks bidouilleurs. "monsieur tout le monde" est défini dans quelle RFC? > On demande juste le meme niveau de securité Justement, j'étais curieux de connaitre ce niveau de sécurité : il est défini où?

drooky (drooky)
Sunday 13 May, 2012 08:15:35

votre niveau de bétise est clairement defini dans ce sujet. ca on a aucun doute la dessus. j'arrete les frais avec le troll de service, j'avais pas vu ses messages precedents. my bad.

corrector (corrector)
Sunday 13 May, 2012 08:23:12

Donc tu ne sais pas ce que "monsieur tout le monde" signifie. Tu balances ça à tous hasards, dans l'espoir d'impressionner par ta science rhétorique. Pas de chance, ça ne marche pas avec moi. > j'arrete les frais avec le troll de service, j'avais pas vu ses messages precedents. Tu n'as donc aucun argument. C'est noté.

bip (bip)
Sunday 13 May, 2012 13:47:37

Et un acces neutre ou non neutre, c'est quoi pour un particulier ? ... Fatigué d'avoir des retours non constructifs ? Ce que monsieur tout le monde souhaite, c'est simplement d'avoir une protection minimum sur les flux entrants, sans avoir à intégrer des matériels complémentaires. Corrector, Tu es contre un Firewall IPV6, c'est dit une fois dans le thread, cela suffit. Pas la peine de monopoliser le sujet pour empêcher la discussion !!! Fin du coup de gueule !

corrector (corrector)
Sunday 13 May, 2012 13:49:32

C'est quoi "un particulier"? Qu'est-ce que ça a particulier "un particulier"? Quelle différence avec un non-particulier? C'est quoi les "flux entrants"? > Corrector, Tu es contre un Firewall IPV6, c'est dit une fois dans le thread, cela suffit. Tu es flic?

Pouet78 (Pouet78)
Tuesday 28 August, 2012 14:45:49

Le besoin me paraît assez simple a décrire: Dans un réseau local tu veux avoir des services disponibles qui ne le soient pas depuis l'extérieur. Un exemple très concret, avec des machines Windows et un partage de fichier actif tu peut vouloir ne pas mettre de mots de passes entre tes machines mais que l'Internet entier ne puisse pas venir chez toi. Et même si tu mets des mots de passes, étant donné que tu ne souhaite pas avoir la fonctionnalité sur internet, et sachant le grand nombre de failles de sécurités sur les ports 135-139 découvertes régulièrement; bloquer purement ces ports depuis Internet vers le réseau interne serait quand même appréciable. Actuellement le fait d'avoir besoin d'un NAT, donne dans les faits la fonctionnalité en IPv4. Mais elle n'est pas disponible en IPv6! :( C'est bien la raison qui m'empêche d'activer l'IPv6 (même si je n'ai aucun Windows chez mai mais uniquement des Mac et des Linux ;) )

corrector (corrector)
Friday 31 August, 2012 23:30:05

> Dans un réseau local tu veux avoir des services disponibles qui ne le soient pas depuis l'extérieur. Je comprends bien. Ce filtrage est très facile à faire au niveau de chaque PC, soit au niveau des serveurs, soit au niveau du filtre de paquets (même sous Windows avec la fonction "pare-feu" intégrée à Windows). Je ne vois pas l'utilité d'un filtrage en bordure, à part pour éviter les usurpations d'adresses IP (rp_filter) ce qui ne peut être fait qu'en bordure.

Pouet78 (Pouet78)
Saturday 1 September, 2012 09:33:10

Les intérêts sont : 1/ Un firewall sur une passerelle intermédiaire est toujours plus efficace qu'un autre intégré aux postes clients/serveurs. 2/ Il est plus facile et efficace de gérer un firewall central qu'un firewall sur chaque machine 3/ Si un invité viens sur mon réseau, je ne vais pas aller lui demander d'activer son firewall parce que chez moi ce n'est pas sécurisé. Un firewall IPv6 simpliste serait de d'avoir une option pour avoir par défaut les flux sortants autorisés et entrants non; reprendre une interface proche de celle utilisée pour le NAT IPv4 afin d'autoriser certains ports vers certaines IP. L'idéal serait un peu plus complexe avec une gestion des adresses par DNS pour éviter de devoir se souvenir de tous ces chiffres ;)

corrector (corrector)
Saturday 1 September, 2012 09:47:01

> 1/ Un firewall sur une passerelle intermédiaire est toujours plus efficace qu'un autre intégré aux postes clients/serveurs. En quoi? On parle bien du filtrage des connexions entrantes, là. Dans le sens sortant, je suis favorable à ce qu'un filtrage configurable soit proposé (avec par défaut : aucun filtrage sauf tcp/25) avec alerte en cas de tentative d'envoi de paquets. > 2/ Il est plus facile et efficace de gérer un firewall central qu'un firewall sur chaque machine Au contraire! Comment connaitre au niveau central tous les protocoles utilisés sur chaque machine, tous les ports à filtrer ou à laisser passer? Comment maintenir à jour la configuration quand les machines sont ajoutés/enlevées? Maintenir un pare-feu c'est infernal. Et on fait des erreurs de configuration. Résultat quand une application ne marche plus on désactive complètement le filtrage, ce qui fait qu'on est au final moins protégé. Et surtout : Comment l'éditeur d'un logiciel va expliquer à ses utilisateurs qu'il faut désactiver le filtrage de tel port sur l'interface de sa box, alors qu'il ne peut connaitre toutes les interfaces de toutes box? Je trouve l'idée franchement ridicule. > 3/ Si un invité viens sur mon réseau, Dans ce cas c'est son système, donc son problème. Surtout je n'ai pas à lui demander si je dois changer la configuration de la box pour lui. > je ne vais pas aller lui demander d'activer son firewall Bien sûr qu'il faut lui dire d'activer son filtre de paquets! Il ne doit pas dépendre d'une barrière qui peut être présente ou non. > parce que chez moi ce n'est pas sécurisé. lol **Ce ne serait pas sécurisé de disposer d'un accès au net?** Ah oui, le principe de précaution. Pour cela, on ne se connecte à aucun réseau (ni Internet ni LAN) et évidemment on ne branche aucun périphérique (USB, Firewire, HDMI...).

corrector (corrector)
Saturday 1 September, 2012 09:53:39

> Un firewall IPv6 simpliste serait de d'avoir une option pour avoir par défaut les flux sortants autorisés et entrants non; Comment tu définis "flux sortant"? ;) > reprendre une interface proche de celle utilisée pour le NAT IPv4 afin d'autoriser certains ports vers certaines IP. Super, cette même interface que les utilisateurs ont beaucoup de mal à comprendre. "Comment faire pour installer un serveur FTP" est une question classique qu'on trouve sur tous les fora. (Et souvent avec des réponses surréalistes de pseudo informaticiens du dimanche d'une incompétence rare.) > celle utilisée pour le NAT IPv4 Ce même système dont personne n'a voulu me dire quels ALG il supportait? > L'idéal serait un peu plus complexe avec une gestion des adresses par DNS pour éviter de devoir se souvenir de tous ces chiffres ;) Pourquoi tu ne choisis pas des adresses IP plus faciles à mémoriser alors?

lloeki (lloeki)
Tuesday 18 September, 2012 20:56:16

> Comment tu définis "flux sortant"? ;) c.f protocole TCP C'est quand même pas compliqué. Airport Extreme fait ça très bien. Avec ip6tables ca donne: # subnet prefix subnet="2001:xxxx:xxxx:xxxx" pc1="${subnet}::xxxx" in_if="he-ipv6" lan_if="eth0" # First, delete all: ip6tables -F ip6tables -X # Allow anything on the local link ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT # Allow anything out on the internet ip6tables -A OUTPUT -o ${in_if} -j ACCEPT # Allow the localnet access us: ip6tables -A INPUT -i ${lan_if} -j ACCEPT ip6tables -A OUTPUT -o ${lan_if} -j ACCEPT # Filter all packets that have RH0 headers: ip6tables -A INPUT -m rt --rt-type 0 -j DROP ip6tables -A FORWARD -m rt --rt-type 0 -j DROP ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP # Allow Link-Local addresses ip6tables -A INPUT -s fe80::/10 -j ACCEPT ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT # Allow multicast ip6tables -A INPUT -d ff00::/8 -j ACCEPT ip6tables -A OUTPUT -d ff00::/8 -j ACCEPT # Allow ICMPv6 everywhere ip6tables -I INPUT -p icmpv6 -j ACCEPT ip6tables -I OUTPUT -p icmpv6 -j ACCEPT ip6tables -I FORWARD -p icmpv6 -j ACCEPT # Allow forwarding echo "1" > /proc/sys/net/ipv6/conf/all/forwarding ip6tables -A FORWARD -m state --state NEW -i ${lan_if} -o ${in_if} -s ${subnet}::/64 -j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH in ip6tables -A INPUT -i ${in_if} -p tcp --dport 22 -j ACCEPT ip6tables -A FORWARD -i ${in_if} -p tcp -d ${pc1} --dport 22 -j ACCEPT # Set the default policy ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT DROP --- Ca n'empêche pas d'avoir une protection par poste. Mais une bonne sécurité c'est forcément multi-niveaux.

corrector (corrector)
Tuesday 18 September, 2012 21:11:06

> > Comment tu définis "flux sortant"? ;) > c.f protocole TCP Tu te fous de moi? > C'est quand même pas compliqué. Tu plaisantes? C'est affreusement complexe. > Airport Extreme fait ça très bien. Tu plaisantes? Ta réponse c'est : ce que fait machin? > Mais une bonne sécurité c'est forcément multi-niveaux. *Foutaise.* Tu introduis une complexité considérable sur un machin que tu ne contrôles pas. Et en plus tu ne te rends pas compte que tu introduis de la complexité, ce qui est la pire complexité : celle qu'on oublie de compter (en général la complexité qu'on sait bien mesurer avec les "métriques" patentées ne fait aucun mal). La complexité (surtout qu'on ne voit pas bien) va à l'encontre de la sécurité. Les intermédiaires qui interviennent sur qu'ils ne comprennent pas (la Freebox ne comprend pas ce que essaie de faire), aussi. Les logiciels hors d'atteinte (tu ne peux pas configurer la Freebox) aussi. On en a assez bavé avec le "mode routeur", certains sont masos et en redemandent!!!

bip (bip)
Wednesday 19 September, 2012 07:56:17

Effectivement lloeki, Une approche aussi simple de filtrage avec une petit interface d'autorisation de flux TCP entrant serait largement suffisante (par exemple pour ajouter les SSH dans ton exemple). Pour l'interface, une interface type "j'autorise un flux pour (telle/toutes) machine" est simple à mettre en place. OK egalement pour la securisation à 2 niveaux

corrector (corrector)
Wednesday 19 September, 2012 11:42:33

TCP est a priori simple (en tout cas on peut définir entrant/sortant). Comment traiter UDP? > OK egalement pour la securisation à 2 niveaux À condition : - que ça ne deviennent pas incompréhensible - que les problèmes n'incitent pas les utilisateurs à complètement désactiver les "pares-feu"

bip (bip)
Wednesday 19 September, 2012 13:00:16

Pour UDP, il est nécessaire de connaitre le protocole pour faire un filtrage efficace, car cela peut être à peu prêt n'importe quoi. Par exemple : 1. des protocoles bien normé DNS (53 dans les 2 sens), 2. soit sur un ensemble de ports aléatoires et port d'init ou de communication de base (jeux, video, voip, ...) Dans ce cas, j'en conviens, ce n'est pas à la freebox de faire le suivi des sessions. Si le port est ouvert pour un couple (machine, port) ou (reseau/port), c'est aux machines de traiter (FW local) Cependant la freebox peut, en amont, dropper tout ce qui n'est pas explicitement autorisé. Pour que cela devienne compréhensible une autre approche est avec UPNP où chaque service défini ses besoins (http://upnp.org/specs/gw/UPnP-gw-WANIPv6FirewallControl-v1-Service.pdf). Une validation initiale (machine, service) sur l'interface freebox serait alors nécessaire pour valider la mise à disposition externe du service.

corrector (corrector)
Wednesday 19 September, 2012 13:24:33

http://upnp.org/specs/gw/UPnP-gw-WANIPv6FirewallControl-v1-Service.pdf Wouah! > To avoid some potential security issues, it is not possible for control points to retrieve information on any pinholes; For example, a control point can't retrieve information like the external port or the remaining lease duration of any pinhole (even if the CP created this pinhole). Ou comment rendre le diagnostique impossible! :(

DSC44 (DSC44)
Saturday 13 October, 2012 17:24:28

Bonjour, Le rôle d'un Firewall est de limiter les flux entrants ET sortants mais aussi de tracer d'éventuelles tentatives de non respects des règles... En IPv4, le NAT nous apporte une première protection qui n'existe plus en IPv6. Le filtrage par port des flux entrant devrait selon moi être généralisé en IPv6. Pour les flux sortants, j'aimeras pouvoir forcer tous les ordinateurs à passer par un proxy cela nécessite de pouvoir filtrer les flux en provenances de mes ordinateurs au niveau du routeur FREEBOX sur des critères de type @MAC, @IP, port. La mise en place d'un VPN entrant, pour permettre d'accéder au réseua local à partir d'unternet pourrait aussi être un plus. Mon serveur NAS le permet, mais tout le monde n'a aps de serveur NAS, encore moins avec cette fonctionnalité... Il me semble plus logique de mettre un Firewall au niveau du routeur d'entrée (FREEBOX) qu'au niveau de chacune des machines du reseau local. Tous les FREEman ne sont pas des experts LINUX ou WINDOWS. Cela n'empeche pas de faire de la defense en profondeur..

pywy (pywy)
Thursday 14 March, 2013 15:22:58

un firewall ipv6 sur la freebox n'a pas de sens. Ipv6 n'est pas fait pour fonctionner comme cela (excepté en mode NAT) La freebox route seulement les paquets ipv6 vers leurs destinataires, sans se soucier des numéros de ports, des protocols etc... C'est a chaque élément connecté d'assurer lui meme sa sécurité.

lloeki (lloeki)
Thursday 14 March, 2013 15:51:50

> Ipv6 n'est pas fait pour fonctionner comme cela IPv6 est _évidemment_ fait pour fonctionner comme cela. (voir mon exemple ip6tables au dessus) > (excepté en mode NAT) [...] La freebox route seulement les paquets ipv6 [...] Voici encore une fois voici un amalgame malheureux entre Firewall et NAT. > C'est a chaque élément connecté d'assurer lui meme sa sécurité. C'est à chaque élément en mesure d'assurer une sécurité qu'il revient d'assurer un élément de sécurité. Il est évident que les machines connectées doivent assurer leur propre sécurité dans la mesure du possible. Ceci n'empêche en rien d'appliquer une politique globale d'accès aux ressources dans notre prefix (au contraire, la meilleure sécurité s'effectue par couches successives), et le routeur en charge du prefix (dans ce cas la Freebox) a un emplacement privilégié dans la topologie du réseau pour ce rôle. En outre, tant en termes de capacités des divers utilisateurs (mamie du Cantal) que de la (l'ir)responsabilité de certains implémenteurs de firmwares (imprimantes...) qu'on pourrait qualifier de gruyères, et dans le meilleur des cas peu analysés et rarement mis à jour, qui offrent une tête de pont fantastique (et parfois irrévocable, c.f vulnérabilité des imprimates HP) dans un réseau local, il me parait tout simplement obligatoire et une simple question de bon sens que la politique par défaut de la Freebox Server soit de dropper les paquets ingress non nécessaires à la tenue du réseau (c.f ICMPv6 types 1, 2, 3, 4, 128 et 129)

lloeki (lloeki)
Thursday 14 March, 2013 15:55:18

> (c.f ICMPv6 types 1, 2, 3, 4, 128 et 129) Il s'entend que ces paquets sont nécessaires et ne doivent pas être droppés, par exemple pour le Path MTU discovery. Mon exemple ip6tables, pour des raisons de simplification, accepte tous les ICMPv6.

pywy (pywy)
Thursday 14 March, 2013 16:14:56

>Voici encore une fois voici un amalgame malheureux entre Firewall et NAT. Non, pas d'amalgame, pas de NAT non plus. Juste un routeur. la freebox route en ipv6, elle ne doit pas filtrer (meme si la mamie du cantal y capte un belin et que les FW des imprimantes HP soient codées avec les pieds) >le routeur en charge du prefix (dans ce cas la Freebox) a un emplacement privilégié dans la topologie du réseau pour ce rôle. Un emplacement de routage, point barre. >IPv6 est _évidemment_ fait pour fonctionner comme cela. (voir mon exemple ip6tables au dessus) ton exemple ip6tables est certes sympa, mais il n'est judicieux que la freebox aie ce role. Si tu veux faire cela, mets le mode bridge et mets ton ip6tables aux oignons comme tu en as envie, nan ?

lloeki (lloeki)
Thursday 14 March, 2013 16:34:39

> Juste un routeur [...] elle ne doit pas filtrer Tous les routeurs qu'ils soient pro du Cisco au Zyxel, ou orientés grand public genre Airport Express/Extreme/TC, Linksys, Netgear, etc.. font ca très bien, _parce que c'est leur rôle_. En outre il est nécessaire que toute forme de filtrage soit sur le routeur lui même *par conception* dès que tu as plusieurs routes (notamment policy routes). Tout ca pour dire que l'argument "c'est un routeur, pas un firewall" est tout simplement ridicule. > Si tu veux faire cela, mets le mode bridge et mets ton ip6tables aux oignons comme tu en as envie, nan ? Perdu, l'IPv6 de free c'est du 6to4rd, et la freebox est le next hop de l'extérieur vers le /64, _même en bridge_, ce qui fait que tu peux rien router derrière à moins de bricoler avec du neighboring ou du ebrouting et franchement, c'est une usine à gaz bien fragile et aux contraintes supplémentaires pour contourner un problème qui ne devrait simplement pas exister (la Freebox étant le next hop en entrée sur le /64, c'est à elle de faire le tri). Même dans ce cas de bricolage, il est ridicule de ne serait-ce qu'envisager rajouter un équipement en série, complètement redondant avec la Freebox. Donc, non, j'en ai pas envie.

pywy (pywy)
Friday 15 March, 2013 09:23:22

Juste un peu de lecture sur ce sujet, pour ceux que ca interesse. http://www.bortzmeyer.org/6092.html J'arrete la le débat sans fin inutile.

corrector (corrector)
Friday 15 March, 2013 11:14:09

> En outre il est nécessaire que toute forme de filtrage soit sur le routeur lui même *par conception* dès que tu as plusieurs routes (notamment policy routes). Je voudrais pas briser tes illusions, mais je pense qu'on n'est pas près d'avoir la possibilité de configurer différentes politiques de routage sur la Freebox. > > Si tu veux faire cela, mets le mode bridge et mets ton ip6tables aux oignons comme tu en as envie, nan ? > Perdu, l'IPv6 de free c'est du 6to4rd ce qui n'a aucune importance ici > et la freebox est le next hop de l'extérieur vers le /64, _même en bridge_, Alors voilà, demande le mode bridge en IPv6, ce sera quand même plus simple de configurer ça (il suffit d'indiquer une adresse de passerelle à la Freebox) que de paramétrer les filtres de paquets sur une pauvre interface Web.

Xavier12 (src386)
Tuesday 7 July, 2015 18:47:51

+1
Ce serait bien que le trafic entrant soit bloqué par défaut (juste du RELATED,ESTABLISHED) et que le menu de l'IPv6 sur FreeboxOS permette d'ouvrir des ports.

Jean-Michel P (gnutella)
Saturday 15 August, 2015 08:56:32

Nous utilisons OpenWRT pour filtrer en entrant, faute d'un support complet sur la Freebox.
Pour information, c'est possible de filtrer sous OpenWRT.

Lire : http://wiki.openwrt.org/doc/howto/freebox

Un utilisateur qui se connecte en IPv6 derrière une freebox se retrouve exposé "à poil" sur Internet.
Illiad prend prendre en compte les impératifs de sécurité en offrant une solution sécurisée aux utilisateurs, en amont.

C'est ensuite que les utilisateurs pourront migrer vers IPv6.

Si Illiad ne le fait pas, ce sera la concurrence.
Vous n'avez pas vraiment le choix : si la Freebox Révolution est une box haut-de-gamme, elle doit proposer des service haut-de-gamme.

David B. (baudav)
Sunday 6 December, 2015 14:33:27
Flunch (flunch)
Thursday 3 November, 2016 16:30:44

Comme ça fait un bail que ce sujet est ouvert en vain ...
Il me semble indispensable que la freebox, qui est chez 95% des gens le seul objet capable de réellement faire office de firewall, soit capable de bloquer les connexions entrantes par défaut en IPv6.
Avec les failles monumentales qui se trouvent dans tous les objets connectés (cf DDOS récent chez dyndns) et même sur les systèmes d'exploitations grands publics, c'est une vrai faille que l'ipv6 soit même activé par défaut sur les freebox ...

Juan Rodriguez Hervella (yonailo)
Wednesday 9 November, 2016 09:01:38

D'abbord essayons de faire en sorte que l'IPv6 marche sur la Freebox, chez moi ça fait des semaines où ça ne marche pas/plus.

David B. (baudav)
Wednesday 9 November, 2016 18:14:30

@rdh: ça fonctionne
ping google.fr

Envoi d'une requête 'ping' sur google.fr [2a00:1450:4007:806::2003] avec 32 octets de données :
Réponse de 2a00:1450:4007:806::2003 : temps=35 ms
Réponse de 2a00:1450:4007:806::2003 : temps=34 ms
Réponse de 2a00:1450:4007:806::2003 : temps=33 ms
Réponse de 2a00:1450:4007:806::2003 : temps=34 ms

et même NAS accessible en ipv6 depuis internet.

Flunch (flunch)
Thursday 10 November, 2016 15:10:21

@baudav ca fait plusieurs semaines que de nombreux freenautes ont des soucis de connexion en IPv6, cf bug #20719 .

Edouard Kleinhans (edouardkleinhans)
Tuesday 28 March, 2017 17:17:59

Bonjour,

des news sur ce sujet ?

zokiad (zokiad)
Thursday 6 April, 2017 15:21:28

Des nouvelles depuis 2011!
Fonctionnalité indispensable avant d'activer l'ipv6.
Au risque de retrouver l'imprimante, scanner et TV directement accessible sur le net. Super !
Et sans oublier les ordis des enfants qui bidouillent en partageant des dossiers windows sans mot de passe.

Vincent Moriaux (mvincent)
Thursday 6 April, 2017 15:24:26

Seulement 7 votes malheureusement !

drooky (drooky)
Thursday 6 April, 2017 20:10:07

j'avoue que Free est assez irresponsable sur ce coup. Il faut attendre des plaintes ou un drame pour qu'ils réagissent ?

Juan Rodriguez Hervella (yonailo)
Friday 7 April, 2017 08:16:07

J'avoue que filtrer IPv6 à niveau de la box peut-être ce n'est pas une bonne idée, étant donné que les adresses IPv6 sont publiques, c'est la responsabilité du host qui a l'adresse de se protéger. En ce qui concerne IPv6, la box devrait être transparent, ce n'est pas pareil qu'avec IPv4 où il faut définir de règles de NAT. La promesse d'IPv6 est de rétablir le modèle d'internet 'end-to-end', alors si on commence à filtrer à niveau de la box, ça casse une des vrais avantages de ce modèle.

zokiad (zokiad)
Friday 7 April, 2017 09:00:13

Dans la théorie, je suis d'accord avec vous. Mais dans la pratique, vous avez des utilisateurs qui n'y connaissent rien (j'ai eu le cas d'un ami qui avait l'ipv6 activé , il avait partagé son dossier windows et son imprimante, il a très vite désactivé l'ipv6 quand je lui ai montré que l'on pouvait imprimer et accéder à ses fichiers depuis internet). Vous avez aussi la multiplication des objects connectés qui n'ont pas ou plus de correction de sécurité ... Tout ceci est une bombe à retardement pour des attaques DDOS par exemple.
Donc en théorie, c'est effectivement l'host qui devrait filtré. En pratique, on s'appercoit que les hosts peuvent avoir des défaults humain et de support, c'est plus sécurisé directement par la box.

Après un firewall permet de configurer des hosts qui peuvent être accessible. Donc la solution c'est firewall avec des règles: tout bloqué sauf les hosts...

drooky (drooky)
Friday 7 April, 2017 17:44:46

@juan: faut pas confondre NAT et firewall. Par nature, le NAT en IPv4 fait aussi office de firewall (du moins en entrée). En IPv6 ce n'est pas parce que'on a plus de NAT et du 'end-to-end' (ce qui est une bonne chose) qu'on ne doit plus avoir de firewall. Le problème est que le NAT a disparu ce qui est bien mais du coup y'a plus rien qui fait firewall.

La jolie théorie d'avoir un 'firewall' sur chaque appareil et rien sur la box est une utopie et une complexité trop grande. Il est plus sur et simple de gérer la sécurité en 'un seul point de passage' que séparément sur plein d'appareils disparates.

Juan Rodriguez Hervella (yonailo)
Monday 10 April, 2017 15:36:46

@drooky : le personal firewall n'est pas une utopie, même windows l'a par défaut et depuis pas mal d'années.

Ceci dit, il existe un RFC qui conseille d'avoir un firewall IPv6 :
https://tools.ietf.org/html/rfc4864

"To implement simple security for IPv6 in, for example, a DSL or cable

 modem-connected home network, the broadband gateway/router should be
 equipped with stateful firewall capabilities.  These should provide a
 default configuration where incoming traffic is limited to return
 traffic resulting from outgoing packets (sometimes known as
 reflective session state).  There should also be an easy interface
 that allows users to create inbound 'pinholes' for specific purposes
 such as online gaming."

Ça devient urgent à mon avis :
https://www.itnews.com.au/news/ipv6-attacks-bypass-network-intrusion-detection-systems-457476

Mais je vous conseille, en attendant, si Free n'as pas les ressources pour traiter ce ticket, de bien vouloir mettre en place de firewalls IPv6 sur vos machine !! :)

zokiad (zokiad)
Monday 27 November, 2017 11:59:59

Il faut mieux conseiller la désactivation de l'ipv6 tant qu'il n'y a pas de firewall sur la freebox.

Bonjour (Pissenlit)
Monday 14 May, 2018 22:16:48

Bonjour,
Du neuf sur ce sujet ?
Il y a eu du mouvement ya quelques semaines suf la config ipv6 mais c'est pas clair pour moi.
En attendant j'ai désactivé...

zokiad (zokiad)
Tuesday 15 May, 2018 04:00:47

Toujours rien. Donc ipv6 désactivé. Peut etre avec la freebox v7 :)

Chargement...