Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par chninkel - 18/01/2011
Dernière modification par Thibaut Freebox - 13/06/2019

FS#4110 - Fonctionnalité de firewall en ipv6

Vu sur le bug http://bugs.freeplayer.org/task/3625, la “freebox server” est destinée à évoluer en fonctionnalité pour être un routeur complet et rendre le mode bridge inutile.

Dans ce cas, des fonctionnalités de firewall ipv6 seraient utiles pour pouvoir protéger les ordinateurs en ipv6 qui sont connectés derrière la freebox.

Fermée par  Thibaut Freebox
13.06.2019 14:19
Raison de la fermeture :  Evolution intégrée

+1

Pitchoun a commenté le 19.01.2011 18:43

Déja faudrait que free soit complètement en ipv6 alors qu’on a encore besoin de l’ipv4 pour se connecter à free (wifi ou autre)

On devrait pouvoir se connecter avec l’un ou l’autre. Alors que pour l’instant ca ne se connecte qu’avec une adresse ipv4 (ipv6 est juste rajoutée, mais sans l’ipv4 pas de connexion...)

“Dans ce cas, des fonctionnalités de firewall ipv6 seraient utiles pour pouvoir protéger les ordinateurs en ipv6 qui sont connectés derrière la freebox.”

Quelles fonctionnalités?

De quelle protection parles-tu?

@ Pitchoun
Concrètement, qu’est-ce qui se passe si pas d’IPv4?

Peux-tu décrire ton protocole de test?

Protection des ip et ports du réseau local par exemple, tu sais comme un firewall...

+1

C’est vraiment une fonction indispensable pour l’utilisation de l’ipv6 !

Le minimum serait de pouvoir filtrer tout le traffic entrant puis de pouvoir autoriser des ports.

Si vous comptez mettre des machines avec des services en écoute :
- pourquoi pas les désactiver?
- pourquoi pas les restreindre au réseau local?
ou toute autre solution de filtrage choisie machine par machine et service par service.

Chaque machine, chaque serveur sait bien pourquoi telle socket doit accepter des connexions et qui a le droit de s’y connecter. Alors qu’un machin central, non.

Concrètement, qu’est-ce qu’apporte un pare-feu?

Sur quel critère *objectif* autoriser ou pas un port?

@corrector : je crois pas avoir à t’expliquer en quoi je préfère tel ou tel solution ni sur quel critères objectifs je me base pour envisagé la solution qui me semble la plus pertinente.

en IPV6 Toutes les machine sont visible depuis internet. Je n’ai pas de serveur chez moi toutefois j’ai des enfants, une femme, etc... et 5 PC en réseau, sans parler de caméras IP, détecteur/effecteur domotique et tout le toutim ucune envie de géré indépendamment les 15 machines réseau 1 par une, un pare feu ferais le même résultat en 2 minutes.

Tu l’auras compris, le trait est forcé volontairement afin de bien me faire comprendre.

Mais encore une fois, il s’agit ici d’une demande de fonctionnalité supplémentaire, pas de connaitre ton avis sur la question...

Si vous comptez mettre des machines avec des services en écoute :
> - pourquoi pas les désactiver?
> - pourquoi pas les restreindre au réseau local?

Ce sont bien sûr des solutions, mais ça ne répond pas au besoin qu’on exprime.

ou toute autre solution de filtrage choisie machine par machine et service par service.

Un firewall qui gère l’IPV6 dans une freebox server ?

Chaque machine, chaque serveur sait bien pourquoi telle socket doit accepter des connexions et qui a le droit de s’y connecter. > > Alors qu’un machin central, non.

Tu pense vraiment que la machine est intéligente ?
Blague à part, le firewall je lui dit ce qu’il doit faire il n’a surtout pas à réfléchir et c’est ce que je lui demande.

Sur quel critère *objectif* autoriser ou pas un port?

Par exemple: tu sais que ton serveur web est sur tel port sur tel IP ⇒ autoriser.

Le minimum que je demande c’est d’avoir la “sécurité” NAT comme pour l’IPv4. Comme ça les gens ne pourront plus dire que l’ipv6 c’est pas securisé parce que t’as une adresse publique. Mais je souhaite bien sûr que se soit beaucoup plus paramétrable pour des besoins plus spécifique.

@ Malkuth33

Tu ne veux pas expliquer précisément quel est le problème que tu essaies de résoudre, ni ce dont tu as besoin... pourquoi pas.

Mon avis sur la question dont tu n’as pas envie mais que je donne quand même :

Tu es incapable de définir ce dont tu as besoin au juste. Tu dis “pare-feu” comme une formule magique pour ne pas avoir à y penser.

ucune envie de géré indépendamment les 15 machines réseau 1 par une, un pare feu ferais le même résultat en 2 minutes.

Si tu ne veux prendre le temps de gérer chaque machine, aucun pare-feu ne va le faire à ta place, hein.

Le minimum que je demande c’est d’avoir la “sécurité” NAT comme pour l’IPv4.

Quelle sécurité au juste?

@corrector: on est vendredi les trolls sont permis ?

C’est un troll de dire que les “firewall” ne servent à peu près à rien?

De dire que ceux qui disent qu’il leur en faut impérativement un n’ont pour la plupart pas la moindre idée de ce que leur “firewall” chéri est censé faire, des menaces qu’il doit éliminer, des autres solutions plus simples et plus fiables qui aboutiraient au même résultat?

Par exemple: tu sais que ton serveur web est sur tel port sur tel IP ⇒ autoriser.

Tu as réellement des serveurs Web sur les autres machines de ton LAN?

Le minimum que je demande c’est d’avoir la “sécurité” NAT comme pour l’IPv4.

Les guillemets autour de sécurité, c’est pour dire que tu sais que ça n’en est pas?

chninkel a commenté le 28.01.2011 23:34

Bonsoir corrector,

Si tu ne ressens pas le besoin d’un firewall ipv6, ne te sens pas obligé de commenter ce bug. Je pense que Free saura très bien gérer ses priorités sans que tu aies besoin d’argumenter l’inutilisé d’un firewall ipv6 (et je te rassure, cela m’étonnerait que ce soit dans leur top list).

Par rapport à tes remarques:

- Malkuth33 te l’a déjà dit, un firewall permet de gérer de manière centralisé les restrictions de port sans avoir à configurer indépendamment toutes les machines, qui peuvent d’ailleurs fonctionner avec des logiciels de filtrage différents.

 Et tu vas bien prendre le temps de définir les règles de chaque serveur mais d'une part sur une interface unique, d'autre part tu ne vas pas te préoccuper de gérer les restrictions d'accès au réseau local puisque tout est bloqué avant.

- C’est une manière plus sûr d’appliquer la politique de laisser passer uniquement les flux autorisés, car quel que soit le composant qui est branché sur le réseau:

  • si un ami de passage veut utiliser ton réseau, tu n’as pas à aller vérifier sa configuration de sécurité,
  • si j’installe un nouvel élément sur le réseau, je n’ai pas à me préoccuper de configurer tout de suite les restrictions d’accès ipv6 avant de pouvoir le connecter,
  • demain de plus en plus d’éléments pourront se brancher sur le réseau en ipv6 sans que leur capacité de filtrage soit forcément bien configurée / configurable.

Et oui, des personnes ont des serveurs Web sur le LAN, il y en a même sûrement plus chez les personnes qui ont activé l’ipv6 car pour activer l’ipv6, il faut généralement déjà s’intéresser à l’informatique.

bip91 a commenté le 31.01.2011 22:57

Chninkel +1
Je suis en IPV4/IPV6 avec des serveurs locaux perso ouvert de temps à autres, j’ai actuellement un routeur filtrant derrière la box pour IPV6 pour autoriser certains accès entrants et pas d’autres. L’idée d’un firewall sur chaque machine est assez saugrenue et en tout état de cause contraire à toute politique de sécurité élémentaire de toute organisation, même familiale.

Ce que j’attends d’un Firewall famillial sur FBX me permettant de recycler mon routeur :

  1. filtrage horaire pour certaines machines ⇒ +1 pour free sur FBX V6
  2. A minima filtrage de l’init de flux entrant par nom de protocole (trop compliqué sinon pour les newbies) vers une adresse interne (par ex. FTP sur machine 2010::0:1) et eventuellement depuis une adresse externe.
  3. filtrage black-list et/ou white-list sur pattern d’url

(le must serait de pouvoir donner une URL et de pouvoir appliquer le filtrage à une classe d’adresse interne typiquement “juniors”)

L’idée d’un firewall sur chaque machine est assez saugrenue et en tout état de cause contraire à toute politique de sécurité élémentaire de toute organisation, même familiale.

Ah bon, depuis quand? C’est une nouvelle théorie?

On peut en savoir plus?

- Malkuth33 te l’a déjà dit, un firewall permet de gérer de manière centralisé les restrictions de port sans avoir à configurer indépendamment toutes les machines, qui peuvent d’ailleurs fonctionner avec des logiciels de filtrage différents.

Entre “l’extérieur” et “l’intérieur”.

* si un ami de passage veut utiliser ton réseau, tu n’as pas à aller vérifier sa configuration de sécurité,

La sécurité du PC de ton ami face aux menaces venant extérieur c’est la responsabilité de ton ami pas la tienne. Je ne vois pas pourquoi tu la prends en charge, ni ce qui te fait penser que tes règles de filtrage lui conviendront. Je rappelle qu’un port est un numéro intrinsèquement sans signification.

La sécurité de tes PC par contre c’est ton problème : là le PC de ton ami va pouvoir attaquer les autres machines de ton réseau. Chouette!

* demain de plus en plus d’éléments pourront se brancher sur le réseau en ipv6 sans que leur capacité de filtrage soit forcément bien configurée / configurable.

Si leur comportement sur le réseau est incontrôlable alors il ne faut pas les raccorder au réseau, c’est évident.

Et oui, des personnes ont des serveurs Web sur le LAN, il y en a même sûrement plus chez les personnes qui ont activé l’ipv6 car pour activer l’ipv6, il faut généralement déjà s’intéresser à l’informatique.

Oui, et alors?

Avec tout ça, je ne vois pas le début d’une description des menaces que le pare-feu central est censé bloquer.

L’idée que la sécurité (en général) d’un ensemble PC peut s’obtenir par un boitier intermédiaire est parfaitement grotesque. La plupart du temps, les “pare-feu” font parti du problème et pas de la solution.

- A minima filtrage de l’init de flux entrant par nom de protocole

Concrètement, comment la boite filtrante est censée faire cela?

- filtrage black-list et/ou white-list sur pattern d’url
> (le must serait de pouvoir donner une URL et de pouvoir appliquer
> le filtrage à une classe d’adresse interne typiquement “juniors”)

Les “juniors”, c’est ceux qui ne savent pas contourner ce filtrage?

T’est lourd mec, c’est pas un forum de discution, on as bien compris ton avis d’expert de renommé international sur les pares-feu. Toutefois nous -bande d’ignare qui nous complaisons dans notre ignorance crasse- persistons dans notre débilité profonde et continuerons a pensé que la sécurité des réseau passe par une stratégie complète qui se met en œuvre tant au niveau de chaque machine que par la sécurisation des nœuds d’interface interne/externe. Toutefois, j’attire ton attention sur le fait que personne ici n’ai dis que le pares-feu était LA solution a TOUS les problèmes de sécurité et que sa mise en place rendrais caduque tout autre méthode de protection. Nous n’avons pas sans doute ta toute puissante connaissance, toutefois nous n’avons pas non plus le ton arrogant et ne soufrant aucune critique que tu emploi sans même savoir quels sont les compétence réel des personnes auxquels tu t’adresse.

Encore une fois, je me fous pas mal de ton avis sur la question surtout lorsqu’il est exprimé d’une maniére aussi obtuse et vindicative.

@ siilyaorno

Tu pense vraiment que la machine est intéligente ?

Je pense qu’elle fait ce qu’on lui demande de faire.

Si on lui dit de mettre une socket en écoute, c’est bien pour recevoir des requêtes sur cette socket.

Si on active un serveur FTP, c’est pour accepter des connexions FTP.

Je pense aussi que l’utilisateur est assez intelligent pour désactiver le serveur FTP quand il n’en a plus besoin plutôt que de le laisser activé avec un pare-feu qui bloque toutes les connexions au serveur FTP.

Blague à part, le firewall je lui dit ce qu’il doit faire il n’a surtout pas à réfléchir et c’est ce que je lui demande.

Le problème est d’arriver à dire au pare-feu ce qu’il doit faire pour parvenir à l’objectif initial.

La plupart du temps c’est impossible, ne serait-ce parce que l’objectif initial est ambiguë et contradictoire.

Je me demande ce que les partisans du boitier filtrant pensent d’UPnP IGD (version Freebox, pas version je-redéfinis-les-DNS-par-UPnP).

T’est lourd mec, c’est pas un forum de discution,

Alors c’est quoi?

on as bien compris ton avis d’expert de renommé international sur les pares-feu.

T’as rien compris c’est pas croyable.

Je n’ai JAMAIS utilisé d’argument d’autorité. Je ne sais pas où tu as vu ça.

Je pose des questions. La question principale étant : de quoi avez-vous besoin précisément?

Toutefois nous -bande d’ignare qui nous complaisons dans notre ignorance crasse- persistons dans notre débilité profonde et continuerons a pensé que la sécurité des réseau passe par une stratégie complète qui se met en œuvre tant au niveau de chaque machine que par la sécurisation des nœuds d’interface interne/externe.

Ah, maintenant tu as une “stratégie complète”; avant tu disais :

ucune envie de géré indépendamment les 15 machines réseau 1 par une, un pare feu ferais le même résultat en 2 minutes.

Ma réponse :
Pour être tranquillisé en 2 secondes, prends un Xanax.

Toutefois, j’attire ton attention sur le fait que personne ici n’ai dis que le pares-feu était LA solution a TOUS les problèmes de sécurité et que sa mise en place rendrais caduque tout autre méthode de protection.

Si, c’est bien ce qui était sous-entendu par les différents commentaires.

Nous n’avons pas sans doute ta toute puissante connaissance,

Juste un peu d’esprit critique.

toutefois nous n’avons pas non plus le ton arrogant et ne soufrant aucune critique que tu emploi

N’importe quoi.

Apprends à lire.

sans même savoir quels sont les compétence réel des personnes auxquels tu t’adresse.

Vu le niveau des réponses, elles ne doivent pas être très élevées.

Encore une fois, je me fous pas mal de ton avis sur la question surtout lorsqu’il est exprimé d’une maniére aussi obtuse et vindicative.

Je crois que tu es vraiment limité intellectuellement, alors tu réponds de la seule façon à ta portée.

muii a commenté le 06.04.2011 13:38

corrector a écrit:
> La sécurité du PC de ton ami face aux menaces venant extérieur c’est la responsabilité de ton ami pas la tienne
C’est FAUX, si ton ami a un serveur pas à jour susceptible d’être attaqué, qu’il se branche à partir de ton réseau, et que son poste est pris en contrôle de l’extérieur pour effectuer des actions illégales depuis chez toi, c’est la responsabilité du détenteur de la ligne qui sera mise en cause devant la justice.
Alors que ceci n’arriverait pas si le service de ton ‘ami’ n’était pas exposé publiquement.

Si c’est le PC de ton ami, on est d’accord que c’est lui qui est responsable juridiquement?

bip91 a commenté le 27.06.2011 10:19

Très bien, pour avancer un peu dans la discussion sur les fonctions de routeurs et firewall :

  1. il est évident que chaque machine doit être sécurisée par elle-même, ceci n’est pas du ressort de la freebox
  2. Un routeur possède généralement plusieurs zones pour permettre de definir différents niveaux de sécurité par zones
    1. Les “amis” pourront par exemple acceder à internet, mais pas forcement à toutes les ressources locales

(ils peuvent toutefois avoir accès aux imprimantes(qui n’ont pas de capacités de filtrage d’adresse))

  1. Le reseau local permet un partage plus large des services

(accès à des disques partagés, voir des serveurs partagés, accès aux imprimantes, ...)

  1. Dans un contexte IPV6 ou toutes les adresses sont disponibles, il est egalement utile de définir des serveurs internes accessibles explicitement depuis l’extérieur. Il s’agit de la meme problematique qu’en entreprise, ou tout accès interne est interdit sans être explicitement autorisé.
  2. Si je veux pouvoir faire un peu de reservation de bande passante à certaines heures sur certains protocoles, il est également nécessaire d’avoir la possibilité de parametrer le routeur/firewall freebox

Pour realiser cela, je dois pour l’instant avoir “routeur/frewall” en interne en amont de la freebox.

- Les “amis” pourront par exemple acceder à internet, mais pas forcement à toutes les ressources locales

Permettre d’avoir plusieurs sous-réseaux derrière la box?

Bonne idée!

Jsl1 a commenté le 25.02.2012 16:01

Bonjour,

Pas de nouvelles de l’implémentation d’un firewall ipv6?
J’attend aussi cette fonctionnalité avec impatience :)

@Jsl1
Quelles fonctionnalités?

Jsl1 a commenté le 25.02.2012 17:49

@corrector :
Les fonctionnalités minimales que je demande sont :
- Blocage du trafic ipv6 entrant
- Autoriser uniquement la connexion à certaines machines sur certains ports
Fonctionnalités supplémentaires qui m’intéressent (mais rien a voir avec un firewall)
- Gestion des vlan
- Avoir du QoS pour filtrer/limiter/prioriser certains protocoles réseau

bip a commenté le 19.03.2012 22:25

La freebox est un outil extraordinaire qui permet de limiter les équipements supplementaires dans le réseau internet routeur, ...
Avec ipv6, l’autoconfiguration permet de simplifier encore la topologie mais ne facilite pas la mise en ouvre de filtrage au niveau routeur.

La seule fonctionnalité manquante se trouve donc être le FW,
et la première fonction à apporter est sans nul doute le filtrage des flux entrants, avec un ouverture discretionnaire par ip des protocoles les plus communs.

Cette première fonction garantirait un peu plus la sécurité des passoires existant chez tout un chacun.

drooky a commenté le 11.05.2012 11:24

+1 a cette demande

le minimum demandé:

offrir le meme niveau de securité qu’en ipv4 donc comme si on etait derriere un PAT donc et upnp pour ouvrir les entrées (ou manuellement via la console freebox)

on a pas besoin de la richesse (et lourdeur) d’un vrai firewall je pense.

offrir le meme niveau de securité qu’en ipv4 donc comme si on etait derriere un PAT donc et upnp pour ouvrir les entrées (ou manuellement via la console freebox)

Et donc se retrouver avec un accès non neutre?

Je trouve cette idée vraiment détestable.

drooky a commenté le 13.05.2012 06:41

un accès non neutre ?! ca veut rien dire dans ce contexte. precisez?

Je parle dans le contexte de “monsieur tout le monde” pas des geeks bidouilleurs.

Tout comme la box actuelle peut etre mis en mode bridge pour les bidouilleurs , elle est par defaut en mode routeur+PAT+dhcp local pour “monsieur tout le monde”: ce qui est tout a fait normal et souhaitable.

On demande juste le meme niveau de securité pour l’IPv6 avec possibilité de desactiver cette “securité” dans la console. et on demande pas un vrai PAT comme en IPv4 (ca serait idiot de PATer du v6 de toute facon), juste le meme niveau de securité qu’offre le PAT de la v4 (donc tout les ports fermés par defaut si pas ouvert suite a une demande interne, comme un statefull firewall quoi).

l’idee est que, par defaut, l’equipement de monsieur tout le monde ne soit pas plus “exposé” en v6 quand v4 , rien de plus. c’est pas compliquer a faire en plus.

> Je parle dans le contexte de "monsieur tout le monde" pas des geeks bidouilleurs. "monsieur tout le monde" est défini dans quelle RFC? > On demande juste le meme niveau de securité Justement, j'étais curieux de connaitre ce niveau de sécurité : il est défini où?

drooky a commenté le 13.05.2012 08:15

votre niveau de bétise est clairement defini dans ce sujet. ca on a aucun doute la dessus. j'arrete les frais avec le troll de service, j'avais pas vu ses messages precedents. my bad.

Donc tu ne sais pas ce que "monsieur tout le monde" signifie. Tu balances ça à tous hasards, dans l'espoir d'impressionner par ta science rhétorique. Pas de chance, ça ne marche pas avec moi. > j'arrete les frais avec le troll de service, j'avais pas vu ses messages precedents. Tu n'as donc aucun argument. C'est noté.

bip a commenté le 13.05.2012 13:47

Et un acces neutre ou non neutre, c'est quoi pour un particulier ? ... Fatigué d'avoir des retours non constructifs ? Ce que monsieur tout le monde souhaite, c'est simplement d'avoir une protection minimum sur les flux entrants, sans avoir à intégrer des matériels complémentaires. Corrector, Tu es contre un Firewall IPV6, c'est dit une fois dans le thread, cela suffit. Pas la peine de monopoliser le sujet pour empêcher la discussion !!! Fin du coup de gueule !

C'est quoi "un particulier"? Qu'est-ce que ça a particulier "un particulier"? Quelle différence avec un non-particulier? C'est quoi les "flux entrants"? > Corrector, Tu es contre un Firewall IPV6, c'est dit une fois dans le thread, cela suffit. Tu es flic?

Pouet78 a commenté le 28.08.2012 14:45

Le besoin me paraît assez simple a décrire: Dans un réseau local tu veux avoir des services disponibles qui ne le soient pas depuis l'extérieur. Un exemple très concret, avec des machines Windows et un partage de fichier actif tu peut vouloir ne pas mettre de mots de passes entre tes machines mais que l'Internet entier ne puisse pas venir chez toi. Et même si tu mets des mots de passes, étant donné que tu ne souhaite pas avoir la fonctionnalité sur internet, et sachant le grand nombre de failles de sécurités sur les ports 135-139 découvertes régulièrement; bloquer purement ces ports depuis Internet vers le réseau interne serait quand même appréciable. Actuellement le fait d'avoir besoin d'un NAT, donne dans les faits la fonctionnalité en IPv4. Mais elle n'est pas disponible en IPv6! :( C'est bien la raison qui m'empêche d'activer l'IPv6 (même si je n'ai aucun Windows chez mai mais uniquement des Mac et des Linux ;) )

> Dans un réseau local tu veux avoir des services disponibles qui ne le soient pas depuis l'extérieur. Je comprends bien. Ce filtrage est très facile à faire au niveau de chaque PC, soit au niveau des serveurs, soit au niveau du filtre de paquets (même sous Windows avec la fonction "pare-feu" intégrée à Windows). Je ne vois pas l'utilité d'un filtrage en bordure, à part pour éviter les usurpations d'adresses IP (rp_filter) ce qui ne peut être fait qu'en bordure.

Pouet78 a commenté le 01.09.2012 09:33

Les intérêts sont : 1/ Un firewall sur une passerelle intermédiaire est toujours plus efficace qu'un autre intégré aux postes clients/serveurs. 2/ Il est plus facile et efficace de gérer un firewall central qu'un firewall sur chaque machine 3/ Si un invité viens sur mon réseau, je ne vais pas aller lui demander d'activer son firewall parce que chez moi ce n'est pas sécurisé. Un firewall IPv6 simpliste serait de d'avoir une option pour avoir par défaut les flux sortants autorisés et entrants non; reprendre une interface proche de celle utilisée pour le NAT IPv4 afin d'autoriser certains ports vers certaines IP. L'idéal serait un peu plus complexe avec une gestion des adresses par DNS pour éviter de devoir se souvenir de tous ces chiffres ;)

> 1/ Un firewall sur une passerelle intermédiaire est toujours plus efficace qu'un autre intégré aux postes clients/serveurs. En quoi? On parle bien du filtrage des connexions entrantes, là. Dans le sens sortant, je suis favorable à ce qu'un filtrage configurable soit proposé (avec par défaut : aucun filtrage sauf tcp/25) avec alerte en cas de tentative d'envoi de paquets. > 2/ Il est plus facile et efficace de gérer un firewall central qu'un firewall sur chaque machine Au contraire! Comment connaitre au niveau central tous les protocoles utilisés sur chaque machine, tous les ports à filtrer ou à laisser passer? Comment maintenir à jour la configuration quand les machines sont ajoutés/enlevées? Maintenir un pare-feu c'est infernal. Et on fait des erreurs de configuration. Résultat quand une application ne marche plus on désactive complètement le filtrage, ce qui fait qu'on est au final moins protégé. Et surtout : Comment l'éditeur d'un logiciel va expliquer à ses utilisateurs qu'il faut désactiver le filtrage de tel port sur l'interface de sa box, alors qu'il ne peut connaitre toutes les interfaces de toutes box? Je trouve l'idée franchement ridicule. > 3/ Si un invité viens sur mon réseau, Dans ce cas c'est son système, donc son problème. Surtout je n'ai pas à lui demander si je dois changer la configuration de la box pour lui. > je ne vais pas aller lui demander d'activer son firewall Bien sûr qu'il faut lui dire d'activer son filtre de paquets! Il ne doit pas dépendre d'une barrière qui peut être présente ou non. > parce que chez moi ce n'est pas sécurisé. lol **Ce ne serait pas sécurisé de disposer d'un accès au net?** Ah oui, le principe de précaution. Pour cela, on ne se connecte à aucun réseau (ni Internet ni LAN) et évidemment on ne branche aucun périphérique (USB, Firewire, HDMI...).

> Un firewall IPv6 simpliste serait de d'avoir une option pour avoir par défaut les flux sortants autorisés et entrants non; Comment tu définis "flux sortant"? ;) > reprendre une interface proche de celle utilisée pour le NAT IPv4 afin d'autoriser certains ports vers certaines IP. Super, cette même interface que les utilisateurs ont beaucoup de mal à comprendre. "Comment faire pour installer un serveur FTP" est une question classique qu'on trouve sur tous les fora. (Et souvent avec des réponses surréalistes de pseudo informaticiens du dimanche d'une incompétence rare.) > celle utilisée pour le NAT IPv4 Ce même système dont personne n'a voulu me dire quels ALG il supportait? > L'idéal serait un peu plus complexe avec une gestion des adresses par DNS pour éviter de devoir se souvenir de tous ces chiffres ;) Pourquoi tu ne choisis pas des adresses IP plus faciles à mémoriser alors?

lloeki a commenté le 18.09.2012 20:56

> Comment tu définis "flux sortant"? ;) c.f protocole TCP C'est quand même pas compliqué. Airport Extreme fait ça très bien. Avec ip6tables ca donne: # subnet prefix subnet="2001:xxxx:xxxx:xxxx" pc1="${subnet}::xxxx" in_if="he-ipv6" lan_if="eth0" # First, delete all: ip6tables -F ip6tables -X # Allow anything on the local link ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT # Allow anything out on the internet ip6tables -A OUTPUT -o ${in_if} -j ACCEPT # Allow the localnet access us: ip6tables -A INPUT -i ${lan_if} -j ACCEPT ip6tables -A OUTPUT -o ${lan_if} -j ACCEPT # Filter all packets that have RH0 headers: ip6tables -A INPUT -m rt --rt-type 0 -j DROP ip6tables -A FORWARD -m rt --rt-type 0 -j DROP ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP # Allow Link-Local addresses ip6tables -A INPUT -s fe80::/10 -j ACCEPT ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT # Allow multicast ip6tables -A INPUT -d ff00::/8 -j ACCEPT ip6tables -A OUTPUT -d ff00::/8 -j ACCEPT # Allow ICMPv6 everywhere ip6tables -I INPUT -p icmpv6 -j ACCEPT ip6tables -I OUTPUT -p icmpv6 -j ACCEPT ip6tables -I FORWARD -p icmpv6 -j ACCEPT # Allow forwarding echo "1" > /proc/sys/net/ipv6/conf/all/forwarding ip6tables -A FORWARD -m state --state NEW -i ${lan_if} -o ${in_if} -s ${subnet}::/64 -j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH in ip6tables -A INPUT -i ${in_if} -p tcp --dport 22 -j ACCEPT ip6tables -A FORWARD -i ${in_if} -p tcp -d ${pc1} --dport 22 -j ACCEPT # Set the default policy ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT DROP --- Ca n'empêche pas d'avoir une protection par poste. Mais une bonne sécurité c'est forcément multi-niveaux.

> > Comment tu définis "flux sortant"? ;) > c.f protocole TCP Tu te fous de moi? > C'est quand même pas compliqué. Tu plaisantes? C'est affreusement complexe. > Airport Extreme fait ça très bien. Tu plaisantes? Ta réponse c'est : ce que fait machin? > Mais une bonne sécurité c'est forcément multi-niveaux. *Foutaise.* Tu introduis une complexité considérable sur un machin que tu ne contrôles pas. Et en plus tu ne te rends pas compte que tu introduis de la complexité, ce qui est la pire complexité : celle qu'on oublie de compter (en général la complexité qu'on sait bien mesurer avec les "métriques" patentées ne fait aucun mal). La complexité (surtout qu'on ne voit pas bien) va à l'encontre de la sécurité. Les intermédiaires qui interviennent sur qu'ils ne comprennent pas (la Freebox ne comprend pas ce que essaie de faire), aussi. Les logiciels hors d'atteinte (tu ne peux pas configurer la Freebox) aussi. On en a assez bavé avec le "mode routeur", certains sont masos et en redemandent!!!

bip a commenté le 19.09.2012 07:56

Effectivement lloeki, Une approche aussi simple de filtrage avec une petit interface d'autorisation de flux TCP entrant serait largement suffisante (par exemple pour ajouter les SSH dans ton exemple). Pour l'interface, une interface type "j'autorise un flux pour (telle/toutes) machine" est simple à mettre en place. OK egalement pour la securisation à 2 niveaux

TCP est a priori simple (en tout cas on peut définir entrant/sortant). Comment traiter UDP? > OK egalement pour la securisation à 2 niveaux À condition : - que ça ne deviennent pas incompréhensible - que les problèmes n'incitent pas les utilisateurs à complètement désactiver les "pares-feu"

bip a commenté le 19.09.2012 13:00

Pour UDP, il est nécessaire de connaitre le protocole pour faire un filtrage efficace, car cela peut être à peu prêt n'importe quoi. Par exemple : 1. des protocoles bien normé DNS (53 dans les 2 sens), 2. soit sur un ensemble de ports aléatoires et port d'init ou de communication de base (jeux, video, voip, ...) Dans ce cas, j'en conviens, ce n'est pas à la freebox de faire le suivi des sessions. Si le port est ouvert pour un couple (machine, port) ou (reseau/port), c'est aux machines de traiter (FW local) Cependant la freebox peut, en amont, dropper tout ce qui n'est pas explicitement autorisé. Pour que cela devienne compréhensible une autre approche est avec UPNP où chaque service défini ses besoins (http://upnp.org/specs/gw/UPnP-gw-WANIPv6FirewallControl-v1-Service.pdf). Une validation initiale (machine, service) sur l'interface freebox serait alors nécessaire pour valider la mise à disposition externe du service.

http://upnp.org/specs/gw/UPnP-gw-WANIPv6FirewallControl-v1-Service.pdf Wouah! > To avoid some potential security issues, it is not possible for control points to retrieve information on any pinholes; For example, a control point can't retrieve information like the external port or the remaining lease duration of any pinhole (even if the CP created this pinhole). Ou comment rendre le diagnostique impossible! :(

DSC44 a commenté le 13.10.2012 17:24

Bonjour, Le rôle d'un Firewall est de limiter les flux entrants ET sortants mais aussi de tracer d'éventuelles tentatives de non respects des règles... En IPv4, le NAT nous apporte une première protection qui n'existe plus en IPv6. Le filtrage par port des flux entrant devrait selon moi être généralisé en IPv6. Pour les flux sortants, j'aimeras pouvoir forcer tous les ordinateurs à passer par un proxy cela nécessite de pouvoir filtrer les flux en provenances de mes ordinateurs au niveau du routeur FREEBOX sur des critères de type @MAC, @IP, port. La mise en place d'un VPN entrant, pour permettre d'accéder au réseua local à partir d'unternet pourrait aussi être un plus. Mon serveur NAS le permet, mais tout le monde n'a aps de serveur NAS, encore moins avec cette fonctionnalité... Il me semble plus logique de mettre un Firewall au niveau du routeur d'entrée (FREEBOX) qu'au niveau de chacune des machines du reseau local. Tous les FREEman ne sont pas des experts LINUX ou WINDOWS. Cela n'empeche pas de faire de la defense en profondeur..

pywy a commenté le 14.03.2013 15:22

un firewall ipv6 sur la freebox n'a pas de sens. Ipv6 n'est pas fait pour fonctionner comme cela (excepté en mode NAT) La freebox route seulement les paquets ipv6 vers leurs destinataires, sans se soucier des numéros de ports, des protocols etc... C'est a chaque élément connecté d'assurer lui meme sa sécurité.

lloeki a commenté le 14.03.2013 15:51

> Ipv6 n'est pas fait pour fonctionner comme cela IPv6 est _évidemment_ fait pour fonctionner comme cela. (voir mon exemple ip6tables au dessus) > (excepté en mode NAT) [...] La freebox route seulement les paquets ipv6 [...] Voici encore une fois voici un amalgame malheureux entre Firewall et NAT. > C'est a chaque élément connecté d'assurer lui meme sa sécurité. C'est à chaque élément en mesure d'assurer une sécurité qu'il revient d'assurer un élément de sécurité. Il est évident que les machines connectées doivent assurer leur propre sécurité dans la mesure du possible. Ceci n'empêche en rien d'appliquer une politique globale d'accès aux ressources dans notre prefix (au contraire, la meilleure sécurité s'effectue par couches successives), et le routeur en charge du prefix (dans ce cas la Freebox) a un emplacement privilégié dans la topologie du réseau pour ce rôle. En outre, tant en termes de capacités des divers utilisateurs (mamie du Cantal) que de la (l'ir)responsabilité de certains implémenteurs de firmwares (imprimantes...) qu'on pourrait qualifier de gruyères, et dans le meilleur des cas peu analysés et rarement mis à jour, qui offrent une tête de pont fantastique (et parfois irrévocable, c.f vulnérabilité des imprimates HP) dans un réseau local, il me parait tout simplement obligatoire et une simple question de bon sens que la politique par défaut de la Freebox Server soit de dropper les paquets ingress non nécessaires à la tenue du réseau (c.f ICMPv6 types 1, 2, 3, 4, 128 et 129)

lloeki a commenté le 14.03.2013 15:55

> (c.f ICMPv6 types 1, 2, 3, 4, 128 et 129) Il s'entend que ces paquets sont nécessaires et ne doivent pas être droppés, par exemple pour le Path MTU discovery. Mon exemple ip6tables, pour des raisons de simplification, accepte tous les ICMPv6.

pywy a commenté le 14.03.2013 16:14

>Voici encore une fois voici un amalgame malheureux entre Firewall et NAT. Non, pas d'amalgame, pas de NAT non plus. Juste un routeur. la freebox route en ipv6, elle ne doit pas filtrer (meme si la mamie du cantal y capte un belin et que les FW des imprimantes HP soient codées avec les pieds) >le routeur en charge du prefix (dans ce cas la Freebox) a un emplacement privilégié dans la topologie du réseau pour ce rôle. Un emplacement de routage, point barre. >IPv6 est _évidemment_ fait pour fonctionner comme cela. (voir mon exemple ip6tables au dessus) ton exemple ip6tables est certes sympa, mais il n'est judicieux que la freebox aie ce role. Si tu veux faire cela, mets le mode bridge et mets ton ip6tables aux oignons comme tu en as envie, nan ?

lloeki a commenté le 14.03.2013 16:34

> Juste un routeur [...] elle ne doit pas filtrer Tous les routeurs qu'ils soient pro du Cisco au Zyxel, ou orientés grand public genre Airport Express/Extreme/TC, Linksys, Netgear, etc.. font ca très bien, _parce que c'est leur rôle_. En outre il est nécessaire que toute forme de filtrage soit sur le routeur lui même *par conception* dès que tu as plusieurs routes (notamment policy routes). Tout ca pour dire que l'argument "c'est un routeur, pas un firewall" est tout simplement ridicule. > Si tu veux faire cela, mets le mode bridge et mets ton ip6tables aux oignons comme tu en as envie, nan ? Perdu, l'IPv6 de free c'est du 6to4rd, et la freebox est le next hop de l'extérieur vers le /64, _même en bridge_, ce qui fait que tu peux rien router derrière à moins de bricoler avec du neighboring ou du ebrouting et franchement, c'est une usine à gaz bien fragile et aux contraintes supplémentaires pour contourner un problème qui ne devrait simplement pas exister (la Freebox étant le next hop en entrée sur le /64, c'est à elle de faire le tri). Même dans ce cas de bricolage, il est ridicule de ne serait-ce qu'envisager rajouter un équipement en série, complètement redondant avec la Freebox. Donc, non, j'en ai pas envie.

pywy a commenté le 15.03.2013 09:23

Juste un peu de lecture sur ce sujet, pour ceux que ca interesse. http://www.bortzmeyer.org/6092.html J'arrete la le débat sans fin inutile.

> En outre il est nécessaire que toute forme de filtrage soit sur le routeur lui même *par conception* dès que tu as plusieurs routes (notamment policy routes). Je voudrais pas briser tes illusions, mais je pense qu'on n'est pas près d'avoir la possibilité de configurer différentes politiques de routage sur la Freebox. > > Si tu veux faire cela, mets le mode bridge et mets ton ip6tables aux oignons comme tu en as envie, nan ? > Perdu, l'IPv6 de free c'est du 6to4rd ce qui n'a aucune importance ici > et la freebox est le next hop de l'extérieur vers le /64, _même en bridge_, Alors voilà, demande le mode bridge en IPv6, ce sera quand même plus simple de configurer ça (il suffit d'indiquer une adresse de passerelle à la Freebox) que de paramétrer les filtres de paquets sur une pauvre interface Web.

src386 a commenté le 07.07.2015 18:47

+1
Ce serait bien que le trafic entrant soit bloqué par défaut (juste du RELATED,ESTABLISHED) et que le menu de l'IPv6 sur FreeboxOS permette d'ouvrir des ports.

gnutella a commenté le 15.08.2015 08:56

Nous utilisons OpenWRT pour filtrer en entrant, faute d'un support complet sur la Freebox.
Pour information, c'est possible de filtrer sous OpenWRT.

Lire : http://wiki.openwrt.org/doc/howto/freebox

Un utilisateur qui se connecte en IPv6 derrière une freebox se retrouve exposé "à poil" sur Internet.
Illiad prend prendre en compte les impératifs de sécurité en offrant une solution sécurisée aux utilisateurs, en amont.

C'est ensuite que les utilisateurs pourront migrer vers IPv6.

Si Illiad ne le fait pas, ce sera la concurrence.
Vous n'avez pas vraiment le choix : si la Freebox Révolution est une box haut-de-gamme, elle doit proposer des service haut-de-gamme.

flunch a commenté le 03.11.2016 16:30

Comme ça fait un bail que ce sujet est ouvert en vain ...
Il me semble indispensable que la freebox, qui est chez 95% des gens le seul objet capable de réellement faire office de firewall, soit capable de bloquer les connexions entrantes par défaut en IPv6.
Avec les failles monumentales qui se trouvent dans tous les objets connectés (cf DDOS récent chez dyndns) et même sur les systèmes d'exploitations grands publics, c'est une vrai faille que l'ipv6 soit même activé par défaut sur les freebox ...

yonailo a commenté le 09.11.2016 09:01

D'abbord essayons de faire en sorte que l'IPv6 marche sur la Freebox, chez moi ça fait des semaines où ça ne marche pas/plus.

baudav a commenté le 09.11.2016 18:14

@rdh: ça fonctionne
ping google.fr

Envoi d'une requête 'ping' sur google.fr [2a00:1450:4007:806::2003] avec 32 octets de données :
Réponse de 2a00:1450:4007:806::2003 : temps=35 ms
Réponse de 2a00:1450:4007:806::2003 : temps=34 ms
Réponse de 2a00:1450:4007:806::2003 : temps=33 ms
Réponse de 2a00:1450:4007:806::2003 : temps=34 ms

et même NAS accessible en ipv6 depuis internet.

flunch a commenté le 10.11.2016 15:10

@baudav ca fait plusieurs semaines que de nombreux freenautes ont des soucis de connexion en IPv6, cf bug #20719 .

Bonjour,

des news sur ce sujet ?

zokiad a commenté le 06.04.2017 15:21

Des nouvelles depuis 2011!
Fonctionnalité indispensable avant d'activer l'ipv6.
Au risque de retrouver l'imprimante, scanner et TV directement accessible sur le net. Super !
Et sans oublier les ordis des enfants qui bidouillent en partageant des dossiers windows sans mot de passe.

mvincent a commenté le 06.04.2017 15:24

Seulement 7 votes malheureusement !

drooky a commenté le 06.04.2017 20:10

j'avoue que Free est assez irresponsable sur ce coup. Il faut attendre des plaintes ou un drame pour qu'ils réagissent ?

yonailo a commenté le 07.04.2017 08:16

J'avoue que filtrer IPv6 à niveau de la box peut-être ce n'est pas une bonne idée, étant donné que les adresses IPv6 sont publiques, c'est la responsabilité du host qui a l'adresse de se protéger. En ce qui concerne IPv6, la box devrait être transparent, ce n'est pas pareil qu'avec IPv4 où il faut définir de règles de NAT. La promesse d'IPv6 est de rétablir le modèle d'internet 'end-to-end', alors si on commence à filtrer à niveau de la box, ça casse une des vrais avantages de ce modèle.

zokiad a commenté le 07.04.2017 09:00

Dans la théorie, je suis d'accord avec vous. Mais dans la pratique, vous avez des utilisateurs qui n'y connaissent rien (j'ai eu le cas d'un ami qui avait l'ipv6 activé , il avait partagé son dossier windows et son imprimante, il a très vite désactivé l'ipv6 quand je lui ai montré que l'on pouvait imprimer et accéder à ses fichiers depuis internet). Vous avez aussi la multiplication des objects connectés qui n'ont pas ou plus de correction de sécurité ... Tout ceci est une bombe à retardement pour des attaques DDOS par exemple.
Donc en théorie, c'est effectivement l'host qui devrait filtré. En pratique, on s'appercoit que les hosts peuvent avoir des défaults humain et de support, c'est plus sécurisé directement par la box.

Après un firewall permet de configurer des hosts qui peuvent être accessible. Donc la solution c'est firewall avec des règles: tout bloqué sauf les hosts...

drooky a commenté le 07.04.2017 17:44

@juan: faut pas confondre NAT et firewall. Par nature, le NAT en IPv4 fait aussi office de firewall (du moins en entrée). En IPv6 ce n'est pas parce que'on a plus de NAT et du 'end-to-end' (ce qui est une bonne chose) qu'on ne doit plus avoir de firewall. Le problème est que le NAT a disparu ce qui est bien mais du coup y'a plus rien qui fait firewall.

La jolie théorie d'avoir un 'firewall' sur chaque appareil et rien sur la box est une utopie et une complexité trop grande. Il est plus sur et simple de gérer la sécurité en 'un seul point de passage' que séparément sur plein d'appareils disparates.

yonailo a commenté le 10.04.2017 15:36

@drooky : le personal firewall n'est pas une utopie, même windows l'a par défaut et depuis pas mal d'années.

Ceci dit, il existe un RFC qui conseille d'avoir un firewall IPv6 :
https://tools.ietf.org/html/rfc4864

"To implement simple security for IPv6 in, for example, a DSL or cable

 modem-connected home network, the broadband gateway/router should be
 equipped with stateful firewall capabilities.  These should provide a
 default configuration where incoming traffic is limited to return
 traffic resulting from outgoing packets (sometimes known as
 reflective session state).  There should also be an easy interface
 that allows users to create inbound 'pinholes' for specific purposes
 such as online gaming."

Ça devient urgent à mon avis :
https://www.itnews.com.au/news/ipv6-attacks-bypass-network-intrusion-detection-systems-457476

Mais je vous conseille, en attendant, si Free n'as pas les ressources pour traiter ce ticket, de bien vouloir mettre en place de firewalls IPv6 sur vos machine !! :)

zokiad a commenté le 27.11.2017 11:59

Il faut mieux conseiller la désactivation de l'ipv6 tant qu'il n'y a pas de firewall sur la freebox.

Bonjour,
Du neuf sur ce sujet ?
Il y a eu du mouvement ya quelques semaines suf la config ipv6 mais c'est pas clair pour moi.
En attendant j'ai désactivé...

zokiad a commenté le 15.05.2018 04:00

Toujours rien. Donc ipv6 désactivé. Peut etre avec la freebox v7 :)

Avez-vous du neuf pour le pare-feu/firewall de l'IPv6 ?
Depuis la sortie de la Revolution le 14 décembre 2010, le temps passe !

Par ailleurs, le vrai 5.1 est toujours demandé depuis la même époque afin de remplacer la stéréo :)

La 4.0.5 est sortie, le pare-feu (firewall) pour l'IPv6 est là ?

yonux a commenté le 27.04.2019 15:09

Désactiver IPv6 n'est pas une solution.
Surtout quand on est aussi touché par le reverse IPv4 inopérant (cas de la plupart de abonnés derrière une fibre optique), ça fait beaucoup de choses qui devraient fonctionner mais pour lesquelles Free ne fait rien.

Enfin, pas d'inquiétude, vue la vitesse à laquelle Free avance sur ces sujets, et celles à laquelle les opérateurs associatifs progressent vers la fibre, nul doute que nous nous seront passé de Free d'ici pas longtemps.

ag a commenté le 28.04.2019 22:13

Comme le camarade qui me précède, je constate le désastre de la gestion des DNS chez Free (pas de rDNS IPv4 full-stack en FTTH PON, pas de rDNS en xDSL IPv4-in-IPv6 (full-stack), et pas de délégation rDNS IPv6). Mais le pire, c'est le mépris affiché par Free envers ses clients : cf. FS#12749 avec aucune réponse depuis bientôt 6 ans ! ^\o/^ ^\o/^ ^\o/^
Je crois, en effet, que pour résoudre le problème, la solution sera de passer en FTTH chez un FAI associatif ou chez le concurrent à 3 lettres d'Online...

Sinon, c'est quand qu'un pare-feu IPv6 (pas OpenOffice, n'est-ce pas ? :D) apparaîtra sur la Freebox ? Sachant que la Freebox en IPv6 fonctionne toujours en mode routeur et que les IPv6 sont publiques, les clients qui ne sont pas du métier (c'est-à-dire quasiment tout le monde) vont brancher des appareils « IoT » (chinoiseries ou autres joyeusetés « cheap ») directement sur Internet et on connaît tous la suite sur laquelle je ne m'étendrai pas...
Je note que ce bug est ouvert depuis plus de 8 ans sans aucune réponse ! ^\o/^ ^\o/^ ^\o/^
Du mépris, je vous disais ; exactement : du mépris. Rien de plus, rien de moins.

decaen a commenté le 01.05.2019 10:19

Un pare-feu IPv4/IPv6 sur la Freebox me parait une excellente idée.

En attendant, je mets en place un pare-feu intermédiaire entre la Freebox et le réseau local.

Est-ce que la Freebox est suffisamment performante pour un pare-feu supportant 10 Gbps de trafic ?

Pouet78 a commenté le 01.05.2019 13:03

@decaen "Est-ce que la Freebox est suffisamment performante pour un pare-feu supportant 10 Gbps de trafic ?"
A n'en pas douter, oui. Le NAT en IP v4 oblige à stocker toutes les sessions en cours et doit être aussi gourmand en ressources qu'un pare feu simple niveau IP en IPv6.

On ne peut plus désactiver l'ipv6 !! :-O

nbanba a commenté le 07.05.2019 09:47

Bonjour,

Il est inadmissible de forcer l'IPv6 natif (non désactivable sur le routeur Freebox) et de ne pas fournir de firewall pour proteger le réseau...

Par exemple, mon imprimante ne demande pas de mot de passe pour imprimer il est impossible de désactiver l'IPv6 dessus (configuration réseau automatique , c'est un périphérique pour le grand public) et depuis cette mise a jour, tout internet peut imprimer chez moi

Si vous voulez vider mes cartouches, mon imprimante est maintenant joignable par tout internet sur :
2a01:e0a:xxxx:yyyy:zzzz:d4ff:fec9:13a1 (xxx:yyy:zzz : eh oui SORRY ! je ne suis pas complètement fou !!)

Pour info, cette imprimante HP grand public de 2015 a également un serveur telnet avec pour login non modifiable: "admin" / "rien" depuis lequel on peut certainement aller hacker la banque de france !

Franchement, autant d’amateurisme de la part de FREE sur ce coup la est vraiment abusé !!!
La pilule a pourtant l'air de bien passer en France entre les gilets jaunes et le fait que 99% de la population ne sait ni ce qu'est une IP ni quel est le scope d'IPv6 et les risques encouru!

Je "rapporte cette faille de sécurité majeur" auprès de l'ANSSI car pour le coup depuis le 19 avril, la Freebox en IPv6 n'est pas juste une faille de sécurité, c'est un gouffre a hacker et surtout a scripts kiddies qui vont pourrir la vie du grand public

(la police va débarquer chez beaucoup et chez vous car votre nouveau frigo connecté envoi des immages pedopornographique a votre compteur linky en passant par votre Freebox !! Un peu de sérieux FREE !!)

Je vous invite a tous faire comme moi, aujourd'hui, SEUL l'ANSSI est en mesure de faire suffisamment pression sur FREE pour que FREE ajoute enfin des fonctionnalités de firewalling en IPv6 sur la BOX, et rapido !!

https://www.ssi.gouv.fr/en-cas-dincident/vous-souhaitez-declarer-une-faille-de-securite-ou-une-vulnerabilite/

Si certains souhaitent aussi faire du bordel sur les forums et auprès de sites/média comme 60 millions de consommateurs ..., n'hésitez pas !!!

Et pour info, avec ma delta en fibre et mes 7.8G /s descendant, j'ai regardé les modèles de firewall qui supportent ces débits et les connexions en SFP+ :
Il faut taper dans une gamme très pro type Fortigate 600D ou Fortigate 500E ou une appliance Netgate/Pfsense bien gonflée avec des cartes SFP+ .

En plus de faire un bruit de tondeuse et donc de nécessiter un local technique séparé de son domicile, ce genre de matériel coûte entre 15 000 euros et 30 000 euros et nécessite d'être a minima un professionnel de l'administration réseau pour pouvoir l'installer et le configurer.
Pour des particuliers, il faut faire appel a un intégrateur qui facturera un minimum de 5 jours a 1000€ TTC la journée pour faire l'étude de votre besoin, vous proposer une solution d'architecture réseau basée sur ce genre de matériel et vous livrer votre réseau IPv6 natif FREE protégé par un firewall vous permettant d'exploiter le débit de votre ligne internet

Comme vous le voyez, ce genre de budgets et matériel ne sont pas a la portée des particuliers, il est donc criminel de la part d'un FAI de ne pas fournir d'outils a ses clients pour exploiter le service qu'ils vendent de manière sécurisée

Cordialement,
nbanba

Autre alternative : FREE nous donne un accès SSH ROOT a la box pour que l'on configure nous même le firewall avec ip6tables !

baudav a commenté le 07.05.2019 10:16

Bonjour,
avez-vous essayé de configurer un 'next hop' dans le premier préfix du freebox server? cela devrai arrêter l'annonce ipv6 sur le reseau.

baudav a commenté le 07.05.2019 10:19

essayer par exemple avec l'adresse link local de la freebox elle même.

nbanba a commenté le 07.05.2019 10:42

Bonjour,

Merci pour votre retour et votre réactivité.
Oui, dans un premier temps, j'ai fait un certains nombre de bricolages pour tarpit les pk IPv6

Ce qui m'inquiète, ce n'est pas les informaticiens comme moi qui savent monter un serveur avec une ancienne machine, lui coller 2 cartes SFP+ et 1 carte WIFI et descendre un Pfsense dessus et le configurer pour gérer la problématique avec un vrai firewall.
Ces informaticiens trouveront bien une solution, ils aiment ça et en ont les capacités !

CE N EST PAS LE CAS DES 6 millions+ de foyers qui sont maintenant exposés a Internet et qui n'ont même idée que tous leurs devices sont maintenant accessibles sur Internet et voir même sans authentifications dans beaucoup de cas (comme sur beaucoup de systèmes domestiques)

Cordialement,
nbanba

baudav a commenté le 07.05.2019 13:41

bonjour,

La dernière mise à jour ne permet juste plus de forcer sa désactivation. Je ne sais plus, ça fait très longtemps que j'utilise ipv6, mais il me semblait que c'est actif par défaut du moment que l'on était dégroupé? Donc aucun changement pour les non informaticiens qui ne touche pas à ces paramètres, ils ne sont pas plus exposé que le mois dernier.
Tous les informaticiens qui sécurisent, ajoute un équipement derrière.. FREE+support ayant l'accès total sur le réseau, même s'il rajoute un firewall. (et ne donne pas la fin de l'adresse ipv6 à moins qu'elle soit temporaire, mais rarement le cas pour une imprimante).

Pour les non informaticiens qui aurait été décocher la case, remplir un champ ne demande pas plus d'effort.
C'est juste qu'un firewall dans la freebox est un minimum, mais depuis 2011 RIEN !. (mais comme le support d'au minimum SMB2, d'une connection sur l'interface avec un login/pass (voir meme 2FA)...On a déjà un accès TLS, alors qu'avant on y accédait de façon non chiffré).
Après responsabilité aussi au fabricant qui permettent ipv6 sans mettre un minimum de sécurité dans leur équipement.

Bref, faut amener du monde voter ici pour ce ticket. seulement 34 votes depuis 2011.

nbanba a commenté le 07.05.2019 14:31

Bonjour,

Je vous cite (baudav):
La dernière mise à jour ne permet juste plus de forcer sa désactivation. Je ne sais plus, ça fait très longtemps que j'utilise ipv6, mais il me semblait que c'est actif par défaut du moment que l'on était dégroupé? Donc aucun changement pour les non informaticiens qui ne touche pas à ces paramètres, ils ne sont pas plus exposé que le mois dernier.

=⇒ OUI, ils ne sont pas plus exposés que le mois dernier ! mais surtout pas MOINS exposés !! Si l'option était activée par défaut, depuis cette activation part défaut, la majeur partie des abonnés FREE se sont retrouvés avec tous leurs devices sur Internet !!!!

Je crois qu'il y a une loi forçant les FAI a proposer une protection face aux dangers d'Internet.
Avec l’effervescence de l'IOT, un "antivirus" tiers proposé en option depuis la console abonnée Free ne peut plus faire l'affaire
(je ne connais pas d'antivirus/firewalls installable sur un frigo connecté ou une imprimante ... !)

Il est donc absolument nécessaire que FREE ajoute des fonctionnalités de firewall dans sa freebox
(ça doit pas être si difficile sur le serveur Linux hébergeant le FreeboxOS de faire une page PHP permettant de configurer basiquement ip6tables et iptables)

Comme depuis 2011, FREE n'a rien fait ni même répondu sur le sujet, je pense qu'il faut faire pression sur les autorités de régulation des telecom et de régie des systemes d'information (ARCEP / ANSSI, etc...) pour que les choses bougent !

Cordialement,
nbanba

bonjour, je viens d'ouvrir un ticket sur ce sujet avec des propositions à mettre en place rapidement dans l'interface de configuration de la Freebox : https://dev.freebox.fr/bugs/task/4110

C'est une faille de sécurité à corriger d'urgence.

Les 3 gros concurrents ont tous un firewall en IPv6.

SagaciousServal (SagaciousServal) : https://www.busyspider.fr/Convention-Mai19-des-communautes-Free-15eme-edition-compte-rendu.php

"Réponse de Free - Maxime Bizon : On pourra mettre en place un pare feu qui sera activable individuellement. (pas par défaut)"

@SagaciousServal : Depuis le temps que j'ai signalé l'urgence, ça fait plaisir d'avoir une partie de la réponse.


C'est assez urgent comme pour les règles LAN → WAN à commenter et à voter d'urgence : https://dev.freebox.fr/bugs/task/25271

dough29 a commenté le 28.05.2019 14:11

Des traces d'un éventuel firewall IPV6 dans une "prochaine" version Freebox OS : https://twitter.com/TiinoX83/status/1133137867834875904

dough29 a commenté le 04.06.2019 09:52

https://dev.freebox.fr/blog/?p=5416

Amélioration
Firewall IPv6. Désactivé par défaut, en fonction des retours il est possible qu’il soit activé par défaut dans le futur (seulement pour les abonnés qui n’auront pas modifié leur configuration).

Attention : Ce n'est pas bon, le pare-feu (firewall) n'est pas complet du tout lorsqu'il est activé.
"Cochez cette case si vous souhaitez que votre Freebox filtre le traffic entrant inconnu."
Aucun paramétrage de réglages.
Ne pas clôturer ce ticket

4 juin 2019 à 11:05 : Arrivée d'un firewall IPv6
https://dev.freebox.fr/blog/?p=5416

"Firewall IPv6. Désactivé par défaut, en fonction des retours il est possible qu’il soit activé par défaut dans le futur (seulement pour les abonnés qui n’auront pas modifié leur configuration)."

dough29 a commenté le 05.06.2019 17:14

"le pare-feu (firewall) n'est pas complet du tout lorsqu'il est activé"

des détails ?

baudav a commenté le 05.06.2019 17:37

:D il chauffe pas le café?

"le pare-feu (firewall) n'est pas complet du tout lorsqu'il est activé"

comprendre : les fonctionnalités sont réduites au strict minimum :

  • fonctionnement en tout ou rien : actif ou non
  • ne permet pas d'activer en complément un n°port avec une adresse IPV6.
nbanba a commenté le 05.06.2019 19:30

Bonjour
Oui ce n est pas ce que j appelle un firewall...
Sur un firewall, on peut faire un truc qui s appelle des acl et on peut faire des règles avec ces acl ...!
Ou sont les acl ?
Ou sont les règles ?
Je n ai pas trouvé dans l interface....

Un firewall permet de surcroit d utiliser les ressources réseaux entrantes et sortantes et de les filtrer.

Un bloc tout en entrée , rien en sortie , sans filtrage possible ne peut en aucun cas s appeller un firewall !!

Cela reste cependant une solution simple à mettre en oeuvre pour les béotiens qui ainsi n auront plus de visite des autorités car leur nouveau frigos connecté en train de hacker la banque de france ...

Cela est par contre très insatisfaisant pour ceux qui veulent utiliser leur /60 et les possibilités de leur Freebox delta connecté en fibre à 10g...

Cordialement
nbanba

dough29 a commenté le 05.06.2019 19:39

Ben après pour un lambda à part laisser passer les trames ICMPV6 nécessaires au bon fonctionnement d'IPV6 et bloquer le reste ça ne me choque pas trop dans un premier temps, mais est-ce ce que fait réellement cette case à cocher ?

Quelqu'un qui veut la main sur son matériel utilisera un routeur dédié qui sera sûrement bien plus clair qu'une éventuelle usine à gaz réalisée par Free ?

Je suis d'accord qu'on peut avoir des attentes assez fortes, mais pour exploiter pleinement IPV6 de mon point de vue il faut le matériel qui suit et ne pas dépendre de la volonté d'un opérateur...

decaen a commenté le 05.06.2019 20:31

Techniquement, le pare-feu mis en place en 4.0.6 se contente de bloquer le trafic entrant.
En cela, la Freebox commence à rattraper son retard sur la Livebox.

<troll>
Mais c'est vrai que les geeks Freenautes n'avaient pas pris l'habitude d'avoir du retard sur la concurrence ;-)

</troll>

La richesse fonctionnelle (règles, objets, etc.) amènera un plus évident.

Après activation du pare-feu (firewall) IPv6, il y a toujours les différents équipements et players connectés en IPv6...
Ce que nous ne souhaitons pas.

baudav a commenté le 10.06.2019 19:49

@neustra..: c'est bien ce qui était demandé, un firewall (blocage des ports) et ça fonctionne.

Il aurait été mieux de pouvoir choisir de l'activer uniquement pour le subnet de la freebox et pas pour les next hop (qui ont leur propre firewall plus complet), ou mieux de pouvoir creer des regles.

pour desactiver IPv6 (bien qu'il ne soit pas recommandé) vous pouvez regarder mon screencast il suffit de definir un next hop factice, ce qui stoppe la diffusion sur lea freebox. https://youtu.be/BcjpMHtU3N8

Avez-vous demandé une IPv6 pour votre ou vos players ou bien d'autres équipements ?
Personne non.
Équipements IPv4/MAC Binding ont toujours une IPv6 comme par magie, pare-feu IPv6 activé, DHCPv6 désactivé et DNS IPv6 désactivé.
C'est donc illogique.

dough29 a commenté le 11.06.2019 05:01

C'est du SLAAC tout bête.

Si vos équipements récupèrent une IPV6 c'est qu'il y a un router advertisement sur le segment.

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche