Impossible d'interdire à une station servant de firewall d'aller sur Internet

Tags: #<Tag:0x00007efede78c7b8>

Plus qu’une option tu veux dire?

personnellement je ne pense pas, ou en tout cas, ça ne sera pas de notre vivant.

Ceci dit, on peut très bien avoir un réseau local entièrement ipv4, et seul la passerelle de sortie serait en IPv6 et s’ocucperait de la connexion. Ce qui implique un proxy obligatoirement pour les utilisateurs.

Par contre en IPv6, on peut très bien avoir une adresse interne non routable sur le net pour éviter de leak ses adresses internes vers l’extérieur, ce qui est un vrai problème de sécurité.

Quand je lis ça, ça me fait penser au syndrome de Stockholm.
« Quand l’IPv6 est venu les libérer, les otages du NAT et de l’adressage privé ont préféré rester avec leurs ravisseurs. »

2 J'aime

Oui ! J’ai fini par lire ça dans la page man… En attendant, on a passé des années avec une faille… que dis je, un gouffre ! :rage:

Sur un sujet comme celui là, je trouve qu’il n’y a pas eu beaucoup de publicité. Et toutes les organisations, et encore moins les particuliers, n’ont pas les moyens de se payer un expert en sécurité !

Sinon, j’ai remarqué qu’il y a moyen d’activer un firewall ipv6 sur la Freebox Mini 4K. Cela vient seulement d’être fait. Mais comme d’habitude, Free n’est pas très disert sur le sujet…

Le problème c’est que les adresses des pc en interne sont publique. C’est justement une faille de sécurité qu’utilise pas mal les cybercriminels.

En aucun cas tu ne peux réellement protéger tout un réseau en ayant toutes tes adresses internes publiques. Un adressage interne publique c’est en soit une faille de sécurité.
sans compter que du fait de la législation tu es obligé de passer par un proxy dans une entreprise, ce qui rend utile de faire du NAT.

Et pourtant l’internet ne s’est pas effondré. La « faille », si c’en est vraiment une, est-elle si grave ?

En quoi est-ce un problème et une faille de sécurité ?

Pourquoi ?

Source ?

Au contraire, aucun intérêt à faire du NAT si on doit passer par un proxy.

C’est bien là le problème. La sécurité informatique n’est pas une affaire de preux chevaliers, mais d’assassins sournois. On ne t’annonce pas que l’on va te mettre, avec tambours et trompettes, un grand coup d’épée au travers de la gueule, mais plutôt, on te plante un couteau dans le dos !

Donc, quand on découvre ce genre de joyeuseté, ça rend nerveux, voire un brin anxieux. Qui ne dit que le système n’est pas corrompu ?

Pas du tout, l’obligation est de journaliser les accès à Internet des salariés pendant un an, l’utilisation d’un proxy n’est pas une obligation, tu peux le faire autrement.

Non, ce n’est pas une faille de sécurité. Une faille de confidentialité, à la limite, et encore, l’adressage des postes peut être dynamique.

Hello IoT!

What is it ?

Internet of Things. C’est la plétore de nouveaux objets connectés pour lesquels la sécurité est un concept… non, juste un concept. Ces objets, pour certains, s’appuient entièrement sur la sécurité du réseau informatique auquel ils se connectent (lol). Ils ont souvent des mots de passe par défaut bien connus sur Internet et il existe un moteur de recherche pour les trouver (j’ai oublié le nom).

parce que tu peux tracer ce que fait chaque machine. c’est un élément d’information qui pourra éventuellement servir pour une attaque de quelque type que ce soit, une attaque ne pouvant le cas échéant n’être qu’une simple compromission menant à un ransomware (comme ce qui vient d’arriver à plusieurs des plus importantes entreprises de france).

parce que par définition c est publique.

je te laisse jouer avec Legifrance.

c’est la base même. La plus grande partie des défaillance sécuritaires sont souvent invisible jusqu’à ce que l’attaquant se soit rendu visible. les ransomware qui attaque la france depuis pus d’un mois ont probablement été mis en place plusieurs semaines avant.

Exact, mais le proxy reste le meilleur moyen de le faire. voir même le plus simple.

Une faille de confidentialité c’est une faille de sécurité.

Plutot qu’un concept, plutot une incapacité, pour ne pas dire une incompétence générale dans le domaine internet depuis 20 ans. le profit est plus important que la securité.

Ha ! Le fameux Internet des objets. C’est vrai que la vie privée est, selon Google, une anomalie !

Certes, je fais partie des vieux machins, mais pour moi, un appareil se connectant à internet, c’est lourd, gros et on doit le poser sur un bureau pour s’en servir.

Après, je suis bien obligé de faire des concessions pour utiliser mon smartphone… En attendant un OS libre…

Moi ? Pas du tout, tu dois me confondre avec quelqu’un d’autre.
Pour pouvoir « tracer ce que fait une machine » il faut être sur le chemin de son trafic réseau, ce n’est pas donné à tout le monde.

« Public », ça ne veut rien dire en soi, et surtout pas que n’importe qui peut voir tout ce qu’on fait avec. D’ailleurs en IPv6 on ne parle plus d’adresse publique mais d’adresse globale car elle est globalement unique.

Non, c’est à toi de prouver ce que tu affirmes.

Tu manques d’information sur le sujet visiblement, pourtant ca fait un bail que ca existe:
La loi n° 2006-64 du 23 janvier 2006, relative à la lutte contre le terrorisme, à étendu cette obligation à l’ensemble des personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit.

L’article L.34-1 du code des postes et des communications électroniques (CPCE), modifié par la loi du 23 janvier 2006, tend à soumettre les personnes offrant au public à titre professionnel une connexion à l’Internet aux mêmes obligations que les opérateurs de communications électroniques classiques, s’agissant des obligations de conservation de données permettant l’identification des personnes utilisatrices des services fournis.

Pour le reste tu es assez grand pour trouver :slight_smile:

je n’ai jamais dit que c’était facile.

Malheureusement, j’ai bien peur que cela n’arrive jamais vraiment.
Firefox OS enterré, Ubuntu touch c’est pas gagné, déjà qu’il existe à peine. reste LineageOS, héritier de CyanogenMod, mais bon, on ne peut pas vraiment parler de libre, et bonjour le bordel pour utiliser (CyanogenMod, LineageOs je ne sais aps s’(ils ont amélioré).
Ensuite, il reste le Fairphone, mais c’est du Android débarrassé des apps non libre, mais c’est plus cher, moins facile à utiliser et moins pratique.

sauf que cela ne garanti aucune réelle sécureité. sachant qu’un certains nombre de point laissent à désirer:
https://www.cert.ssi.gouv.fr/information/CERTA-2006-INF-004/
Chapitre 4 pour le chapitre sur la sécurité. Il n’est pas exhaustif, mais il pointe déjà quelques problèmes. ca date de 2006, mais les problèmes cités ne sont pas tous résolus loin s’en faut.

Dans les problèmes, on peut citer celui de l’absence de normalisation d’écrite d’une adresse, la sensibilité aux denis de service (pas de bases de réputation, la taille du réseau ipv6, la compatibilité des asic qui s’est quand même amélioré ces dernières années) etc…

Ah et j’oubliais, c’est qu’en fait il n’y a plus de réseau local.
Il faudra donc avoir des équipement de sécurités plus conséquent, avec le niveau de complexité que ça implique.

Les firewalls sont là pour ça non ?
La sécurité par l’offuscation … je pensais pareil avant.

Oui, normalement, un bon système de sécurité doit résister aux attaques, même si tu publies son paramétrage (sans les clefs privées et les mots de passe, bien sûr).

sauf que le traitement des ipv6 ne sont pas encore complètement efficace comme le sont les ipv4. Et un parefeu est un élément de sécurité qui ne saurait se suffire à lui même. C’est comme croire qu’on empêche les cambrioleur d’entrer par ce qu’on a fermé le portail à clef. C’est un incontournable nécessaire mais pas suffisant.

ah bon, je serais curieux de connaître ta source.

Bien entendu, mais en quoi lepassage à du

NAT serait plus sûr ?

Si je te suis bien le NAT apporterai plus de sécurité ?

Comme expliqué auparavant, je pensais aussi à tord que la mise en place d’un NAT sécuriser d’avantage les plateformes derrières, mais le NAT n’a pas cette vocation en fait … (et c’est après discussion avec Pascal justement que je m’en suis rendu compte :smiley: ).
De plus ça casse la connectivité de bout en bout, par exemple les entêtes IPSEC sont altérés et dans le cas d’une ‹ authentification header › :confused:

Après ce passionnant débat d’experts, je souhaiterais faire entendre de ma fluette petite voix, une information qui pourra s’avérer utile.

La voici donc :

Dans /etc/shorewall/shorewall.conf, on a la directive « DISABLE_IPV6 »

Il suffit de la passer de No à Yes pour barrer la route à tout trafic IPv6.

Donc, après un rechargement des règles, on a :

Root /!\ : ip6tables-save
# Generated by xtables-save v1.8.2 on Mon Nov  9 15:25:07 2020
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Mon Nov  9 15:25:07 2020
Root /!\ :

Très autoritaire… Et effectivement, ça bloque tout ce que je pouvais faire sur la station « firewall ».

Cette situation va me permettre de travailler de manière un peu plus sereine sur la mise en place de la partie IPv6.

En tous cas, merci à tous pour votre aide.

je disais face à ta réponse sur le fait que les pare-feux sont là pour ça. les pare-feux ne sont qu’un élément. Il y a plein de chose qu’un pare-feux ne voit pas, en particulier toutes les attaques provenant du contenu des paquets. Et il y a encore pas mal de pare-feux dont la maturité IPv6 n’est pas au niveau de celle de l’IPv4.

Non tu as raison, le NAT permet juste de masquer les adresses qui sont derrière avec une réécriture des adresses. sont utilité en terme de sécurité ne se situe qu’au niveau de l’offuscation, le masquage des adresses internes. Car qui connait l’adressage interne, obtient des informations sur la structure du réseau (certes pas toutes les infos), et c’est un début. Pour un attaquant, toute information simple à obtenir est très utile.
il y a quelques années, il suffisait d’une simple requête sur google pour obtenir des informations sur les adressages internes d’entreprises (un article était parut il y a une quinzaine d’années sur MISC).

On considère souvent qu’il protège dans le sens ou les paquets entrant non sollicités sont refusés car ils ne correspondent pas à un paquet sortant. ce qui est un abus de confiance.

De fait, plus question de faire un tunnel d’un poste interne vers l’extérieur. Il faut passer par un tunnel établi entre la passerelle et le site distant. cela dit, dans la plupart des entreprises dans lesquelles j’ai été amené à intervenir, faire un tunnel d’un poste interne à l’entreprise vers un site distant

est formellement interdit. Et c’est préférable, car cela pourrait permettre à quelqu’un d’établir une liaison vers l’extérieur et de transmettre des infos sans qu’on puisse savoir de quoi il retourne.

Il n’est pas plus sur. C’est juste le fait en passant à l’IPv6 d’ouvrir tout simplement la visibilité du réseau interne à l’extérieur. en soit c’est une information gratuite aux attaquants. Qui plus est, dans beaucoup de cas, les adresses IP fournies en interne sont celle de l’opérateur d’accès avec l’adresse mac de l’équipement intégré. ce qui en soit, est une information importante.
C’est facile à vérifier avec n’importe quelle box et un ordinateur derrière. En regardant son adresse IPv6, on voit qu’elle contient l’adresse mac du pc adressé.

Un exemple simple, il n’y a pas de normalisation de l’écriture des adresses IPv6, ce qui rend difficile son traitement.

Il y a: https://www.cert.ssi.gouv.fr/information/CERTA-2006-INF-004/ bien qu’un peu ancien, à voir ce qui a été corrigé. Du fait du desintérêt d’un grand nombre d’acteurs, la progression n’a peut etre pas été aussi rapide que l’on aurait pu s’y attendre. Le document a été modifié jusqu’en 2008 il me semble.
Moins ancien: https://www.cert-devoteam.fr/ipv6-est-deja-present-actif-et-avec-ses-vulnerabilites/