Vous avez une question ?

Créer un sujet

internet & fixe protéger mes données et mon accès internet

le mode de firewall moyen de la livebox est-il inutile?

contributeur
5 660  

le mode de firewall moyen de la livebox est-il inutile?

Quand on lit le descriptif des mode de firewall de la livebox on voit :

Moyen.
C'est le niveau de sécurité par défaut. Nous vous conseillons de ne pas le modifier.
Le pare-feu filtre les données provenant d'internet mais pas les flux partant de votre Livebox.
Ce niveau de sécurité permet de bloquer les intrusions malveillantes dans votre réseau domestique.

 

Ok mais sachant que la livebox fait du NAT toutes les connexions entrantes sont refusées à moins que l'on ait créé une règle explicite autorisant le traffic.

 

En mode moyen, quand on crée une règle de NAT, le traffic entrant passe correctement (ce qui me fait fortement douter qu'un filtrage soit appliqué par le firewall). En gros j'ai l'impression que le mode moyen ne fait qu'une seule chose c'est de bloquer le traffic netbios en sortie et rien d'autre.

 

Quelqu'un connait-il la liste des règles appliquées par ce mode, ou y a t il un moyen d'avoir un descriptif technique précis et réel du fonctionnement du firewall de la livebox?

4 RÉPONSES 4
contributeur
5 495  

Re : le mode de firewall moyen de la livebox est-il inutile?

Petite précision je possède une livebox Play (fibre). Sur l'interface de gestion le descriptif du mode moyen est :

 

Moyen

Le pare-feu filtre toutes les connexions entrantes. le trafic sortant est autorisé à l'exception des services netbios. Il est recommandé d'utiliser ce mode.

 

Mes interrogations du post précédent restent donc d'actualité

contributeur
4 810  

Re : le mode de firewall moyen de la livebox est-il inutile?

Le post est un peu ancien mais toutjours d'actualité.

 

Il semble effectivement que le pare-feu de la Livebox (quel que soit le numéro, je les ai toutes eues) ne soit pas très utile. Pour m'en convaincre, j'ai tenté le mode "élevé" et, pour finir, le mode "personnaliser". Le seul résultat que j'obtiens est un blocage du trafic sortant, mais aucun moyen de bloquer du trafic entrant. J'ai fait le test avec le bureau à distance Windows (port 3389) et un serveur FTP (port 21) et il a été édifiant.

 

En mode "élevé", il est impossible de se connecter à un bureau à distance (blocage du trafic sortant) mais le FTP fonctionne (trafic entrant et sortant).

 

En mode "personnaliser", je peux "autoriser" la connexion au bureau à distance (trafic sortant) mais, même en cochant "rejeter" mon serveur était accessible depuis l'extérieur (mais je ne pouvais pas aller sur les FTP distants depuis chez moi => le trafic sortant est bloqué, mais pas le trafic entrant).

 

Ce pare-feu permet d'autoriser ou de bloquer l'accès de mes équipements à internet, mais ne permet pas de restreindre l'accès à nos équipements depuis internet.

 

A l'heure où de plus en plus de personnes s'équipent de matériels connectés, comme les NAS, ce serait bien de pouvoir disposer d'un pare-feu réellement paramétrable sur la box, surtout quand on voit ce qui s'est passé avec des virus comme synolocker pour les NAS synology par exemple, ou les failles SSH sur des qnap qui ont aussi connu des attaques.

 

On pourra me dire que les NAS disposent souvent d'un pare-feu, mais lorsque le système d'exploitation du NAS a une faille de sécurité (c'était le cas dans les deux exemples cités), il vaut mieux gérer le pare-feu en amont des équipements connectés.

 

On pourra également me dire qu'il suffit de créer des règles NAT, mais je ne peux pas choisir quelles IP extérieures peuvent accéder à mon matériel. Ce que je souhaite faire est pourtant simple: avoir un NAS connecté à internet, mais accessible seulement depuis un nombre limité d'IP extérieures.

 

Je reste toutefois humble face à la technologie, et si quelqu'un me montre que le pare-feu de la Livebox peut bloquer un trafic entrant sur des ports précis et choisis par l'utilisateur, je suis preneur.

contributeur
4 522  

Re : le mode de firewall moyen de la livebox est-il inutile?

Hola,

 

C'est un peu à ce constat là que je suis arrivé également.

Pas trouvé comment établir aussi une règle qui soit "connection aware" par exemple et puisse autoriser le traffic entrant lorsqu'il fait partie de connexions TCP établies (un peu comme les filtres "established connection" dans iptables sous Linux).

#TopMembre
4 496  

Re : le mode de firewall moyen de la livebox est-il inutile?

Bonjour @mahial 

 

J'ai l'impression que tu mélanges deux problématiques différentes.

D'un côté un opérateur qui vise un secteur de marché plutôt basique et non informé, la clientèle Orange est un héritage de "l'opérateur historique" et en majorité ne veut surtout pas savoir comment ça marche.

De l'autre unepopulation d'utilisateurs avancés et au fait de la technologie.

Le produit Livebox est plutôt fait, du moins me semble t-il, pour être utilisé au plus simple. Le mode de fonctionnement le plus courant : brancher le secteur, brancher la ligne téléphonique et appuyer sur marche. Point final.

 

Le pare-feu néanmoins, dispose d'une "personalisation" très modeste. Cette personalisation est totalement insuffisante, elle se limite à une barrière sur les connexions entrantes ; il lui manque un controle des flux sortants.

De plus la personnalisation du pare-feu ne permet pas la gestion complète des flux vers un réseau local développé.

Mais ça nous ramène au début, est-ce l'objectif d'un produit grand public comme l'est "Livebox".

 

Dans ton cas, la seule une bonne solution est serait d'installer un équipement intelligent que ce soit un routeur ou un système Linux (genre Bastille-Linux) principalement centré sur le pare feu et une configuration iptable. J'avais installé un tel système à l'époque où mon accès internet était géré par un modem @fast800, c'était ma PhilDurBox. L'arrivée de OpérateurBox avec l'ADSL a rendu ce type de système obsolete pour le grand public.

Tu déclares ce routeur comme étant la DMZ de la box et tu implémentes des règles de type iptable dessus ; tu pourras ainsi géré au micropoil près les droits d'accès à tes équipements connectés derrière lui. Avantage ultime, les failles de la Livebox ne pourront pas mettre en danger le sous réseau de ta DMZ.

 

Ton problème est intéressant car, en chariant juste un tout petit peu, il montre que les box grand public sont largement plus que performantes, à tel point que des utilisateurs avancés ou professionnels envisagent les utiliser dans des architectures réseau évoluées. :robottongue:

Mais j'avoue que je charie.

 

Résumé : la livebox est un équipement grand public destiné à "M. et Mme Michu du coin de la rue" ; il n'est pas destiné à gérer la sécurité d'un hébergement de serveurs

 

Cordialement

PhilDur

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera

Vous avez une question ?

Créer un sujet

Trouvez les réponses à toutes vos questions

De nombreuses discussions sur les sujets qui vous intéressent :

187 membres connectés
et 3081 invités

Tous les membres en ligne

Infos utiles sur la Fibre

Tout savoir sur la Fibre