Fiabilité du pare-feu des Box adsl type Livebox pro

Fiabilité du pare-feu des Box adsl type Livebox pro - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 27-11-2011 à 18:26:28    

Bonjours à tous,
 
Quel est votre sentiment quant à la fiabilité des pare-feux équipant les box adsl et particulièrement celui de la Livebox "pro" ?
Il me semble que la gestion des corrections des failles de l'OS des box est FAI dépendant. Ceci peut représenter un certain retard dans les corrections et permettre l'exploitation de failles non corrigées.
 
Je pense donc qu'il serait bon qu'un véritable pare-feu (type iptables, packet filter ou autres) soit placé derrière les box adsl en environnement professionnel, mais j'aimerais avoir votre avis sur la question.
 
Merci par avance.

Reply

Marsh Posté le 27-11-2011 à 18:26:28   

Reply

Marsh Posté le 27-11-2011 à 21:37:40    

1ère ou 2ème version ?
Autant la 1ère version (la Inventel) était une version adaptée au marché pro, autant la 2ème (la Thomson) je la trouve un peu light niveau configuration. Je m'attendais à mieux quand je l'ai eu entre les mains pour la testée chez un voisin artisan... qui s'est finalement retournée vers une Livebox ordinaire (besoin de la box pour avoir la téléphonie) pour faire une petite économie (3€ TTC contre 5€ HT)


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 27-11-2011 à 22:34:11    

Merci pour cette réponse. Je m'interroge avant tout sur la fiabilité de l'OS et du pare-feu sur toutes les versions. Une récente mise à jour des livebox a réinitialisé les mots de passe admin et il semble que certains trojans soient capables d'accéder à la config de certaines box par force brute... Peut on imaginer d'autres failles ? La mise en place d'un firewall tiers (en plus de fw sur les PC) vous semble-t-elle nécessaire ?

Reply

Marsh Posté le 28-11-2011 à 08:24:33    


 
Merci pour cette réponse. Je parle de firewall et non de firmware : ajouter un firewall tiers (checkpoint, iptables ou autres) entre la livebox et le LAN. Je ne souhaite pas "toucher" aux firmwares des box.
 

Reply

Marsh Posté le 28-11-2011 à 13:19:47    

ericbosba a écrit :

Je ne souhaite pas "toucher" aux firmwares des box.


Même, tu ne peux pas chrooté et modifier les box pro.
Tu peux le faire (à ce qu'il paraît :whistle: ) sur certaines box grand public.
 
Après il faudrait plutôt faire un comparatif entre :
- les boîtes noires (Cisco & co)
- les routeurs modifiés (DD-WRT/OpenWRT)
- les machines dédiées sur une solution propriétaire
- les machines dédiées sur une solution libre "all in one" (m0n0wall/pfSense)
- les machines dédiées sur une solution libre faîte maison (une Debian/autre distrib en installation de base, des règles sur le firewall)
 
Sachant que les machines dédiées peuvent être aussi bien une machine desktop de récupération, une machine type Soekris ou autre mini-ITX à processeur unique ou non.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 28-11-2011 à 13:22:08    

aucun intérêt à mon sens pour une petite entitée si les besoin sont uniquement le surf.
Les box sont toutes basées sur linux, et donc iptables par extension, je ne vois pas ce que ca apporterait de mettre autre chose, si ce n'est une gestion plus fine des règles (a voir si besoin ... )

Reply

Marsh Posté le 28-11-2011 à 14:50:52    

Pour une "petite entité" comme un artisan ou une TPE, aucune utilité (voir mon exemple avec un voisin artisan, repassé sur une Livebox normale moins cher pour les mêmes prestations de base).
Après quand tu attaques la taille ou les besoins d'une PME d'une dizaine d'employé ou plus, ou une école primaire (avec ses serveurs type SLIS) là un routeur "hacké" peut être intéressant, notamment pour faire une différenciation entre réseau employés/profs et clients/élèves.
Voire pour la PME proposer un portail captif avec sa petite fenêtre de pub (horaire, promos,...) lors de la connexion.
 
Il existe d'ailleurs un segment non exploité dans ce domaine, peu à pas d'offre de routeur modifiable vendu déjà équipé de DD-WRT ou OpenWRT [:jean-guitou]


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 28-11-2011 à 15:07:03    

ericbosba a écrit :

Bonjours à tous,
 
Quel est votre sentiment quant à la fiabilité des pare-feux équipant les box adsl et particulièrement celui de la Livebox "pro" ?
Il me semble que la gestion des corrections des failles de l'OS des box est FAI dépendant. Ceci peut représenter un certain retard dans les corrections et permettre l'exploitation de failles non corrigées.
 
Je pense donc qu'il serait bon qu'un véritable pare-feu (type iptables, packet filter ou autres) soit placé derrière les box adsl en environnement professionnel, mais j'aimerais avoir votre avis sur la question.
 
Merci par avance.


 
 
Lorsqu'on s'interroge sur la MAJ de son firewall pour les éventuelles failles, je ne vois pas ce qu'on fait derrière une ADSL chez Orange :o
Y'a comme une contradiction.
Non pas que la livebox ne soit pas bien mais elle ne s'adresse pas à un public dont la sécu de son réseau doit être au niveau des grandes entreprises.

Reply

Marsh Posté le 14-12-2011 à 16:19:22    

+1 Shon
 
J'ajouterait qu'il y a plus de risques de faire une fausse manip en jouant les pros sur de l'iptables qu'en laissant sa vieille bobox tranquille en frontal web

Reply

Marsh Posté le 14-12-2011 à 17:13:16    

+1  
 
 :jap:


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 14-12-2011 à 17:13:16   

Reply

Marsh Posté le 14-12-2011 à 18:18:58    

Comment enfoncer les portes ouvertes [:online]  

ShonGail a écrit :

Lorsqu'on s'interroge sur la MAJ de son firewall pour les éventuelles failles, je ne vois pas ce qu'on fait derrière une ADSL chez Orange :o
Y'a comme une contradiction.
Non pas que la livebox ne soit pas bien mais elle ne s'adresse pas à un public dont la sécu de son réseau doit être au niveau des grandes entreprises.


bardiel a écrit :

Après quand tu attaques la taille ou les besoins d'une PME d'une dizaine d'employé ou plus, ou une école primaire (avec ses serveurs type SLIS) là un routeur "hacké" peut être intéressant, notamment pour faire une différenciation entre réseau employés/profs et clients/élèves.
Voire pour la PME proposer un portail captif avec sa petite fenêtre de pub (horaire, promos,...) lors de la connexion.


 
(à ce qu'il paraît, c'est beaucoup "le dernier qui parle qui a raison"...)


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 14-12-2011 à 18:28:46    

ben tu peux apposer un copyright si tu le sens mieux :D
 
Mais bon on ne dit pas tout à fait la même chose ...
Voir en fait pas la même chose du tout.
Tu causes routeur avec firmware alternatifs, DMZ, portail captif.
Moi ADSL Orange + Livebox =/ sécurité top niveau NSA compliant.

Reply

Marsh Posté le 14-12-2011 à 18:42:00    

Un artisan n'a pas forcément besoin d'une haute sécurité ni d'un modem évolué. Le truc de base "grand public" suffit amplement.
Quand tu attaques la taille ou les besoins d'une PME d'une dizaine d'employé ou plus, déjà ceux qui utiliseront des lignes ADSL "grand public" sont des ânes ou des grippe-sous.
C'est de la simple logique, et la question sur la ligne ne se pose même pas.  
Tu es hors sujet pour la question, et en plus tu enfonces les portes ouvertes :D
 
Là la question portait sur une Livebox pro, livrée (normalement :whistle: ) qu'avec une ligne pro.
Tu restes sur ta ligne de base + matos de grand public, moi je cause ligne pro + matos pro.
 
Après, que tu sois pour ou pas pour avoir un ADSL pro chez Orange, parfois tu n'as pas le choix (marché public, desserte locale par rapport aux besoins/qualités techniques d'une offre pro, etc)
La question ne se pose pas chez Free ou SFR, c'est simple : matos grand public ou tu achètes ton modem-routeur.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 14-12-2011 à 18:48:45    

Ah ouais quand même.
Bon si tu le dis.

Reply

Marsh Posté le 14-12-2011 à 22:00:08    


Suivant la boîte, il est possible d'avoir quelque chose à coût réduit

bardiel a écrit :

Après il faudrait plutôt faire un comparatif entre :
- les boîtes noires (Cisco & co)
- les routeurs modifiés (DD-WRT/OpenWRT)
- les machines dédiées sur une solution propriétaire
- les machines dédiées sur une solution libre "all in one" (m0n0wall/pfSense)
- les machines dédiées sur une solution libre faîte maison (une Debian/autre distrib en installation de base, des règles sur le firewall)
 
Sachant que les machines dédiées peuvent être aussi bien une machine desktop de récupération, une machine type Soekris ou autre mini-ITX à processeur unique ou non.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 14-12-2011 à 22:15:41    

Tu n'as pas lu le quote de mon message précédent... je parle aussi de solutions autres que les boîtes noires genre checkpoint safe ;)


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed