Un Parefeu arrive sur les freebox

7

Lors de la convention Free 2019, une question concernant la possibilité d’avoir un Parefeu sur Freebox a été posée (question posée sur le forum de freenews par MQ).

En effet, une fois en ipv6 l’ensemble de vos appareils connectés est directement accessible depuis internet.

Bien évidemment, chaque machine de votre réseau local est censée avoir son propre Parefeu (votre PC Windows a une fonctionnalité Parefeu par défaut, qui vous protège de l’extérieur) mais la réalité et l’avènement des objets connectés est tout autre :

Comment configurer le parefeu de votre nouvelle imprimante connectée ?

L’avantage de pouvoir utiliser un Parefeu directement sur la Freebox est de pouvoir gérer les règles de filtrage globalement depuis l’interface de la Freebox sans devoir faire la configuration machine par machine (quand cela est possible).

Maintenant que le contexte est posé, la réponse à la question d’avoir un Parefeu a été assez directe de la part d’un développeur Freebox :
Oui, OK mais …. activé ou pas par défaut ?
Visiblement le Parefeu est déjà dans les cartons, mais c’est la philosophie qui pose un problème :

D’un côté nous avons des millions de Freebox avec une pléthore d’objets connectés différents (PC, tablettes, Centrales domotiques, ….) et de l’autre un Parefeu qui, s’il est déployé activé, peut bloquer du jour au lendemain un bon nombre d’objets.

La question a donc été posée directement à la communauté lors de la convention :

  • Soit actif par défaut, mais qui peut être sûr que cela ne va pas bloquer des imprimantes, centrales domotiques, etc ? (certaines personnes changent les ports, juste pour rajouter une petite sécurité)
  • Soit inactif, l’utilisateur voulant plus de sécurité et connaissant un peu le domaine pourra l’activer à sa guise et sera seul responsable. Mais cette solution ne protègera pas les plus néophytes.

Le déploiement du Parefeu inactif par défaut a semblé le plus sûr, car vu le nombre de box impactées, un déploiement actif pourrait être catastrophique.
Mais cette solution reste pour nous insuffisante car très peu de monde fera l’effort de l’activer. Peut-être faudrait il que Free livre les nouvelles box avec le parefeu actif, mais sans l’activer sur les freebox déjà déployées ? Cela semble compliqué à mettre en place de la sorte.

Vous allez donc voir prochainement, une fonctionnalité Parefeu sur votre interface freebox.

A la sortie de cette fonctionnalité, nous vous proposerons un tuto pour activer le Parefeu et le configurer afin de rendre votre LAN (réseau interne) inaccessible depuis l’extérieur.

Partager

A propos de l'auteur

7 commentaires

  1. Bonsoir

    La question concernant un pare -feu a été évoqué à de nombreuses reprises, oui  sur Freenews, mais aussi sur pleins d'autres forums , sur le bug tracker  de Free et pour ma part aussi directement en DM depuis Twitter pour me demander de  faire la demande lors de la Convention. C'est un sujet qui inquiète les internautes en particulier depuis la mise en place  de l'IPV6 sans pouvoir la désactiver.

    J'ai donc  posé la question  directement auprès de Maxime Bizon. (Développeur en chef Freebox) ce jour là.  J'avais par ailleurs depuis plusieurs jours  transmis ma liste de questions à Free .

    Et c'est vrai qu'on a eu la chance d'avoir une oreille attentive et une réponse comme quoi la demande était recevable, mais oui activable à la demande.

    Bonne idée oui pour le futur tuto, çà aidera bien ceux qui ne maitrisent  pas forcément bien ce type de fonctionnement.

  2. Le plus simple étant quand même d'activer le parefeu et l'upnp, afin que les ports soit ouvert automatiquement par le protocole qui en a besoin.

  3. Tant que nos machines (sur notre réseau local) sont en IPV4, je ne vois pas comment elle peuvent être joignables directement depuis internet !
    Le jour où, tout le matériel local obtiendra une IPV6 automatiquement par la box (par Free donc), alors là OK (on ne sera donc plus en fonctionnement NAT).

    En attendant, on désactive IPV6 sur ses ordinateurs (au cas où, je suis même pas certain que dans ce cas la Freebox ne soit plus en NAT) et on restera en fonctionnement classique.
    Concernant les imprimantes, objets domotiques ou autres, je n'ai encore rien vu traîner qui gère l'IPV6 ... je ne pense pas qu'il y ait lieu de paniquer.

    Et de toutes façons, je ne pense pas qu'il sera obligatoire d'avoir ses périphériques locaux en IPV6, on pourra bien faire ce qu'on veut sur son LAN.


    Merci aux experts de ne pas me sabrer si j'ai dit une ânerie ou une approximation :)

  4. lunix a écrit :

    Merci aux experts de ne pas me sabrer si j'ai dit une ânerie ou une approximation :)


    -  Free force l'usage d'IPV6 sur son réseau depuis un ou deux mois. Iln'est plus possible de le désactiver.
    - par ailleurs, il n'y a pas de filtrage des flux entrants en IPV6. Cela a fait l'objet d'une demande de modification de ma part sur le bug tracker de Free
    - le risque d'un accès direct à Internet en IPV6 est faible, sauf a surfer sur des sites malveillants.
    - l'avantage de  pouvoir bloquer les flux entrants à la demande est significatif surtout au regard de la complexité de mise en oeuvre.

    CQFD.

  5. mq a écrit :

    Cela a fait l'objet d'une demande de modification de ma part sur le bug tracker de Free


    Bonjour

    En effet

    https://dev.freebox.fr/bugs/task/27268
    FS#27268 - filtrage des flux IPV6 en entrée de la freebox.

       
    Type de tâche Évolution
        Catégorie LAN → NAT (redirections, DMZ)
        Assignée à Personne
        Système d'exploitation Tous
        Sévérité Moyenne
        Priorité Normale
        Basée sur la version 4.0.4
        Due pour la version Non décidé
        Date d'échéance Non décidé


    Pour ma part, j'ai suivi la demande faite sur  le mail de contact de la Toile d'un certain AG qui m'a demandé de relayer la demande lors de la Convention. Ce que j'ai fait.
    Je n'ai aucun mérite,  je me suis  fait l'écho de tous,  car la demande était présente sur de nombreux sites et forums...

    J'ai eu juste la chance d'avoir une oreille attentive ce jour là et la réponse à ma question en direct  par le Développeur Freebox.

    Le plus important dans cette histoire, c'est d'avoir eu la bonne réponse :D Un pare feu va être mis en place.

  6. Busyspider a écrit :

    Pour ma part, j'ai suivi la demande faite sur  le mail de contact de la Toile d'un certain AG qui m'a demandé de relayer la demande lors de la Convention. Ce que j'ai fait.
    Je n'ai aucun mérite,  je me suis  fait l'écho de tous,  car la demande était présente sur de nombreux sites et forums...

    J'ai eu juste la chance d'avoir une oreille attentive ce jour là et la réponse à ma question en direct  par le Développeur Freebox.

    Le plus important dans cette histoire, c'est d'avoir eu la bonne réponse :D Un pare feu va être mis en place.


    j'ai bien noté tout ce travail accompli !!! un grand merci a toi pour tout cela. Je n'ai fait qu'allumer une petite étincelle ; c'est bien toi qui a fait jaillir le feu :-)

  7. Réagir sur le forum