La freebox n’est pas un firewall

Juste un petit article pour tordre le cou à une idée reçue. Non, un routeur n’est pas un firewall et la freebox en mode routeur ne déroge pas à la règle. Le principe d’un firewall est d’agir comme un filtre qui va autoriser ou non le transit de certains flux à partir de règles qu’on lui aura défini. Ceci suppose que le filtrage est bidirectionnel. Vous pouvez bloquer les flux entrants mais aussi les flux sortants. Un firewall doit aussi tracer les contenus bloqués, il est important de savoir si les filtres fonctionnent et de connaitre la fréquence/provenance des paquets bloqués. L’impression de sécurité est en réalité liée à l’espace d’adressage privé dont on dispose derrière une freebox en mode routeur. Ce sont ces adresses en 192.168.x.x par exemple comme décrit dans la RFC-1918. Personne ne peux atteindre ces adresses depuis l’internet car elles ne sont pas routées. C’est une des dispositions prises dans les années 1990 pour freiner l’épuisement des adresses IPv4.

En IPv4

Pour sortir sur l’internet, une machine avec une adresse privée aura besoin de la fonction NAT du routeur, seul équipement disposant d’une adresse publique : tout (ou presque) peut sortir, en revanche rien ne rentre sans qu’un règle de redirection de port ne soit définie. Cela inclue vos programmes légitimes, les navigateurs et autres jeux qui se connectent à internet mais aussi les virus et les troyens qui peuvent se connecter à un serveur malicieux. Votre PC derrière un routeur ou une freebox peuvent donc être ce que l’on appelle un zombie scrutant un signal sur un serveur qui va lui ordonner d’attaquer un site par déni de service ou qui va tenter d’envoyer un tas de spam en se connectant directement sur les serveurs SMTP des victimes. Sur ce dernier point la freebox en mode routeur inclue depuis quelques temps déjà un filtre activé par défaut qui interdit la connexion aux ports 25 autres que ceux des serveurs SMTP de free.

En IPv6

En IPv6 la situation est pire car tout l’intérêt d’IPv6 est de se débarrasser de la notion d’adressage privé. Toute adresse IPv6 est publique, votre machine est donc directement joignable depuis l’internet, exit le NAT qui n’a plus de raison d’exister en IPv6. Sous Windows Vista, quand une connectivité IPv6 est détectée, le système vous propose de choisir un niveau de protection (réseau domestique, réseau d’entreprise ou réseau public). Si vous n’avez pas de firewall IPv6, vous devriez choisir « réseau public ». Sous Windows Seven la même stratégie est appliquée en IPv4 et en IPv6, la question n’est posée qu’une fois par connexion physique.

Que faire ?

Pour vous aider à comprendre, considérez qu’il existe deux réseaux internet, l’un en IPv4 et l’autre en IPv6. Ils ne communiquent pas entre eux car ces deux protocoles sont incompatibles. Les possibilités de ces réseaux sont différentes. IPv6 inclue des systèmes d’identification et de cryptage pour sécuriser nativement les échanges, toutefois leur utilisation est aujourd’hui marginale car cela demande un paramétrage poussé pour les utiliser. Aujourd’hui l’internet en IPv6 n’est qu’une transposition de ce qui se fait déjà en IPv4 sans plus de sécurité (pas encore). Dans le doute utilisez un firewall matériel, logiciel ou intégré à l’OS.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *