PFSense chez Orange en gardant la téléphonie
-
Salut à tous,
Après lecture de nombreux postes sur comment remplacer sa Livebox par un routeur PFSense, je me rend compte que l'inconnue de l'histoire reste toujours le téléphone. Limitation dû a Orange ne voulant pas pas que des client aient accès aux information de connexion, il faudra faire avec.
J'aimerai pour ma part garder cette fonctionnalité. J'ai lu un article où le routeur PFSense était connecté directement à l'ONT, mais en bridgeant les VLAN qui vont bien, mais cette configuration était fait avec une routeur Ubiquity :
http://www.homelabs.fr/solutions/routeur-livebox/On aurait donc :
(Fibre) <–> ONT <--> pfSense <--> Livebox -> Téléphone / TV
Je voulais savoir si cette configuration était plausible sur pfSense ou pas ? Car il nécessite une modification du serveur pppoe d'origine.
-
D'un point de vue faisabilité technique, j'ignore si cette configuration est plausible. Néanmoins, si la réponse est positive, l'architecture qui en résulte ne me parait pas de nature à garantir une situation maitrisée et satisfaisante d'un point de vue sécurité. Sans développer (je n'ai pas beaucoup de temps en ce moment) :
1. Un équipement (Livebox) complètement non maitrisé est situé derrière le firewall.
2. Des dizaines de personnes (des centaines ?) possède un accès root sur cette Livebox (comment croyez vous que fonctionne l'assistance ? ) qui se trouve à l’intérieur de votre réseau.
3. Des flux vous sont imposés pour garantir le fonctionnement des services de la Livebox.
4. Dans les bonnes pratiques sécurité réseaux, on privilégie la séparation des flux voix et data pour des raisons faciles à comprendre.En clair je ne vois aucun intérêt à cette configuration, d'un point de vue sécurité. Je ne vois pas comment mille feuilles d'élément maitrisés et non maitrisé pourrait être qualifié de sûr.
-
1. Un équipement (Livebox) complètement non maitrisé est situé derrière le firewall.
2. Des dizaines de personnes (des centaines ?) possède un accès root sur cette Livebox (comment croyez vous que fonctionne l'assistance ? ) qui se trouve à l’intérieur de votre réseau.+1 c'est sûr que la pile "internet => FW => Livebox => LAN" n'est pas la plus intéressante d'un point de vue sécurité
4. Dans les bonnes pratiques sécurité réseaux, on privilégie la séparation des flux voix et data pour des raisons faciles à comprendre.
Par contre je veux bien que tu expliques un peu parce que j'ai du mal à comprendre en quoi la cohabitation de ces flux, si les règles sont bien construites, génère des risques en terme de sécurité.
Le montage "internet => Livebox => FW => LAN" ne souffre pas des mêmes inconvénients.
Dans l'idéal, il faudrait configurer la Livebox en mode bridge (comme le permet par exemple la Freebox) mais dans ce cas, je pense qu'on doit perdre les services SIP :-
mais même en mode routeur ça va fonctionner. -
j'ai du mal à comprendre en quoi la cohabitation de ces flux, si les règles sont bien construites, génère des risques en terme de sécurité.
La disponibilité fait partie des critères de sécurité(critères DICT). Concentrer sur un seul (ou une seule série) d’équipement tous les services de communication de l'entreprise n'est pas une bonne chose. Un seul être vous manque et tout est dépeuplé comme dit le poète. Ou encore comme dit le DG en pétard : c'est ce bordel, plus rien ne marche.
J'ai d'autres motifs mais pas le temps d'expliquer. -
Je suis d'accord avec le point de vue sécurité. L'intérêt d'avoir un pfSense serait d'avoir une meilleure maitrise de la sécurité et surtout d'avoir un routeur plus qualitatif qu'une simple Livebox.
1. Un équipement (Livebox) complètement non maitrisé est situé derrière le firewall.
2. Des dizaines de personnes (des centaines ?) possède un accès root sur cette Livebox (comment croyez vous que fonctionne l'assistance ? ) qui se trouve à l’intérieur de votre réseau.+1 c'est sûr que la pile "internet => FW => Livebox => LAN" n'est pas la plus intéressante d'un point de vue sécurité
Non justement. dans le lien que j'ai mis, c'est justement pfSense qui s'occupe d'internet, mais la livebox reste là uniquement pour la téléphonie.
(Fibre) <–> ONT <--> pfSense <--> Livebox -> Téléphone / TV
pfSense <--> (LAN)Donc dans ce cas seul pfSense serait le point faible et ne dépendrais pas de le Livebox. Le LAN et la Livebox étant sur des interfaces différentes elle ne viendrais pas pourir mon LAN.
D'un point de vue technique les flux sont dans des VLAN différents dans la fibre : 835 pour internet et 840 pour la téléphonie de mémoire. L'aiguillage serait donc fait dans pfSense, et seul la partie téléphonie serait rerouté sur la Livebox (Apparemment aucun besoin d'avoir accès au VLAN internet pour que la téléphonie fonctionne). -
Non justement. dans le lien que j'ai mis, c'est justement pfSense qui s'occupe d'internet, mais la livebox reste là uniquement pour la téléphonie.
(Fibre) <–> ONT <--> pfSense <--> Livebox -> Téléphone / TV
pfSense <--> (LAN)Donc dans ce cas seul pfSense serait le point faible et ne dépendrais pas de le Livebox. Le LAN et la Livebox étant sur des interfaces différentes elle ne viendrais pas pourir mon LAN.
D'un point de vue technique les flux sont dans des VLAN différents dans la fibre : 835 pour internet et 840 pour la téléphonie de mémoire. L'aiguillage serait donc fait dans pfSense, et seul la partie téléphonie serait rerouté sur la Livebox (Apparemment aucun besoin d'avoir accès au VLAN internet pour que la téléphonie fonctionne).Vous ne comprenez pas. Vous ne comprenez pas que placer un équipement non maitrisé (Livebox) derrière votre firewall (équipement sous votre contrôle) pose un problème majeur de sécurité. Ceci par ce qu'il existe sur les livebox des accès, des comptes (root) sur lesquels vous n'avez aucun contrôle. Orange (donc beaucoup de monde) a la main sur cet équipement.
-
Oui, une box est bourré de backdoor, pour leur histoire de prise en main a distance / update / ce qu'ils veulent bien faire. C'est bien pour ça que je ne veux pas laisser cette box en tant que porte d'entrée de mon réseau …
Orange n'ayant pas ouvert son protocole SIP maison, ce que vous dite c'est autant rester avec une Livebox plutôt que de faire quoi que ce soit ?!C'est le principe des DMZ. Je sais que cette boite n'es pas sécure donc je construit une zone en dehors de mon réseau (Interface différente, network différents) pour laisser ceci dehors, et ceci sera fait via les VLAN séparés dans la connexion PPPOE : Chaque VLAN aura son interface.
Sachant que pfSense ne se charge pas de router le traffic mais unqiuement de faire le pont entre externe et interne, la Livebox ne saura jamais que le LAN existe.
Sécurité donc ? -
J'abandonne.
-
Avec la box en DMZ, point auquel je n'avais pas fait attention au début du thread, je ne vois pas de gros effets de bord mais pas vraiment d'intérêt non plus à ce montage, sauf si tu supposes que ton FW perso aura un meilleur débit que ta box en mode bridge et que ça représente une limitation.
Par exemple chez Free, la box en mode router plafonne à 600Mb/s alors qu'elle atteint potentiellement 1 Gb/s (c'est très théorique ;D) en mode bridge.
Si la téléphonie fonctionne avec la box en bridge, tu pourrais donc la laisser en frontal de ton FW. Je ne vois pas trop où es le problème où alors je ne comprends pas ton message initial.
-
J'ai oublié de préciser oui, mais la
Bouse(pardon) Livebox n'a pas de mode Bridge … Oui il parait qu'en 2016 on es pas capable de faire ce genre de chose.
Et en plus elle es tellement truffée de bug que le port qui permet l'authentification du VPN L2TP (le 500 en UDP) es considéré comme "port système d'Orange" et donc pas de NAT possible sur ce port là. Donc soit je met mon serveur VPN en DMZ, mais par magie le port n'est plus système puisque le trafique es routé vers celui-ci. Sans compter les reboot environs 1-2 fois par semaine. -
ok, je comprends maintenant ;D merci.
(je ne suis pas utilisateur des services d'Orange)
et le lien décrit dans ton message (je n'avais regardé que le schéma) a plus de sens. 8)
-
Salut salut,
Je confirme qu'avec orange nous ne pouvons pas passer en mode bridge leur box sur la version V3 quelles soit pro ou grand public sans sortir la carte bleue avec un passage d'un technicien plus ou moins avenant qui écoutera vos demande.
Je suis personnellement sur une conf en double box (orange/free) je n'ai pas de soucis de redirection vers mes machines ou services en arrière de mon cluster pfsense.
en résumé que cela soit avec un cluster ou un simple pare feu PF.Pour la partie téléphonie orange, je préfère laisser ça devant mon pare feu et surtout pas en deçà de celui ci, je n'ai pas envie de laisser entrer le loup dans la bergerie.
Pour la partie téléphonie free, il y a quelques tuto sur les vlan gérés et disponible dont le 100 pour la partie tv mais celui de la téléphonie je ne m'en souvient plus.Après libre à vous de faire du reverse ingénierie avec un outils d'analyse et écouté réseaux pour connaitre ces derniers derrière votre box orange, je suis persuadé qu'il doit y avoir un ou deux site qui traite du sujet.
Mais ne faite pas la bêtise de mettre votre box backside votre Pf, cela revient à ne pas avoir de pare feu du tout.
Cordialement.
-
Mais ne faite pas la bêtise de mettre votre box backside votre Pf, cela revient à ne pas avoir de pare feu du tout.
Nous somme tous d'accord la dessus.
Ce que se propose de faire Mouftik, c'est un peu plus fin puisqu'il veut mettre la box en DMZ.Un truc comme ça
internet
+
|
|
+–----+-------+ DMZ +------------+
| pfSense +------------+ box orange |
+------+-------+ +------------+
|
|
| LAN
+--------------------+et pourquoi pas mais , maintenant que je comprends mieux les contraintes de l'exercice, je ne vois toujours pas l'intérêt, hormis quelques petits trucs comme éviter un double NAT.
-
salut salut
Le schéma est intéressant, sauf qu'avec orange le montage n'est pas réalisable du fait de la spécificité de la LB.
Il serait plus simple de monter un asterisk et connaitre la numérotation des vlan ainsi que que leur attribution (tv/voip/…)
Ce n''est qu'en suite vous pourrez paramétrer le pf pour qu'il laisse passer les bonnes info à qui de droit.
Pensez simple == réalisez efficace.
l'autre option serait d’avoir une deuxième ligne qui ne servira qu'a la téléphonie et au cas ou ligne de secours web sur le principe du fail over, mais dans les deux solutions les box sont en front du pare-feu.
Cordialement.
-
Cette dernière option est le bon sens même.
-
l'autre option serait d’avoir une deuxième ligne qui ne servira qu'a la téléphonie et au cas ou ligne de secours web sur le principe du fail over, mais dans les deux solutions les box sont en front du pare-feu.
Ce qui serait vraiment intéressant, dans le cadre du fil ouvert par Mouftik, c'est que tu (ou ccnet qui partage ton point de vue, à l'évidence), commentes en quoi la box en DMZ présente des problèmes ?
La ligne supplémentaire pour faire du failover, pourquoi pas mais c'est uniquement une notion de haute disponibilité qui, en ce qui concerne la téléphone, à perdu de sa criticité du fait que tout le monde ou presque dispose d'un smartphone ou un mobile.
Et en dehors de cette aspect "HA", je ne vois pas vraiment de soucis à ce type de montage, ni vraiment d'avantage à part le double NAT je dois dire.
-
salut salut
C'est pas parce que vous avez une grosse berline qui est capable de passer la barre de 200km/h que vous allez rouler comme cela en ville ?
Le code de la route en franque et en Europe c'est un code de bonne conduite qui par après devenu une obligation de connaitre et maitriser pour passer son permis de conduire.En informatique c'est le concept des bonnes pratiques qui prévôts.
Donc ce n'a pas parce que le montage physique est faisable que cela réalisable sur le plan de la sécurité.
Il ne faut pas tout mélanger mais à parement cela échappe profondément à certain.J'ai parcouru les liens donnés par le poste de départ.
J'en ai même discuter avec des relations travaillant en SII sur la sécurité et aussi dans l'intégration.Leurs réponses tournaient entre passer par l'ajout de ligne spé téléphonie avec un pabx qui la rebasculait sur réseau en front sur le pare-feu via une interface dédié en plus de l'interface wan.
Dans ces deux interfaces il faut les considérées comme des interfaces extérieurs.
La deuxième idée est monter deux réseaux intégralement distinct l'un de l'autre, l'un avec la box et le router, l'autre avec les lignes et un pabx, cela fait double câblage.Nous vous exposons des solutions viables et conformes avec la sécurité, car je rappel que pfsense est un pare-feu et fait aussi office de router, ne le perdez pas de vu.
Après libre à vous de faire ce que vous voulez, mais ne venez pas pleurer si vous vous faites défoncer votre réseaux si vous persistez dans votre idée.
Cela cout cher à une entreprise qui en prend conscience après un sinistre quand elle en prend conscience. Tout cela par une bêtise intellectuelle.Pour revenir sur le point que j'ai exposé sur mon architecture, c'est à titre d'exemple, qu'il y est un autre élément d'entré en backside d'un pare-feu c'est une backdoor probable voir certaine sur votre réseau.
De manière générale dans les bonnes pratiques, moins il y de possibilité d'entrée sur un réseau mieux c'est. Cela est un fait réelle et sérieux à prendre à ne pas prendre à la légère.
En résumé :
deux options- 1 pf avec 2cartes réseau (1wan 1 téléphonie ) comme front et 1 carte réseau pour le lan, et plus selon la grandeur du réseau.
- 1 pf wan/lan donc 1 ligne d'un coté et x ligne téléphonique + 1 pabx de l'autre coté et isolé physiquement du réseau internet.
Cordialement.
-
- 1 pf avec 2cartes réseau (1wan 1 téléphonie ) comme front et 1 carte réseau pour le lan, et plus selon la grandeur du réseau.
- 1 pf wan/lan donc 1 ligne d'un coté et x ligne téléphonique + 1 pabx de l'autre coté et isolé physiquement du réseau internet.
La solution 1 es celle que j'avais pensée justement. Effectivement la Livebox n'a aucune raison de communiquer avec le LAN, car c'est PF qui se chargera de monter le PPPOE. A moins que j'ai mal compris.
D'ailleurs la Livebox n'aura jamais accès a internet, car le VLAN utilisé par Orange pour ce service ne lui sera pas routé. Seul le seul VLAN de Téléphonie sera donc routé (car je n'ai pas l'option TV), elle servira donc de terminal SIP.
Après je ne suis pas fermé mais j'aimerai comprendre en terme de sécurité, comment deux interfaces physiques considéré en tant que externe (WAN + DMZ) pourraient entrainer des backdoor. Mais une explication peux m'ouvrir les yeux.(Chez Orange, ils ont encore fait les choses bien, le protocole SIP es en fait une version modifié a la main et ne correspond que peu au standard, avec aucun accès aux identifiants de la ligne … je ne comprend pas pourquoi autant de mystère quand Free le propose sans problème).
-
La règle de base, en terme de bonne pratique est simple : pas d'équipement non maitrisé après le firewall de l'entreprise.
La dmz n'est absolument pas une zone ouverte. C'est une zone du réseau de l'entreprise où l'on doit tout maitriser : flux, équipement, système, applicatif. Cette zone peut être ouverte, sous conditions, à certains flux.
Il faut comprendre, ou admettre, que la présence, dans cette zone, d'un équipement non maitrisé représente un risque par construction, c'est à dire structurel.
Comme dit Tatave : "Libre à vous".
Libre à vous d'imaginer, par exemple, ce qui pourrait advenir si le trafic de la dmz était routé vers le lan … Le concept de défense en profondeur qui prévaut aujourd'hui pour tout le monde dans le domaine de la sécurité SI, recommande que structurellement l'architecture soit défensive, que même certaines erreurs ou compromissions ne puissent mettre tout le réseau en péril.
Mais c'est vous le maître à bord ... -
Je suis d'accord sur le point de vue défensif de la sécurité, vu les actualités récentes (et moins récentes) le problème deviens épineux de nos jours avec la collection de toutes ces données sensibles sur nos réseaux.
La question redeviens donc plus "large" : Comment garder tous les services que j'ai aujourd'hui (Internet + VoIP) en ayant un accès plus sécurisé et plus performant ? Enfin si il existe une solution …
Sachant que l'idée de départ était de faire monter le PPPOE avec un équipement plus fiable et avec des performances plus importantes, comment pourrais-je donc rerouter uniquement le trafique VoIP sur la Livebox ? (qui es l'unique solution tant que Orange ne permet pas de se connecter avec le protocole SIP standard) sans ou avec peu de perte de sécurité ?Et pour mon coté curieux, est-il du coup possible de rerouter un VLAN d'une connexion PPPOE sur une autre interface grâce a PFSense ?
