PFSense chez Orange en gardant la téléphonie
-
Oui, une box est bourré de backdoor, pour leur histoire de prise en main a distance / update / ce qu'ils veulent bien faire. C'est bien pour ça que je ne veux pas laisser cette box en tant que porte d'entrée de mon réseau …
Orange n'ayant pas ouvert son protocole SIP maison, ce que vous dite c'est autant rester avec une Livebox plutôt que de faire quoi que ce soit ?!C'est le principe des DMZ. Je sais que cette boite n'es pas sécure donc je construit une zone en dehors de mon réseau (Interface différente, network différents) pour laisser ceci dehors, et ceci sera fait via les VLAN séparés dans la connexion PPPOE : Chaque VLAN aura son interface.
Sachant que pfSense ne se charge pas de router le traffic mais unqiuement de faire le pont entre externe et interne, la Livebox ne saura jamais que le LAN existe.
Sécurité donc ? -
J'abandonne.
-
Avec la box en DMZ, point auquel je n'avais pas fait attention au début du thread, je ne vois pas de gros effets de bord mais pas vraiment d'intérêt non plus à ce montage, sauf si tu supposes que ton FW perso aura un meilleur débit que ta box en mode bridge et que ça représente une limitation.
Par exemple chez Free, la box en mode router plafonne à 600Mb/s alors qu'elle atteint potentiellement 1 Gb/s (c'est très théorique ;D) en mode bridge.
Si la téléphonie fonctionne avec la box en bridge, tu pourrais donc la laisser en frontal de ton FW. Je ne vois pas trop où es le problème où alors je ne comprends pas ton message initial.
-
J'ai oublié de préciser oui, mais la
Bouse(pardon) Livebox n'a pas de mode Bridge … Oui il parait qu'en 2016 on es pas capable de faire ce genre de chose.
Et en plus elle es tellement truffée de bug que le port qui permet l'authentification du VPN L2TP (le 500 en UDP) es considéré comme "port système d'Orange" et donc pas de NAT possible sur ce port là. Donc soit je met mon serveur VPN en DMZ, mais par magie le port n'est plus système puisque le trafique es routé vers celui-ci. Sans compter les reboot environs 1-2 fois par semaine. -
ok, je comprends maintenant ;D merci.
(je ne suis pas utilisateur des services d'Orange)
et le lien décrit dans ton message (je n'avais regardé que le schéma) a plus de sens. 8)
-
Salut salut,
Je confirme qu'avec orange nous ne pouvons pas passer en mode bridge leur box sur la version V3 quelles soit pro ou grand public sans sortir la carte bleue avec un passage d'un technicien plus ou moins avenant qui écoutera vos demande.
Je suis personnellement sur une conf en double box (orange/free) je n'ai pas de soucis de redirection vers mes machines ou services en arrière de mon cluster pfsense.
en résumé que cela soit avec un cluster ou un simple pare feu PF.Pour la partie téléphonie orange, je préfère laisser ça devant mon pare feu et surtout pas en deçà de celui ci, je n'ai pas envie de laisser entrer le loup dans la bergerie.
Pour la partie téléphonie free, il y a quelques tuto sur les vlan gérés et disponible dont le 100 pour la partie tv mais celui de la téléphonie je ne m'en souvient plus.Après libre à vous de faire du reverse ingénierie avec un outils d'analyse et écouté réseaux pour connaitre ces derniers derrière votre box orange, je suis persuadé qu'il doit y avoir un ou deux site qui traite du sujet.
Mais ne faite pas la bêtise de mettre votre box backside votre Pf, cela revient à ne pas avoir de pare feu du tout.
Cordialement.
-
Mais ne faite pas la bêtise de mettre votre box backside votre Pf, cela revient à ne pas avoir de pare feu du tout.
Nous somme tous d'accord la dessus.
Ce que se propose de faire Mouftik, c'est un peu plus fin puisqu'il veut mettre la box en DMZ.Un truc comme ça
internet
+
|
|
+–----+-------+ DMZ +------------+
| pfSense +------------+ box orange |
+------+-------+ +------------+
|
|
| LAN
+--------------------+et pourquoi pas mais , maintenant que je comprends mieux les contraintes de l'exercice, je ne vois toujours pas l'intérêt, hormis quelques petits trucs comme éviter un double NAT.
-
salut salut
Le schéma est intéressant, sauf qu'avec orange le montage n'est pas réalisable du fait de la spécificité de la LB.
Il serait plus simple de monter un asterisk et connaitre la numérotation des vlan ainsi que que leur attribution (tv/voip/…)
Ce n''est qu'en suite vous pourrez paramétrer le pf pour qu'il laisse passer les bonnes info à qui de droit.
Pensez simple == réalisez efficace.
l'autre option serait d’avoir une deuxième ligne qui ne servira qu'a la téléphonie et au cas ou ligne de secours web sur le principe du fail over, mais dans les deux solutions les box sont en front du pare-feu.
Cordialement.
-
Cette dernière option est le bon sens même.
-
l'autre option serait d’avoir une deuxième ligne qui ne servira qu'a la téléphonie et au cas ou ligne de secours web sur le principe du fail over, mais dans les deux solutions les box sont en front du pare-feu.
Ce qui serait vraiment intéressant, dans le cadre du fil ouvert par Mouftik, c'est que tu (ou ccnet qui partage ton point de vue, à l'évidence), commentes en quoi la box en DMZ présente des problèmes ?
La ligne supplémentaire pour faire du failover, pourquoi pas mais c'est uniquement une notion de haute disponibilité qui, en ce qui concerne la téléphone, à perdu de sa criticité du fait que tout le monde ou presque dispose d'un smartphone ou un mobile.
Et en dehors de cette aspect "HA", je ne vois pas vraiment de soucis à ce type de montage, ni vraiment d'avantage à part le double NAT je dois dire.
-
salut salut
C'est pas parce que vous avez une grosse berline qui est capable de passer la barre de 200km/h que vous allez rouler comme cela en ville ?
Le code de la route en franque et en Europe c'est un code de bonne conduite qui par après devenu une obligation de connaitre et maitriser pour passer son permis de conduire.En informatique c'est le concept des bonnes pratiques qui prévôts.
Donc ce n'a pas parce que le montage physique est faisable que cela réalisable sur le plan de la sécurité.
Il ne faut pas tout mélanger mais à parement cela échappe profondément à certain.J'ai parcouru les liens donnés par le poste de départ.
J'en ai même discuter avec des relations travaillant en SII sur la sécurité et aussi dans l'intégration.Leurs réponses tournaient entre passer par l'ajout de ligne spé téléphonie avec un pabx qui la rebasculait sur réseau en front sur le pare-feu via une interface dédié en plus de l'interface wan.
Dans ces deux interfaces il faut les considérées comme des interfaces extérieurs.
La deuxième idée est monter deux réseaux intégralement distinct l'un de l'autre, l'un avec la box et le router, l'autre avec les lignes et un pabx, cela fait double câblage.Nous vous exposons des solutions viables et conformes avec la sécurité, car je rappel que pfsense est un pare-feu et fait aussi office de router, ne le perdez pas de vu.
Après libre à vous de faire ce que vous voulez, mais ne venez pas pleurer si vous vous faites défoncer votre réseaux si vous persistez dans votre idée.
Cela cout cher à une entreprise qui en prend conscience après un sinistre quand elle en prend conscience. Tout cela par une bêtise intellectuelle.Pour revenir sur le point que j'ai exposé sur mon architecture, c'est à titre d'exemple, qu'il y est un autre élément d'entré en backside d'un pare-feu c'est une backdoor probable voir certaine sur votre réseau.
De manière générale dans les bonnes pratiques, moins il y de possibilité d'entrée sur un réseau mieux c'est. Cela est un fait réelle et sérieux à prendre à ne pas prendre à la légère.
En résumé :
deux options- 1 pf avec 2cartes réseau (1wan 1 téléphonie ) comme front et 1 carte réseau pour le lan, et plus selon la grandeur du réseau.
- 1 pf wan/lan donc 1 ligne d'un coté et x ligne téléphonique + 1 pabx de l'autre coté et isolé physiquement du réseau internet.
Cordialement.
-
- 1 pf avec 2cartes réseau (1wan 1 téléphonie ) comme front et 1 carte réseau pour le lan, et plus selon la grandeur du réseau.
- 1 pf wan/lan donc 1 ligne d'un coté et x ligne téléphonique + 1 pabx de l'autre coté et isolé physiquement du réseau internet.
La solution 1 es celle que j'avais pensée justement. Effectivement la Livebox n'a aucune raison de communiquer avec le LAN, car c'est PF qui se chargera de monter le PPPOE. A moins que j'ai mal compris.
D'ailleurs la Livebox n'aura jamais accès a internet, car le VLAN utilisé par Orange pour ce service ne lui sera pas routé. Seul le seul VLAN de Téléphonie sera donc routé (car je n'ai pas l'option TV), elle servira donc de terminal SIP.
Après je ne suis pas fermé mais j'aimerai comprendre en terme de sécurité, comment deux interfaces physiques considéré en tant que externe (WAN + DMZ) pourraient entrainer des backdoor. Mais une explication peux m'ouvrir les yeux.(Chez Orange, ils ont encore fait les choses bien, le protocole SIP es en fait une version modifié a la main et ne correspond que peu au standard, avec aucun accès aux identifiants de la ligne … je ne comprend pas pourquoi autant de mystère quand Free le propose sans problème).
-
La règle de base, en terme de bonne pratique est simple : pas d'équipement non maitrisé après le firewall de l'entreprise.
La dmz n'est absolument pas une zone ouverte. C'est une zone du réseau de l'entreprise où l'on doit tout maitriser : flux, équipement, système, applicatif. Cette zone peut être ouverte, sous conditions, à certains flux.
Il faut comprendre, ou admettre, que la présence, dans cette zone, d'un équipement non maitrisé représente un risque par construction, c'est à dire structurel.
Comme dit Tatave : "Libre à vous".
Libre à vous d'imaginer, par exemple, ce qui pourrait advenir si le trafic de la dmz était routé vers le lan … Le concept de défense en profondeur qui prévaut aujourd'hui pour tout le monde dans le domaine de la sécurité SI, recommande que structurellement l'architecture soit défensive, que même certaines erreurs ou compromissions ne puissent mettre tout le réseau en péril.
Mais c'est vous le maître à bord ... -
Je suis d'accord sur le point de vue défensif de la sécurité, vu les actualités récentes (et moins récentes) le problème deviens épineux de nos jours avec la collection de toutes ces données sensibles sur nos réseaux.
La question redeviens donc plus "large" : Comment garder tous les services que j'ai aujourd'hui (Internet + VoIP) en ayant un accès plus sécurisé et plus performant ? Enfin si il existe une solution …
Sachant que l'idée de départ était de faire monter le PPPOE avec un équipement plus fiable et avec des performances plus importantes, comment pourrais-je donc rerouter uniquement le trafique VoIP sur la Livebox ? (qui es l'unique solution tant que Orange ne permet pas de se connecter avec le protocole SIP standard) sans ou avec peu de perte de sécurité ?Et pour mon coté curieux, est-il du coup possible de rerouter un VLAN d'une connexion PPPOE sur une autre interface grâce a PFSense ?
-
C'est pas parce que vous avez une grosse berline qui est capable de passer la barre de 200km/h que vous allez rouler comme cela en ville ?
Le code de la route en franque et en Europe c'est un code de bonne conduite qui par après devenu une obligation de connaitre et maitriser pour passer son permis de conduire.En informatique c'est le concept des bonnes pratiques qui prévôts.
Donc ce n'a pas parce que le montage physique est faisable que cela réalisable sur le plan de la sécurité.
Il ne faut pas tout mélanger mais à parement cela échappe profondément à certain.Et en allant un peu plus loin que la parabole de la voiture, pour expliquer à ceux à qui ça échappe, tu peux expliquer en mots clairs quel est le risque en terme de sécurité ?
Je comprends tout à fait qu'un composant comme une livebox sur le LAN, ça ne va pas le faire.
Je comprends aussi tout à fait qu'en séparant tout, on limite les risques (encore que, au bout d'un moment, l'overhead d'administration finit par générer à lui tout seul des risques potentiels, mais c'est une autre histoire).
Je ne comprends en revanche pas du tout le risque associé à une livebox qui serait sur une DMZ (et donc pas sur le LAN car isolée par des règles du FW)La livebox isolée du LAN par les règles du WAN -> LAN = oui
La livebox isolée du LAN par les règles de DMZ -> LAN = non???
Je veux bien que tu m'expliques ;)
mais si possible concrètement, pas avec des "moins on en met, moins il y a de risques, je vous avais prévenu !" ;D ;D ;DLeurs réponses tournaient entre passer par l'ajout de ligne spé téléphonie avec un pabx qui la rebasculait sur réseau en front sur le pare-feu via une interface dédié en plus de l'interface wan.
Dans ces deux interfaces il faut les considérées comme des interfaces extérieurs.Juste pour rire, demande leur comment Cisco propose de faire du VoIP chez ses clients. :-X
Plus sérieusement, le risque n'est pas la téléphonie ::) mais le fait que la Livebox est, par design, accessible depuis l'extérieur…
-
Je tiens à m'excuser par avance de répondre sur un topic qui n'a pas de réponse depuis près d'un mois, mais bien que ce n'est pas faute de voir ccnet et/ou jdh dire les mêmes choses en long, en large et en travers, je me devais à mon tour de livrer mes impressions.
Il apparait évident que les gens qui viennent poser des questions ici (ce qui est à la fois la bonne démarche et le bon endroit pour se faire) ne (se) posent pas les bonnes questions. Ce topic en est un exemple :
On aurait donc :
(Fibre) <–> ONT <--> pfSense <--> Livebox -> Téléphone / TV
Je voulais savoir si cette configuration était plausible sur pfSense ou pas ?
Ce n'est pas du tout la bonne question à se poser, ni la bonne méthode pour procéder.
Il faut partir de ce que l'on cherche à faire, établir clairement son cahier des charges, et c'est à partir de là que l'on cherche la solution à adopter. Et non pas se dire "Oh si je faisais cette config, ça a l'air chouette. Vous en pensez quoi ?". Chaque configuration est différente pour une simple raison : les besoins de chaque infrastructure sont différents.Ensuite, il y a quelques bases à connaitre. Qu'est-ce que pfSense ? C'est un firewall. Qu'est-ce qu'un firewall ? C'est un équipement qui permet de sécuriser l'infrastructure d'un (ou plusieurs) réseau(x) interne(s), et de router les flux entre ce(s) réseau(x) interne(s) et internet.
Et si on poursuit cette réflection en l'applicant à ce topic, on se pose une autre question : Qu'est-ce qu'une Livebox ? C'est un équipement bourré de failles de sécurité.
Et voilà, avec quelques questions (simples), on s'aperçoit tout de suite pourquoi une LB n'a aucun intérêt à se situer derrière pfSense, quand bien même se soit situé sur OPT1, DMZ, dans un vlan ou ailleurs…D'ailleurs, on peut aussi simplement se poser la question : pourquoi mettre une LB derrière un pfSense ? La seule est unique réponse est d'éviter le double NAT, je trouve cette raison relativement faible d'intérêt.
Je suis également chez Orange chez moi, et ne peut (hélas) pas me séparer de ma LB si je veux utiliser les services de téléphonie et de TV (ce qui semble aussi le cas de l'auteur de ce topic). Mon infrastructure ressemble à ceci :
Internet <--> Livebox <--> pfSense <--> LAN
(tél / TV)
(mon infra est un poil plus complète mais inutile pour mes propos)Celle-ci a l'avantage de correspondre à mon cahier des charges, et se veut aussi simple que possible.
Pourquoi chercher à faire compliqué quand on peut faire simple ?
Voilà également une bonne question à se poser.Se poser les bonnes questions me semble vraiment essentiel, et la sécurité informatique n'est pas vraiment le bon domaine pour jouer aux apprentis sorciers, ou "tester-des-solutions-qui-sont-jolies".
Se poser les mauvaises questions amène également un autre point faible : on obtient généralement de mauvaises réponses.
-
Excellente réflexion Talwyn !
Se poser les mauvaises questions amène également un autre point faible : on obtient généralement de mauvaises réponses.
Il n'y a pas plus vrai !
Quand on regarde le schéma :
Internet <–> Livebox <--> pfSense <--> LAN
(tél / TV)On ne peut que se dire
- c'est un schéma naturel et simple : c'est bien préférable : simple is beautifull, comme disent les anglophones !
- il y aura un double NAT : et alors ? est ce un vrai problème ?
-
Pourquoi chercher à faire compliqué quand on peut faire simple ?
Voilà également une bonne question à se poser.Peut-être parce que il y a des gens qui ont, ou qui pensent avoir, un besoin différent du tien ;)
Je me demande bien pourquoi, dans ce fil, personne ne veut (ou ne peut ?) expliquer pourquoi la LiveBox sur la DMZ, c'est mal ???
-
Pourquoi chercher à faire compliqué quand on peut faire simple ?
Voilà également une bonne question à se poser.Peut-être parce que il y a des gens qui ont, ou qui pensent avoir, un besoin différent du tien ;)
En l'occurence, il me semble pourtant que cela correspond au cahier des charges de l'auteur de ce topic
Je me demande bien pourquoi, dans ce fil, personne ne veut (ou ne peut ?) expliquer pourquoi la LiveBox sur la DMZ, c'est mal ???
En fait, ccnet l'explique parfaitement juste un peu plus haut.
-
En fait, ccnet l'explique parfaitement juste un peu plus haut.
Très bien. Et donc que comprends-tu, techniquement, de cette description :
La dmz n'est absolument pas une zone ouverte. C'est une zone du réseau de l'entreprise où l'on doit tout maitriser : flux, équipement, système, applicatif. Cette zone peut être ouverte, sous conditions, à certains flux.
Il faut comprendre, ou admettre, que la présence, dans cette zone, d'un équipement non maitrisé représente un risque par construction, c'est à dire structurel.Pour parler de choses concrètes et non pas de généralités sur les "best practices", si tu mets ta livebox sur une DMZ vs. sur l'interface WAN, quel est l'impact par rapport à ton LAN ?
Il est tout à fait possible de mettre en œuvre exactement les mêmes règles entre la DMZ et le LAN qu'entre Le WAN et le LAN.Le vrai risque, avec l'approche LiveBox en DMZ, ce n'est pas vis à vis du LAN mais vis à vis d'éventuelles autres machines sur cette même DMZ puisqu'elle ne seraient protégées. Par rebond, cela peut bien sûr faciliter des attaques sur le LAN et en tous cas compromettre des services.
A partir de là, il suffit d'adopter un design en conséquence, avec des VLAN voire des DMZ différentes pour isoler complètement la LiveBox.
Me tromperais-je dans la compréhension technique ? ;)
