msgbartop
De tout et de rien
msgbarbottom

18 Mar 09 La Freebox en mode routeur ne protège pas les ordinateurs en IPv6

Évident pour certains, ça l’est moins pour d’autres.

Tout est dit ou presque dans le titre, mais je vais quand même développer. On n’est pas sur Twitter🙂

Quand vous démarrez votre box Internet, votre FAI vous donne une seule IP publique, et c’est grâce à cette IP publique que vous existez sur Internet. Quand vous visitez une page, le site web est capable de vous l’envoyer, car votre ordinateur est connu grâce à son IP publique.

Maintenant, si vous êtes plusieurs à vous connecter sur Internet, vous aurez besoin de plusieurs IP publiques non ? Vous n’avez pas le choix, il n’y a pas beaucoup d’IPv4 alors les FAI en donnent une par abonné. Il va falloir faire avec.

C’est maintenant que le mode routeur de la freebox (et des autres box) entre en jeu ! Seul la box a une IP publique, tous les ordinateurs derrière elle ont une IP privée (192.168.0.X).
Quand un ordinateur demande une page sur Internet, la freebox sauvegarde dans une table quelle IP privée a fait la demande, ensuite elle contacte le serveur web à sa place, reçoit la page, regarde dans sa table qui a demandé cette page et l’envoie à l’ordinateur.Voilà le principe en gros. Si vous voulez plus d’infos, allez sur google et cherchez routeur 🙂

Vous l’aurez compris, un ordinateur privé ne peut pas être contacté par un autre ordinateur du réseau Internet. Pourqu’un ordinateur privé puisse communiquer avec un autre ordinateur sur Internet, il faut qu’il initie la communication. C’est pour cela qu’un ordinateur connecté en IPv4 derrière un routeur est prôtégé, il n’a pas besoin de firewall (pare-feu).

Ce système marche parfaitement si vous surfer sur Internet (mode client) mais ne marche pas sur vous voulez jouer le rôle d’un serveur.

C’est là qu’est né le NAT (Network address translation ou Redirections de ports). Par exemple si vous voulez avoir un serveur web HTTP sur votre ordinateur privé, vous devez configurer votre routeur pourqu’il redirige les connexions entrantes du port 80 vers votre ordinateur. En règle général, un particulier ne lance pas de serveur Web, mais il fait du P2P.  Et dans ce cas là vous aurez besoin de faire du NAT. La mule avec les yeux bandés (Low ID), cela ne vous dit rien ? :-p

Bref, tout ça pour dire quoi ? Et bien que l‘IPv6 est censée simplifier tout cela ! Pourquoi ? Parce que si en IPv4 le FAI nous donne seulement une IP publique, en IPv6, ce sont plusieurs centaines de milliers ! Largement de quoi faire !

Donc quand on est connecté en IPv6, chaque ordinateur du réseau domestique a une IP publique, cela veut dire que chaque ordinateur est visible sur Internet ! Si quelqu’un de votre famille décide de lancer un serveur Web sur son PC, ce n’est pas seulement les ordinateurs de la maison qui auront accès, mais tout Internet ! (à condition que les internautes eux aussi utilisent une connexion IPv6)

La freebox joue parfaitement son rôle, j’avais un doute là-dessus. Je pensais que la connexion IPv6 était quand même protégée par le mode routeur.  Il m’a suffit de faire un test simple à partir d’un serveur Linux se trouvant sur Internet. J’ai lancé cette commande :

# nmap -6 [monipv6]
Starting Nmap 4.53 ( http://insecure.org ) at 2009-03-17 22:49 CET
Interesting ports on 2a01:e35:xxxxxxxxxxxxxx
Not shown: 1711 closed ports
PORT     STATE SERVICE
135/tcp  open  msrpc
1025/tcp open  NFS-or-IIS

Wow pas cool, deux services windows sont visibles ! Si je fais le test en IPv4, voici le résultat :
Nmap done: 1 IP address (0 hosts up) scanned in 2.019 seconds

Rien n’est visible, tout est bien protégé.

Conclusion :  Vive l’IPv6 mais sortez couvert ! 🙂

Reader's Comments

  1.    

    Comment faire pour que les machines reliées a la box soient en IPv6: la box en mode roueur désactivé et les PC (configurés en IPv6) sur le switch intégré à la box?

  2.    

    Starting Nmap 4.68 ( http://nmap.org ) at 2009-04-14 11:42 Paris, Madrid (heure d’été)
    Interesting ports on Kvjfnkvndkkj (2a01:e35:csjncdsknckndcn):
    Not shown: 1707 closed ports
    PORT STATE SERVICE
    135/tcp open msrpc
    445/tcp open microsoft-ds
    554/tcp open rtsp
    1025/tcp open NFS-or-IIS
    1026/tcp open LSA-or-nterm
    1027/tcp open IIS
    1030/tcp open iad1
    8080/tcp open http-proxy

    Nmap done: 1 IP address (1 host up) scanned in 527.143 seconds

    Ca fait beaucoup !
    Les seuls trucs que j’aurais voulus ouverts sont le ftp et le http, mais j’ai pas du les configurer pour qu’ils utilisent l’ipv6…

  3.    

    n’as pas besoins de firewall … wtf ?
    the page is displayed with all the source code
    and firewall is used to black everything … your router don’t do that !

    firewall of your router is only used to black stuff like syn flood / syn scans / xmas scan
    connections try and stuff

    you need a firewall on your computer to prevent
    buffer overflows EVEN with your ipv4 box !