[FRnOG] [TECH] [IT SECURITY] Virtualisation de firewall, pentest, compromissions
Bonjour la liste.
Toujours un plaisir de lire assidûment vos nombreux et savoureux échanges. :-)
Aujourd’hui je me lance pour une question qui me taraude depuis pal mal de
temps à propos de la { possible | réelle } compromission d'architectures à base
de " firewalls virtuels "
Je lance donc une bouteille à la mer sur le sujet à tous les volontaires {
étudiants IT Sec | hard core hackers | pen testers | IT Sec Officers | RSSI |
net admin | sys admin | autres etc } de la liste afin d’avoir et partager
vos avis éclairés et retours d’expériences en prod, et bonnes pratiques sur le
sujet. :-)
1) Autrefois au temps jadis, en mode old school, on mettait un firewall
“physique” en coupure de réseau entre deux interfaces électroniques distinctes.
Mais ça s’était avant ...
2) depuis, "on" a inventé les firewalls « virtuels » et le « *SDN* / *SD
Everything* » est passé par là avec un détour par les nuages.
(Comme chacun sait, ca fuit, les nuages... mais aussi, un firmware (binaire
de bas niveau) ou une vm (binaire de haut niveau) c’est toujours un peu
“virtuel” ;-) )
3) la question qui me préoccupe ici c’est le mode hybride, dans un contexte
small/branch Office en LAB/TPE/PME/PMI/datacenter/... :
un ou plusieurs firewall (vm) qui tournent sur un hyperviseur du marché {
VMware | hyperV | KVM | XEN | oVIRT | ... }
- avec une patte de la vm fw bridgée cote Wan,
- et l’autre bridgée côté Lan, dmz, iot, wifi,
Dans cette configuration l’hyperviseur :
- opère et n’as pas d’IP sur la couche ISO/L2 côté WAN,
- et il a une ip d'administration côté interne.
WAN xdsl/cable/fibre <==> BOX FAI <==> Hypervisor_WAN_IF_bridge_noIP <==>
Hypervisor_CPU_RAM ( host n x VM_FW ) <==> Hypervisor_LAN_IP_admin <==> reste
du réseau interne
Exemple de config graphique ici, mais SANS IP coté WAN :
https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_simple-infra-map.jpg
https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_full-infra-diag.jpg
3.a) le point positif c’est qu’on peut se faciliter l’administration (snapshot,
souplesse etc ) et *densifier* le rendement/ratio puissance de calcul/coût au
watt dans ce mode de fonctionnement.
3.b) *SAUF QUE* : avant, en mode old school c’était les firewalls « physiques »
qui protégeaient l’infra, les hyperviseurs et le reste, et PAS l'inverse :
l'hyperviseur qui protège le FW !!!
3.c) ma crainte est donc :
- quelle confiance relative peut on raisonnablement accorder aux
architectures de firewall virtuelles ?
- *Jusqu'à quel point pouvons nous être sur ou pas* de la compromission
d'une machine hôte qui héberge des FW virtuels ?
- jusqu'à quel point nos hyperviseurs préférés sont-il "béton" ??
Nous savons tous que l’informatique n’est pas toujours une science "exacte"
et je m’attends à ce qu’un jour ou l’autre une attaque soit réussie contre un
hyperviseur côté WAN en couche 2 / bridge :
- via { DDOS | flooding | magic packet | os fingerprint | faille, bug, etc
... }
- et au détriment de la vm fw qui ne verra rien passer (par définition) de
ce qui se passe à l’étage en dessous sur la couche hôte !
3.d) D'après ce que j'ai pu comprendre également si j'en crois la description
officielle, et faute d'avoir mis les doigts jusqu'à présent dans des solutions
Fortinet, le mode VDOM de Fortinet ressemble peu ou prou à de la virtualisation
de Firewall ? => VRAI / FAUX ? jusqu'à quel point et à quel niveau, sur quel
périmètre ?
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-virtual-domains-54/1-VDOM-overview/1-Introduction.htm
3.e) je n’ai principalement pas/plus le temps, pour faire des pentests massifs
et approfondis sur le sujet, et suivre en veille permanente la sécurité IT
comme dans les temps anciens, d'où ma question ici présente pour partager les
avis et retours d'expérience
3.f) dans la bien nommée revue MISC MAG il me semble avoir vu passer, il y a
fort longtemps, des articles sur le crack d’un hyperviseur et la compromission
et l’évasion de données des vm et / ou rebond sur la couche hôte sans que les
vm n’y voient que du feu.
Est ce toujours vrai / possible ? étant donné que les éditeurs corrigent /
durcissent dans une lutte sans fin leur produits, et que sauf erreur de ma
part, nos hyperViseurs favoris ne sont pas développés en langage ADA ou avec
des techniques de programmation par preuve logicielle et mathématique, mais
plus par du patching au fil de l’eau et des découvertes de bug, failles etc. Me
trompe-je ?
3.g) faute de mieux et/ou d'outils et de suite firewall opensource disponible,
je n'ai pas encore trouvé le moyen ni le temps d'activer BHYVE de façon secure
et industrielle sur une distrib firewall comme PFSense ou OPNSense, Untanglle,
Endian, ...
https://forum.netgate.com/topic/105832/bhyve-package-100usd ==> au point
mort ?
[FRnOG] [TECH] [IT SECURITY] Virtualisation de firewall, pentest, compromissions
Bonjour la liste.
Toujours un plaisir de lire assidûment vos nombreux et savoureux échanges. :-)
Aujourd’hui je me lance pour une question qui me taraude depuis pal mal de
temps à propos de la { possible | réelle } compromission d'architectures à base
de " firewalls virtuels "
Je lance donc une bouteille à la mer sur le sujet à tous les volontaires {
étudiants IT Sec | hard core hackers | pen testers | IT Sec Officers | RSSI |
net admin | sys admin | autres etc } de la liste afin d’avoir et partager
vos avis éclairés et retours d’expériences en prod, et bonnes pratiques sur le
sujet. :-)
1) Autrefois au temps jadis, en mode old school, on mettait un firewall
“physique” en coupure de réseau entre deux interfaces électroniques distinctes.
Mais ça s’était avant ...
2) depuis, "on" a inventé les firewalls « virtuels » et le « *SDN* / *SD
Everything* » est passé par là avec un détour par les nuages.
(Comme chacun sait, ca fuit, les nuages... mais aussi, un firmware (binaire
de bas niveau) ou une vm (binaire de haut niveau) c’est toujours un peu
“virtuel” ;-) )
3) la question qui me préoccupe ici c’est le mode hybride, dans un contexte
small/branch Office en LAB/TPE/PME/PMI/datacenter/... :
un ou plusieurs firewall (vm) qui tournent sur un hyperviseur du marché {
VMware | hyperV | KVM | XEN | oVIRT | ... }
- avec une patte de la vm fw bridgée cote Wan,
- et l’autre bridgée côté Lan, dmz, iot, wifi,
Dans cette configuration l’hyperviseur :
- opère et n’as pas d’IP sur la couche ISO/L2 côté WAN,
- et il a une ip d'administration côté interne.
WAN xdsl/cable/fibre <==> BOX FAI <==> Hypervisor_WAN_IF_bridge_noIP <==>
Hypervisor_CPU_RAM ( host n x VM_FW ) <==> Hypervisor_LAN_IP_admin <==> reste
du réseau interne
Exemple de config graphique ici, mais SANS IP coté WAN :
https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_simple-infra-map.jpg
https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_full-infra-diag.jpg
3.a) le point positif c’est qu’on peut se faciliter l’administration (snapshot,
souplesse etc ) et *densifier* le rendement/ratio puissance de calcul/coût au
watt dans ce mode de fonctionnement.
3.b) *SAUF QUE* : avant, en mode old school c’était les firewalls « physiques »
qui protégeaient l’infra, les hyperviseurs et le reste, et PAS l'inverse :
l'hyperviseur qui protège le FW !!!
3.c) ma crainte est donc :
- quelle confiance relative peut on raisonnablement accorder aux
architectures de firewall virtuelles ?
- *Jusqu'à quel point pouvons nous être sur ou pas* de la compromission
d'une machine hôte qui héberge des FW virtuels ?
- jusqu'à quel point nos hyperviseurs préférés sont-il "béton" ??
Nous savons tous que l’informatique n’est pas toujours une science "exacte"
et je m’attends à ce qu’un jour ou l’autre une attaque soit réussie contre un
hyperviseur côté WAN en couche 2 / bridge :
- via { DDOS | flooding | magic packet | os fingerprint | faille, bug, etc
... }
- et au détriment de la vm fw qui ne verra rien passer (par définition) de
ce qui se passe à l’étage en dessous sur la couche hôte !
3.d) D'après ce que j'ai pu comprendre également si j'en crois la description
officielle, et faute d'avoir mis les doigts jusqu'à présent dans des solutions
Fortinet, le mode VDOM de Fortinet ressemble peu ou prou à de la virtualisation
de Firewall ? => VRAI / FAUX ? jusqu'à quel point et à quel niveau, sur quel
périmètre ?
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-virtual-domains-54/1-VDOM-overview/1-Introduction.htm
3.e) je n’ai principalement pas/plus le temps, pour faire des pentests massifs
et approfondis sur le sujet, et suivre en veille permanente la sécurité IT
comme dans les temps anciens, d'où ma question ici présente pour partager les
avis et retours d'expérience
3.f) dans la bien nommée revue MISC MAG il me semble avoir vu passer, il y a
fort longtemps, des articles sur le crack d’un hyperviseur et la compromission
et l’évasion de données des vm et / ou rebond sur la couche hôte sans que les
vm n’y voient que du feu.
Est ce toujours vrai / possible ? étant donné que les éditeurs corrigent /
durcissent dans une lutte sans fin leur produits, et que sauf erreur de ma
part, nos hyperViseurs favoris ne sont pas développés en langage ADA ou avec
des techniques de programmation par preuve logicielle et mathématique, mais
plus par du patching au fil de l’eau et des découvertes de bug, failles etc. Me
trompe-je ?
3.g) faute de mieux et/ou d'outils et de suite firewall opensource disponible,
je n'ai pas encore trouvé le moyen ni le temps d'activer BHYVE de façon secure
et industrielle sur une distrib firewall comme PFSense ou OPNSense, Untanglle,
Endian, ...
https://forum.netgate.com/topic/105832/bhyve-package-100usd ==> au point
mort ?
[FRnOG] [TECH] SFR et IPv6 ...
Bonjour la liste,
aujourd'hui c'est trolldi, mais cela n'empêche pas les sujets sérieux quand
même ... :-)
je suis abonné (passif) ici depuis quelques années déjà, alors merci pour
toutes ces discutions qui me (nous) permettent d'apprendre et enrichir un peu
plus chaque jour l'état de mes connaissances.
Je poste aujourd'hui trois sujets pour lesquels malheureusement je n'ai pas de
réponses définitives depuis plusieurs mois ... et sur lesquels j'aimerai avoir
vos lumières, avis, etc ...
==> Sujet 1/3 : Qu'en est-il de l'arrivée prévue (?), éventuelle (?), annulée
(?) de l'IPv6 chez SFR ... ?
- En effet, depuis 2014 je gère un abonnement Numéricable de base, avec un
simple modem câble DOCSIS / FTTLA qui fourni juste un accès internet ... et du
débit !! :-), ce dont je suis très satisfait. l'IPv6 natif est inclus de base
dans ce forfait :-) depuis le début ou presque et sans rien faire !
- Depuis 2016 s'est ajouté un autre abonnement chez SFR avec l'offre et le
boitier (v2) "La Fibre by SFR 4K" / FTTLA ...
. malheureusement à ce jour toujours pas d'IPv6 natif sur le réseau SFR
"fibre" / 4K malgré le rachat de numéricable et l'utilisation de ce même réseau
... . aucune possibilité d'activer l'IPv6 dans l'interface admin de ce boitier
... (menu Réseau / WAN) . idem dans l'interface de la box "fibre" / 4K de
dernière génération (v3), après vérif et test en boutique SFR il y a 2 mois
(merci au vendeur/conseiller sympa à l'écoute de mon besoin ! (et curieux
techniquement aussi, rare !)) . idem chez Red by SFR (qui dispose d'une
interface identique à la box 4K (sauf la couleur verte)) après avoir testé chez
un collègue . appel vers 1023 pour demander renseignements IPv6 ou changement
de boitier / modem / offre ==> renvoi vers support technique en tunisie qui ne
comprend pas de quoi je parle !? ==> renvoi vers 1023 ; loop() . impossible de
souscrire un nouvel abonnement natif chez Numéricable.fr ==> renvoi vers SFR
Fibre 4K obligatoire ! . l'URL suivante indique que l'IPv6 est dispo dans
l'interface d'admin des box SFR ... mais ce n'est pas le cas pour moi en 4K
(sauf à passer sur adsl !?)
https://assistance.sfr.fr/internet-et-box/securite/protocole-ipv6-activer-sfr.html
. ici on a tout simplement pas d'option IPv6 sur les box haut de gamme 4K !!!
(2016)
https://forum.sfr.fr/t5/Connexion-Internet-Fibre-WiFi/IPv6-sur-box-FTTLA/td-p/1752123
(2017)
https://forum.sfr.fr/t5/Connexion-Internet-Fibre-WiFi/BOX-4K-et-IPv6/td-p/1982648
(2017) https://lafibre.info/sfr-cable/ipv6-chez-sfr/ (2017)
https://communaute.red-by-sfr.fr/t5/G%C3%A9rer-mes-options/IPV6-sur-la-box/td-p/167349
(2017) http://atelier.sfr.fr ferme ses portes après avoir vu de "belles
innovations" ... mais pas d'IPv6 !
En résumé si j'ai bien compris :
. SFR adsl ==> IPv6 OK . Numéricable "canal historique" racheté par SFR (et
non migré sur nouvelles offres) ==> IPv6 OK . SFR Fibre 4K ("haut de gamme" à
40+ Euros mensuel) ==> IPv6 KO !!! est ce que SFR prend ses clients pour des c*
?
Donc : . Free dispose d'IPv6 en natif depuis des années ... . Orange aussi .
Numéricable "canal historique" aussi ... . Bouygues (?) . mais pas SFR ? WTF
!!! . tu es un opérateur Telco national et professionnel, t'es "carré" dans
ton métier, mais t'as pas l'IPv6 !? Non mais Allo quoi ! bon ok, Carton Rouge
==>[]
. si t'es chez SFR haut de gamme, et que tu veux de l'IPv6, je ne vois pas
d'autre solution que passer par he.net pour monter un tunnel en vrai ... c'est
bof ! quelqu'un peut-il confirmer ?
SFR a-t-il l'intention de fournir simplement et facilement du vrai IPv6 natif à
ses clients un jour ou pas ? SFR fibre/4K c'est le furtu !?
Merci d'avance de votre aide, ... ou pas ... :-)Cordialement, Jean-Christophe
PS : ; c'est normal d'avoir encore en v4 un double NAT baveux en
sortie après la box et avant d'arriver sur des IP publiques ?
My traceroute [v0.75]Linux (0.0.0.0)
Host
1. 192.168.0.1
2. 10.36.128.1
3. crp1rj-ge-0-1-5.100.numericable.net
4. 172.19.132.146
5. be100-165.th2-1-a9.fr.eu
6. be101.par1-p19-g1-nc5.fr.eu
7. ??? 8. be7.p19-2-6k.fr.eu
9. be4.p19-52-6k.fr.eu
10. ping.ovh.net
---
Liste de diffusion du FRnOG
http://www.frnog.org/
