[FRnOG] [TECH] [IT SECURITY] Virtualisation de firewall, pentest, compromissions
Bonjour la liste. Toujours un plaisir de lire assidûment vos nombreux et savoureux échanges. :-) Aujourd’hui je me lance pour une question qui me taraude depuis pal mal de temps à propos de la { possible | réelle } compromission d'architectures à base de " firewalls virtuels " Je lance donc une bouteille à la mer sur le sujet à tous les volontaires { étudiants IT Sec | hard core hackers | pen testers | IT Sec Officers | RSSI | net admin | sys admin | autres etc } de la liste afin d’avoir et partager vos avis éclairés et retours d’expériences en prod, et bonnes pratiques sur le sujet. :-) 1) Autrefois au temps jadis, en mode old school, on mettait un firewall “physique” en coupure de réseau entre deux interfaces électroniques distinctes. Mais ça s’était avant ... 2) depuis, "on" a inventé les firewalls « virtuels » et le « *SDN* / *SD Everything* » est passé par là avec un détour par les nuages. (Comme chacun sait, ca fuit, les nuages... mais aussi, un firmware (binaire de bas niveau) ou une vm (binaire de haut niveau) c’est toujours un peu “virtuel” ;-) ) 3) la question qui me préoccupe ici c’est le mode hybride, dans un contexte small/branch Office en LAB/TPE/PME/PMI/datacenter/... : un ou plusieurs firewall (vm) qui tournent sur un hyperviseur du marché { VMware | hyperV | KVM | XEN | oVIRT | ... } - avec une patte de la vm fw bridgée cote Wan, - et l’autre bridgée côté Lan, dmz, iot, wifi, Dans cette configuration l’hyperviseur : - opère et n’as pas d’IP sur la couche ISO/L2 côté WAN, - et il a une ip d'administration côté interne. WAN xdsl/cable/fibre <==> BOX FAI <==> Hypervisor_WAN_IF_bridge_noIP <==> Hypervisor_CPU_RAM ( host n x VM_FW ) <==> Hypervisor_LAN_IP_admin <==> reste du réseau interne Exemple de config graphique ici, mais SANS IP coté WAN : https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_simple-infra-map.jpg https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_full-infra-diag.jpg 3.a) le point positif c’est qu’on peut se faciliter l’administration (snapshot, souplesse etc ) et *densifier* le rendement/ratio puissance de calcul/coût au watt dans ce mode de fonctionnement. 3.b) *SAUF QUE* : avant, en mode old school c’était les firewalls « physiques » qui protégeaient l’infra, les hyperviseurs et le reste, et PAS l'inverse : l'hyperviseur qui protège le FW !!! 3.c) ma crainte est donc : - quelle confiance relative peut on raisonnablement accorder aux architectures de firewall virtuelles ? - *Jusqu'à quel point pouvons nous être sur ou pas* de la compromission d'une machine hôte qui héberge des FW virtuels ? - jusqu'à quel point nos hyperviseurs préférés sont-il "béton" ?? Nous savons tous que l’informatique n’est pas toujours une science "exacte" et je m’attends à ce qu’un jour ou l’autre une attaque soit réussie contre un hyperviseur côté WAN en couche 2 / bridge : - via { DDOS | flooding | magic packet | os fingerprint | faille, bug, etc ... } - et au détriment de la vm fw qui ne verra rien passer (par définition) de ce qui se passe à l’étage en dessous sur la couche hôte ! 3.d) D'après ce que j'ai pu comprendre également si j'en crois la description officielle, et faute d'avoir mis les doigts jusqu'à présent dans des solutions Fortinet, le mode VDOM de Fortinet ressemble peu ou prou à de la virtualisation de Firewall ? => VRAI / FAUX ? jusqu'à quel point et à quel niveau, sur quel périmètre ? https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-virtual-domains-54/1-VDOM-overview/1-Introduction.htm 3.e) je n’ai principalement pas/plus le temps, pour faire des pentests massifs et approfondis sur le sujet, et suivre en veille permanente la sécurité IT comme dans les temps anciens, d'où ma question ici présente pour partager les avis et retours d'expérience 3.f) dans la bien nommée revue MISC MAG il me semble avoir vu passer, il y a fort longtemps, des articles sur le crack d’un hyperviseur et la compromission et l’évasion de données des vm et / ou rebond sur la couche hôte sans que les vm n’y voient que du feu. Est ce toujours vrai / possible ? étant donné que les éditeurs corrigent / durcissent dans une lutte sans fin leur produits, et que sauf erreur de ma part, nos hyperViseurs favoris ne sont pas développés en langage ADA ou avec des techniques de programmation par preuve logicielle et mathématique, mais plus par du patching au fil de l’eau et des découvertes de bug, failles etc. Me trompe-je ? 3.g) faute de mieux et/ou d'outils et de suite firewall opensource disponible, je n'ai pas encore trouvé le moyen ni le temps d'activer BHYVE de façon secure et industrielle sur une distrib firewall comme PFSense ou OPNSense, Untanglle, Endian, ... https://forum.netgate.com/topic/105832/bhyve-package-100usd ==> au point mort ?
[FRnOG] [TECH] [IT SECURITY] Virtualisation de firewall, pentest, compromissions
Bonjour la liste. Toujours un plaisir de lire assidûment vos nombreux et savoureux échanges. :-) Aujourd’hui je me lance pour une question qui me taraude depuis pal mal de temps à propos de la { possible | réelle } compromission d'architectures à base de " firewalls virtuels " Je lance donc une bouteille à la mer sur le sujet à tous les volontaires { étudiants IT Sec | hard core hackers | pen testers | IT Sec Officers | RSSI | net admin | sys admin | autres etc } de la liste afin d’avoir et partager vos avis éclairés et retours d’expériences en prod, et bonnes pratiques sur le sujet. :-) 1) Autrefois au temps jadis, en mode old school, on mettait un firewall “physique” en coupure de réseau entre deux interfaces électroniques distinctes. Mais ça s’était avant ... 2) depuis, "on" a inventé les firewalls « virtuels » et le « *SDN* / *SD Everything* » est passé par là avec un détour par les nuages. (Comme chacun sait, ca fuit, les nuages... mais aussi, un firmware (binaire de bas niveau) ou une vm (binaire de haut niveau) c’est toujours un peu “virtuel” ;-) ) 3) la question qui me préoccupe ici c’est le mode hybride, dans un contexte small/branch Office en LAB/TPE/PME/PMI/datacenter/... : un ou plusieurs firewall (vm) qui tournent sur un hyperviseur du marché { VMware | hyperV | KVM | XEN | oVIRT | ... } - avec une patte de la vm fw bridgée cote Wan, - et l’autre bridgée côté Lan, dmz, iot, wifi, Dans cette configuration l’hyperviseur : - opère et n’as pas d’IP sur la couche ISO/L2 côté WAN, - et il a une ip d'administration côté interne. WAN xdsl/cable/fibre <==> BOX FAI <==> Hypervisor_WAN_IF_bridge_noIP <==> Hypervisor_CPU_RAM ( host n x VM_FW ) <==> Hypervisor_LAN_IP_admin <==> reste du réseau interne Exemple de config graphique ici, mais SANS IP coté WAN : https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_simple-infra-map.jpg https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_full-infra-diag.jpg 3.a) le point positif c’est qu’on peut se faciliter l’administration (snapshot, souplesse etc ) et *densifier* le rendement/ratio puissance de calcul/coût au watt dans ce mode de fonctionnement. 3.b) *SAUF QUE* : avant, en mode old school c’était les firewalls « physiques » qui protégeaient l’infra, les hyperviseurs et le reste, et PAS l'inverse : l'hyperviseur qui protège le FW !!! 3.c) ma crainte est donc : - quelle confiance relative peut on raisonnablement accorder aux architectures de firewall virtuelles ? - *Jusqu'à quel point pouvons nous être sur ou pas* de la compromission d'une machine hôte qui héberge des FW virtuels ? - jusqu'à quel point nos hyperviseurs préférés sont-il "béton" ?? Nous savons tous que l’informatique n’est pas toujours une science "exacte" et je m’attends à ce qu’un jour ou l’autre une attaque soit réussie contre un hyperviseur côté WAN en couche 2 / bridge : - via { DDOS | flooding | magic packet | os fingerprint | faille, bug, etc ... } - et au détriment de la vm fw qui ne verra rien passer (par définition) de ce qui se passe à l’étage en dessous sur la couche hôte ! 3.d) D'après ce que j'ai pu comprendre également si j'en crois la description officielle, et faute d'avoir mis les doigts jusqu'à présent dans des solutions Fortinet, le mode VDOM de Fortinet ressemble peu ou prou à de la virtualisation de Firewall ? => VRAI / FAUX ? jusqu'à quel point et à quel niveau, sur quel périmètre ? https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-virtual-domains-54/1-VDOM-overview/1-Introduction.htm 3.e) je n’ai principalement pas/plus le temps, pour faire des pentests massifs et approfondis sur le sujet, et suivre en veille permanente la sécurité IT comme dans les temps anciens, d'où ma question ici présente pour partager les avis et retours d'expérience 3.f) dans la bien nommée revue MISC MAG il me semble avoir vu passer, il y a fort longtemps, des articles sur le crack d’un hyperviseur et la compromission et l’évasion de données des vm et / ou rebond sur la couche hôte sans que les vm n’y voient que du feu. Est ce toujours vrai / possible ? étant donné que les éditeurs corrigent / durcissent dans une lutte sans fin leur produits, et que sauf erreur de ma part, nos hyperViseurs favoris ne sont pas développés en langage ADA ou avec des techniques de programmation par preuve logicielle et mathématique, mais plus par du patching au fil de l’eau et des découvertes de bug, failles etc. Me trompe-je ? 3.g) faute de mieux et/ou d'outils et de suite firewall opensource disponible, je n'ai pas encore trouvé le moyen ni le temps d'activer BHYVE de façon secure et industrielle sur une distrib firewall comme PFSense ou OPNSense, Untanglle, Endian, ... https://forum.netgate.com/topic/105832/bhyve-package-100usd ==> au point mort ?
[FRnOG] [TECH] SFR et IPv6 ...
Bonjour la liste, aujourd'hui c'est trolldi, mais cela n'empêche pas les sujets sérieux quand même ... :-) je suis abonné (passif) ici depuis quelques années déjà, alors merci pour toutes ces discutions qui me (nous) permettent d'apprendre et enrichir un peu plus chaque jour l'état de mes connaissances. Je poste aujourd'hui trois sujets pour lesquels malheureusement je n'ai pas de réponses définitives depuis plusieurs mois ... et sur lesquels j'aimerai avoir vos lumières, avis, etc ... ==> Sujet 1/3 : Qu'en est-il de l'arrivée prévue (?), éventuelle (?), annulée (?) de l'IPv6 chez SFR ... ? - En effet, depuis 2014 je gère un abonnement Numéricable de base, avec un simple modem câble DOCSIS / FTTLA qui fourni juste un accès internet ... et du débit !! :-), ce dont je suis très satisfait. l'IPv6 natif est inclus de base dans ce forfait :-) depuis le début ou presque et sans rien faire ! - Depuis 2016 s'est ajouté un autre abonnement chez SFR avec l'offre et le boitier (v2) "La Fibre by SFR 4K" / FTTLA ... . malheureusement à ce jour toujours pas d'IPv6 natif sur le réseau SFR "fibre" / 4K malgré le rachat de numéricable et l'utilisation de ce même réseau ... . aucune possibilité d'activer l'IPv6 dans l'interface admin de ce boitier ... (menu Réseau / WAN) . idem dans l'interface de la box "fibre" / 4K de dernière génération (v3), après vérif et test en boutique SFR il y a 2 mois (merci au vendeur/conseiller sympa à l'écoute de mon besoin ! (et curieux techniquement aussi, rare !)) . idem chez Red by SFR (qui dispose d'une interface identique à la box 4K (sauf la couleur verte)) après avoir testé chez un collègue . appel vers 1023 pour demander renseignements IPv6 ou changement de boitier / modem / offre ==> renvoi vers support technique en tunisie qui ne comprend pas de quoi je parle !? ==> renvoi vers 1023 ; loop() . impossible de souscrire un nouvel abonnement natif chez Numéricable.fr ==> renvoi vers SFR Fibre 4K obligatoire ! . l'URL suivante indique que l'IPv6 est dispo dans l'interface d'admin des box SFR ... mais ce n'est pas le cas pour moi en 4K (sauf à passer sur adsl !?) https://assistance.sfr.fr/internet-et-box/securite/protocole-ipv6-activer-sfr.html . ici on a tout simplement pas d'option IPv6 sur les box haut de gamme 4K !!! (2016) https://forum.sfr.fr/t5/Connexion-Internet-Fibre-WiFi/IPv6-sur-box-FTTLA/td-p/1752123 (2017) https://forum.sfr.fr/t5/Connexion-Internet-Fibre-WiFi/BOX-4K-et-IPv6/td-p/1982648 (2017) https://lafibre.info/sfr-cable/ipv6-chez-sfr/ (2017) https://communaute.red-by-sfr.fr/t5/G%C3%A9rer-mes-options/IPV6-sur-la-box/td-p/167349 (2017) http://atelier.sfr.fr ferme ses portes après avoir vu de "belles innovations" ... mais pas d'IPv6 ! En résumé si j'ai bien compris : . SFR adsl ==> IPv6 OK . Numéricable "canal historique" racheté par SFR (et non migré sur nouvelles offres) ==> IPv6 OK . SFR Fibre 4K ("haut de gamme" à 40+ Euros mensuel) ==> IPv6 KO !!! est ce que SFR prend ses clients pour des c* ? Donc : . Free dispose d'IPv6 en natif depuis des années ... . Orange aussi . Numéricable "canal historique" aussi ... . Bouygues (?) . mais pas SFR ? WTF !!! . tu es un opérateur Telco national et professionnel, t'es "carré" dans ton métier, mais t'as pas l'IPv6 !? Non mais Allo quoi ! bon ok, Carton Rouge ==>[] . si t'es chez SFR haut de gamme, et que tu veux de l'IPv6, je ne vois pas d'autre solution que passer par he.net pour monter un tunnel en vrai ... c'est bof ! quelqu'un peut-il confirmer ? SFR a-t-il l'intention de fournir simplement et facilement du vrai IPv6 natif à ses clients un jour ou pas ? SFR fibre/4K c'est le furtu !? Merci d'avance de votre aide, ... ou pas ... :-)Cordialement, Jean-Christophe PS : ; c'est normal d'avoir encore en v4 un double NAT baveux en sortie après la box et avant d'arriver sur des IP publiques ? My traceroute [v0.75]Linux (0.0.0.0) Host 1. 192.168.0.1 2. 10.36.128.1 3. crp1rj-ge-0-1-5.100.numericable.net 4. 172.19.132.146 5. be100-165.th2-1-a9.fr.eu 6. be101.par1-p19-g1-nc5.fr.eu 7. ??? 8. be7.p19-2-6k.fr.eu 9. be4.p19-52-6k.fr.eu 10. ping.ovh.net --- Liste de diffusion du FRnOG http://www.frnog.org/