Bonjours à tous,
 
Quel est votre sentiment quant à la fiabilité des pare-feux équipant les box adsl et particulièrement celui de la Livebox "pro" ?
Il me semble que la gestion des corrections des failles de l'OS des box est FAI dépendant. Ceci peut représenter un certain retard dans les corrections et permettre l'exploitation de failles non corrigées.
 
Je pense donc qu'il serait bon qu'un véritable pare-feu (type iptables, packet filter ou autres) soit placé derrière les box adsl en environnement professionnel, mais j'aimerais avoir votre avis sur la question.
 
Merci par avance.

1ère ou 2ème version ?
Autant la 1ère version (la Inventel) était une version adaptée au marché pro, autant la 2ème (la Thomson) je la trouve un peu light niveau configuration. Je m'attendais à mieux quand je l'ai eu entre les mains pour la testée chez un voisin artisan... qui s'est finalement retournée vers une Livebox ordinaire (besoin de la box pour avoir la téléphonie) pour faire une petite économie (3€ TTC contre 5€ HT)

Merci pour cette réponse. Je m'interroge avant tout sur la fiabilité de l'OS et du pare-feu sur toutes les versions. Une récente mise à jour des livebox a réinitialisé les mots de passe admin et il semble que certains trojans soient capables d'accéder à la config de certaines box par force brute... Peut on imaginer d'autres failles ? La mise en place d'un firewall tiers (en plus de fw sur les PC) vous semble-t-elle nécessaire ?

 
Merci pour cette réponse. Je parle de firewall et non de firmware : ajouter un firewall tiers (checkpoint, iptables ou autres) entre la livebox et le LAN. Je ne souhaite pas "toucher" aux firmwares des box.
 

Même, tu ne peux pas chrooté et modifier les box pro.
Tu peux le faire (à ce qu'il paraît ) sur certaines box grand public.
 
Après il faudrait plutôt faire un comparatif entre :
- les boîtes noires (Cisco & co)
- les routeurs modifiés (DD-WRT/OpenWRT)
- les machines dédiées sur une solution propriétaire
- les machines dédiées sur une solution libre "all in one" (m0n0wall/pfSense)
- les machines dédiées sur une solution libre faîte maison (une Debian/autre distrib en installation de base, des règles sur le firewall)
 
Sachant que les machines dédiées peuvent être aussi bien une machine desktop de récupération, une machine type Soekris ou autre mini-ITX à processeur unique ou non.

aucun intérêt à mon sens pour une petite entitée si les besoin sont uniquement le surf.
Les box sont toutes basées sur linux, et donc iptables par extension, je ne vois pas ce que ca apporterait de mettre autre chose, si ce n'est une gestion plus fine des règles (a voir si besoin ... )

Pour une "petite entité" comme un artisan ou une TPE, aucune utilité (voir mon exemple avec un voisin artisan, repassé sur une Livebox normale moins cher pour les mêmes prestations de base).
Après quand tu attaques la taille ou les besoins d'une PME d'une dizaine d'employé ou plus, ou une école primaire (avec ses serveurs type SLIS) là un routeur "hacké" peut être intéressant, notamment pour faire une différenciation entre réseau employés/profs et clients/élèves.
Voire pour la PME proposer un portail captif avec sa petite fenêtre de pub (horaire, promos,...) lors de la connexion.
 
Il existe d'ailleurs un segment non exploité dans ce domaine, peu à pas d'offre de routeur modifiable vendu déjà équipé de DD-WRT ou OpenWRT

 
 
Lorsqu'on s'interroge sur la MAJ de son firewall pour les éventuelles failles, je ne vois pas ce qu'on fait derrière une ADSL chez Orange
Y'a comme une contradiction.
Non pas que la livebox ne soit pas bien mais elle ne s'adresse pas à un public dont la sécu de son réseau doit être au niveau des grandes entreprises.

+1 Shon
 
J'ajouterait qu'il y a plus de risques de faire une fausse manip en jouant les pros sur de l'iptables qu'en laissant sa vieille bobox tranquille en frontal web

+1  
 
 

Comment enfoncer les portes ouvertes  

 
(à ce qu'il paraît, c'est beaucoup "le dernier qui parle qui a raison"...)

ben tu peux apposer un copyright si tu le sens mieux
 
Mais bon on ne dit pas tout à fait la même chose ...
Voir en fait pas la même chose du tout.
Tu causes routeur avec firmware alternatifs, DMZ, portail captif.
Moi ADSL Orange + Livebox =/ sécurité top niveau NSA compliant.

Un artisan n'a pas forcément besoin d'une haute sécurité ni d'un modem évolué. Le truc de base "grand public" suffit amplement.
Quand tu attaques la taille ou les besoins d'une PME d'une dizaine d'employé ou plus, déjà ceux qui utiliseront des lignes ADSL "grand public" sont des ânes ou des grippe-sous.
C'est de la simple logique, et la question sur la ligne ne se pose même pas.  
Tu es hors sujet pour la question, et en plus tu enfonces les portes ouvertes
 
Là la question portait sur une Livebox pro, livrée (normalement ) qu'avec une ligne pro.
Tu restes sur ta ligne de base + matos de grand public, moi je cause ligne pro + matos pro.
 
Après, que tu sois pour ou pas pour avoir un ADSL pro chez Orange, parfois tu n'as pas le choix (marché public, desserte locale par rapport aux besoins/qualités techniques d'une offre pro, etc)
La question ne se pose pas chez Free ou SFR, c'est simple : matos grand public ou tu achètes ton modem-routeur.

Ah ouais quand même.
Bon si tu le dis.

Suivant la boîte, il est possible d'avoir quelque chose à coût réduit

Tu n'as pas lu le quote de mon message précédent... je parle aussi de solutions autres que les boîtes noires genre checkpoint safe