Port 3 et la sécurité

[ulij]

Hello
J'ai essayé de regarder la télé sur le PC vers VLC en raccordant le port 3 du boitier noir au switch Netgear (pontage).
Il faut dire que j'étais un peu surpris de trouver plein d'autres adresses IP dans la liste des "Dispositifs connectés".
La consequence: plein de collisions d'adresse IP. En plus je ne pourrais plus acceder mon routeur (sauf vers l'internet/dyndns ...).
Ca m'étonne pas que le reseau tombe en panne avec une telle configuration.
Il faut absolutment isoler chaque client autrement le reseau ne va jamais etre stabile.

J'espère que ma observation aide a la stabilisation et la sécurisation du reseau.

Bonne soirée
Uli

[Adrien]

Bonjour,

Nous faisons une réunion à ce sujet la semaine prochaine pour discuter de ces points et trouver des axes d'amélioration.

[ulij]

Bonjour

Y a-t-il des résultats de cette séance?
Quad est-ce qu'on peut utiliser la télé (pontage) sans risque de sécurité?

Cordialement
Uli

[Adrien]

La limitation du nombre d'adresses MAC sur le CPE a encore de beaux jours devant elle.

Normalement, cette "astuce" de configuration devrait disparaître avec la mise en place du DHCP snooping sur tous les ports abonnés mais comme ce n'est pas encore au point, pas de changements pour le moment.

[ulij]

Je me suis peut-être mal exprimé (je m'excuse pour mon français, ce n'est pas ma langue maternelle).
La configuration actuelle represente un trou de sécurité enorme. En plus ca provoque des conflits d'adresses IP avec tous ces impliquations. Ça ne m'étonne pas que les clients remarquent des problèmes de qualité.
Moi je me suis retrouvé par hasard dans la config du router d'un autre client (qui avait la même adresse IP que le mien). En plus je voyais plein d'autre ordinateurs et leurs partages dans mon réseau.
Le matériel multimédia des clients est complétément exposé.
Le DHCP ne va pas le résoudre et a mon avis ça va encore le dégrader.
Il faut forcément isoler chaque accès client. Le trafic de mon réseau ne doit absolument pas être transmis dans un autre réseau et vice-versa! Il faut mettre des pare-feux!

[Steph01]

La configuration actuelle represente un trou de sécurité enorme. En plus ca provoque des conflits d'adresses IP avec tous ces impliquations. Ça ne m'étonne pas que les clients remarquent des problèmes de qualité.

Ce n'est pas vraiment la configuration actuelle qui est un trou de sécurité, c'est ce qui peut être fait avec: le pontage des ports 3 ou 4 sur votre LAN. Quand vous mettez le port 3 ou 4 sur votre switch, vous ne faites rien d'autres que relier votre switch aux switches des personnes qui ont fait comme vous.
Bien sure, les réseaux reliées vont broadcaster, discuter entre eux et donc mettre du bruit sur le VLAN IPTV. Qu'on se demande ensuite pourquoi des paquets UDP sont dropés...

Il faut forcément isoler chaque accès client. Le trafic de mon réseau ne doit absolument pas être transmis dans un autre réseau et vice-versa! Il faut mettre des pare-feux!

A mon sens ce n'est pas en mettant des firewall dans tout les sens que l'on protège la solution. A mon sens il faut simplement que l'installation ne permette pas les genres de chose comme ce pontage dont personne n'a réfléchit 30 secs aux conséquences.

Stéphane

[vivien]

Il devrait être possible de récupérer les flux multicast et data sur le même port grâce à un VLAN ?

Cela ne réglerais pas le probléme de sécurité si le routeur récupérait uniquement les flux multicast et laisse les flux internet passer par le NAT ?

sur la prise 3 (normalement) on met le flux internet dans la vlan 1 et le flux TV dans un autre vlan.
Notre boîtier gère la norme 8021q.
Ce qui fait que :
On peut gérer la vidéo/tv avec vlc dans un coin de l'écran et en même temps travailler ou discuter sur Skype.
Aussi grâce à un process vlc, on peut remettre le flux multicast sur un canal unicast à destination du Wifi, pour regarder une autre chaîne de TV avec un portable par ex.

[Adrien]

@vivien c'est l'idée à terme. On travaille sur le provisioning routeur avant pour permettre de désencapsuler un trunk de vlan directement dans le routeur.

[ulij]

La configuration actuelle represente un trou de sécurité enorme. En plus ca provoque des conflits d'adresses IP avec tous ces impliquations. Ça ne m'étonne pas que les clients remarquent des problèmes de qualité.

Ce n'est pas vraiment la configuration actuelle qui est un trou de sécurité, c'est ce qui peut être fait avec: le pontage des ports 3 ou 4 sur votre LAN. Quand vous mettez le port 3 ou 4 sur votre switch, vous ne faites rien d'autres que relier votre switch aux switches des personnes qui ont fait comme vous.
Bien sure, les réseaux reliées vont broadcaster, discuter entre eux et donc mettre du bruit sur le VLAN IPTV. Qu'on se demande ensuite pourquoi des paquets UDP sont dropés...

Il faut forcément isoler chaque accès client. Le trafic de mon réseau ne doit absolument pas être transmis dans un autre réseau et vice-versa! Il faut mettre des pare-feux!

A mon sens ce n'est pas en mettant des firewall dans tout les sens que l'on protège la solution. A mon sens il faut simplement que l'installation ne permette pas les genres de chose comme ce pontage dont personne n'a réfléchit 30 secs aux conséquences.

Stéphane

D'accord concernant les firewalls. Il y'a certainement d'autre solutions pour isoler les réseaux. Ceci est la responsabilité du fournisseur et non pas du client.
D'ailleurs j'ai tout de suite enlevé le pontage donc je suis tranquil sans télé ;-)

[ulij]

S'il avait un propre vlan sur port 3 on ne devrait pas voire les ordis d'autres clients. Mais apparemment il y'en a pas.

Il devrait être possible de récupérer les flux multicast et data sur le même port grâce à un VLAN ?

Cela ne réglerais pas le probléme de sécurité si le routeur récupérait uniquement les flux multicast et laisse les flux internet passer par le NAT ?

sur la prise 3 (normalement) on met le flux internet dans la vlan 1 et le flux TV dans un autre vlan.
Notre boîtier gère la norme 8021q.
Ce qui fait que :
On peut gérer la vidéo/tv avec vlc dans un coin de l'écran et en même temps travailler ou discuter sur Skype.
Aussi grâce à un process vlc, on peut remettre le flux multicast sur un canal unicast à destination du Wifi, pour regarder une autre chaîne de TV avec un portable par ex.

[ulij]

En fait, oui, si tous passe vers le WAN-port et le NAT il y'a plus de soucis de securité. Par contre cette configuration pourrait poser des problèmes de performance.

S'il avait un propre vlan sur port 3 on ne devrait pas voire les ordis d'autres clients. Mais apparemment il y'en a pas.

Il devrait être possible de récupérer les flux multicast et data sur le même port grâce à un VLAN ?

Cela ne réglerais pas le probléme de sécurité si le routeur récupérait uniquement les flux multicast et laisse les flux internet passer par le NAT ?

sur la prise 3 (normalement) on met le flux internet dans la vlan 1 et le flux TV dans un autre vlan.
Notre boîtier gère la norme 8021q.
Ce qui fait que :
On peut gérer la vidéo/tv avec vlc dans un coin de l'écran et en même temps travailler ou discuter sur Skype.
Aussi grâce à un process vlc, on peut remettre le flux multicast sur un canal unicast à destination du Wifi, pour regarder une autre chaîne de TV avec un portable par ex.

[Frank]

Ben ca serait surtout complètement idiot car on ne profiterait pas du multicast. Pourquoi envoyer un flux TV 250 fois pour 250 abonnés alors qu'on peut très bien en envoyer qu'un seul pour ces mêmes 250 abonnés ?

Tout simplement, il faut que les gens apprennent à utiliser ce "port 3" et ne pas s'ammuser à ponter n'importe comment...

[ulij]

T'as pas compris. Tu peux faire n'importe quoi sur ton port 3, on peut toujours facilement attaquer ton équipement sauf si tu met ton propre NAT - firewall. Je ne sais pas si les boîtes TV disposent de ça autrement ils vont être exposé aussi.

[Frank]

Et qu'est ce qu'il peut arriver ? un DDOS sur une pauvre "boite TV" ?
À mon avis, de par le système opératif de la "boite" surement un linux et par les pauvres services qu'elle contient, la seule attaque plus ou moins potable serait une attaque par une injection de paquets "nocifs" dans le flux TV. Si le truc a été bien programmé, aucun problèmme.

[vivien]

Le NAT n'est pas la réponse ultime en sécurité.

On peut faire un réseau sécurisé sans NAT, heureusement car en IPv6 on ne met pas de NAT.