About the author

Sébastien Joly

Passionné de plongée, de voile croisière, de navigation, d'océans, de géomatique, de domotique, d'informatique ... des tictictics, je suis technophile un point c'est tout. Je m'intéresse à la domotique depuis plusieurs années mais je me suis lancé fin 2012 seulement. [ Accéder à mes articles ] [ Mon installation domotique ]

Related Articles

14 Comments

  1. 1

    Olivier M.

    Super article Sébastien. Je n’ai pas vu la fonctionnalité de VPN pour permettre d’accéder à son domicile à distance de façon sécurisée. Est ce exact me bitdefender propose-t-il cette fonctionnalité ?

  2. 2

    Sébastien Joly

    @Olivier, aucun service de VPN entrant sur la BB2. Seulement des VPN Bitdefender sortant depuis les terminaux.

  3. 3

    Aurelien

    Article complet, c’est rare et appréciable de nos jours ! Merci !
    Cette box Defender est compatible dans un environnement comportant des VLANs ?
    J’ai quelque chose de ce type chez moi :
    https://nsa39.casimages.com/img/2018/05/18/180518070311786745.jpg
    Un placement entre ma LB et mon R8000 serait cohérent ?

  4. 4

    Sébastien Joly

    @Aurélien : Euh ? Ben oui tous les appareils IEEE 802.1 sont exploitable en VLAN ? La BB2 ne sait pas pousser/porter un VLAN (pour l’instant) mais peut très bien se trouver sur un VLAN comme sur un réseau logique/physique. Le positionnement de la BB2 est à mon avis dépendant du besoins de sécurité périmétrique : Globale ou segment en particulier … Après si le choix est de couvrir la globalité, il faut éviter un étranglement/congestion car la BB2 est seulement Gigabit passthrough. Comme la gestion des baux et options DHCP n’est pas très évoluée sur la BB2, il ne faut pas se limiter sur l’intégralité de son réseau. De mon point de vue, le cloisonnement/segmentation (voir article : https://www.domotique-info.fr/2018/04/maisons-connectees-et-cybersecurite/) n’est pas adéquate. Je ne comprends pas la logique des VLANs. Personnellement je reverrais la rationalisation de cette architecture et l’isolement pas catégories d’appareils (OC, nœuds maîtrisés ou pas, niveau d’intégrité, Lan Admin … >> Gestion des risques) et je positionnerais la BB2 en protections d’un ensemble de devices dont l’intégrité n’est pas maitrisée.

  5. 5

    Aurélien

    Technophile mais pas spécialiste réseau, je n’ai peut être pas du tout comprendre effectivement 🙂

    Avec mon maigre bagage, je pensais que des trames taguées pour appartenir à des VLANs particluiers pourraient peut être poser problème à un appareil chargé de les inspecter et ne gérant pas les VLANs.
    Merci pour ta précision !

    Pour l’architecture que j’avais en tête, elle n’est pas la plus adaptée apparement. Le postulat de base était de garder mon R8000 à l’occasion d’un déménagement et un changement d’opérateur (Numéricable -> Orange).
    La LB ne propose pas de mode bridge et je ne pense pas que mon routeur puisse la remplacer tout en gardant tous les services (IP, TV et téléphonie) du coup je la laissais en frontal, puis derrière mon R8000 gérait mon LAN « interne ».

    Je pourrais subdiviser ce LAN interne comme tu le préconises (un VLAN pour les PC, un VLAN domotique, un VLAN pour les caméras peut être) mais j’ai peur de faire une usine à gaz qui dépassera mes compétences.

  6. 6

    Sébastien Joly

    Quelques soit l’architecture, tu as besoin d’un VLAN LB + DHCP sur les deux switchs pour que tu pousses jusqu’au salon l’IPTV de la LB, c’est la seule contrainte.
    Le R8000 en patte WAN sur le VLAN LB, et tu gères d’autres VLAN en groupement de ports avec plusieurs étendues DHCP depuis ce R8000 sur sa ou ses pattes Lans (Il gère les vlans et multi-étendues ton routeur R8000?).
    Puis derrière ce routeur tu ajoutes la BB2 en sous-réseau physique Eth/WLAN pour tous les équipements dit non-fiable (sur un groupement de ports + vlan de tes switchs. C’est pas très compliqué, il faut juste être rigoureux. Soit en // au départ de la LB.

  7. 7

    Sébastien Joly

    @Aurélien voici un schéma :

    Proposition

    Tu as tous loisir de mettre en cascade la BB2 sur une des 4 étendues.

  8. 8

    Aurelien

    Merci !

    Après vérification, il gère les VLANs (par port et par réseau Wifi – 2.4GHz/5GHz/guest ou non) mais pas de multi-étendue.

    Côté port il propose du plus basique comme les redirections de ports ou les ouvertures/fermetures.

  9. 9

    Sébastien Joly

    C’est étrange de mettre en place des VLANs sans avoir la capacité de définir des scopes de subnetting. Après il est vrai que c’est une matos grand public.

  10. 10

    00000

    Bonjour,

    Sur le site de la compagnie ARM ( https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability ) il est mentionné que Dual Core Cortex A9 @1.2 Ghz utilisé dans Bitdefender Box 2 est vulnérable au variant 1 et 2. Quel est votre opinion? Est il sécuritaire?

  11. 11

    Sébastien Joly

    Bonjour

    La vulnérabilité Spectre est identifiée depuis pas mal de temps.
    VARIANTE 1 (CVE-2017-5753)
    VARIANTE 2 (CVE-2017-5715)
    J’aurais tendance à penser que la BBOX2 est patchée car il y a eu 4-5 mises à jour depuis l’identification de la faille Spectre du microprocesseur. Comme Bitdefender de produit pas un changelog officiel avec l’énumération des corrections, je ne peux répondre précisément. Je vais pas contre solliciter une réponse de leur part.

  12. 12

    00000

    Bonjour,
    merci d’avoir répondu. J’attend la suite avec impatiente! Je suis persuader avec toute les vérifications que j’ai effectué que la bbox2 est piratable. Pour moi ça serait une bombe dans le milieu de la sécurité informatique avec des conséquences pour l’entreprise Bitdefender pour un manque de rigueur et de respect de ces clients.
    avatar: 0-night vision-1

  13. 13

    Captainigloo

    Bonjour @00000,
    Autant il est facile de trouver les codes (JS, Python et C) d’exploit « Speculative Execution » sur quelques Git, autant, je suis dubitatif sur l’injection. On peut sans difficulté exécuter ces binaires sur une plateforme ARM ouverte (ie.: RPI), mais la BB2 étant déjà bien verrouillée, cela limite la méthode d’injection.

    En gros cela dépasse mes connaissances brutes, et sauf à trouver le bon exploit d’injection du code, je me trouve un peu léger pour avancer.

    https://github.com/crozone/SpectrePoC

  14. 14

    Bitdefender Central

    Thank you for this post very nice and keep it up team it’s so informative for me and all of themi ma waiting for more your post like that.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

2016 - Tous droits protégés - Domotique Info

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies ou autres traceurs pour vous proposer par exemple, des publicités ciblées adaptés à vos centres d’intérêts ou encore, réaliser des statistiques de visites. Plus informations

Les paramètres de cookies sur ce site sont configurés pour "autoriser les cookies" afin de vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site Web sans modifier vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer