Forum KNX francophone / English KNX forum
Sécurité réseau - Version imprimable

+- Forum KNX francophone / English KNX forum (https://www.knx-fr.com)
+-- Forum : Français (https://www.knx-fr.com/forumdisplay.php?fid=3)
+--- Forum : Divers KNX (https://www.knx-fr.com/forumdisplay.php?fid=11)
+--- Sujet : Sécurité réseau (/showthread.php?tid=6711)

Pages : 1 2 3 4 5


RE: Sécurité réseau - Ives - 01/04/2020

Merci pour vos participations mais, en considérant ma structure dont j'ai donné le schéma simplifié, ça donnerait quoi en matériel et soft pour cette solution Unifi de chez Ubiquiti ?


RE: Sécurité réseau - Kevlille - 01/04/2020

@Du21:

pour de l'utilisation privée la limitation ne se voit pas ;-)


RE: Sécurité réseau - Du21 - 01/04/2020

(01/04/2020, 11:04:38)Ives a écrit : Merci pour vos participations mais, en considérant ma structure dont j'ai donné le schéma simplifié, ça donnerait quoi en matériel et soft pour cette solution Unifi de chez Ubiquiti ?

je peux te faire un schéma avec les refs et les liens qui te donneront docs et tarifs, mais j'ai deux questions auparavant :
- Combien as-tu d’appareils branchés en RJ45 au total ?
- Je vois que tu utilise des bornes Wifi en Mesh, c'est par manque de prise RJ45 ?

L'idée, c'est de placer un USG entre ta Freebox et le reste de ton réseau, de placer ensuite un unique switch POE sur lequel viendronts se connecter tout tes appareils, et de sécuriser le tout avec des Vlans et des règles de firewall.
Un fois tout ceci configuré, toi ou le futur acheteur pourra changer d'opérateur et donc de box sans reconfiguration (ou presque en fonctions des choix qui seront fait)


RE: Sécurité réseau - R4v3n - 01/04/2020

(01/04/2020, 10:45:30)Du21 a écrit : Je confirme, dans le cadre de mon travail, je gère un cinquantaine de site en full Unifi de chez Ubiquiti, par contre il y a gros bémol avec les routeurs USG, sur les liens fibre à 200 Gbps, il ne sont pas en mesure de traiter la totalité de la bande passante, c'est trop pour eux, du coup la BP en amont n'est pas la même qu'en aval, j'ai déjà constaté des pertes de 30%, mais c'est un produit à moins de 200 €, on ne peut pas tout lui demander.
un de ses gros avantages, c'est que si on maîtrise un minimum l'anglais, il y a plein de tutos sur YT

200 Mbps tu voulais dire ? Smile


RE: Sécurité réseau - Ives - 01/04/2020

(01/04/2020, 11:32:22)Du21 a écrit : je peux te faire un schéma avec les refs et les liens qui te donneront docs et tarifs, mais j'ai deux questions auparavant :
- Combien as-tu d’appareils branchés en RJ45 au total ?
Super !
J'ai 4 appareils sur les ports LAN de la Freebox + 30 appareils sur 1 switch + 10 en POE (2 switch)
Suite aux réponses, j'ai pensé que je pourrais mettre un unique switch 48 ports PoE manageable mais :
1)  il y a tous les prix de 260 € à plus de 100 €  Huh
2) Faudrait-il encore savoir comment le manager !

(01/04/2020, 11:32:22)Du21 a écrit : - Je vois que tu utilise des bornes Wifi en Mesh, c'est par manque de prise RJ45 ?
Pour distribuer le Wifi Mesh, j'ai une base et un satellite ORBI , les deux sont connectés en RJ45. (Freebox-->RJ45 --> ORBI Base et ORBI Base--> RJ45 --> ORBI Satellite)


RE: Sécurité réseau - Kevlille - 01/04/2020

@Ives:

Pour le switch, il faut partir sur le 48 POE+ 500W par exemple mais le prix est plutôt au environ de 700 roro de mémoire. A 260 euro, ce sera le switch 24 NON POE a mon avis, le 24 ports POE et plus dans les 350 euro.

En plus il te faut:

* un USG (pro ou non)
* un controller-unifi

Pour le manager (ton install unifi) tu as besoin d'un controller unifi (en standalone ou alors installé sur un Windows, un RPI, Docker etc...)


RE: Sécurité réseau - kalhimeo - 01/04/2020

Sans rentrer dans les détails, je suis aussi en unifi et j en suis extrêmement satisfait :

Switch 48 poe 500w
Usg Pro
5 wap uap-ac-lr en poe
Des petits switch 8 ports alimentés en poe là ou j ai bcp de participants (ie tv salon)

Pour le contrôleur j utilise une VM debian sur mon serveur informatique.

Créer un VPN sur l usg est très pratique pour accéder à sa domotique à distance


RE: Sécurité réseau - Du21 - 01/04/2020

(01/04/2020, 15:32:42)R4v3n a écrit :
(01/04/2020, 10:45:30)Du21 a écrit : Je confirme, dans le cadre de mon travail, je gère un cinquantaine de site en full Unifi de chez Ubiquiti, par contre il y a gros bémol avec les routeurs USG, sur les liens fibre à 200 Gbps, il ne sont pas en mesure de traiter la totalité de la bande passante, c'est trop pour eux, du coup la BP en amont n'est pas la même qu'en aval, j'ai déjà constaté des pertes de 30%, mais c'est un produit à moins de 200 €, on ne peut pas tout lui demander.
un de ses gros avantages, c'est que si on maîtrise un minimum l'anglais, il y a plein de tutos sur YT

200 Mbps tu voulais dire ? Smile

Oui effectivement, d'autant qu'ici sur la côte de Beaune on a des supers vins, mais des connexions pourries  Dodgy, on peut pas tout avoir, mais bon à choisir, j’aurais pris la bande passante ...


RE: Sécurité réseau - Du21 - 01/04/2020

(01/04/2020, 17:44:51)Ives a écrit :
(01/04/2020, 11:32:22)Du21 a écrit : je peux te faire un schéma avec les refs et les liens qui te donneront docs et tarifs, mais j'ai deux questions auparavant :
- Combien as-tu d’appareils branchés en RJ45 au total ?

2) Faudrait-il encore savoir comment le manager !
La config peut se faire à distance, et une fois établie, ça roule

Il faut surtout bien penser le truc au départ

Sur les installations avec des Vlan et du routage, je commence toujours par un bon schéma sur papier avec de couleurs, ensuite seulement je transpose, c'est comme avec ETS on ne commence pas la prog sans se poser les bonnes questions avant


RE: Sécurité réseau - R4v3n - 01/04/2020

Pour un switch 48 ports FULL POE, soit tu sors les sous pour acheter du matos récent, soit tu scrutes leboncoin et tu fais des affaires à 40/50€ Wink


RE: Sécurité réseau - Ives - 02/04/2020

Bonne idée R4v3n
J'ai un exemple ici quelles sont les caractéristiques "importantes" en dehors du nombre de ports, manageable, POE ?


RE: Sécurité réseau - Ives - 02/04/2020

(01/04/2020, 17:51:01)Kevlille a écrit : En plus il te faut:

* un USG (pro ou non)
* un controller-unifi

Pour le manager (ton install unifi) tu as besoin d'un controller unifi (en standalone ou alors installé sur un Windows, un RPI, Docker etc...)

Quelle est la fonction de l'USG ?
controller unifi c'est pour contrôler le wifi ? C'est compatible avec les Netgear ORBI ?


RE: Sécurité réseau - Kevlille - 02/04/2020

(02/04/2020, 08:24:42)Ives a écrit : Quelle est la fonction de l'USG ?
controller unifi c'est pour contrôler le wifi ? C'est compatible avec les Netgear ORBI ?

L'USG (Pro ou non) t'apporte les fonctions avancées (VPN, VLAN, routeur/Firewall....) que tu n'auras pas avec uniquement un switch.

Le controller est obligatoire pour pouvoir manager ton réseau et si tu n'en a pas ton switch Unifi se comportera comme un switch "normal".

Le controller-Unifi peut-être "clé en main" (boitier cloudkey) ou peut-être installer sur un élément de ton réseau (RPI, VM, PC Windows....).

Il existe aussi l'UDM-Pro, qui présente l'avantage de regrouper l'équivalent d'un USG-Pro, d'une CloudKey et d'un switch 8 ports dans un même appareil (1U). Il n'existait pas encore lorsque j'ai fait mon réseau, mais si je devais le refaire, je partirai surement sur ce dernier à la place de l'USG-PRO.

La solution réseau Unifi peut s'interfacer avec des éléments d'autres marques mais dans ce cas ces derniers ne sont pas manageable dans ton interface (controller).

Jette un petit coup d'oeil ici:  https://blog.ui.com/fr/2019/12/13/presentation-des-gammes-ubiquiti/  il présente un peu la gamme unifi d'Ubiquiti.


RE: Sécurité réseau - Du21 - 02/04/2020

(02/04/2020, 07:51:00)Ives a écrit : Bonne idée R4v3n
J'ai un exemple ici quelles sont les caractéristiques "importantes" en dehors du nombre de ports, manageable, POE ?

Il y a effectivement souvent de bonnes affaires sur le bon coin, par contre à ce prix là, il y a au mieux 4 ports Gigabit, là où tous les produits neufs ou presque sont full gigabit

plus généralement, l'eco-système Ubiquiti prends tout son sens lorsqu'il n'est pas panaché, même si cela reste possible

Par contre cela voudrait dire USG + 48 ports POE + 2 bornes Wifi + CloudKey V2 (ou serveur d'administration sur Rpi ou NAS), soit un montant de plus de 1000 € pour une demande initiale de VPN permettant de piloter la domotique depuis des smartphones, j'ai peur qu'on soit franchement overkill

reste que si j'avais ce budget à accorder à ce genre de besoin, c'est exactement ce que je ferais, d'autant que pour ceux qui comme moi ont aussi Jeedom, le wifi peut être piloté et entrer dans des scénarios, très pratique pour déconnecter un ado qui ne veut pas faire ses devoirs en période de confinement  Big Grin. Il me semble que c'est aussi possible avec OpenHab ( à vérrifier)


RE: Sécurité réseau - Ives - 02/04/2020

(02/04/2020, 10:09:49)Du21 a écrit : Par contre cela voudrait dire USG + 48 ports POE + 2 bornes Wifi + CloudKey V2 (ou serveur d'administration sur Rpi ou NAS), soit un montant de plus de 1000 € pour une demande initiale de VPN permettant de piloter la domotique depuis des smartphones, j'ai peur qu'on soit franchement overkill
Du21, tu anticipes ma demande ! J'étais en train de faire une approche du coût et c'est vrai que c'est assez élevé et vu du côté utilisateurs (WAF notamment) pour aucune fonctionnalité supplémentaire !
L’intérêt de la configuration du réseau indépendante de la box FAI est un réel plus en cas de changement de FAI ou vente de la maison (même si ce n'est pas encore d'actualité).
Avec cette solution la sécurité du réseau (wifi compris) est-elle vraiment améliorée ? C'est quantifiable ?


RE: Sécurité réseau - Du21 - 02/04/2020

J'en reviens à mes messages du début du post, dans ton cas, l'activation du serveur VPN de ta Freebox, me semble amplement suffisant et répondra à ton besoin. 
Par contre cette fonction n'existe pas dans toutes les box opérateur, et de fait il faudra faire attention si changement de FAI


RE: Sécurité réseau - filou59 - 02/04/2020

Salut Yves

Je suis pas un spécialiste UI, mais l'USG si je ne me trompe pas c'es un routeur.
Controller-Unifi : c'est le logiciel qu'il faut obligatoirement avoir installer qq part pour administrer le matos UI, donc ca n'a rien avoir avec ORBI


Sinon voici ma config actuelle :
-Fibre Orange 2x1G avec pour le moment avec une Livebox 5
-Switch Mikrotik CRS328-24P-4S+
-Routeur WIFI Archer C7 (Solution que je vais peu être changer un jour ou l'autre...)

Sur une petite Machine Odroid-H2, je virtualise via Proxmox :
  • Routeur OPNsense (avec OpenVPN)
  • PiHole
  • openHAB
  • Logitech Media Server (Server pour Squeezebox) + OMV
  • Docker + OMV
  • ...
  • Je dois encore ajouter une solution de supervision, type Grafana, une base de donnée (MySQL/MariaDB), emonCMS ...

Je peux me connecter sur mon reseau local de manière sécurisé grace a OpenVPN via un ordi ou via un téléphone sans problème.

Ma démarche chez moi c'est de tenter de lutter contre les Watts, j'avais avant un gros NAS dans un boitier 20 ou 24 disque, un ou 2 autres NAS, pas mal Raspberry, quelques switchs, des serveurs pour faire des tests etc... bref de quoi contribuer a la survie de mon fournisseur d'energie...  Big Grin

Du coup au lieu de faire tourner H24 un gros Nas, je me suis monté 3 NAS que j'utilise en fonction des besoins.

Pour la machine virtuelle, j'ai opté pour un Odroid H2, c'est un processeur Intel J4105 qui a un TDP de 10W. J'ai 2 SSD qui sont en ZFS Raid Miroir.

Au lieu de dédier un Rpi a une fonction, comme j'avais tendance a le faire, j'ai regroupé tout ca dans une machine virtuelle, ca a plusieurs avantage, reduction de conso, ca simplifie les sauvergardes...

Je n'ai pas abandonné les rPi, j'en ai encore qui me serve de lecteur Audi via la distrib piCorePlayer.
J'en ai un qui est dédié a Codesys et la partie KNX.

Certains ont cité Untangle pfSense et OPNsense, j'ai essayé les 3
-pfsense : Le plus connu, celui ou l'on trouvera le plus d'info sur le Net et le plus de tuto. J'ai quitté pfsense a une époque ou je le faisais tourner sur du matos qui n'a plus été supporté, mais qui était supporté par OPNsense
-OPNsense : C'est dérivé de pfsense, donc on est pas trop perdu en y passant, il y a un peu moins de tuto mais on trouve quand même, donc il n'y a pas de problème la dessus ci besoin.

Ces 2 distribs s'administre via une page Web "classique"

-Untangle : C'est une distrib basé sur Linux (contrairement aux 2 autres qui sont sous Freebsd), a la base étant plus familiarisé avec linux je me suis laissé tenter.
J'ai aussi tenté l'expérience car lors de mon passage a la fibre je n'arrivais pas a exploiter tout le potentiel de celle-ci
Untangle est assez conviviale, on configure ca aussi via une page Web, mais c'est un peu sous la forme de fenetre ce qui est assez sympas.
Cette distrib est payante en version "Home" ca coute 50$/an , mais il est possible de la faire tourner gratuitement avec un peu moins de fonctions.
Untangle intégre pas mal d'application, en plus d'un traditionnel firewall, il y a un systeme d'Ad-blocker (comme pi-hole), un bloqueur de virus, phish-blocker, ...
La configuration d'OpenVPN se fait en quelques clique sans avoir besoin du moindre tuto, uniquement via la FAQ de leur site. C'est 10x plus simple que via pfsense et OPNsense.

Niveau perf, j'ai réussi a exploité mon Giga de la box.
Le seul bémol c'est que cette solution a l'air d'ête connu principalement sur le continent Américain, du coup j'ai trouvé bcp moins de tuto et peu être aucun en Francais

L'autre HIC, c'est les habitude qui ont la vie dur. Même si l'interface était belle et peu être plus simple, j'avais plus l'habitude d'OPNsense.

J'ai donc refait ma config OPNsense, et là j'ai récupérer les perf que je devais avoir, (mon install précédente etait basé sur de vieille version qui avait été mise a jour, ce qui est peu être l'origine de mes faibles perf)


Mon chantier actuel (enfin c'etait avant le confinement), c'est de virer la livebox, brancher directement la fibre via un convertisseur SFP/Ethernet, voir via un routeur dédié , vue que l'on ne peut pas passer la box en mode bridge, on fait avec ce type de config du double nat ce que les puriste n'aime pas et ce qui peut provoquer parfois des problème dans certaines situation.


RE: Sécurité réseau - Kevlille - 02/04/2020

(02/04/2020, 10:09:49)Du21 a écrit : reste que si j'avais ce budget à accorder à ce genre de besoin, c'est exactement ce que je ferais, d'autant que pour ceux qui comme moi ont aussi Jeedom, le wifi peut être piloté et entrer dans des scénarios, très pratique pour déconnecter un ado qui ne veut pas faire ses devoirs en période de confinement  Big Grin. Il me semble que c'est aussi possible avec OpenHab ( à vérrifier)

Oui sous OpenHAB tu as un Binding Unifi pour pouvoir gérer ton réseau depuis ce dernier (desactiver le wifi à certaines heures etc...). Par contre je n'ai pas encore testé


RE: Sécurité réseau - kalhimeo - 02/04/2020

(02/04/2020, 11:04:13)Kevlille a écrit : Oui sous OpenHAB tu as un Binding Unifi pour pouvoir gérer ton réseau depuis ce dernier (desactiver le wifi à certaines heures etc...). Par contre je n'ai pas encore testé

Idem sous Home assistant, ce qui est sympa aussi c'est la possibilité de faire des switch ON/OFF avec les ports POE pour facilement couper des caméras quand on est à la maison par exemple


RE: Sécurité réseau - Ives - 02/04/2020

(02/04/2020, 12:53:45)kalhimeo a écrit : Idem sous Home assistant, ce qui est sympa aussi c'est la possibilité de faire des switch ON/OFF avec les ports POE pour facilement couper des caméras quand on est à la maison par exemple
Actuellement j'ai une solution moins élégante mais radicale ! Les caméras intérieurs sont connectées sur un switch isolé dont l’alimentation secteur est coupée lorsqu'on est à la maison ...la méthode "gros bourrin" ! Smile


RE: Sécurité réseau - Du21 - 02/04/2020

(02/04/2020, 15:02:14)Ives a écrit :
(02/04/2020, 12:53:45)kalhimeo a écrit : Idem sous Home assistant, ce qui est sympa aussi c'est la possibilité de faire des switch ON/OFF avec les ports POE pour facilement couper des caméras quand on est à la maison par exemple
Actuellement j'ai une solution moins élégante mais radicale ! Les caméras intérieurs sont connectées sur un switch isolé dont l’alimentation secteur est coupée lorsqu'on est à la maison ...la méthode "gros bourrin" ! Smile

La meilleure  Big Grin


RE: Sécurité réseau - R4v3n - 02/04/2020

(02/04/2020, 10:09:49)Du21 a écrit :
(02/04/2020, 07:51:00)Ives a écrit : Bonne idée R4v3n
J'ai un exemple ici quelles sont les caractéristiques "importantes" en dehors du nombre de ports, manageable, POE ?

Il y a effectivement souvent de bonnes affaires sur le bon coin, par contre à ce prix là, il y a au mieux 4 ports Gigabit, là où tous les produits neufs ou presque sont full gigabit

plus généralement, l'eco-système Ubiquiti prends tout son sens lorsqu'il n'est pas panaché, même si cela reste possible

Par contre cela voudrait dire USG + 48 ports POE + 2 bornes Wifi + CloudKey V2 (ou serveur d'administration sur Rpi ou NAS), soit un montant de plus de 1000 € pour une demande initiale de VPN permettant de piloter la domotique depuis des smartphones, j'ai peur qu'on soit franchement overkill

reste que si j'avais ce budget à accorder à ce genre de besoin, c'est exactement ce que je ferais, d'autant que pour ceux qui comme moi ont aussi Jeedom, le wifi peut être piloté et entrer dans des scénarios, très pratique pour déconnecter un ado qui ne veut pas faire ses devoirs en période de confinement  Big Grin. Il me semble que c'est aussi possible avec OpenHab ( à vérrifier)

- Pour 40€ livré on trouve 48 ports POE Gb avec 4 uplinks SFP Gb/s, il suffit de checker régulièrement.
D'ailleurs on peut même trouver pour 100€ (mais pas sur lbc) des switches infiniband 18 ou 36 ports en QSFP+ (40gb/s).

- Effectivement tout ça c'est overkill, alors qu'une simple OPNsense sur du matos d'occaz en ITX (ou non) ferait amplement l'affaire et ne coûterait pratiquemet rien.


(02/04/2020, 10:28:14)Ives a écrit :
(02/04/2020, 10:09:49)Du21 a écrit : Par contre cela voudrait dire USG + 48 ports POE + 2 bornes Wifi + CloudKey V2 (ou serveur d'administration sur Rpi ou NAS), soit un montant de plus de 1000 € pour une demande initiale de VPN permettant de piloter la domotique depuis des smartphones, j'ai peur qu'on soit franchement overkill
Du21, tu anticipes ma demande ! J'étais en train de faire une approche du coût et c'est vrai que c'est assez élevé et vu du côté utilisateurs (WAF notamment) pour aucune fonctionnalité supplémentaire !
L’intérêt de la configuration du réseau indépendante de la box FAI est un réel plus en cas de changement de FAI ou vente de la maison (même si ce n'est pas encore d'actualité).
Avec cette solution la sécurité du réseau (wifi compris) est-elle vraiment améliorée ? C'est quantifiable ?

Un switch d'occaz, un PC d'occaz avec OPNsense, il y en a pour 200€ et tu fais tout avec.


RE: Sécurité réseau - Ives - 02/04/2020

(02/04/2020, 16:30:23)R4v3n a écrit : - Pour 40€ livré on trouve 48 ports POE Gb avec 4 uplinks SFP Gb/s, il suffit de checker régulièrement.
D'ailleurs on peut même trouver pour 100€ (mais pas sur lbc) des switches infiniband 18 ou 36 ports en QSFP+ (40gb/s).
- Effectivement tout ça c'est overkill, alors qu'une simple OPNsense sur du matos d'occaz en ITX (ou non) ferait amplement l'affaire et ne coûterait pratiquemet rien.
Un switch d'occaz, un PC d'occaz avec OPNsense, il y en a pour 200€ et tu fais tout avec.


48 ports POE Gb avec 4 uplinks SFP Gb/s : c'est pour connecter où les 4 uplinks SFP Gb/s ?
OPNsense sur du matos d'occaz en ITX : un lien sur du neuf me donnerait une idée des caractéristiques.
Il manque un routeur dans cette liste , non ?


RE: Sécurité réseau - Du21 - 02/04/2020

Mais pourquoi tout ces matériels quant la Freebox d'Ives répond au besoin initial ? (juste pour rester dans l'esprit du post)


RE: Sécurité réseau - Ives - 02/04/2020

Du21 tu as raison mais au fil des messages j'ai ajouté le fait de ne plus utiliser la Freebox comme routeur pour éviter une reconfiguration lors du changement de FAI.