Forum KNX francophone / English KNX forum
Réseau local(Vlans) - organisation et "sécurisation" - Version imprimable

+- Forum KNX francophone / English KNX forum (https://www.knx-fr.com)
+-- Forum : Français (https://www.knx-fr.com/forumdisplay.php?fid=3)
+--- Forum : Divers KNX (https://www.knx-fr.com/forumdisplay.php?fid=11)
+--- Sujet : Réseau local(Vlans) - organisation et "sécurisation" (/showthread.php?tid=6916)

Pages : 1 2 3 4 5


Réseau local(Vlans) - organisation et "sécurisation" - Kevlille - 09/07/2020

Bonjour à tous,

Ayant investi il y a quelques mois dans une solution Ubiquiti Unifi qui m'apporte satisfaction, je souhaiterai exploiter ses capacités et notamment le VPN et les VLANs.

Aussi avant de partir bille en tête, je voulais avoir vos retours (pour ceux qui on mis en place ces solutions) pour l'organisation de ces derniers.

Je ne sais pas trop comment saucissonner mon réseau en différent Vlans avec de bien compartimenter et securiser tout cela. Donc si vous avez des idées ou donner comment vous avez organiser votre réseau je suis preneur.

Chez moi, j'ai en gros:

* 1 PC fixe + 2 PC portable + imprimante réseau
* 1 smartphone
* Un serveur (NAS, controlleur Unifi, OpenHAB)
* système KNX avec Passerelle IP
* Un système multiroom Denon HEOS Home
* Une TV connectée 
* Une Harmony Elite + Hub
* Un système Philips HUE (en cours d'acquisition, rien d'installer à cette heure)

En prévision, je vais aussi installer:
* portier vidéo SIP
* Camera de surveillance IP

Du coup avec le ne sais pas trop par ou partir...  Je pensais déjà faire:

* Vlan Core: PCs, Serveur, Imprimante + smartphones
* Vlan Invités/enfants: uniquement accès internet (avec restrictions de site)
* Vlan domotique/IOT: passerelle KNP, HUE, Harmony
* Vlan multimédia: TV, HEOS
* Vlan vidéo: Portier SIP, Camera

Cela vous semble logique? Je ne suis pas un expert réseau et je découvre les Vlans (jusqu'à présent je sais monter/sécuriser un réseau simple mais ce ne doit pas être sorcier... enfin j'espère).

Bien sur certains éléments comme OpenHAB devra voir accès à plusieurs Vlans afin de piloter les différents éléments (HUE, KNX, HEOS et SIP + cam).

Enfin je mettrai en place également un accès VPN (IPSEC + Radius) pour accéder à mon réseau depuis l'extérieur (ça j'ai déjà fait et cela fonctionne nickel).

A l'avance, merci pour vos conseils


RE: Réseau local(Vlans) - organisation et "sécurisation" - R4v3n - 09/07/2020

(09/07/2020, 10:29:01)Kevlille a écrit : Du coup avec le ne sais pas trop par ou partir...  Je pensais déjà faire:

* Vlan Core: PCs, Serveur, Imprimante + smartphones
* Vlan Invités/enfants: uniquement accès internet (avec restrictions de site)
* Vlan domotique/IOT: passerelle KNP, HUE, Harmony
* Vlan multimédia: TV, HEOS
* Vlan vidéo: Portier SIP, Camera

Cela vous semble logique? 

Bien sur certains éléments comme OpenHAB devra voir accès à plusieurs Vlans afin de piloter les différents éléments (HUE, KNX, HEOS et SIP + cam).

Tu n'as pas abordé de VLAN(s) spécifique(s) au(x) Wifi(s), mais j'imagine que tu en auras quand même puisque tu listes un smartphone.
Le conseil serait de créer des VLANs dédiés aux différents Wifi, comme par exemple :
*Vlan main WIFI (pour ton smartphone par exemple)
*Vlan IoT WIFI (Pour les IoT pourris)
*Vlan Guest WIFI (pour les invités ou qui tu veux)
*Vlan Domotique WIFI (pour d'éventuels _vrais_ modules de domotique en Wifi)

Pour la TV, tout dépend ce que tu utilises des fonctions "connectées" de la TV. En fonction de ça tu pourras décider du VLAN dans laquelle la mettre.
Le portier SIP utilise une prise RJ avec POE en direct ? Si c'est le cas, VLAN à part.
Vlan dédié pour les caméras, avec rien d'autre que les caméras dessus.

Pour le reste, tu gèreras tes droits entre les VLANs et les machines de chaque VLAN dans ton routeur/switch.


RE: Réseau local(Vlans) - organisation et "sécurisation" - Kevlille - 09/07/2020

Hello Raven

Désolé je ne maitrise pas les Vlans (pas encore). Je pensais qu'un Vlan était valable pour l'Ethernet ET le Wifi et que ce qui permettait de faire le tri était les adresses MAC.....

ps: tant que je t'ai sous la main. Sais-tu s'il existe des switch Gigabit (1 port entrée/ 2 ports de sortie) alimenté en POE éventuellement et très compact? Ce serait pour avoir 2 ports Eth dispo dans les pièces ou il y en a qu'une mais sans mettre un gros bazard (en gros un truc comme les Unifi in-Wall Pro mais sans la partie Wifi )


RE: Réseau local(Vlans) - organisation et "sécurisation" - R4v3n - 09/07/2020

(09/07/2020, 15:15:26)Kevlille a écrit : Hello Raven

Désolé je ne maitrise pas les Vlans (pas encore). Je pensais qu'un Vlan était valable pour l'Ethernet ET le Wifi et que ce qui permettait de faire le tri était les adresses MAC.....

ps: tant que je t'ai sous la main. Sais-tu s'il existe des switch Gigabit (1 port entrée/ 2 ports de sortie) alimenté en POE éventuellement et très compact? Ce serait pour avoir 2 ports Eth dispo dans les pièces ou il y en a qu'une mais sans mettre un gros bazard (en gros un truc comme les Unifi in-Wall Pro mais sans la partie Wifi )

Ah oui oui les VLANs sont valables pour tout équipement qui sait les gérer.
Pour moi les WIFI n'ont jamais à être sur le même réseau que du filaire, jamais.
Donc ce que je disais c'est qu'en gros tu fais : 
* Vlan Core
* Vlan domotique: uniquement pour la domotique filaire
* Vlan multimédia: HEOS, NAS ? Box android ou équivalent ?
* Vlan TV : TV connectée (sauf si tu l'utilises pour aller lire des fichiers sur ton NAS par exemple, à ce moment là tu le laisses dans ton VLAN multimédia ou Core, mais tu lui coupes tout accès à Internet.
* Vlan surveillance: Cameras
* Vlan portierSIP: portier SIP
* Vlan main WIFI (pour ton smartphone par exemple)
* Vlan IoT WIFI (Pour les IoT pourris)
* Vlan Guest WIFI (pour les invités ou qui tu veux)
* Vlan Domotique WIFI (pour d'éventuels _vrais_ modules de domotique en Wifi)


Dans le cas où tu as 4 VLANs Wifi, il te faut des points d'accès qui savent gérer 4 SSID et le setup de VLANs dessus (c'est le cas de certains Unifi).

Il n'y a pas de "port d'entrée" ou "de sortie" sur un switch. Mais j'imagine que ce que tu appelles "entrée" c'est simplement ton port d'uplink.
Là comme ça je ne vois pas, possible que ça existe mais je n'ai rien en tête. Tu veux éviter un switch PoE 5 ports classique pour ne pas avoir à l'alim, mais fournir du PoE sur tes 2 ports via l'alim du 3eme port ?


RE: Réseau local(Vlans) - organisation et "sécurisation" - Kevlille - 09/07/2020

Re,

Quel est l'intérêt de ne jamais avoir un même Vlan pour le filaire et le wifi Core? Sachant que l'utilise principalement mes PC en Wifi.

Pour le SIP, pourquoi ne pas le mettre sur le même Vlan "vrai" domotique sachant qu'il va devoir interagir avec tout ce petit monde?

Enfin, pour l'histoire du "switch", c'est exactement cela. Je veux l'équivalent d'un switch mais sans alim et 2 ports dispo pour brancher 2 Enceintes Heos par exemple


RE: Réseau local(Vlans) - organisation et "sécurisation" - fabric24 - 10/07/2020

[quote pid='48264' dateline='1594304126']

....
ps: tant que je t'ai sous la main. Sais-tu s'il existe des switch Gigabit (1 port entrée/ 2 ports de sortie) alimenté en POE éventuellement et très compact? Ce serait pour avoir 2 ports Eth dispo dans les pièces ou il y en a qu'une mais sans mettre un gros bazard (en gros un truc comme les Unifi in-Wall Pro mais sans la partie Wifi )
[/quote]

Bonjour
Regardes chez gli net, pas poe mais 3 ports Gigabit
https://www.gl-inet.com/products/gl-mv1000/#specs

Les enceintes ont besoin du giga ?
Sinon il y a 3x 100M et poè en option
https://www.gl-inet.com/products/gl-ar750/


RE: Réseau local(Vlans) - organisation et "sécurisation" - R4v3n - 10/07/2020

(09/07/2020, 20:41:17)Kevlille a écrit : Re,

Quel est l'intérêt de ne jamais avoir un même Vlan pour le filaire et le wifi Core? Sachant que l'utilise principalement mes PC en Wifi.

Pour le SIP, pourquoi ne pas le mettre sur le même Vlan "vrai" domotique sachant qu'il va devoir interagir avec tout ce petit monde?

Enfin, pour l'histoire du "switch", c'est exactement cela. Je veux l'équivalent d'un switch mais sans alim et 2 ports dispo pour brancher 2 Enceintes Heos par exemple

Parce que le Wifi n'est et ne sera jamais sécurisé comme un bon vieux fil. Si tu laisses l'accès depuis le Wifi core à tout ton réseau core, autant ne pas faire de Vlans, aucun intérêt. A savoir qu'il y a de fortes chances que ton filaire core ait le droit d'accès à tous les autres VLANs.

L'intérêt du VLAN réside dans le fait que tu peux gérer ce qui passe ou ne passe pas entre chaque (V)LAN dans ton firewall, chose que tu ne peux pas faire entre machines d'un même réseau.


RE: Réseau local(Vlans) - organisation et "sécurisation" - Kevlille - 10/07/2020

@Fabric

merci pour tes liens mais avec ce genre de produits autant rester en environnement Unifi avec les In-Wall par exemple qui font la même chose dans un environnement unique. Il y a eventuellement le Brume qui pourrait convenir mais ne répond pas à tous mes critères.

Là ce que je recherche c'est juste un mini/micro switch gigabit sans Wifi etc... et alimenter en POE (je ne sais franchement pas si cela existe mais il n'y a pas de raison).

pour le gigabit, disons que qui peut le plus, peut le moins et si un jour je veux brancher autre choses que mes enceintes, je ne serai pas limité par le débit


RE: Réseau local(Vlans) - organisation et "sécurisation" - Kevlille - 10/07/2020

Ce qui me faudrait en fait c'est un switch gigabit qui se branche comme une prise CPL (mais sans la partie CPL) ou a défaut un switch comme celui-ci mais alimenté en POE

EDIT:

J'ai trouvé cela . Ma question est: pourrais-je gérer les Vlans crée sous Unifi avec? Besoin de double paramétrage?

EDIT2:

Je suis con... Unifi a ce genre de petit switch autoalimenter en POE: ici .Assez discret et pas cheret surtout ça reste du Unifi.


RE: Réseau local(Vlans) - organisation et "sécurisation" - R4v3n - 10/07/2020

(10/07/2020, 13:57:21)Kevlille a écrit : Ce qui me faudrait en fait c'est un switch gigabit qui se branche comme une prise CPL (mais sans la partie CPL) ou a défaut un switch comme celui-ci mais alimenté en POE

EDIT:

J'ai trouvé cela . Ma question est: pourrais-je gérer les Vlans crée sous Unifi avec? Besoin de double paramétrage?

EDIT2:

Je suis con... Unifi a ce genre de petit switch autoalimenter en POE: ici .Assez discret et pas cheret surtout ça reste du Unifi.

Dans tous les cas le lien de ton 1er edit gère le 802.1Q transparency : https://www.planet.com.tw/en/product/poe-e202


RE: Réseau local(Vlans) - organisation et "sécurisation" - Kevlille - 10/07/2020

Yes mais du coup je préfère rester en total Unifi ;-)


RE: Réseau local(Vlans) - organisation et "sécurisation" - Kevlille - 16/07/2020

Hello tous,

Bon j'avance avec mon install Unifi et la creation de Vlan, même si j'ai eu quelques soucis avec les points wifi qui perdaient leur assignation au serveur après le moindre reboot (semble résolu).

Du coup je me suis penché sur le saucissonnage de mon réseau et pour le moment j'ai 2 Vlans:

* Core:
- Serveur (OpenMediaVault, OpenHAB, Unifi Controller)
- Mes PC (filaires et Wifi)
- Mon imprimante réseau

* Iot:
- Ma TV connecté (chromecast et google Assistant)
- Lenovo smart view (chromecast et google Assistant)
- Mon système HEOS (les nouvelles Home vont intégrer prochainement google Assistant avec un MAJ, donc autant anticiper)
- Harmony HUB
- Philips HUE (prochainement)

Je vais aussi créer d'autres Vlan pour:
* Domotique (passerelle KNX, Portier etc...)
* Guest (pour les amis de passage)

Je me posais la question de mettre mes smartphones sur le Vlans Core, ou bien de leur créer un propre Vlan... Je ne vois pas l'intérêt de mettre un Vlan dédié (je me trompe surement).

Par contre j'ai une problématique qui concerne mon système Harmony et le pilotage de ma box TV. Je m'explique:

* Harmony et TV sont sur le Vlan Iot donc pas de soucis pour piloter la TV avec la télécommande Harmony à travers le réseau (pas en IR)

* Par contre ma box (SFR THD 4k) est placé avant le routeur Unifi (mode Bridge), et donc pas accessible. En gros j'ai:

BOX > USG-PRO > SWITCH > AC-Pro > Harmony

Comment faire pour pouvoir piloter la partie TV de ma BOX (à travers le réseau, pas en IR) depuis la télécommande Harmony?

Il s'agit d'un box tout en un mais si je passe sur une version 8 avec le module TV séparé, je pourrai m'en sortir?

Avis aux spécialistes réseaux ;-)

A l'avance merci


RE: Réseau local(Vlans) - organisation et "sécurisation" - R4v3n - 16/07/2020

Je maintiens qu'avoir un wifi dans le même réseau/vlan que du filaire est une aberration Wink C'est comme si tu construisais un bunker avec une porte blindée mais que tu laissais la clé sur la porte (ton wifi).

Pour ton histoire de box SFR, ils ont un vrai mode bridge ? Ou c'est un mode dans lequel par exemple le wifi de la box reste activé ?
Je ne sais pas comment fonctionne le pilotage réseau de l'Harmony, mais si ta box n'a pas d'IP tu ne pourras rien faire, à l'inverse, si elle a un IP LAN (même si ce LAN se trouve en amont de ton USG), tu pourras y accéder, du moment que tu n'utilises pas le même adressage après ton USG.


RE: Réseau local(Vlans) - organisation et "sécurisation" - Woofy - 16/07/2020

L'intérêt des VLANs, c'est surtout de pouvoir segmenter tes différents réseaux sans investir dans de multiples switchs. En revanche il faut bien segmenter les réseaux et gérer les flux qui passent à travers (firewall), les VLANs seulement séparés par un routeur n'ont aucun intérêt niveau sécurité (éventuellement pour de l'équilibrage de charge, et encore, enfin là c'est moins mon domaine).

Mon Donc je mettrais PC + imprimante + éventuellement Wifi interne dans un VLAN, Wifi guest (si tu en as un) dans un autre, serveurs/NAS dans un 3ème (et encore si tu as plusieurs serveurs, voir s'ils ont tous la même criticité), audio multiroom / tv connectée / harmony / philips hue dans un 4ème et le KNX dans un dernier.
Ne pas trop segmenter sinon c'est un enfer à maintenir, et une usine à gaz n'aide pas trop.

R4v3n : ton Wifi doit offrir les mêmes capacités que ton réseau interne. Il faut surtout lui donner une protection optimale. On ne va pas mettre en place du 802.1x, mais une bonne clé WPA2 est nécessaire. Et éviter le WPS. Pour du résidentiel, c'est à mon sens suffisant. Pour une entreprise, du 802.1X serait préférable.

Pour moi, la zone PC est justement risquée : c'est celle qui risque le plus de se prendre un ranswomare (quoique la TV connectée aussi peut s'en prendre un). Donc aussi risquée que le wifi, même si les risques ne sont pas les mêmes (un wifi bien configuré/sécurisé, il n'y a pas de problèmes, sauf éventuellement des attaques en déconnexion mais ça, segmenter ne sert à rien).


RE: Réseau local(Vlans) - organisation et "sécurisation" - R4v3n - 16/07/2020

(16/07/2020, 13:51:13)Woofy a écrit : L'intérêt des VLANs, c'est surtout de pouvoir segmenter tes différents réseaux sans investir dans de multiples switchs. En revanche il faut bien segmenter les réseaux et gérer les flux qui passent à travers (firewall), les VLANs seulement séparés par un routeur n'ont aucun intérêt niveau sécurité (éventuellement pour de l'équilibrage de charge, et encore, enfin là c'est moins mon domaine).

Mon Donc je mettrais PC + imprimante + éventuellement Wifi interne dans un VLAN, Wifi guest (si tu en as un) dans un autre, serveurs/NAS dans un 3ème (et encore si tu as plusieurs serveurs, voir s'ils ont tous la même criticité), audio multiroom / tv connectée / harmony / philips hue dans un 4ème et le KNX dans un dernier.
Ne pas trop segmenter sinon c'est un enfer à maintenir, et une usine à gaz n'aide pas trop.

R4v3n : ton Wifi doit offrir les mêmes capacités que ton réseau interne. Il faut surtout lui donner une protection optimale. On ne va pas mettre en place du 802.1x, mais une bonne clé WPA2 est nécessaire. Et éviter le WPS. Pour du résidentiel, c'est à mon sens suffisant. Pour une entreprise, du 802.1X serait préférable.

Pour moi, la zone PC est justement risquée : c'est celle qui risque le plus de se prendre un ranswomare (quoique la TV connectée aussi peut s'en prendre un). Donc aussi risquée que le wifi, même si les risques ne sont pas les mêmes (un wifi bien configuré/sécurisé, il n'y a pas de problèmes, sauf éventuellement des attaques en déconnexion mais ça, segmenter ne sert à rien).

Il peut offrir les capacités que tu lui donneras via ta config firewall, et c'est ça l'important.
Le WPA2 n'a rien d'optimal, et aucune techno sans fil ne sera jamais optimale. Le 802.1x serait au contraire un minimum, avec un RADIUS.

C'est pour ça que pour moi, si l'on souhaite un wifi "main", il doit absolument être sur un VLAN à part, pour en limiter les accès, parce que ça reste une porte ouverte.

Concernant la TV connectée, rien que le fait de lui bloquer l'accès à internet (ou du moins ouvrir ce qui est nécessaire uniquement), c'est la base.

J'ai l'impression que tu vois le wifi comme quelque chose de sécurisé, alors qu'aujourd'hui, aucune techno de "sécurisation" wifi n'est fiable.


RE: Réseau local(Vlans) - organisation et "sécurisation" - Woofy - 17/07/2020

Non tu te trompes.
Je vois plutôt le réseau bureautique (PC / imprimantes) comme non sécurisé (bon désolé je reprends les termes que j'utilises d'habitude, je vous laisserais faire la conversion pour le résidentiel).
Pour le Wifi, le soucis est que pour ton réseau Wifi interne il faudra lui donner les accès via la config firewall. Si tu veux avoir les mêmes droits sur ton Wifi interne que sur ton réseau bureautique. Donc tu vas devoir ouvrir comme un porc, ce qui a peu d'intérêt niveau sécurité. C'est complexifier l'administration pour n'apporter que très peu côté sécurité.
Ou alors tu donnes un traitement et des droits différents aux PC filaires et aux PC Wifi, ce qu'on voit rarement.


Si tu traites du confidentiel défense ou du diffusion restreinte on en reparle, mais pour du résidentiel bateau (surfer sur Facebook, Youporn et le reste d'Internet, jouer à des jeux en ligne ou pas, consulter ses comptes bancaires en ligne, faire ses papiers, lire ses mails, écrire l'exposé de son ado, et l'imprimer, ...) tu n'as pas besoin d'une sécurité digne d'une base militaire top secrète à la StarGate.
Oui, le wifi est plus exposé que ton réseau filaire car on n'a pas la protection physique offerte par ta porte d'entrée. Mais à ma connaissance le WPA2 n'est pas encore cassé, et reste largement suffisant pour une protection d'un réseau résidentiel. Ou même pour une TPE ou une petite PME. L'investissement dans une authentification 802.1X se justifie lorsque tu as déjà plusieurs dizaines de personnes qui se connectent au Wifi. Mais dans ce cas, si tu es une entreprise suffisamment importante, investir dans un WIPS, dans des collecteurs et des points d'accès qui gèrent l'authentification radius devient indispensable (ou couper le Wifi, je l'ai vu également), mais il ne faut pas s'arrêter là et mettre en place de l'authentification forte, du chiffrement sur tes postes, tes serveurs, ...
Pour du résidentiel là on sort quand même le marteau pilon pour écraser une mouche. Tu as quand même plus de chances de te prendre un virus des années 90 en ouvrant le mail de tonton Gaston avec ses blagues powerpoint, ou un ransomware en installant le dernier crack pour Office 2021 ou GTA VI téléchargé sur un réseau chelou que quelqu'un vienne à côté de chez toi et s'amuse à casser ton Wifi pour surfer tranquille via ton Internet ou dérober tes photos de vacances pour te faire chanter.


RE: Réseau local(Vlans) - organisation et "sécurisation" - R4v3n - 17/07/2020

(17/07/2020, 10:29:05)Woofy a écrit : Non tu te trompes.
Je vois plutôt le réseau bureautique (PC / imprimantes) comme non sécurisé (bon désolé je reprends les termes que j'utilises d'habitude, je vous laisserais faire la conversion pour le résidentiel).
Pour le Wifi, le soucis est que pour ton réseau Wifi interne il faudra lui donner les accès via la config firewall.
Oui, donner le strict minimum.

Si tu veux avoir les mêmes droits sur ton Wifi interne que sur ton réseau bureautique. Donc tu vas devoir ouvrir comme un porc, ce qui a peu d'intérêt niveau sécurité.
Pas du tout, tout l'intérêt est de limiter au strict minimum, et c'est là aussi l'intérêt du 802.1x.

C'est complexifier l'administration pour n'apporter que très peu côté sécurité.
Tu ne donnes aucun droit à une machine, tu authentifies une machine, puis un user.


Si tu traites du confidentiel défense ou du diffusion restreinte on en reparle, 
Si tu veux en parler, la réglementation actuelle pour le DR est beaucoup trop laxiste. Et le CD aussi d'ailleurs.

mais pour du résidentiel bateau (surfer sur Facebook, Youporn et le reste d'Internet, jouer à des jeux en ligne ou pas, consulter ses comptes bancaires en ligne, faire ses papiers, lire ses mails, écrire l'exposé de son ado, et l'imprimer, ...) tu n'as pas besoin d'une sécurité digne d'une base militaire top secrète à la StarGate.


Oui, le wifi est plus exposé que ton réseau filaire car on n'a pas la protection physique offerte par ta porte d'entrée. Mais à ma connaissance le WPA2 n'est pas encore cassé,
Il semble que tes connaissances ont un paquet d'années de retard.

et reste largement suffisant pour une protection d'un réseau résidentiel. Ou même pour une TPE ou une petite PME.
Pas à mon goût (et en TPE/PME le wifi devrait être interdit).

L'investissement dans une authentification 802.1X se justifie lorsque tu as déjà plusieurs dizaines de personnes qui se connectent au Wifi.
Quel investissement ? Le temps ? Parce que c'est le seul que je vois.

Mais dans ce cas, si tu es une entreprise suffisamment importante, investir dans un WIPS, dans des collecteurs et des points d'accès qui gèrent l'authentification radius devient indispensable (ou couper le Wifi, je l'ai vu également), mais il ne faut pas s'arrêter là et mettre en place de l'authentification forte, du chiffrement sur tes postes, tes serveurs, ...
Pourquoi encore investir ? On fait tout déjà très bien dans l'open source et en plus libre à toi d'auditer le code Wink
Chiffrer tous les storages, c'est une base, pas une feature de sécu.



Pour du résidentiel là on sort quand même le marteau pilon pour écraser une mouche. Tu as quand même plus de chances de te prendre un virus des années 90 en ouvrant le mail de tonton Gaston avec ses blagues powerpoint, ou un ransomware en installant le dernier crack pour Office 2021 ou GTA VI téléchargé sur un réseau chelou que quelqu'un vienne à côté de chez toi et s'amuse à casser ton Wifi pour surfer tranquille via ton Internet ou dérober tes photos de vacances pour te faire chanter.
Tu ne prends surtout pas en compte qu'à partir du moment où ta passerelle KNX/IP est accessible via un wifi, n'importe qui pourra ouvrir tes volets quand il le voudra, péter une fenêtre, voire ouvrir la porte dans les pires cas. On a 116000 cambriolages par an en France. Et c'est comme les voitures, plus c'est accessibles (et sans traces) et plus on y porte d'intérêt.

Mes réponses en bleu


RE: Réseau local(Vlans) - organisation et "sécurisation" - Kevlille - 19/07/2020

(17/07/2020, 20:13:09)R4v3n a écrit : Et c'est comme les voitures, plus c'est accessibles (et sans traces) et plus on y porte d'intérêt.

Ca je peux en parler ;-) je me suis fais tirer ma caisse de fonction juste devant chez moi... Aucun bris de glace ou effraction. Voitures de plus en plus connectées mais pas forcement sécurisée.

Après tout dépend aussi où l'on vit. En étant sur une grosse métropole ou a proximité immédiate, on est plus sujet au cambriolage, ou tentative de piratage du petit blaireau prépubère du coin qui cherche à hacker tous les réseaux wifi à sa portée


RE: Réseau local(Vlans) - organisation et "sécurisation" - Du21 - 19/07/2020

(17/07/2020, 10:29:05)Woofy a écrit : Non tu te trompes.
Je vois plutôt le réseau bureautique (PC / imprimantes) comme non sécurisé (bon désolé je reprends les termes que j'utilises d'habitude, je vous laisserais faire la conversion pour le résidentiel).
Pour le Wifi, le soucis est que pour ton réseau Wifi interne il faudra lui donner les accès via la config firewall. Si tu veux avoir les mêmes droits sur ton Wifi interne que sur ton réseau bureautique. Donc tu vas devoir ouvrir comme un porc, ce qui a peu d'intérêt niveau sécurité. C'est complexifier l'administration pour n'apporter que très peu côté sécurité.
Ou alors tu donnes un traitement et des droits différents aux PC filaires et aux PC Wifi, ce qu'on voit rarement.


Si tu traites du confidentiel défense ou du diffusion restreinte on en reparle, mais pour du résidentiel bateau (surfer sur Facebook, Youporn et le reste d'Internet, jouer à des jeux en ligne ou pas, consulter ses comptes bancaires en ligne, faire ses papiers, lire ses mails, écrire l'exposé de son ado, et l'imprimer, ...) tu n'as pas besoin d'une sécurité digne d'une base militaire top secrète à la StarGate.
Oui, le wifi est plus exposé que ton réseau filaire car on n'a pas la protection physique offerte par ta porte d'entrée. Mais à ma connaissance le WPA2 n'est pas encore cassé, et reste largement suffisant pour une protection d'un réseau résidentiel. Ou même pour une TPE ou une petite PME. L'investissement dans une authentification 802.1X se justifie lorsque tu as déjà plusieurs dizaines de personnes qui se connectent au Wifi. Mais dans ce cas, si tu es une entreprise suffisamment importante, investir dans un WIPS, dans des collecteurs et des points d'accès qui gèrent l'authentification radius devient indispensable (ou couper le Wifi, je l'ai vu également), mais il ne faut pas s'arrêter là et mettre en place de l'authentification forte, du chiffrement sur tes postes, tes serveurs, ...
Pour du résidentiel là on sort quand même le marteau pilon pour écraser une mouche. Tu as quand même plus de chances de te prendre un virus des années 90 en ouvrant le mail de tonton Gaston avec ses blagues powerpoint, ou un ransomware en installant le dernier crack pour Office 2021 ou GTA VI téléchargé sur un réseau chelou que quelqu'un vienne à côté de chez toi et s'amuse à casser ton Wifi pour surfer tranquille via ton Internet ou dérober tes photos de vacances pour te faire chanter.
Je ne peux pas dire mieux, tout est dit ! Qui de nos jours a le temps et l'argent pour confondre sa maison avec Fort Knox ?


RE: Réseau local(Vlans) - organisation et "sécurisation" - Woofy - 20/07/2020

L'investissement, ce n'est pas que le coup des licences, mais aussi du temps que tu y passes, du matériel à acheter si celui que tu as déjà ne gère pas tout ça. Le temps passé à la mise en place, puis à l'exploitation et à la maintenance. Un système plus complexe demande toujours un peu plus de temps à être géré.
Pour les attaques sur WPA2, hormis Kraack, et des faiblesses du WPS (qui se désactive) je ne vois pas. Mais le protocole n'est pas cassé, il souffre de faiblesses d'implémentations. Mais si tu penses à autre choses je suis preneur.
il n'y a pas grand chose compatible WPA3 encore, si ?

Enfin, ton KNX, il est sur un réseau séparé et tu appliques bien la politique de défense en profondeur couches par couches. Donc depuis ta zone KNX, tu ne fais pas confiance à ta zone non KNX. Ou tu met du KNX Secure dans ce cas.


RE: Réseau local(Vlans) - organisation et "sécurisation" - Du21 - 20/07/2020

(17/07/2020, 20:13:09)R4v3n a écrit : [quote pid='48344' dateline='1594978145']
et reste largement suffisant pour une protection d'un réseau résidentiel. Ou même pour une TPE ou une petite PME.
Pas à mon goût (et en TPE/PME le wifi devrait être interdit).

[/quote]
Pourquoi ?  Huh


RE: Réseau local(Vlans) - organisation et "sécurisation" - R4v3n - 20/07/2020

(20/07/2020, 16:05:00)Woofy a écrit : L'investissement, ce n'est pas que le coup des licences, mais aussi du temps que tu y passes, du matériel à acheter si celui que tu as déjà ne gère pas tout ça. Le temps passé à la mise en place, puis à l'exploitation et à la maintenance. Un système plus complexe demande toujours un peu plus de temps à être géré.
Pour les attaques sur WPA2, hormis Kraack, et des faiblesses du WPS (qui se désactive) je ne vois pas. Mais le protocole n'est pas cassé, il souffre de faiblesses d'implémentations. Mais si tu penses à autre choses je suis preneur.
il n'y a pas grand chose compatible WPA3 encore, si ?

Enfin, ton KNX, il est sur un réseau séparé et tu appliques bien la politique de défense en profondeur couches par couches. Donc depuis ta zone KNX, tu ne fais pas confiance à ta zone non KNX. Ou tu met du KNX Secure dans ce cas.

Des techniques tu en as plein, que ce soit des vulnés connues comme krack ou kr00ck, des CVE en pagailles sur du matériel et/ou des chips, du simple bruteforce. C'est pas le nombre de techniques qui manque.

Je ne prône pas WPA3, je prône le sans Wifi, ou du moins la segmentation des Wifis avec le reste du réseau filaire.


(20/07/2020, 16:30:53)Du21 a écrit :
(17/07/2020, 20:13:09)R4v3n a écrit : [quote pid='48344' dateline='1594978145']
et reste largement suffisant pour une protection d'un réseau résidentiel. Ou même pour une TPE ou une petite PME.
Pas à mon goût (et en TPE/PME le wifi devrait être interdit).
Pourquoi ?  Huh
[/quote]
Si tu te poses encore la question de pourquoi, c'est que tu n'as toujours pas compris que le Wifi reste une porte avec une clé dessus.


RE: Réseau local(Vlans) - organisation et "sécurisation" - Dibou - 20/07/2020

(20/07/2020, 17:02:25)R4v3n a écrit : Si tu te poses encore la question de pourquoi, c'est que tu n'as toujours pas compris que le Wifi reste une porte avec une clé dessus.

Angel  Dieu merci, il existe encore des endroits où quand on laisse une porte avec une clef dessus, on la retrouve le soir en rentrant. Et les gens vivent heureux…


RE: Réseau local(Vlans) - organisation et "sécurisation" - Kevlille - 20/07/2020

@Dibou:

C'est de plus en plus rare... et pas dans mon coin malheureusement. Taux de cambriolage très important sur la métropole Lilloise


RE: Réseau local(Vlans) - organisation et "sécurisation" - Woofy - 20/07/2020

(20/07/2020, 17:02:25)R4v3n a écrit : Des techniques tu en as plein, que ce soit des vulnés connues comme krack ou kr00ck, des CVE en pagailles sur du matériel et/ou des chips, du simple bruteforce. C'est pas le nombre de techniques qui manque.

Je ne prône pas WPA3, je prône le sans Wifi, ou du moins la segmentation des Wifis avec le reste du réseau filaire.
Vulns sur le matériel, oui mais ça que ce soit du Wifi, du filaire ou autre. Ce n'est pas inhérent au Wifi et l'authentification forte n'arrangera rien.
Krack a eu des correctifs, Kr00ck aussi. Attaque par bruteforce, n'importe quel solution avec mot de passe ou clé secrète y est exposée, il ne faut pas mettre quelque chose de trop court ou trop simple.

En fait, tout ce que tu décris (failles sur le matériel, bruteforce, exploitation de vulnérabilités dans le protocoles vieilles de plusieurs années et patchées) nécessitent quand même beaucoup de temps et d'énergie. Pour un cambriolage, il faut vraiment que cela vaille le coup d'investir autant pour "juste" ouvrir les volets de la maison. Franchement, j'ai une maison à cambrioler pour me faire de l'argent en piquant les objets de valeur, je ne m'y prendrais pas par le KNX. C'est quand même beaucoup plus simple de péter le barillet de la porte et de l'ouvrir avec un simple tournevis (pour les portes standard), de péter une vitre (quite à découper les volets roulants en plastique ou a dégonder ceux en alu, j'aurais pas l'intention de les revendre donc s'ils s'abiment un peu c'est pas grave), ou de lever quelques tuiles. Pour une maison, si tu as du temps, tu rentre dedans.

En résidentiel tu peux craindre que le petit fils de la mamie d'à côté squatte ton Wifi pour avoir accès à Internet quand il est en vacances et qu'on lui a piqué son téléphone portable, qu'un script kiddies vienne tester ses connaissances sur les réseaux alentours, voir dans le pire des cas qu'un voisin pervers veuille prendre contrôle sur tes caméras pour voir si ta femme (ou toi) se balade à poil en sortant de la douche (d'où le fait de ne pas mettre de caméra à l'intérieur ...). Le Wifi c'est une chose, mais en filaire si on connait ton IP, que tu as une faille sur ton routeur, ton firewall est mal configuré, ... voir même juste avec un cheval de troie.

Clairement si tu as les connaissances, le temps et l'envie, sécuriser le Wifi est une bonne chose. Si tu n'as pas les connaissances, le temps ou l'envie, et que tu es parano, couper entièrement le Wifi aide bien à diminuer l'exposition de ton réseau à l'extérieur. En revanche tu va te couper (toi et ta famille) de ce qu'offre une connexion sans fil : pas de PC portable dans le canapé, de tablette, de console de jeu portable ou transportable, de bidules connectés sans prise réseau, ... on peut s'en passer, mais plein de gens aiment avoir des trucs comme ça. Chez moi, je met un max de trucs en filaire, surtout pour la fiabilité. Mais il y a du Wifi, parce que sinon pas de jeu en ligne sur la Switch ou de mise à jour de la console (ni même de téléchargement des jeux), ma copine n'a plus Internet sur son téléphone (son forfait n'a qu'une centaine de Mo), la tablette pour regarder des séries dans le lit ne sert plus à rien, ... bref je me fais défoncer si je coupe le Wifi Big Grin

Pour le commun des mortels, un WPA2 avec une clé secrète assez longue et robuste, et des équipements à jour, et tu élimine plus de 99% des risques via le Wifi. Les risques restant ont un coup trop élevé face au gain espéré pour être tentés. Je ne dis pas que le risque zéro n'existe pas, mais le jeu n'en vaut pas la chandelle.